Aufgrund unzulässiger Übermittlung personenbezogener Daten in ein Drittland (USA) und verwehrter Ausübung eines Betroffenenrechts erließ die spanische Aufsichtsbehörde (AEPD) gegen Google LLC ein Bußgeld in Höhe von 10 Mio. Euro. Die mehrjährige Untersuchung der AEPD gegen Google wurde durch die Beschwerden zweier Betroffener angestoßen, die beklagt hatten, dass Google ihre personenbezogenen Daten an das sogenannte Lumen-Projekt übermittelte.
Hintergrund des DSGVO-Bußgeldes
Google LLC agierte bei der bußgeldbewährten Verarbeitung als Verantwortlicher und übermittelte Kopien von Löschanfragen betroffener Nutzer an das Lumen-Projekt der Harvard-Universität. Das Lumen-Projekt sammelte Anträge auf Entfernung von Inhalten aus Websites innerhalb und außerhalb der USA und stellte die so erzeugten Daten Forschern und anderweitig Interessierten auf seiner Website zur Verfügung.
Google LCC übermittelte mit den die von den betroffenen Nutzern gestellten Anträgen unter anderem folgende Angaben an das Lumen-Projekt:
- Identität,
- E-Mail-Adresse,
- angegebene Gründe in den Anträgen.
Zur Ausübung des Rechts auf Vergessenwerden mussten Betroffene das von Google LLC bereitgestellte Beschwerdeformular nutzen. Im Rahmen dieses Beschwerdeformulars informierte Google zwar über die Weitergabe der Daten an das Lumen-Projekt, allerdings wurde den Betroffenen keine Möglichkeit gegeben, der Weitergabe ihrer Daten zu widersprechen.
Die spanische Aufsichtsbehörde sah in der Koppelung von Ausübung des Betroffenenrechts auf Vergessenwerden mit der aufgezwungenen Weitergabe der Daten an Dritte einen klaren Verstoß gegen die Grundsätze der DSGVO (Datenschutz-Grundverordnung).
Zudem führte die spanische Aufsichtsbehörde an, dass eine Vereitelung des Betroffenenrechts auf Vergessenwerden auch darin besteht, dass die gesamten angeführten Daten im Rahmen der Ausübung des Betroffenenrechts an einen Dritten weitergeleitet und in einer öffentlich zugänglichen Datenbank veröffentlicht wurden. Die Veröffentlichung dessen, dass ein Betroffener sein Recht auf Vergessenwerden gefordert hat, erfülle gerade nicht den Zweck eben dieses Betroffenenrechts.
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Datenschutzrechtliche Einschätzung
Betroffenenrechte beschreiben die Rechte der von der Datenverarbeitung betroffenen Personen nach Art. 12 ff. DSGVO. Sie schützen die informationelle Selbstbestimmung und dienen der Information und Transparenz. Da die in der DSGVO formulierten Betroffenenrechte Ausfluss der EU-Charta nach Art. 8 sind, müssen diese frei ausübbar sein.
Das Recht auf Löschung nach Art. 17 Abs. 1 DSGVO umfasst auch das Recht auf Vergessenwerden. Dieses kommt neben der Löschung dann in Betracht, wenn der Verantwortliche die personenbezogenen Daten öffentlich gemacht hat. Beim Recht auf Vergessenwerden bedarf es aller möglichen Anstrengungen des Verantwortlichen, eine weitestgehende Löschung auch bei Dritten zur erwirken. In der Folge ist die Löschung dauerhaft und umfassend zu gewährleisten. Damit soll das Recht auf Vergessenwerden vor allem dann weiterhelfen, wenn Daten durch Onlinedienste verbreitet wurden.
Allerdings ist zu beachten, dass das Recht auf Vergessenwerden nur innerhalb der EU gilt. In einem Urteil aus dem Jahr 2019 führt der EuGH an, dass Google seine Suchergebnisse nicht weltweit löschen muss, wenn ein EU-Bürger sein Recht auf Vergessenwerden geltend macht. Der Geltungsbereich der Löschpflicht erstreckt sich nur auf alle Staaten innerhalb der EU und auf EU-Bürger.
In der Praxis bedeutet dies: Betreiber von Suchmaschinen wie z.B. Google müssen bei der Datenlöschung dauerhaft dafür Sorge tragen, dass Nutzer nicht von einem Mitgliedstaat aus auf die entsprechenden Verlinkungen auf Nicht-EU-Versionen der Suchmaschine zugreifen können und damit keine Verarbeitung von personenbezogenen Daten, die sich auf diesen Websites befinden, erfolgen kann.
Lesen Sie hier, auf welche Umstände im Rahmen des Rechts auf Löschung und des Rechts auf Vergessenwerden in der Praxis nach Art. 17 DSGVO geachtet werden sollte.
Fazit
Das Bußgeld der spanischen Aufsichtsbehörde veranschaulicht, wie wenig Wert US-Unternehmen wie Google auf den Datenschutz legen. Insbesondere trug die Tatsache, dass Daten in ein Drittland übermittelt wurden, wie auch, dass das Unternehmen den Anträgen auf Löschung nicht nachkam, zur Höhe des Bußgeldes bei.
Auch wenn es sich vorliegend um einen sehr speziellen Fall handelt, verdeutlicht dieser dennoch, in welchem Umfang Bußgelder ausfallen können. Daher sollten Sie immer darauf achten, dass Datenübermittlungen an Dritte datenschutzrechtlich geprüft werden und dass Betroffenenrechte entsprechend eingehalten werden.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!