Die europäischen Datenschutzbehörden haben ihre französischen Kollegen, die Commission nationale de l’informatique et des libertés (kurz: CNIL), am 2. Februar 2012 gebeten, bei der Überprüfung der neuen Google-Datenschutzbestimmungen eine Führungsrolle zu übernehmen (ilex berichtete). Nun hat die CNIL Google einen Fragenkatalog mit 69 Fragen zugestellt, der Rückschlüsse über die Rechtsmeinung der europäischen Datenschutzbehörden zulässt. ilex zeigt, worauf sich mittelständische Unternehmen – europaweit – einstellen müssen, wenn sie mit Google Marketing betreiben wollen.

Gliederung

• Die Hintergründe
• Der Fragenkatalog
• Fazit für mittelständische Unternehmen, die mit Google werben

1. Die Hintergründe

Es bedarf wohl kaum der näheren Erläuterung, dass Google die Suchmaschine ist. Google ist daher ein beliebtes Marketinginstrument; gerade auch für mittelständische Unternehmen, deren Budget TV-, Radio-, Kino- oder Printwerbung nicht umfasst. Die zahlreichen Dienstleistungen, die Google hier anbietet, werfen daher auch werbedatenschutzrechtliche Bedenken auf. Google hat daher seine zahlreichen Datenschutzerklärung systematisiert und zusammengefasst. Diese Änderungen rufen bei aller Freude über die neue Transparenz und Übersichtlichkeit, bei den europäischen Datenschutzbehörden auch Skepsis hervor. Deshalb haben die europäischen Datenschutzbehörden die CNIL (französische Behörde) aufgefordert, eine Führungsrolle bei der Überprüfung von Google zu übernehmen.

2. Der Fragenkatalog

Nun hat die CNIL vor einiger Zeit einen Fragebogen an Google geschickt, um die eigenen Ermittlungen voranzutreiben. Nicht alle der 69 Fragen sind sehr spektakulär. Doch einige dieser Fragen zeigen sehr deutlich, worauf es den europäischen Behörden beim Datenschutz im Social-Media-Sektor ankommt, sodass die anderen Beteiligten – etwa mittelständische Unternehmen, die über Google, Facebook usw. werben – hier die künftige Aufsichtspolitik antizipieren und ihre Produkte und Dienstleistungen darauf abstimmen können. Mit anderen Worten: Der frühe Vogel fängt den Wurm!

Hier nun einige Beispiele für interessante Fragen der CNIL:

Frage 9

The new privacy policy states: ‘We require opt-in consent for the sharing of any sensitive personal information.’
A) Please describe when, how and in which services, sensitive data may be collected by Google.
B) Please provide the purposes of such collection. […]

Die CNIL setzt mithin einen besonderen Schwerpunkt bei besonders sensiblen Daten (Zur Erläuterung. Sensible Daten sind solche Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben; vgl. Artikel 8 Absatz 1 EG-Datenschutzrichtlinie). Insbesondere interessieren sich die Behörden für die Frage, warum Google solche Daten überhaupt erheben, verarbeiten und/oder nutzen sollte.

Frage 11

Google does not mention face recognition in its new privacy policy. Does this mean that Google does not use facial recognition processings or that a specific policy will apply for such processing. In this case, will Google ask users for prior explicit consent before applying face recognition to pictures or other material uploaded by users (for example a picture used for a Google account, or pictures uploaded to Google+ representing the user or third parties)?

Diese Frage ist vielleicht mit einem kleinen “Augenzwinkern” zu verstehen. Da das Phänomen der Gesichtserkennung keine Erwähnung in den Google-Datenschutzbestimmungen findet, fragt sich die CNIL, ob Google hierauf wohl verzichte oder hierfür eine spezielle Erklärung abgeben wird? Mithin ist das Thema Gesichtserkennung der CNIL eine Erwähnung wert, obwohl das bei Google nicht der Fall war.

Frage 19

A) Please explain why Google “ may not remove information from […] backup systems”, when theuser asks for its deletion.

Diese Frage stellt sich sehr häufig im Alltag. Warum ist eine Löschung aus den “backup systems” nicht möglich. Hintergrund ist die durchaus schwierige Frage, was “Löschen” heutzutage noch bedeuten kann.

Frage 35

How does Google avoid (through technical/organizational measures) that, by combining data from different services, personal data that are provided by users become publicly available or shared with public services for a purpose for which they had not been provided to Google (for instance in another service than the one in which the user provided the data)?

Hintergrund dieser Frage ist die oftmals übersehene Trennungskontrolle. Jede verantwortliche Stelle ist verpflichtet, durch technische und organisatorische Maßnahmen sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Bei einer Vielfachdienstleister liegt die Gefahr nah, dass Daten, die für den einen Dienst erhoben werden, auch für den anderen genutzt werden.

Fragen 52 bis 57

Diese Fragen bedürfen gar keiner genauen Wiederholungen, sie drehen sich insgesamt um das Werben auf Google, insbesondere um den Dienst Google Analytics.

3. Fazit für mittelständische Unternehmen, die mit Google werben

Google ist und bleibt ein global player, dem die europäischen Aufsichtsbehörden nur bedingt beikommen können. Daher werden sie sich vorrangig an diejenigen halten, die sie “erreichen” können. Das sind die europäischen (mittelständischen) Unternehmen, die auf einen guten Google-Rank setzen. Daher sei gerade diesen Unternehmen geraten, den zuvor vorgestellten Fragenkatalog genau zu lesen. Diese und ähnliche Fragen werden ihn bald gestellt werden.

Zunächst setzt die CNIL offenbar einen Schwerpunkt bei der Verarbeitung sensibler Daten i.S.v. Artikel 8 Absatz 1 der Datenschutzrichtlinie. Dieses Thema spielte bei der Nutzung von Suchmaschinen bislang nur eine untergeordnete Rolle – zumindest in der öffentlich geführten Debatte. Daher sollten alle Unternehmen, die Google als Marketingplattform nutzen genau prüfen, ob sie Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben im Rahmen des Social Media Marketings nutzen. Hierbei sollten alle Unternehmen wissen, dass die zuvor genannten Kategorien weit zu verstehen sind. Etwa ist die Information des Familienstandes schon ein Datum über das Sexualleben; die Information, dass jemand zu einem Arzt geht schon ein Datum über die Gesundheit oder ein Gästebucheintrag zu einem politischen Thema schon ein Datum über die politische Meinung. In diesen Fällen ist besondere Vorsicht im Datenschutzrecht zu beachten.

Das Phänomen der Gesichtserkennung ist im Datenschutzrecht ein echtes Reizthema (ilex berichtete). Hier sollten alle innovativen Unternehmen vorsichtig sein, denn der CNIL war die Erwähnung dieser Frage sehr, sehr wichtig.
Wenn die Aufsichtsbehörde von Google wissen will, warum Google keine komplette Löschung durchführen kann, dann löst dies Aufhorchen aus. Der Hintergrund ist: Das Löschen von Daten, gerade das “Herausnehmen aus Google”, um das viele Nutzer bitten, ist geradezu eine Expertentätigkeit. Schon das Löschen auf dem heimischen Server ist – wenn man Löschen als wirkliches Löschen versteht – hoch komplex. Daher wird sich sehr bald die Frage stellen, was Löschen bedeutet, wie das Löschen vom Sperren abgegrenzt wird und welcher technischer Aufwand verlangt werden kann, um der Pflicht zur Löschung nachzukommen.

Wenn die CNIL einen Schwerpunkt auf die Trennungskontrolle legt, bestätigt dies den Trend der letzten Jahre. Daten müssen zweckgebunden verwendet werden; die Verwendung zu anderen Zwecken (wobei schon geringe Abweichungen ausreichen können) ist nur unter engen Voraussetzungen möglich und sollte stets mit Rechtsrat abgesichert werden.

Letztlich war es nicht zu erwarten; das Thema Werbung steht im Fokus zahlreicher Fragen der CNIL. Das bestätigt die Annahme von ilex, dass künftig nicht nur Google, sondern auch jene Unternehmen in Anspruch genommen werden, die über Google werben.