Cookie-Banner und mangelnder Datenschutz: Millionen-Bußgelder für Amazon und Google in Frankreich

Cookie-Banner DSGVO-Bußgeld Amazon Google
Rutmer – stock.adobe.com

Jeder kennt es: Man ruft unterschiedliche Seiten im Internet auf und das erste kleine Fenster, das erscheint ist die Einverständniserklärung verschiedene Cookies für diese Seite zuzulassen.

Zu wählen ist zwischen notwendigen und nicht notwendigen Cookies – sie dienen der statistischen Analyse und allen voran jeglichen Werbezwecken.

Nun haben sowohl Amazon als auch Google auf den Rechnern von Besuchern Werbe-Cookies gespeichert, ohne dass die Nutzer in die Speicherung eingewilligt hatten. Doch dürfen jegliche Cookies schon beim Aufruf der Internetseite ohne Einverständnis des Nutzers gespeichert werden?

Die französische Aufsichtsbehörde CNIL entschied: Auch die Großen halten sich nicht an die Vorgaben. Amazon und Google – die Großen – nutzen „Attrappen“ um augenscheinlich den Vorgaben hinsichtlich des Setzens von Werbecookies nachzukommen, jedoch tricksen sie ihre Nutzer damit nur aus.

Es handele sich um schwerwiegende Verstöße gegen das Datenschutzrecht, die mit einem Bußgeld von insgesamt 135 Millionen Euro belegt wurden.

 Mangelnder Datenschutz bei mangelnder Einwilligung?

Die Internet-Auftritte von www.amazon.fr und www.google.fr wurden durch die Experten der Commission Nationale de l’Informatique et des Libertés (CNIL) genauer beobachtet.

Das Resultat: Anders als datenschutzrechtlich vorgeschrieben, wurden bereits beim Aufruf der Seiten automatisch Cookies abgelegt, ohne dass die Besucher davon erfuhren. Dies betraf unter anderem solche Cookies, die das Verhalten des Nutzers tracken, um personalisierte Werbung anzeigen zu können.Identisch zu anderen Webseiten erschienen die Cookie-Banner – allerdings enthielten sie weder Informationen zu welchen Zwecken die Dateien abgelegt werden sollten noch wurden die Verbraucher informiert, dass eine Ablehnung der Speicherung jederzeit möglich ist.

Neben der Speicherung der Cookies ohne Einwilligung der Nutzer stellten sich weitere Probleme: Denn wer über eine Anzeige in den französischen Amazon-Shop gelangte, sah überhaupt keine Cookie-Banner, obwohl genau die gleichen Cookies abgelegt wurden. Demgegenüber wurde bei Google zwar das Cookie-Banner weiter angezeigt, allerdings half auch das explizite Abschalten der Anzeigenpersonalisierung in den Einstellungen nicht. Der bei Aufruf gesetzte Werbe-Cookie blieb gespeichert.

Trotz dem es an einer expliziten Einwilligung mangelte, konnten ungehindert Informationen zum Nutzerverhalten ausgelesen werden.

Cookies erhöhen Werbeeinnahmen: Geldbuße in Millionenhöhe

Die CNIL kam zu dem Ergebnis: Google und Amazon profitieren – also müssen sie auch finanziell für ihren Verstoß einstehen.

So wurde durch die CNIL entschieden, dass die Internet-Giganten mit einem Bußgeld zu belegen seien. Für die Festsetzung der Summen habe man zum einen die Schwere der Verstöße und zum anderen die Reichweite der Suchmaschinen bei französischen Nutzern berücksichtigt. Zudem sei der erhebliche Gewinn, den Google durch die Werbeeinnahmen erziele, ausschlaggebend gewesen, denn all die Cookies, die auf den Geräten der Nutzer – auch ohne Einwilligung – gespeichert werden, trügen zu dem Gewinn des Konzerns bei.

Letzen Endes muss Google 100 Millionen Euro zahlen. Verantwortlich seien sowohl die europäische Google Ireland Limited als auch der amerikanische Mutterkonzern, denn sie entschieden gemeinsam, welche Cookies wo platziert würden. Nicht anders ging man bei der Festlegung der Höhe des Bußgelds für Amazon vor. Dort orientierte man sich an der Bedeutung der Präsenz des Konzerns – vergleichsweise kam Amazon mit einer Strafe von 35 Millionen glimpflich davon.

Cookie-Banner müssen datenschutzrechtlichen Anforderungen genügen

Cookies, die für den Betrieb einer Website oder die Gewährleistung spezifischer Seitenfunktionen nicht zwingend erforderlich seien, bedürfen einer expliziten Einwilligung durch den Nutzer. Darunter zähle primär die Aufzeichnung des Surf- und Nutzungsverhaltens, um interessengerechte Werbung zu ermöglichen. Werden Cookies vorab bereits auf dem Computer gespeichert, eine nachträgliche Einwilligung dann aber nicht erteilt oder gar kein Cookie-Banner zur möglichen Ablehnung angezeigt, handele es sich um einen datenschutzrechtlichen Verstoß. Schließlich sei von einer wirksamen Erklärung nur auszugehen, wenn der Nutzer den Haken aktiv setzte.

Die Internet-Auftritte haben beide Konzerne seit der Untersuchung durch die CNIL überarbeitet und einer Korrektur unterzogen. Zur Zeit der Entscheidung der CNIL setzten jedoch sowohl Amazon als auch Google weiterhin Cookie-Banner ein, die den datenschutzrechtlichen Anforderungen nicht genügen. Nun habe es eine Änderung innerhalb der nächsten drei Monate zu geben, so die französische Aufsichtsbehörde. Ansonsten werde täglich ein Bußgeld von 100 000 Euro fällig.

Das zeigt: Auch die Großen sollten aufpassen, denn die am 7. Dezember 2020 getroffene Entscheidung gleich einem Paukenschlag. So wird sich am 7. März 2021 zeigen, ob die Internet-Giganten den Forderungen nachgekommen sind oder sie die tägliche Strafe riskieren wollen.

In Anbetracht des drastischen Vorgehens der französischen Datenschützer ist beim Einsatz von Werbe-Cookies ein besonderes Augenmerk auf die Ausgestaltung der Einwilligung und der dazu erforderlichen Information der Nutzer zu legen. Dies betrifft die Großen und Kleinen.

Sie benötigen weitere Informationen oder möchten mehr über unsere Rechtsgebiete erfahren?

Kontaktieren Sie uns