Schlagwort: CNIL

Französische Datenschutzbehörde CNIL hält Google Analytics für unvereinbar mit der DSGVO

14. Februar 2022

Die französische Datenschutzbehörde CNIL hat am 10.02.22 eine Stellungnahme veröffentlicht, dass Webseiten mit europäischen Besuchern auf den Einsatz von Google Analytics verzichten sollen. Dies sei nämlich nicht mit der DSGVO vereinbar. Zwar habe Google Schutzmaßnahmen getroffen, diese reichen aber nicht aus, um den Zugriff von US-Geheimdiensten auf Daten ganz auszuschließen. Die Daten von europäischen Webseiten-Besuchern seien dementsprechend nicht ausreichend geschützt. Im konkreten Fall hat der französische Webseiten-Betreiber einen Monat Zeit bekommen, um seine Webseite in Einklang mit der DSGVO zu bringen.

Der Einsatz von Google Analytics, ein weitvebreitetes Analysetool auf Webseiten, ist nach dem Schrems-II-Urteil schon länger umstritten. Die Entscheidung der CNIL kommt nur zwei Wochen nachdem die österreichische Datenschutzbehörde entschieden hatte, dass der Einsatz von Google Analytics auf österreichischen Webseiten gegen die DSGVO verstößt.

Auch die CNIL hatte zuvor Beschwerden von NOYB, der von Max Schrems gegeründeteten Organisation, zu dem Einsatz von Google Analytics erhalten. NOYB äußerte sich zu der Entscheidung der CNIL damit, dass sie weitere, ähnliche Entscheidungen von anderen Datenschutzbehörden erwarten. NOYB hatte bei Datenschutzbehörden in fast allen EU-Staaten Beschwerde eingelegt.

Google betont währenddessen ausdrücklich die Notwendigkeit eines Privacy-Shield-Nachfolgers. Nur so könnten die genutzten Google-Services weiterhin rechtskonform genutzt werden.

Französisches Gericht bestätigt Millionen-Strafe gegen Google

31. Januar 2022

Das oberste französische Verwaltungsgericht hat eine Strafe in Höhe von 100 Millionen Euro gegen Google bestätigt, indem es eine Beschwerde von Google gegen den Bußgeld-Bescheid der französischen Datenschutzbehörde CNIL abgewiesen hat.

Im Dezember 2020 hat die CNIL einen Bußgeld-Bescheid in entsprechender Höhe wegen zweifelhafter Cookie-Einstellungen und dem Cookie-Einsatz ohne die notwendige Einwilligung der Nutzer gegen Google erlassen. Google setzte sieben Cookies automatisch, sobald ein Nutzer auf die Website gelangte. Vier davon dienten Tracking und Werbung. Der Conseil d’Etat hat diese Verstöße nun bestätigt.

Er hat sich auch zu weiteren Themen geäußert, auf die Google seine Beschwerde gestützt hat. So seien die verhängten Geldbußen in Anbetracht der hohen Gewinne, die Google mit personalisierter Online-Werbung erziele, und der Marktmacht in Frankreich von über 90 % Marktanteil nicht unverhältnismäßig.

Die CNIL hat sich nicht auf die DSGVO gestützt, sondern das Bußgeld auf Grundlage des Art. 82 des französischen Gesetzes über Informatik und Freiheit gestützt, mit dem der nationale Gesetzgeber die e-Privacy-Richtlinie aus 2002 umgesetzt hat. Der Conseil d’Etat hat bestätigt, dass für Cookie-Einstellungen die nationalen Vorgaben und nicht die DSGVO primär anwendbar sei. Daher sah sich das Gericht nicht verpflichtet, eine Vorabentscheidung des EuGH einzuholen.

Engere Vernetzung von europäischen (Regulierungs)Behörden für einen besseren Datenschutz

11. Juli 2019

Im Rahmen einer Podiumsdiskussion mit 300 Gästen zum Thema „Data Protection and Competitiveness in the Digital Age“ diskutierten u.a. der Europäische Datenschutzbeauftragte Giovanni Buttarelli und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber die Herausforderung neuer Technologien und warben für mehr Zusammenarbeit zwischen verschiedenen europäischen Behörden.

Die steigende Datenkonzentration und die Datenmacht global agierender Unternehmen wirke sich auch auf die Rechte der Bürger und die Wettbewerbsfreiheit aus, sodass Datenschutz nicht nur ein Thema der Datenschutzbehörden sei, sondern immer mehr auch ein Thema in verbraucherrechtlichen und wettbewerbsrechtlichen Behörden werde. Eine engere Vernetzung dieser Behörden würde helfen der wachsenden Dominanz von Digitalkonzernen zu begegnen und für einen besseren Datenschutz sorgen. Der Datenschutz sollte nicht als Wettbewerbsnachteil, sondern gerade im Bereich der digitalen Innovation ein Wettbewerbsvorteil in der EU sein.

„Neue Technologien schaffen Chancen – gleichzeitig aber auch Risiken, insbesondere für die informationelle Selbstbestimmung. Daher müssen wir gemeinsam daran arbeiten, proaktiv im Sinne der Gewährleistungsziele des Datenschutzes von Anfang an bei einer „menschzentrierten“ Technikgestaltung mitzuwirken. Dabei sollten wir das Modell der rechtsgebietsübergreifenden Behördenkooperation nicht nur auf nationaler Ebene, sondern auch auf EU-Ebene stärker institutionalisieren.“, betonte Ulrich Kelber.

Teil des Rednerpanels waren außerdem der Präsident des Bundeskartellamtes, Andreas Mundt, die Präsidentin der französischen Datenschutzbehörde (CNIL), Marie-Laure Denis, der Generalsekretär der Europäischen Kommission, Martin Selmayr, und die britische Informationskommissarin, Elizabeth Denham.

Französische Datenschutzbehörde verhängt Bußgeld gegen Google

22. Januar 2019

Aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) muss der Internetriese Google in Frankreich eine Strafe in Höhe von 50 Millionen Euro zahlen. Das Bußgeld verhängte die französische Datenschutzbehörde CNIL. Ausgelöst wurde das Verfahren gegen Google durch Beschwerden der Organisation NOYB von Max Schrems und der französischen Netzaktivisten La Quadrature du Net.

Zu dem Bußgeld sei es gekommen, da Google die Anforderungen der DSGVO hinsichtlich der Informationspflichten nur unzureichend erfülle. So seien die Informationen über die Datenverarbeitung im Rahmen verschiedener Google-Applikationen für die Nutzer nur schwerlich über mehrere Links und Buttons zugänglich und insgesamt intransparent. Aufgrund der, dem Nutzer, nur unzureichend zur Verfügungen gestellten Informationen über die Art und Weise der Verarbeitung personenbezogener Daten, seien auch die Einwilligungen zur Anzeige personalisierter Werbung nach Ansicht der französischen Datenschutzbehörde nicht rechtmäßig.

Update: Google hat inzwischen Berufung eingelegt.

Weltweite Geltung des Rechts auf Vergessenwerden?

25. Juli 2017

Zurzeit befasst sich der Europäische Gerichtshof (EuGH) erneut mit dem sogenannten „Recht auf Vergessenwerden“, wie heise berichtet. Hintergrund hierfür ist ein Rechtsstreit zwischen dem US-amerikanischen Suchmaschinenbetreiber Google und der französischen Datenschutzaufsichtsbehörde CNIL. CNIL hatte Google zuvor eine Strafe von € 100.000 auferlegt, da Links aus den Suchmaschinenergebnissen nicht weltweit gelöscht wurden. Um die Strafe gerichtlich prüfen zu lassen, zog Google vor das französische Verwaltungsgericht. Dieses legte die Frage, ob sich der Löschungsanspruch auf weltweite Suchergebnisse erstreckt, nun dem EuGH zur Entscheidung vor.

Vor drei Jahren hatte der EuGH das Recht auf Vergessenwerden in seinem Urteil manifestiert. Das Recht auf Vergessenwerden berechtigt Individuen von Suchmaschinenbetreibern die Löschung von Links zu Informationen zu verlangen, die veraltet sind oder ihre Privatsphäre verletzen. Seit Mai 2014 erhielt Google mehr als 2 Millionen dieser Aufforderungen. Sofern nach der Ansicht von Google die Voraussetzungen für die Löschung vorliegen, wird der beanstandete Link aus den Suchmaschinenergebnissen entfernt. Die Löschung findet jedoch nur auf den europäischen Versionen von Google statt. CNIL geht dies jedoch nicht weit genug und fordert eine weltweite Löschung, damit dem Recht auf Vergessen umfassend entsprochen wird. Google hält diese Forderung für absurd. Zum einen werde die Freiheit des Internets beschränkt. Außerdem könnte Google nationales Recht nicht weltweit umsetzen.

Mit Spannung wird deswegen nun die Entscheidung des EuGH erwartet.

Französische Datenschutzbehörde verhängt Strafe gegen Facebook

17. Mai 2017

Wegen der „massiven Kombination“ von Nutzerdaten, der nicht widersprochen werden kann, hat die französische Datenschutzaufsichtsbehörde CNIL gegen Facebook eine Strafe in Höhe von 150.000 Euro verhängt. Damit meint die CNIL die Praxis von Facebook, die Daten der Nutzer so zu verknüpfen, dass diese gezielt mit Werbung angesprochen werden können, ohne das sich der Nutzer hiergegen wehren kann. Auch die Möglichkeit des Nutzers, dem Tracking durch Cookies zu widersprechen gäbe es nicht.

Nach Ansicht der französischen Datenschutzaufsichtsbehörde sei auch die Datenschutzerklärung nur ungenügend. So informiere Facebook die Nutzer nur unzureichend darüber, dass es auf anderen Webseiten Daten zum Surfverhalten selbst von solchen Internetnutzern sammle, die kein Konto bei dem Online-Netzwerk haben. Ferner hole das Social-Media-Unternehmen nicht die ausdrückliche Einwilligung seiner Nutzer ein, wenn diese in ihrem Profil sensible Daten, wie z.B. zu politischen und religiösen Einstellungen oder zur sexuellen Orientierung angeben.

Zur verhängten Strafe kam es erst, nachdem die CNIL Facebook im Januar 2006 aufgefordert hatte, sich an die geltenden französischen Vorschriften zu halten, Facebook dieser Forderung aber nicht innerhalb der vorgesehenen drei Monate in zufriedenstellendem Maße nachkam. Dabei ist zu beachten, dass die Strafe in Höhe von 150.000 Euro die höchstmögliche Strafe ist, die die CNIL verhängen kann. Gegen die Strafe kann Facebook innerhalb von vier Monaten Einspruch beim Staatsrat, dem obersten Verwaltungsgericht Frankreichs, einlegen.

Das Verfahren und die nun verhängte Strafe ist Teil von gemeinsamen Untersuchungen des Datenschutzes bei Facebook der Datenschutzbehörden Frankreichs, Deutschlands, der Niederlande, Belgiens sowie Spaniens. Im November 2014 hatte Facebook angekündigt, seine Datenschutzrichtlinien und dem Umgang mit den Cookies zu überarbeiten. Daraus resultierte unter anderem, dass Nutzerdaten zwischen WhatsApp und Facebook nicht ausgetauscht werden dürfen.

 

Article 29 WP will release guidelines on the GDPR by the end of 2016

28. Oktober 2016

As Bloomber reports, the Article 29 WP will provide guidance on the GDPR soon. Isabelle Falque-Pierrotin, Chairwoman of the CNIL as well as of the Article 29 WP, acknowledged that the GDPR text is ambiguous in some aspects. Therefore, these guidelines aim at serving as an operational toolbox.

Amongst others, the guidance to the GDPR shall refer to the following aspects:

• The designation of the leading Supervisory Authority in case of complaints or in relation to other procedures. Moreover, aspects of the bilateral cooperation and competence to resolve disputes by the Supervisory Authorities and the European Data Protection Board shall be clarified.
• Guidance on the figure of Data Protection Officers is one of the priorities of the Article 29 WP, as it will play an essential role in companies on achieving GDPR compliance.
• The right to data portability has been regulated for the first time in the GDPR. This right will allow data subjects to access their data and transfer data to other data controllers, for example upon the change of telephone provider. The guidance should focus on its scope and implementation.
• The standard by which the proof of consent will take place, will have to be specified. This is especially important for small and medium-sized companies, for which a “simple pedagogical tool” will be developed.
• A formal guidance on the Privacy Shield will not take place until the EU Commission has reviewed its functioning after the first year, this is summer or early fall 2017.

At the moment, the Article 29 WP remains neutral with regard to the Brexit. However, Falque-Pierrotin remarked that the Privacy Shield may be also useful in UK regarding international data flows with the U.S.A.

Further guidance is also expected in 2017, especially regarding topics such as the EU-U.S. Privacy Shield and the implication of the Brexit in privacy issues.

———-
If you would like to read more articles about international data protection topics, we invite you to visit our international blog: www.privacy-ticker.com.

CNIL: Formelle Rüge für Facebook

9. Februar 2016

Die französische Commission National de l´informatique et des libertés (CNIL) hat Facebook Medienberichten zufolge insbesondere wegen Datenübermittlungen in die USA auf Grundlage von Safe Harbor formal gerügt. Damit ist sie die erste europäische Datenschutzaufsichtsbehörde, die in Sachen Safe Harbor rechtliche Schritte einleitet. Eine Übermittlung von personenbezogenen Daten der europäischen Nutzer auf Basis des Safe Harbor-Abkommens in die USA wird seit der Entscheidung des Europäischen Gerichtshofs als unzulässig angesehen. Die Rüge sei sowohl dem US-Mutterkonzern, als auch der europäischen Tochter Facebook Ireland Limited zugestellt worden. Facebook habe eine dreimonatige Frist erhalten, alle gerügten Umstände zu beseitigen. Sollte dies nicht geschehen, werde die französische Datenschutzbeauftragte Isabelle Falque-Pierrotin einen „Berichterstatter“ beauftragen, der über Sanktionen gegenüber Facebook entscheiden soll.

CNIL fordert weltweites Recht auf Vergessen werden

14. August 2015

Wie die Zeit berichtet, hat die französische Datenschutzbehörde CNIL den Suchmaschinenbetreiber Google aufgefordert, das Recht auf Vergessen werden weltweit umzusetzen.
Im Jahr 2014 hatte der EuGH geurteilt, dass Betroffenen im Rahmen ihres Rechts auf informationelle Selbstbestimmung auch das Recht zusteht digital vergessen zu werden. Hiernach können Bürger der EU Google dazu verpflichten, bestimmte Links zu ihrer Vergangenheit nicht mehr in der Liste der Suchergebnisse aufzuführen.
Google entspricht den Ansprüchen von Betroffenen insoweit, als dass Einträge zu den jeweiligen Personen in der europäischen Version der Suchmaschine nicht mehr erscheinen. Der CNIL geht diese Vorgehensweise jedoch nicht weit genug. Sie fordert von Google, dass Einträge aus der Vergangenheit einer Person weltweit zu entfernen sind.
Hiergegen wehrt sich Google mit dem Argument, dass eine französische Behörde nicht die Zuständigkeit habe anzuordnen, wie die weltweiten Suchergebnisse von Google zu gestalten sein.
Ob und wie die CNIL in dieser Angelegenheiten weiter gegen Google vorgeht, bleibt abzuwarten.

CNIL: Geldstrafe gegen Google wegen fortdauernder Datenschutzverstöße

13. Januar 2014

Die französische Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés  (CNIL) hat nach einem Bericht von heise.de  Google eine Strafzahlung in Höhe von 150.000 Euro auferlegt und das Unternehmen verpflichtet,  binnen acht Tagen eine Stellungnahme zu der CNIL-Entscheidung auf seiner französischen Suchmaschine Google.fr zu veröffentlichen. Grund dafür sei die nicht rechtskonforme Datenschutzerklärung des Unternehmens zum Umgang mit Nutzer-Informationen, die trotz mehrfacher Aufforderung nicht geändert worden sei.

Frankreich ist nicht das erste europäische Land, dass den bei Google praktizierten Umgang mit personenbezogenen Daten und die im März 2012 eingeführten Regeln des Unternehmens beanstandet. Vor kurzem hat deshalb auch die spanische Datenschutzbehörde AEPD gegen Google eine Geldstrafe von 900.000 Euro verhängt, so heise. In Deutschland habe Hamburgs Datenschutzbeauftrager Johannes Caspar im Juli 2013 ein Verwaltungsverfahren gegen den Konzern eingeleitet. Hauptkritikpunkt der Datenschützer sei, dass Google die aus verschiedenen Diensten wie Google+, Picasa, Drive, Docs und Maps gesammelten Daten zu einem Profil zusammenführt, auf unbestimmte Zeit speichert und und für eigene Zwecke verwende. Dabei werde es den Nutzern erschwert oder gar unmöglich gemacht, gespeicherte Daten zu korrigieren oder zu löschen.

 

1 2