Hohe Geldbuße bei rechtswidrigem Einsatz von Cookies

Die französische Datenschutzbehörde (CNIL) hat Anfang Dezember 2020 den Internet-Riesen Google mit einer hohen Geldbuße (100 Mio Euro) wegen der rechtswidrigen Verwendung von Cookies belegt.

Die von der CNIL über mehrere Monate durchgeführte Untersuchung ergab, dass Nutzer der französischen Website von Google ( google.fr ) mehrere Cookies automatisch auf ihren Geräten abgelegt bekamen. Die betroffenen Personen hatten dabei keine Möglichkeit, die Speicherung von Cookies abzulehnen.

CNIL stellte fest, dass Cookies könnten nur dann rechtmäßig auf Benutzergeräten abgespeichert werden, nachdem der Nutzer seine Einwilligung nach einer informierten Entscheidung gegeben hat.

Zweistufiges Verfahren zum rechtskonformen Einsatz von Cookies

Die französische Regulierungsbehörde empfahl ein zweistufiges Verfahren für Online-Plattformen, um sicherzustellen, dass keine Cookies vor der Zustimmung des Benutzers abgelegt wurden.

  1. Bei ihrem Besuch auf einer Website sollte den Benutzern ein Cookie-Banner angezeigt werden, in dem die expliziten Zwecke aufgeführt sind, für die Cookies verwendet werden, und die Möglichkeit erwähnt werden, diese Cookies zu deaktivieren oder abzulehnen und Parameter über einen im Banner enthaltenen Link zu ändern.
  2. Wenn Sie auf diesen Link klicken, sollten Sie die Benutzer auf einfache und verständliche Weise über die Optionen informieren, die ihnen zur Verfügung stehen, um alle Cookies, für die eine Zustimmung erforderlich ist, ganz oder teilweise abzulehnen. Diese Informationen sollten nach Zweck aufgeschlüsselt werden, einschließlich Werbung, Schaltflächen für soziale Medien und Publikumsmessung.

Ferner stellte die CNIL fest, dass trotz der Entscheidung der Benutzer, Cookies zu deaktivieren, verschiedene Cookies zu Marketingzwecken auf dem Gerät der Benutzer gespeichert blieben. Mindestens eines dieser Cookies verfolgte weiterhin systematisch jede Interaktion der Benutzer mit der Domain.

ePrivacy Richtlinie hat Vorrang gegenüber DSGVO

Google argumentierte, dass der anwendbare Rechtsrahmen nicht die ePrivacy-Richtlinie sei, sondern die Datenschutzgrundverordnung (DSGVO). In diesem Fall, so Google, wäre die zuständige Datenschutzbehörde, wegen des One-Stop-Shop-Prinzips, nicht die CNIL, sondern Irlands Datenschutzbehörde, da Google seinen Hauptsitz in Irland hat.

Die CNIL war anderer Meinung. Während der Gegenstand der Beschwerde sowohl Elemente der DSGVO als auch der ePrivacy-Richtlinie umfasste, hatte die ePrivacy-Richtlinie als lex specialis Vorrang . In ihrer Begründung betonte die CNIL, dass in der ePrivacy-Richtlinie ausdrücklich festgelegt wurde, dass ihr Zweck darin besteht, die DSGVO zu spezifizieren und zu ergänzen. Die DSGVO schließt ihrerseits alle Angelegenheiten aus ihrem Anwendungsbereich aus, die besonderen Verpflichtungen gemäß der ePrivacy-Richtlinie unterliegen. Die ePrivacy-Richtlinie selbst enthält Bestimmungen, die es den Mitgliedstaaten ermöglichen, ein Sanktionsregime zu entwickeln und durchzusetzen. Die CNIL verwies ferner auf die Tatsache, dass die mögliche Anwendung eines One-Stop-Shop-Mechanismus auf die ePrivacy-Richtlinie auf europäischer Ebene drei Jahre lang erörtert wurde, was bedeutet, dass die derzeitige Rechtsposition Bedeute, dass One-Stop-Shop-Mechanismus nicht für die ePrivacy-Richtliniegelten würde.

Anmerkungen

  • Setzt sich die Rechtsmeinung der CNIL bzgl der Anwendbarkeit des One-Stop-Shop-Prinzips durch, dann kann jede nationale Aufsichtsbehörde über den rechtswidrigen Einsatz von Cookies durch international tätige Verantwortliche in ihrem Zuständigkeitsbereich entscheiden.
  • Die CNIL-Entscheidungen bietet Online-Plattformen einen Entwurf, wie sie ihre Datenschutzverpflichtungen in Bezug auf Cookies und Online-Tracking erfüllen können.
  • Die CNIL-Entscheidung ist nur ein Teil des Puzzles. In der Folge ist Klarheit in Bezug auf die Verwendung der von Cookies gesammelten Informationen erforderlich. Immer wieder teilen und tauschen Verantwortliche gesammelte Benutzerdaten in einem riesigen Ökosystem von Datenbrokern und Werbetreibenden. Sobald Benutzer ihre “Zustimmung” gegeben haben, verschwinden ihre Daten im Irgendwo und können möglicherweise für alles verwendet werden, von der Produktwerbung bis zum Mikrotargeting durch politische Parteien.

Quelle

Die vollständige Entscheidung gegen Google (Beratung SAN-2020-012 vom 7. Dezember 2020) können Sie hier lesen.