Die Datenschutzbehörde des Landes Hamburg hat kürzlich ein Verwaltungsverfahren gegen Google eröffnet. Es bezieht sich auf das Google-System „Google Assistant“, den Sprachassistenten hinter dem „Google Home“ -Lautsprecher, und Abschriften daraus. Der belgische öffentlich-rechtliche Sender VRT NWS hat kürzlich veröffentlicht, dass Aufzeichnungen von „Google Assistant“ systematisch von Menschen abgehört und transkribiert wurden: von freiberuflichen Google-Vertragspartnern. In 153 von 1000 Audio-Clips, die VRT NWS übergeben wurden, verwendeten die Digital Assistant-Benutzer nicht einmal den Befehl „Google“ oder „OK Google“, um die Aufnahme zu starten. Google verteidigte seine Praxis mit der Feststellung, dass diese Aufzeichnungen aufgrund eines Missverständnisses gestartet wurden. Trotzdem hat Google mit der Hamburger Datenschutzbehörde vereinbart, europäische „Google Assistant“ -Aufzeichnungen für einen Zeitraum von drei Monaten nicht mehr einer menschlichen Überprüfung zu unterziehen.
Der europäische Hauptsitz von Google befindet sich in Irland. Nach den „one-stop-shop“ Bestimmungen der Datenschutz-Grundverordnung (DSGVO), u.a. Art. 56 Abs. 6 ist die federführende Aufsichtsbehörde „der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung.“. Die federführende Aufsichtsbehörde von Google in Europa gemäß Artikel 56 Abs. 1 DSGVO ist die von Irland. Die Hamburger Datenschutzbehörde berief sich allerdings auf Art. 66 Abs. 1 DSGVO, danach darf eine Datenschutzbehörde aufgrund außergewöhnlicher Umstände „sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen“.
Unsere Leser erinnern sich vielleicht an einen anderen Google-Fall vom Januar 2019, in dem die französische Datenschutzbehörde CNIL eine Geldbuße in Höhe von 50 Mio. EUR gegen Google verhängt und darauf hingewiesen hat, dass Internetgiganten klar und transparent angeben müssen, wie sie personenbezogene Daten verarbeiten . Ein weiterer wichtiger Aspekt der Entscheidung war, wie die französische Datenschutzbehörde ihre eigene Verantwortung für die Behandlung dieses Falls begründet hat. Sie erklärte: „Als die CNIL ein Verfahren einleitete, hatte die irische Niederlassung keine Entscheidungsbefugnis über die Verarbeitungsvorgänge, die im Zusammenhang mit dem Betriebssystem Android und den von GOOGLE LLC bereitgestellten Diensten durchgeführt wurden, im Zusammenhang mit der Erstellung eines Kontos während der Konfiguration eines Mobiltelefons “. Die CNIL begründete ihre eigene Zuständigkeit damit, dass jede Datenschutzbehörde in Europa, einschließlich der französischen, zuständig sei, da das Design der relevanten Google-Funktionen tatsächlich nicht in Irland erfolgt sei.
Das Konzept des „Forum-Shopping“ ist im rechtlichen Kontext die Praxis, das zuständige Gericht auszuwählen, um einen bestimmten Fall dort entscheiden zu lassen, wo eine Partei die günstigste (oder die schnellste) Entscheidung erwartet. Dies verstößt gegen den Grundsatz genau eines „gesetzlichen Richters“. Etwas ähnliches kann geschehen, wenn eine Person oder Organisation eine Beschwerde gegen ein multinationales Unternehmen bei einer Datenschutzbehörde erhebt. Zu den Parteien in der französischen Rechtssache gehörte eine NGO (Max Schrems’„None of Your Business“), die über die Ressourcen verfügt, um Verfahren in Irland durchzuführen, und dies in anderen Fällen tut. In diesem Fall wählte sie bewusst Frankreich als Forum, und war mit dieser Wahl erfolgreich.
Art. 62 DSGVO sieht gemeinsame Tätigkeiten mehrerer Aufsichtsbehörden vor, Art. 63 – 65 schafft einen Kohärenzmechanismus zwischen ihnen. In beiden Google-Fällen wurden diese Mechanismen nicht verwendet. Stattdessen dürfte die Datenschutzbehörde, die zuerst handelte, dauerhafte Standards gesetzt haben. Es kann bezweifelt werden, dass dieses Verhalten der Datenschutzbehörden zu einer einheitlichen Anwendung der DSGVO beiträgt, was deren ausdrückliches Ziel ist (Art. 63 DSGVO). Die „Fast Mover“ -Politik, oder der Wettlauf zum Ruhm einiger Datenschutzbehörden kann vorerst zu hohen Datenschutzstandards beitragen. Aber es könnte eine andere Welle geben, in eine andere Richtung, wenn die verantwortlichen Unternehmen den ersten Schritt machen.
Unternehmen, die Produkte entwickeln, die Datenschutzbedenken aufwerfen können, haben die Möglichkeit, diese Bedenken auszuräumen, bevor sie ihre Produkte auf den Markt bringen. Sie können eine Datenschutz-Folgenabschätzung in einem bestimmten Land über ihr Produkt durchführen, und anschließend eine „vorherige Konsultation“ mit einer dortigen Datenschutzbehörde gemäß Art. 36 DSGVO. Sie könnten auch eine informelle Konsultation mit ihrer zuständigen Datenschutzbehörde (gemäß nationalem Datenschutzecht) durchführen, die dazu führen kann, dass die Datenschutzbehörde eine öffentliche Stellungnahme gemäß Art. 58 Abs. 3 Buchst. b DSGVO abgibt. Auf diese Weise könnten sie verhindern, dass andere Datenschutzbehörden Bußgelder verhängen und negative Publizität schaffen.
Möglicherweise müssen zuerst einige deutliche Entscheidungen in unterschiedliche Richtungen getroffen werden, bevor die Kohärenzbestimmungen der DSGVO tatsächlich angewendet werden.
Die europäische Harmonisierung des Datenschutzrechts wird in den kommenden Jahren ein faszinierendes Thema werden. In mehreren europäischen Ländern tätige IT-Unternehmen haben gute Gründe, diese Trends genau zu beobachten.