Google steht vor einem frischen Datenschutz Beschwerde in Europa über Anzeigen, die es in Form von E-Mails in seinen E-Mail-Dienst Gmail einfügt.
Datenschutzgruppe, noybhat die Beschwerde bei der französischen Datenschutzbehörde CNIL eingereicht und behauptet, der Adtech-Riese habe gegen die Vorschriften der ePrivacy-Richtlinie der Europäischen Union zum Direktmarketing verstoßen, indem er es versäumt habe, die Zustimmung von Google Mail-Nutzern für die Anzeigen einzuholen, die er neben Werbe-E-Mails in ihren Posteingängen anzeigt eigentlich angemeldet haben.
noybs Beschwerde zitiert a Urteil vom obersten Gericht der EU im vergangenen Jahr in einem separaten Fall im Zusammenhang mit der Verwendung von E-Mail für Direktmarketing, der seiner Ansicht nach deutlich macht, dass Anzeigen, die im Posteingang eines Benutzers angezeigt werden, „eine Verwendung von E-Mail für Zwecke des Direktmarketings“ – was nach den ePrivacy-Regeln die Zustimmung des Benutzers erfordert. (Die Google Mail-Werbe-E-Mails unterscheiden sich von echten E-Mails, für die sich Benutzer angemeldet haben, nur durch das Einfügen eines „Anzeigen“-Labels und das Fehlen eines Datumsstempels.)
In der Beschwerde wird behauptet, dass Google Mail-Benutzer nicht damit einverstanden waren, mit Google-Anzeigen zugespammt zu werden – wobei darauf hingewiesen wird, dass gemäß ePrivacy eine Einwilligung eingeholt werden musste, bevor die Anzeigen in ihren angezeigt werden Posteingänge.
noyb argumentiert auch, dass Ausnahmen, die im einschlägigen EU-Recht festgelegt sind, hier nicht gelten da die Werbe-E-Mails von Google nicht für die Direktwerbung ähnlicher Produkte verwendet werden, für die zuvor eine Einwilligung eingeholt wurde.
„Es ist ganz einfach. Spam ist eine kommerzielle E-Mail, die ohne Zustimmung versendet wird. Und es ist illegal. Spam wird nicht legal, nur weil er vom E-Mail-Anbieter generiert wird“, ergänzt Romain Robert, Rechtsanwalt bei noyb, in einer Erklärung.
Google wurde um einen Kommentar zu der Beschwerde gebeten.
Die französische CNIL war eine aktive Regulierungsbehörde von Google in Datenschutzfragen und nutzte die Kompetenz, die sie im Rahmen von ePrivacy ausüben kann – die im Gegensatz zur Datenschutz-Grundverordnung nicht verlangt, dass grenzüberschreitende Beschwerden über eine leitende DPA (in Googles Fall, Irlands Datenschutzkommission) – Vermeidung des DSGVO-Engpasses, der die Durchsetzung des Datenschutzes gegen Big Tech verlangsamt hat.
Bereits im Dezember 2020 verhängte die CNIL eine Geldstrafe von 120 Millionen US-Dollar gegen Google, weil es Tracking-Cookies ohne Zustimmung abgelegt hatte – nachdem es festgestellt hatte, dass es gegen die ePrivacy-Regeln verstoßen hatte. Darauf folgte im Januar eine weitere kräftige Geldstrafe von 170 Millionen US-Dollar für dunkle Muster, die Google in Cookie-Zustimmungsabläufen eingesetzt hatte.
Diese französischen ePrivacy-Durchsetzungen führten bald dazu, dass Google ein aktualisiertes Cookie-Zustimmungsbanner in Europa ankündigte, das den Benutzern endlich eine Top-Level-Option bot, um die gesamte Verfolgung zu verweigern – was darauf hindeutet, dass die energische Durchsetzung von Gesetzen zum Schutz der Rechte und Freiheiten von Webbenutzern der Macht von Big Tech entgegentreten kann .
Der CNIL gelang es auch, Google bereits 2019 mit einer frühen DSGVO-Durchsetzung zu schlagen, bevor ein Rechtswechsel stattfand, der die EU-Nutzer des Unternehmens unter die Gerichtsbarkeit seiner irischen Tochtergesellschaft (statt seiner US-Muttergesellschaft) brachte – und damit sicherstellte, dass nachfolgende DSGVO-Beschwerden dagegen sind Google wurde durch Irland geleitet.
Daher die Mehrheit der DSGVO-Durchsetzung bei größeren Beschwerden gegen Google – wie etwa über die Rechtmäßigkeit seiner Adtech (eine förmliche Untersuchung wurde im Mai 2019 eingeleitet); oder seine Standortverfolgungspraktiken (in Irland seit Februar 2020 untersucht) – bleiben in der Schwebe, während die mühsamen Verfahren der irischen Aufsichtsbehörde weitergehen. Aber Entscheidungen müssen schließlich fließen – innerhalb von Monaten oder Jahren.
Es wird interessant sein zu sehen, was zuerst eintrifft: Eine Entscheidung der französischen CNIL zu dieser neuen Noyb-Beschwerde gegen Googles Gmail-Werbe-Spam (eingereicht im August 2022) – oder eine endgültige Entscheidung Irlands zu Googles Adtech oder Standortverfolgung.
In der Zwischenzeit hat noyb eine weitere Reihe strategischer Beschwerden gegen Big Tech eingereicht, indem es b2b-Nutzer von Google Analytics und Facebook Connect in der gesamten EU anspricht – was zu einer Reihe von Verstößen und Warnungen von DPAs gegen die Verwendung der Analysesoftware von Google geführt hat. Die französische Aufsichtsbehörde hat im Juni Leitlinien herausgegeben, die die Benutzer des Tools vor der Notwendigkeit warnen, zusätzliche Sicherheitsvorkehrungen zu treffen, um sicherzustellen, dass ihre Implementierung den DSGVO-Anforderungen für Datenübertragungen außerhalb des Blocks entspricht, oder zu einer konformen Alternative (nicht von Google) zu wechseln.
Facebook steht auch vor einer wichtigen Entscheidung im Zusammenhang mit einer langjährigen Beschwerde über seine EU-Datenexporte, die ursprünglich vom Vorsitzenden von noyb eingereicht wurde – lange bevor er die Privacy Advocacy Group gründete.