Verbraucherschutzgruppen in Europa haben eine neue Reihe von Datenschutzbeschwerden gegen Google eingereicht – sie beschuldigen den Werbegiganten des irreführenden Designs rund um den Kontoerstellungsprozess, der die Benutzer ihrer Meinung nach dazu verleitet, einer umfassenden und invasiven Verarbeitung ihrer Daten zuzustimmen.
Der Technologieriese erstellt Profile von Kontoinhabern für Zwecke der Anzeigenausrichtung – und stützt sich offenbar auf die Zustimmung der Benutzer als Rechtsgrundlage. Aber das Flaggschiff-Datenschutzgesetz der EU, die Datenschutz-Grundverordnung (DSGVO), enthält eine Forderung nach eingebautem und standardmäßigem Datenschutz und legt klare Bedingungen dafür fest, wie Zustimmungen eingeholt werden müssen, damit sie rechtmäßig sind.
Daher das Beef der Verbrauchergruppen – wenn irreführendes Design von Google die Nutzer dazu verleitet, sein Tracking zu akzeptieren.
Sie argumentieren, dass die Designentscheidungen, die der Technologieriese bei der Kontoerstellung einsetzt, es den Nutzern viel einfacher machen, der Verarbeitung ihrer Informationen durch Google zuzustimmen, um sie mit „personalisierten“ Anzeigen anzusprechen, als die Zustimmung zu seiner Profilerstellung für verhaltensbezogene Werbung zu verweigern.
Überholspur zur Nachverfolgung
Die Beschwerden heben hervor, wie datenschutzfreundlichere Optionen – von Google als „manuelle Personalisierung“ bezeichnet – von den Benutzern fünf Schritte und zehn Klicks verlangen („sich mit unklaren, unvollständigen und irreführenden Informationen auseinandersetzen“, wie sie es ausdrücken); während es eine Ein-Klick-Option „Express-Personalisierung“ bietet, die das gesamte Tracking aktiviert, was es für die Privatsphäre schrecklich macht.
Sie weisen auch darauf hin, dass Google den Verbrauchern nicht die Möglichkeit bietet, das gesamte Tracking mit einem Klick „auszuschalten“, und weisen ferner darauf hin, dass Google die Erstellung eines Kontos erfordert, um bestimmte seiner eigenen Produkte zu verwenden, z. B. beim Einrichten eines Android-Smartphones.
In anderen Fällen können Benutzer freiwillig ein Google-Konto erstellen – aber der Technologieriese präsentiert in beiden Fällen immer noch verzerrte Optionen, die die Verbraucher dazu bringen, ihrer Verfolgung zuzustimmen.
„Unabhängig davon, welchen Weg der Verbraucher wählt, die Datenverarbeitung durch Google ist intransparent und unfair, wobei die personenbezogenen Daten der Verbraucher für vage und weitreichende Zwecke verwendet werden“, argumentieren die Beschwerdeführer ebenfalls in einer Pressemitteilung.
Die Reihe von DSGVO-Beschwerden wird von der Mitgliedergruppe BEUC, auch bekannt als die Europäische Verbraucherorganisation, koordiniert.
Laut BEUC wurden Beschwerden bei Datenschutzbehörden in allen EU-Mitgliedstaaten und Märkten eingereicht, darunter von seinen Mitgliedsorganisationen in Frankreich, der Tschechischen Republik, Norwegen, Griechenland und Slowenien.
Es stellt auch fest, dass sein deutsches Mitglied, der vzbv, ein Warnschreiben an Google geschrieben hat – bevor es möglicherweise eine Zivilklage einreicht – während Verbrauchergruppen in den Niederlanden, Dänemark und Schweden ihre nationalen Datenschutzbehörden angeschrieben haben, um sie auf die Praktiken aufmerksam zu machen.
Ursula Pachl, stellvertretende GD von BEUC, kommentierte die Aktion in einer Erklärung wie folgt:
„Im Gegensatz zu den Behauptungen von Google zum Schutz der Privatsphäre von Verbrauchern wurden zig Millionen Europäer auf die Überholspur gebracht, wenn sie sich bei einem Google-Konto angemeldet haben. Es ist nur ein einfacher Schritt erforderlich, damit Google alles, was Sie tun, überwachen und ausnutzen kann. Wenn Sie von datenschutzfreundlichen Einstellungen profitieren möchten, müssen Sie sich durch einen längeren Prozess und eine Mischung aus unklaren und irreführenden Optionen navigieren. Kurz gesagt, wenn Sie ein Google-Konto erstellen, werden Sie standardmäßig und standardmäßig überwacht. Stattdessen sollte der Datenschutz die standardmäßige und einfachste Wahl für Verbraucher sein.“
Dies ist nicht die erste datenschutzbezogene Beschwerde der EU-Verbraucherrechte über die Praktiken von Google. Sie reichten auch eine Beschwerde ein, die sich auf die Erfassung von Standortdaten im Jahr 2018 konzentrierte – aber es dauerte bis Februar 2020, bis Googles führender EU-Datenaufseher, die irische Datenschutzkommission (DPC), eine Untersuchung einleitete. Und mehr als 2 Jahre später dauert diese Datenuntersuchung noch an.
Bereits im Mai sagte der stellvertretende Beauftragte der DPC, Graham Doyle, gegenüber Tech, dass er erwarte, „in den kommenden Monaten“ einen Entscheidungsentwurf über die Google-Standortdatenanfrage anderen DPAs zur Überprüfung vorzulegen. Wenn es jedoch Meinungsverschiedenheiten über Irlands Ansatz gibt, könnte es viele weitere Monate dauern, bis eine Einigung über eine endgültige Konsensentscheidung erzielt wird. Eine Lösung dieser langjährigen Beschwerde wird also möglicherweise noch in diesem Jahr nicht eintreffen.
Die DPC hat auch noch keine Entscheidungen zu anderen langjährigen DSGVO-Beschwerden gegen Google getroffen. Wie zum Beispiel eine große Beschwerde über seine Adtech, die im Mai 2019 untersucht wurde – und jetzt wegen Untätigkeit verklagt wird.
Eine weitere Beschwerde – gegen die Nutzung der sogenannten erzwungenen Zustimmung durch Google auf seiner mobilen Android-Plattform – stammt aus dem Mai 2018, obwohl nicht klar ist, ob die DPC in diesem Fall jemals eine Untersuchung eingeleitet hat. Die französische Datenschutzbehörde CNIL leitete die Ermittlungen ein – und verhängte bereits im Januar 2019 eine Geldstrafe von 57 Millionen US-Dollar gegen Google wegen Verstößen gegen die Transparenz und Zustimmung im Zusammenhang mit dem Betrieb von Android. (Die CNIL entschied, dass sie in diesem Fall zuständig sei, da Entscheidungen im Zusammenhang mit Android wahrscheinlich eher in den USA als in Dublin getroffen wurden, wo sich der regionale Hauptsitz von Google befindet.)
Irland muss jedoch noch eine einzige DSGVO-Entscheidung gegen Google erlassen.
BEUC verhehlt seine Frustration über die mangelnde Durchsetzung der DPC in Bezug auf Beschwerden gegen den Technologieriesen nicht.
„Google ist ein Wiederholungstäter“, sagte Pachl. „Es ist mehr als drei Jahre her, seit wir Beschwerden gegen die Standortverfolgungspraktiken von Google eingereicht haben, und die zuständige irische DPC hat immer noch keine Entscheidung in diesem Fall getroffen. In der Zwischenzeit haben sich die Praktiken von Google im Wesentlichen nicht geändert. Der Technologieriese führt immer noch kontinuierliches Tracking und Profiling von Verbrauchern durch und seine Praktiken geben den Ton für den Rest des Marktes an.“
„Wir brauchen schnelles Handeln der Behörden, denn es ist inakzeptabel, dass einer der größten Akteure die DSGVO ignoriert“, fügte sie hinzu. „Dieser Fall ist von strategischer Bedeutung, für den die Zusammenarbeit zwischen den Datenschutzbehörden in der gesamten EU priorisiert und vom Europäischen Datenschutzausschuss unterstützt werden muss.“
Die Probleme im Zusammenhang mit der Verfolgung von Kontobenutzern durch Google sind getrennt von der Cookie-basierten Verfolgung des Werbegiganten, bei der Technologien eingesetzt werden, um Benutzer über Websites und Apps von Drittanbietern zu verfolgen.
Der letztere Prozess war Gegenstand anderer EU-Beschwerden, die in den letzten Jahren zu einigen Durchsetzungen geführt haben, wobei die französische Datenschutzbehörde Google mit Geldstrafen in Höhe von fast 300 Millionen US-Dollar wegen Verstößen gegen die ePrivacy-Richtlinie im Zusammenhang mit Cookies verhängte – woraufhin Google einige verhängte Änderungen am Cookie-Zustimmungsbanner, der Webbenutzern in Europa angezeigt wird.
Strategische Beschwerde
Pachls Bemerkung, dass die Beschwerde über die Registrierung eines Google-Kontos von „strategischer Bedeutung“ sei, bezieht sich auf die Erwartung von BEUC, dass der Fall die Einleitung eines Verfahrens im Rahmen des Kooperationsmechanismus der DSGVO (d. h. Artikel 60) auslösen wird, von dem man hofft, dass es reibungsloser ablaufen wird seit 2018, als die Google-Standortdaten-Beschwerde eingereicht wurde.
Der Grund, warum BEUC jetzt auf ein reibungsloseres Segeln hofft, liegt in einer im April erzielten Einigung der Datenschutzbehörden der EU – auch bekannt als „Wiener Deklaration“ – als sie sich verpflichteten, ihre Durchsetzungszusammenarbeit in grenzüberschreitenden DSGVO-Fällen von „strategischer Bedeutung“ zu verbessern.
Eine Beschwerde gegen einen Tech-Giganten wie Google trifft eindeutig diese Messlatte. Aber die ältere Google-Standortdatenbeschwerde wurde mit einer Reihe von kooperationsbezogenen Problemen belastet, die dazu beigetragen haben, die Ermittlungen zu verlangsamen und eine Entscheidung in diesem Fall zu verzögern.
David Martin Ruiz, Teamleiter für digitale Richtlinien bei der Organisation, erläuterte, welche Änderungen BEUC von den Aufsichtsbehörden bei der Bearbeitung dieser neuen grenzüberschreitenden Google-Beschwerde erfahren möchte: „Wir erwarten, dass die Behandlung der Beschwerden ebenso priorisiert wird berührt Praktiken eines großen Marktteilnehmers in der Überwachungswirtschaft, die Millionen von Europäern betreffen. Beim ersten Mal dauerte es etwa 6 Monate, nur um die federführende Behörde zu benennen. Außerdem erwarten wir eine bessere und engere Zusammenarbeit zwischen den Behörden, beispielsweise bei der Prüfung der Zulässigkeit der Beschwerden, und dass dies nur einmal von der Behörde, die die Beschwerden entgegennimmt, erfolgt. Natürlich erwarten wir, dass eine engere Zusammenarbeit und strategische Priorisierung der beteiligten Behörden zu einer schnellen und umfassenden Untersuchung der Beschwerden und einer effizienten Durchsetzung führt.“
Ruiz lehnte es jedoch ab, eine Vorhersage darüber zu treffen, wie viel schneller das überarbeitete Kooperationsverfahren in der Lage sein wird, eine Durchsetzung gegen Google zu erreichen, und sagte: „Es ist schwierig, eine konkrete Zahl dafür zu nennen, aber wir hoffen auf jeden Fall, dass es weniger dauert als die aktuelle im Gange, und wir sind in 3 Jahren nicht hier und warten immer noch auf einen Entscheidungsentwurf.“
Die Europäische Kommission, die den Ansatz der Adtech-Giganten zur Einhaltung der EU-Datenschutzgesetze ebenfalls kritisiert hat, verteidigte kürzlich langsamere regulatorische Durchsetzungen in diesen großen, grenzüberschreitenden Fällen.
In einem Buchstabe gegenüber der Europäischen Ombudsperson – die die Überwachung der DSGVO durch die EU-Exekutive nach Beschwerden über die eigene Aufsicht der Kommission über die Verordnung untersucht hat – verglich Justizkommissar Didier Reynders den Grad der Komplexität, der mit diesen großen Untersuchungen verbunden ist, mit Kartellfällen und schrieb:
„ … es ist wichtig, zwischen Fällen zu unterscheiden, die relativ einfach sind und keine umfangreichen Untersuchungen erfordern, und Fällen, die eine komplexe rechtliche und wirtschaftliche Bewertung erfordern oder neuartige Probleme aufwerfen. Diese komplexen Fälle, zum Beispiel solche, die Fragen im Zusammenhang mit dem Geschäftsmodell großer multinationaler Technologieunternehmen berühren, können mehrere Monate oder Jahre an Untersuchungen erfordern, ähnlich wie es bei wettbewerbsrechtlichen Untersuchungen der Fall ist. Dies ist für Irland besonders relevant, da viele dieser Unternehmen ihre Hauptniederlassung in diesem Mitgliedstaat haben.“
Als Antwort auf Reynders‘ Punkt sagte Ruiz zu Tech: „Wir stimmen zu und verstehen, dass dies komplexe Probleme sind und die Behörden Zeit brauchen, um starke Fälle zu erstellen. Wir haben jedoch Probleme gesehen, die über die Zeit hinausgehen, die für die Untersuchung dieser Fälle benötigt wird (z. B. eine Datenschutzbehörde, die den Umfang der Beschwerden einschränkt, wenn sie beschließt, ihre eigene Untersuchung einzuleiten). Darüber hinaus sind viele der großen Beschwerden, die Jahre dauern, eigentlich keine normalen Beschwerden in dem Sinne, dass sie bereits mit vielen rechtlichen Analysen und Tatsachenbeweisen untermauert sind, die darauf abzielen, die Aufgaben der Datenschutzbehörden zu erleichtern. Auch die Zeit, die benötigt wird, um diese Fälle zu lösen, ist natürlich auch ein Beispiel für tiefere Probleme, wie zum Beispiel einen Mangel an ausreichenden Ressourcen. Hoffentlich werden eine verstärkte Zusammenarbeit und strategische Priorisierung gemäß der Erklärung von Wien dazu beitragen, die Zeit zu verkürzen, die für die Untersuchung dieser Fälle benötigt wird. Komplexität und der Zeitaufwand für die Untersuchung dürfen keine Entschuldigung für Untätigkeit sein.“
BEUC fordert keine größeren Überarbeitungen der DSGVO, um das Problem der rechtzeitigen Durchsetzung gegen Big Tech zu lösen. Aber es drängt die Datenschutzbehörden, einzeln und gemeinsam eine ganze Reihe von Prozessänderungen vorzunehmen, um Probleme wie den Engpass von Fällen im Zusammenhang mit der One-Stop-Shop/Lead Data Supervisor-Struktur der Verordnung anzugehen, die das Problem ermöglicht hat Forum einkaufen.
„Kurz gesagt, in Bezug auf Big Tech besteht der erste Schritt darin, den ‚Engpass‘ zu stoppen“, sagte er. „Grundsätzlich müssen Datenschutzbehörden, insbesondere eine Datenschutzbehörde, die viele der Big-Tech-Unternehmen beaufsichtigt, Entscheidungen über die offenen Fälle treffen. Und sowohl die federführende Datenschutzbehörde als auch die übrigen Datenschutzbehörden im EDPB müssen bei der Auslegung und Anwendung der Vorschriften streng und ehrgeizig vorgehen. Auch wenn die federführende Datenschutzbehörde die Entscheidungen nicht trifft, müssen die anderen ihre Befugnisse voll ausschöpfen und dringende Maßnahmen ergreifen. Es muss Big Tech ein klares Signal geben, dass Augenwischerei und kosmetische Transparenzmaßnahmen nicht mehr ausreichen. Es gibt einige grundlegende Probleme in ihren Kerngeschäftspraktiken, die angegangen werden müssen, da sie dem Wesen der DSGVO zuwiderlaufen.“
„Natürlich ist es besorgniserregend, dass die Durchsetzung nicht so schnell voranschreitet wie die Marktpraktiken und dass Unternehmen die Dinge ständig ändern. Es ist sehr wichtig zu betonen, dass ein Unternehmen, das etwas optimiert und korrigiert, vergangene Verstöße nicht auslöschen und ungestraft lassen sollte, insbesondere wenn sie seit Jahren andauern und Millionen von Menschen betreffen. Andernfalls ist es ein sehr gefährliches Signal, das wir an Unternehmen senden“, fügte er hinzu. „Wir würden ihnen sagen: ‚Es ist in Ordnung, gegen die DSGVO zu verstoßen, solange Sie nicht erwischt werden, und wenn Sie erwischt werden, beheben Sie es einfach schnell und es wird keine Konsequenzen geben.‘ Das ist das Gegenteil von dem, was passieren sollte. Verstöße müssen Konsequenzen haben. Sonst gibt es keine Gerechtigkeit und keine abschreckende Wirkung.“