Kein DSGVO-konformes Cookie Banner bedeutet Bußgeld

Warnung vor Internet-Razzia

Die Landesaufsichtsbehörden haben eine bundesweite Kontrolle von Tracking-Technologien auf Website geplant.

Der Begriff Cookies ist heutzutage kein Fremdwort mehr und sollte vor allem bei Website-Betreibern bekannt sein. Denn Cookies ermöglichen das Speichern und ggf. die Weitergabe von personenbezogenen, sensiblen Daten sowie geräteübergreifendes Erstellen von individuellen Nutzer-Profilen und dafür muss der Nutzer seine Einwilligung erteilen. Dies geschieht in der Regel über eine Consent-Management-Platform (CMP) oder auch Cookie-Banner genannt.

Ein Cookie-Banner muss dabei bestimmte Voraussetzungen erfüllen, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden – und zwar muss er dem Nutzer/der Nutzerin die Möglichkeit geben, eine informierte, explizite, vorherige, freiwillige Einwilligung (Opt-In) zu geben. Das bedeutet, dass die alte Vorgehensweise mit dem sogenannten impliziten Opt-In mittlerweile nicht mehr erlaubt ist. In der Realität sind die meisten Websites hier noch auf dem "alten" Stand (nämlich mit Voreinstellungen, die den User zum Opt-In zwingen und / oder nicht ausreichend informieren) und somit nicht rechtskonform, also bußgeldbewehrt.

Um ein derartiges Eindringen in die Privatsphäre der User zu unterbinden, gehen Behörden nun aktiv dagegen vor. Als Erstes sollen die Internetpräsenzen von Medienunternehmen im Fokus sein, da diese Tracking-Technologien in großem Umfang verwenden. Doch auch, wer nur in kleinem Stil Cookies verwendet, geht ein unnötiges Risiko ein, hohe Strafen zu bezahlen. Daher raten wir dazu, so schnell wie möglich, das eigene Cookie-Banner nochmal unter die Lupe zu nehmen.

In der Vergangenheit hat es schon Fälle gegeben...

Was ist passiert?

Kaum hat der Europäische Gerichtshof (EuGH) sein Urteil gefällt, schon wurde das erste Bußgeld verhängt. Die spanische Aufsichtsbehörde hat wegen der Verwendung eines nicht datenschutzkonformen Cookie-Banners ein Bußgeld von 30.000 Euro gegen die Billigfluggesellschaft Vueling Airlines SA (Vueling) verhängt.

Besucher der Webseite vueling.com konnten keine Einstellungen zu den Cookies vornehmen – jedenfalls nicht in der Form, wie es die spanische Behörde für DSGVO-konform erachtet.

Das Unternehmen setzt Cookies über ihre Webseite und informiert die Besucher in seiner Cookie-Policy über die Art der Datenverarbeitung. Es wird ebenfalls darauf hingewiesen, dass Dritte auf diese Daten zugreifen können. Das Unternehmen weist jedoch darauf hin, dass die Nutzer den Browser so konfigurieren können, dass er entweder standardmäßig alle Cookies akzeptiert, ablehnt oder eine Benachrichtigung über den Empfang jedes einzelnen Cookies auf dem Bildschirm anzeigt.

Website Cookie Analyse mit Ghostery

Verstoß gegen nationales Datenschutzrecht

Nach Ansicht der spanischen Aufsichtsbehörde ist das unzureichend. Um die Auswahl der Cookies zu ermöglichen, müssen Besucher der Seite eine differenzierte Einwilligung mittels Consent Management angeboten bekommen.

Das Bußgeld von 30.000 Euro wurde von der spanischen Datenschutzbehörde aufgrund eines Verstoßes gegen § 22 Abs. 2 des nationalen spanischen E-Commerce-Gesetzes (Spanish Law on Information Society Services and Electronic Commerce) verhängt.

Wer die von Vueling auf der Webseite genutzten Technologien in einer Übersicht sehen möchte: Hier der Link zum Cookie-Analyse Tool der Cortina Consult.

Externer Datenschutzbeauftragter / Datenschutzberatung - Jörg Ter Beek

Als TÜV zertifizierter Datenschutzbeauftragter (u.a. Köln) stehe ich Ihnen bei allen Fragen der DSGVO zur Seite und unterstütze Sie u.a. bei diesen Themen:

Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.