Millionenstrafe wegen rechtswidriger Cookie-Banner
Das neue Jahr startet mit bemerkenswerten Datenschutz-Nachrichten: Die französische Datenschutzaufsichtsbehörde (CNIL) verhängte am 6.1.2022 eine Strafe in Rekordhöhe von 150 Mio. Euro gegen Google. Auch Facebook wird mit 60 Mio. Euro zur Kasse gebeten.
Ablehnung von Cookies muss genauso einfach sein wie die Einwilligung in das Setzen von Cookies
Nutzer sollen nach Ansicht der CNIL die Möglichkeit haben, Cookies genauso einfach ablehnen zu können, wie sie zu akzeptieren. Doch genau das ist bei den Webseiten facebook.com, google.fr und youtube.com nicht der Fall. Die CNIL kritisierte, dass Nutzer dieser Webseiten zwar die Möglichkeit hätten, sämtliche Cookies mit einem Klick anzunehmen, ein entsprechendes Äquivalent zur Ablehnung sämtlicher Cookies existiere jedoch nicht. Stattdessen sind mehrere Klicks erforderlich, bis die Nutzer der Webseiten Google, YouTube und Facebook sämtliche Cookies ablehnen können. Aus Sicht der CNIL beeinträchtigt das die Entscheidungsfreiheit der Webseitennutzer. Da die meisten von ihnen aus Bequemlichkeit zustimmen würden, könne ihre Einwilligung in das Setzen von Cookies nicht als „freiwillig“ angesehen werden. Bei Facebook komme erschwerend hinzu, dass Nutzer zunächst auf „Cookies akzeptieren“ klicken müssen, um diese abzuwählen.
Google und Facebook haben nun drei Monate Zeit, die aus Sicht der CNIL notwendigen Änderungen ihrer Cookie-Banner umzusetzen. Kommen sie dieser Aufforderung nicht nach, werden für jeden Tag der Verzögerung weitere 100.000 Euro fällig.
Warnschuss auch für deutsche Unternehmen
Die CNIL stützt ihre Entscheidung nicht auf die Datenschutz-Grundverordnung (DS-GVO) – die natürlich auch in Frankreich gilt –, sondern auf Art. 82 des französischen Datenschutzgesetzes (Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés). Dieses findet nur in Frankreich Anwendung. Warum also sollten deutsche Webseitenbetreiber von der Entscheidung der CNIL überhaupt betroffen sein?
Das französische Datenschutzgesetz setzt die sogenannte Cookie-Richtlinie (Richtlinie Nr. 2009/136/EG) um. Gemäß Art. 82 muss der Nutzer einer Webseite seine vorherige Einwilligung in die Verwendung von Cookies geben, es sei denn, der Einsatz von Cookies ist für die Funktionalität der Website technisch notwendig. Auch der deutsche Gesetzgeber hat die Cookie-Richtlinie zum Teil in nationales Recht umgesetzt. Nach § 25 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) müssen Nutzer in das Setzen von Cookies „auf der Grundlage von klaren und umfassenden Informationen“ einwilligen. Die Information und die Einwilligung haben dabei nach den Vorgaben der DS-GVO zu erfolgen (wir berichteten).
Die französischen und deutschen Regelungen basieren somit auf der gleichen europäischen Richtlinie. Damit könnten sich auch die deutschen Aufsichtsbehörden veranlasst sehen, die Ausgestaltung der in Deutschland eingesetzten Cookie-Banner genauer unter die Lupe zu nehmen. Die Entscheidung der CNIL kann also durchaus als Warnschuss auch für deutsche Webseitenbetreiber verstanden werden.
Handlungsbedarf für deutsche Unternehmen
Vor diesem Hintergrund sollten auch deutsche Unternehmen die Ausgestaltung der eigenen Cookie-Banner kritisch hinterfragen und – sofern noch nicht geschehen – darüber nachdenken, einen weiteren Button („Alle Cookies ablehnen“) aufzunehmen. Es könnte nur noch eine Frage der Zeit sein, bis auch die deutschen Aufsichtsbehörden auf den Zug aufspringen und bei Missachtung der datenschutzrechtlichen Vorgaben Sanktionen auf Grundlage des nationalen Rechts sowie der DS-GVO verhängen. Schließlich ist auch die (deutsche) Datenschutzkonferenz (DSK) der Ansicht, dass die Nutzer die Möglichkeit haben müssen, Cookies genauso einfach ablehnen zu können wie ihnen zuzustimmen. Das macht sie in ihrer „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ deutlich, die sie Ende Dezember 2021 veröffentlicht hat.
Ansprechpartner*innen: Dr. Jost Eder/Thomas Schmeding/Maximilian Festl-Wietek
