Seit gut zwei Jahren untersuchen verschiedene europäische Datenschutzbehörden die Datenschutzerklärung von Google auf deren Vereinbarkeit mit europäischem (Datenschutz)Recht. In diesem Zusammenhang hat nun die sog. Art. 29 Datenschutzgruppe der EU-Kommission am 26. September 2014 datenschutzrechtliche Empfehlungen für Google samt offenem Brief veröffentlicht. Damit soll Google seinen EU-relevanten Datenschutz verbessern und allfällige künftige Verstösse gegen Datenschutzgesetze vermeiden. Dabei wurden u.a. folgende Empfehlungen abgegeben (Auswahl):
- "The privacy policy must be immediately visible and accessible, for instance visible without scrolling and accessible via one click, from each service landing page" (Information - Ziff. 1).
- "To ensure that the information is accurate and comprehensive, the privacy policy must have, at least, the following characteristics: (…) It provides an exhaustive list of the types of personal data processed by Google" (Information - Ziff. 2 lit. b).
- "Users cannot be expected to read the Terms of Service update to be made aware of important new purposes for the collection, processing sharing or any other use of their personal data (…)" (Information - Ziff. 3).
- "When Google allows new entities to collect data, it must clearly inform users about the new recipients and the data they are allowed to collect (…)" (Information - Ziff. 4).
- "Passive users must be better informed about and, if this is the case, allowed to consent to the processing of their personal data" (Information - Ziff. 5).
- "Google could configure the default settings to be specific to each product/service with privacy-friendly defaults (…)" (User controls - Ziff. 2).
- "[consent] Freely given. Consent can only be valid if the data subject is able to exercise a real choice, and there is no risk of deception, intimidation, coercion or significant negative consequences if he/she does not consent" (User controls - Ziff. 4 lit. d).
Die Aufgaben der oben genannten Datenschutzgruppe bestimmen sich gemäss Art. 30 der Europäischen Datenschutzrichtlinie und Art. 15 der Richtlinie 2002/58/EG (sog. Datenschutzrichtlinie für elektronische Kommunikation). Danach nimmt die Datenschutzgruppe grundsätzlich beratende Aufgaben wahr; sie kann aber auch selbstständig Empfehlungen und Stellungnahmen zu Fragen abgeben, welche die Verarbeitung sog. personenbezogener Daten in der EU betreffen.