Aus LLC wird Ltd – Folgen der neuen Google-Nutzungsbedingungen
Autor: Daniel Schätzle Erstellt am: 6. Februar 2019 Rubrik: Datenschutzinformation, GoogleEinen Tag nach Bekanntwerden eines von der französischen Datenschutzbehörde gegen Google verhängten Bußgeldes in Höhe von 50 Mio. Euro traten am 22. Januar 2019 die neuen Google Nutzungsbedingungen in Kraft. Danach hat der für das Angebot von Google-Diensten Verantwortliche nunmehr seinen Sitz in Irland und damit in der EU. Dies hat Auswirkungen auf den Inhalt der Informationen nach Art. 13 DSGVO.
Änderung des Anbieters oder doch nicht?
Bereits im Dezember 2018 versandte Google E-Mails an Nutzer seiner Dienste, wonach demnächst Änderungen der Nutzungsbedingungen veröffentlicht würden. In der E-Mail und Eingangs der neuen Nutzungsbedingungen verweist Google darauf, dass die Dienste im EWR und der Schweiz von der Google Ireland Limited zur Verfügung gestellt werden.
Klar ist danach, dass die Datenschutzinformationen dahingehend angepasst werden müssen. Nicht ganz eindeutig ist dagegen, welche Dienste von den Nutzungsbedingungen erfasst werden. Die Nutzungsbedingungen selbst sprechen eingangs von Produkten und Diensten, ohne jedoch ausdrücklich Einschränkungen zu formulieren. Am Ende der Nutzungsbedingungen liest man aber
„Im Fall eines Widerspruchs zwischen diesen Nutzungsbedingungen und zusätzlichen Bedingungen haben die zusätzlichen Bedingungen im Einzelfall Vorrang.“
Wirft man etwa einen Blick auf die Terms für Google Analytics zeigt sich, was vielfach (zunächst auch von mir selbst) übersehen wird. Denn diese Nutzungsbedingungen gelten zwischen Google LLC und der Rechtspersönlichkeit, die diese Vereinbarung unterzeichnet (gemeint ist wohl iSv „annimmt“). Danach wird Google Analytics also nicht von der Limited in Irland angeboten, sondern weiter von der LLC.
Wer dagegen immer noch darauf verweist „Google Analytics, einen Dienst der Google Inc.“ einzusetzen, sollte das spätestens jetzt richtig stellen. Die bereits 2017 stattgefundene Umstrukturierung von der Google Inc. zur LLC ist an vielen vorbeigegangen. Dem entsprechend einfach lässt sich, auch von den Aufsichtsbehörden, feststellen, wer sich schon länger nicht mehr mit einer etwaigen notwendigen Anpassung seiner Datenschutzhinweise zu den Google-Dienste auseinandergesetzt hat.
Bleibt die Frage, wie die Linie zwischen der Limited und der LLC zu ziehen ist. Nach eigenen Informationen soll entscheidend sein, ob es sich um einen Dienst handelt, der sich an Verbraucher richtet oder an Unternehmen. Bei letzteren soll es bei der LLC bleiben. An Verbraucher gerichtete Dienste, die gleichwohl auch von Unternehmen genutzt werden, werden dagegen von der Limited angeboten. Das dürfte nicht immer ohne weiteres für die Unternehmen festzustellen sein. Letztlich ist es zwingend erforderlich, zu prüfen, ob besondere Nutzungsbedingungen für einen Dienst gelten und ob sich aus diesen weiterhin die LLC als Vertragspartner ergibt.
Übermittlung in ein Drittland
Datenschutzhinweise zu eingesetzten Google-Diensten beinhalteten in der Vergangenheit eine Information dazu, dass gegebenenfalls Daten an Server von Google mit Standort in den USA übermittelt werden bzw. dass Google möglicherweise aus den USA Zugriff auf Daten erhält. Diese Information war mit eine Hinweis zu ergänzen, wonach die Google LLC unter dem Privacy Shield zertifiziert ist.
Wenn einzelne Dienste nun aber von der irischen Tochter angeboten werden, stellt sich die Frage, ob ein solcher Hinweise entbehrlich ist?
Man wird allerdings davon ausgehen müssen, dass weiterhin ein Zugriff von der anderen Seite des Atlantiks denkbar ist. Jedenfalls steht nirgendwo etwas Anderes. Aus der von Google veröffentlichten Datenschutzerklärung ergibt sich zudem, dass personenbezogene Daten verbundenen Unternehmen zur Verfügung gestellt werden. Unter dem Punkt „Compliance und Zusammenarbeit mit Regierungsbehörden“ stellt Google zudem klar, dass sie Server auf der ganzen Welt betreiben.
Dem entsprechend empfiehlt es sich, einen Zugriff auf personenbezogene Daten durch die Google LLC mit Sitz in den USA sowie das Privacy Shield anzusprechen.
Auftragsverarbeitung
Zudem ist fraglich, wie mit dem „Zusatz zur Datenverarbeitung“ – der Auftragsverarbeitungsvereinbarung mit Google – umzugehen ist. Sofern dieser, wie mit den Aufsichtsbehörden in der Vergangenheit abgestimmt, bereits abgeschlossen wurde, handelte es sich bisher jedenfalls um eine Vereinbarung mit der Google LLC. Man muss wohl davon ausgehen, dass mit der weiteren Nutzung von Google Diensten unter den neuen Nutzungsbedingungen auch eine Auftragsverarbeitungsvereinbarung mit einem etwaigen neuen Vertragspartner in Irland verbunden ist, soweit der Abschluss bereits in der Vergangenheit vorgenommen wurde. Die Bedingungen sprechen einheitlich nur von „Google“ als Vertragspartei und Google wird wiederrum als das Google-Gruppenunternehmen (= Google LLC (vormalige Bezeichnung Google Inc.), Google Ireland Limited oder andere verbundene Unternehmen der Google LLC) definiert, das Vertragspartei der Vereinbarung ist. Für den Fall einer bereits abgeschlossenen Vereinbarung ist davon auszugehen, dass der Nutzer aktiv keine weiteren Veranlassungen treffen muss. Wer bereits in der Vergangenheit den Abschluss versäumte, muss die Auftragsvereinbarung spätestens jetzt nachholen.
Der Abschluss der Vereinbarung ist im Übrigen einfach über ein Click-to-Accept-Verfahren in den Kontoeinstellungen möglich.
Aber Vorsicht: allzu häufig werden die zu dem Dienst Google Analytics verbreiteten Datenschutzhinweise einfach für die anderen Dienste von Google übertragen, teilweise sogar eins zu eins. Abgesehen davon, dass Zwecke und Mittel sowie letztlich die Verarbeitungsvorgänge für jeden der Google Dienste spezifisch dargestellt werden müssen, wird nicht jeder Dienst im Rahmen einer Auftragsverarbeitung angeboten. Die Unterscheidung zwischen LLC und Limited kommt nun dazu.
Nach Ziffer 4.2 der Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte (= „Zusatz zur Datenverarbeitung“ oder „Processorterms“) gelten diese – einheitlich formulierten – Bedingungen, wenn ein Abschluss per „Click-to-Accept-Verfahren“ möglich ist oder wenn die Bedingungen einbezogen wurden. Eine Übersicht solcher Auftragsverarbeiterdienste findet sich wiederum in den „Datenverarbeitungsbedingungen für Google Werbeprodukte: Informationen zu den Diensten“.
Nach der Übersicht werden Dienste wie „AdSense“, „Google Ad Manager“ oder „Google Ads“ im Rahmen einer Controller-to-Controller-Konstellation angeboten. Dies schließt eine Auftragsverarbeitungsvereinbarung aus. Dagegen werden Dienste wie „Google Analytics“ und der „Google Tag Manager“ als Auftragsverarbeitungsdienste angeboten.
Es spricht im Übrigen sehr viel dafür, dass es sich bei solchen Google Diensten, die im Zusammenhang mit einer Auftragsverarbeitung bzw. eine gemeinsamen Verantwortung genannt werden, um Dienste handelt, die sich an Unternehmen richten. Mithin bliebe es bei diesen Diensten beim Vertragspartner mit Sitz in den USA. An einer offizielle Übersicht, wann das nun wirklich der Fall ist, fehlt es leider.
Je nach eingesetztem Google Dienst bedarf es demnach einer gesonderten Begründung nach Art. 6 Abs. 1 Satz 1 DSGVO für den Austausch von personenbezogenen Daten. Gerade bei Datenverarbeitungen zwischen Verantwortlichen wird man dabei schnell an die Grenzen einer Rechtfertigung aufgrund von berechtigten Interessen stoßen (Art. 6 Abs. 1 Satz 1 lit. f DSGVO). Da sich Google vorbehält, die beiden Listen jeweils zu aktualisieren, ist jeder Seitenbetreiber letztlich in der Pflicht, seinen Einsatz von Google Diensten dagegen zu prüfen.
Rebranding
Der Einsatz von Google Dienste und die Verwendung von korrekten Datenschutzhinweisen wird zusätzlich durch das 2018 (vorerst) abgeschlossene Rebranding bei Google erschwert. Damit kämpfen Anwender, Agenturen und Berater gleichermaßen, um die betroffenen Datenschutzhinweise auf einen aktuellen Stand zu bringen.
Die Marketing-Dienste von Google sind danach in drei Gruppe gegliedert:
- Google Marketing Platform
- Google Ads
- Google Ad Manager
Produktbezeichnungen wie „Google AdWords“, „DoubleClick for Publishers“ oder „DoubleClick AdExchange“ sind dagegen verschwunden. Sauber formulierte Datenschutzhinweise müssen das berücksichtigen
Fazit
Der Einsatz von Google Diensten erfreut sich, trotz der stetigen Kritik an dem Unternehmen, weiterhin großer Beliebtheit. Wie viele Unternehmen muss sich auch Google den Anforderungen der DSGVO stellen. Das Angebot für Europa teilweise von Irland aus anzubieten, mag eine Folge davon sein. Gleiches gilt für die offene Unterscheidung zwischen Verantwortlichendiensten und Auftragsverarbeiterdiensten. Spannend ist die Frage dazu, in welchen Konstellationen zukünftig eine gemeinsame Verantwortung im Sinne von Art. 26 DSGVO angenommen wird. Hier mag die erwartete EuGH-Entscheidung in Sachen FashionID sich auch auf Google auswirken.
Gleichzeitig wird Google das Angebot der Dienste stetig erneuern oder zumindest anpassen. Das macht es nicht immer einfach am Ball zu bleiben. Andererseits wird man von Unternehmen erwarten können, die neue oder veränderte Dienste von Google bewusst einsetzen, eine daraus ggf. erforderlichen Anpassung der Datenschutzhinweise mitzudenken. Ohnehin empfiehlt es sich für Unternehmen nicht, die im Mai 2018 veröffentlichten Datenschutzinformationen ohne regelmäßige kritische Überprüfung einzusetzen.
Rubrik: Datenschutzinformation, Google Stichwörter: Analytics, Auftragsverarbeitung, Diensteanbieter