Bereits vor zwei Wochen haben wir über von der französischen Aufsichtsbehörde CNIL verhängte Bußgelder berichtet. Grund für die Bußgelder waren auf Websites eingesetzte Cookies, verbunden mit zu wenigen Informationen für die Nutzer und einer fehlenden wirksamen Einwilligung. Nun gibt es Neuigkeiten von der französischen Aufsichtsbehörde für Google und Amazon.
Der Inhalt im Überblick
Erst trifft es Google…
Die CNIL machte in der vergangenen Woche bekannt, dass sie einen Bußgeldbescheid in Höhe von insgesamt 100 Mio. (!) Euro gegen Google erlassen hat.
Das Bußgeld gegen Google wurde gemeinsam gegen Google LLC als auch Google Ireland Limited verhängt. Der Grund hierfür war, dass Google bei den Besuchern der Suchmaschinenseite „google.fr“ automatisch bei Aufruf der Seite Werbe-Cookies setzte, ohne eine vorherige Einwilligung der Nutzer eingeholt zu haben.
Zudem verwies das von Google eingesetzte Cookie-Banner am Ende der Website lediglich auf einen „Privacy-Reminder“ mit den Möglichkeiten „Remind me later“ und „Access now“. Die CNIL entschied, dass hierdurch weder eine Einwilligung der Nutzer für das Setzen der Cookies eingeholt noch ausreichend Informationen zur Verfügung gestellt werden.
Problematisch war zudem, dass selbst wenn die Nutzer den „Access now“-Button anklickten und in den Einstellungen eine personalisierte Werbung ablehnten, trotzdem weiterhin Cookies auf dem Computer der Nutzer gesetzt wurden, die Informationen sammelten. Bemerkenswert, denn auch hierfür war keine Einwilligung eingeholt worden.
…und dann auch noch Amazon
Zusammen mit der Entscheidung bei Google gab die CNIL zudem bekannt, dass es auch bei Amazon Europe Core teuer wird.
Die CNIL verhängte gegen das Unternehmen eine Geldbuße in Höhe von 35 Mio. Euro. Die Gründe waren dieselben wie auch schon bei Google: Auch Amazon setzte auf der Website „amazon.fr“ Werbe-Cookies bei den Nutzern ein, ohne zuvor eine Einwilligung eingeholt und ohne ausreichend Informationen zur Verfügung gestellt zu haben.
Zwar wurden durch das Cookie-Banner („By using this website, you accept our use of cookies allowing to offer and improve our services. Read More.”) mehr Informationen zur Verfügung gestellt. Allerdings – so entschied die CNIL – werde es auf diese Weise für den Nutzer nicht deutlich, dass hauptsächlich personalisierende Werbe-Cookies gesetzt werden. Zudem erhalte der Nutzer keine Informationen darüber, wie das Setzen der Cookies verhindert werden könne. Dies gelte umso mehr, wenn ein Nutzer von einer externen Seite zu Amazon weitergeleitet wird, wenn er zuvor dort auf eine Anzeige von Amazon geklickt hatte.
Kling, Kasse, klingelingeling…
Interessant ist auch die Höhe des gegen Google verhängten Bußgelds. Zum Vergleich:
Anfang 2014 verhängte die französische Aufsichtsbehörde CNIL gegen Google wegen einer unverständlichen Datenschutzerklärung noch eine Geldstrafe in Höhe von „lediglich“ 150.000 Euro. Hierbei handelte es sich zu diesem Zeitpunkt um das höchste von der CNIL verhängte Bußgeld.
Die CNIL machte deutlich, dass es sich bei Google um einen schwerwiegenden Vorfall handelt, was ebenfalls in die Bemessung der Geldbuße mit eingeflossen sei. Nicht nur, dass an die 50 Mio. Nutzer betroffen waren, es wurde auch berücksichtigt, welchen Einfluss bzw. Anteil das sanktionierte Vorgehen für den Umsatz der Unternehmen bedeutet haben könnte.
Es ist ein wenig schwierig, die Situationen miteinander zu vergleichen, da das Bußgeld in 2014 nach der alten Rechtslage und somit vor der DSGVO verhängt wurde. Deutlich wird allerdings eines: Die Regelung der DSGVO und die hierin festgelegten Kriterien, nach denen Sanktionen für einen Datenschutzverstoß eines Unternehmens u.a. an dessen Umsatz zu bemessen sind, führt dazu, dass vermehrt empfindlichere Geldbußen verhängt werden. Hiermit kommt der Abschreckungscharakter dieser Sanktion zur Geltung.
Dies bekam auch H&M vor einigen Monaten zu spüren, als die Aufsichtsbehörde in Hamburg einen Bußgeldbescheid in Höhe von 35,3 Mio. Euro gegen das Bekleidungsgeschäft erließ. Hierbei handelte es sich – anders als bei Google und Amazon – zwar um ein reines DSGVO-Bußgeld, allerdings sind die Bemessungskriterien für die Bußgeldhöhe die gleichen.
War’s das?
Nicht unbeachtet sollte zudem gelassen werden, dass es sowohl für Google als auch für Amazon neben dem jeweiligen Bußgeld noch weitere Sanktionen gab. Diese lagen zum einen darin, dass alle Betroffenen über den Datenschutzverstoß informiert werden mussten. Zum anderen machte die CNIL die verhängten Bußgelder in beiden Fällen öffentlich. Auch dieses Mittel sollte in Bezug auf einen möglichen Imageschaden nicht unterschätzt werden.
Und was lernen wir daraus?
Eines wird klar: die Themen Cookies, Consent-Management-Banner, Anforderungen an eine wirksame Einwilligung sowie hinreichende Informationen für die Nutzer sind nicht nur beim EuGH (Planet49-Entscheidung), sondern auch bei den europäischen Aufsichtsbehörden angekommen. Die von der CNIL verhängten Bußgelder machen zudem deutlich, dass ein Verstoß gegen die hier zugrundeliegenden datenschutzrechtlichen Regelungen keine Lappalie darstellen, sondern die Unternehmen tief in die Tasche greifen lassen.
Man kann es daher nicht oft genug betonen: Vorsicht ist besser als Nachsicht. Das Grundrecht auf informelle Selbstbestimmung erfordert eine datenschutzrechtlich konforme Vorgehensweise in allen Bereichen, in denen es um personenbezogene Daten geht.
Zur Klarstellung: Cookies zu Werbezwecken einzusetzen ist nicht per se verboten. Es sind hierbei – wie so oft im Leben – einfach nur gewisse Spielregeln einzuhalten, die in diesem Fall „Informationspflichten“ und „Einholung einer (freiwilligen!) Einwilligung“ heißen. Dies dient dazu, dass nicht das Grundrecht des einen hinter dem Grundrecht des anderen unverhältnismäßig zurückstecken muss – sondern dass einfach jeder über seine Rechte und Daten selbst entscheiden können sollte. Und das ist möglich.
Der europäische Gesetzgeber wollte uns (oder Google oder Amazon) nicht – wie aus der Sicht von kleinen Kindern dies Eltern wohl auch manchmal einfach grundsätzlich im Sinn haben – den gesamten Spaß erstmal verbieten. Im Gegenteil, die Idee und der Sinn – auch von der DSGVO – ist die Bereitstellung der Werkzeuge für ein ausgewogenes Miteinander.
…und jetzt setzen Google und Amazon die Cookies nur noch mit Einwilligung?
Hallo Frau Martin,
Ich bin über Euren launigen Jahresrückblick auf den Beitrag gestoßen und hätte da noch eine Verständnisfrage. In der Presse wurde teilweise geschrieben, dass das Bußgeld wegen Verstößen gegen die e-Privacy-Richtlinie erging wie z.B. hier bei heise (heise.de/news/Frankreich-Datenschuetzer-verhaengen-Millionen-Bussgelder-gegen-Google-und-Amazon-4985956.html). Wie hängt ein solcher Verstoß gegen die Richtlinie mit der hier beschriebenen Bußgeldbemessung nach Art. 83 Abs. 5 DSGVO zusammen? Ich konnte dazu nirgendwo etwas finden.
Vielen Dank für den Hinweis. Wir haben den Artikel entsprechend geändert.
In der Originalfassung wurden die Verstöße von Google und Amazon gegen das französische Umsetzungsgesetz der ePrivacy-Verordnung mit einem Bußgeld der DSGVO in Verbindung gebracht. Richtig ist natürlich, dass es sich hier nicht um ein nach der DSGVO verhängtes Bußgeld, sondern um ein solches des Umsetzungsgesetzes handelt.
Für die Bemessung eines solchen Bußgeld ist daher nicht der Rahmen der DSGVO, sondern des französischen Umsetzungsgesetzes heranzuziehen. Eine hiernach verhängte Geldbuße kann sich – in Anlehnung an Art. 83 Abs. 5 DSGVO – in Höhe von bis zu 2 % des weltweiten Gesamtjahresumsatzes des für die Datenverarbeitung Verantwortlichen im vergangenen Geschäftsjahr bemessen. Die Bestimmung der Höhe der Geldbuße bemisst sich zudem an den in Art. 83 DSGVO genannten Kriterien. Aus diesem Grund wurde in der Originalfassung Bezug auf Art. 83 DSGVO genommen.
Zur Klarstellung wurde der Text nun noch einmal verfeinert und angepasst.
Vielen Dank. Das erleichtert mir das Verständnis.