30.000 € Bußgeld für rechtswidriges Cookie-Banner
30.000 Euro Bußgeld verhängte die spanische Datenschutzaufsichtsbehörde gegen die spanische Fluggesellschafft Vueling, weil ihr Cookie-Banner gegen nationales Datenschutzrecht verstieß.
Obwohl die spanische Regelung älter als die DSGVO war und sich keine inhaltsgleiche Norm im deutschen Recht findet, sollten auch deutsche Website-Betreiber die Entscheidung beachten. Denn letztlich ging es darum, dass Website-Nutzer die Möglichkeit haben müssen, die Verarbeitung ihrer Daten durch Cookies einfach zu verwalten.
Wie wir bereits berichteten, hat auch der EuGH bereits Anfang Oktober in seiner Planet49-Entscheidung klargemacht, dass die DSGVO den Einsatz von Cookies grundsätzlich nur nach aktiver Einwilligung der Website-Nutzer erlaubt.
Die Webseite stellte dem Nutzer keine Anti-Tracking-Tools zur Verfügung
Das Cookie-Banner der Vueling-Website informierte wie folgt: „Wir verwenden Cookies, um Ihre Präferenzen zu speichern, Nutzungsstatistiken zu erstellen und Werbeangebote basierend auf Ihren Browsing-Gewohnheiten an Sie zu senden. Wenn Sie weitersurfen, nehmen wir an, dass Sie deren Verwendung akzeptieren. Weitere Informationen diesbezüglich erhalten Sie in unseren Cookie-Bestimmungen.“ Nur diejenigen Nutzer, die auf die Bestimmungen geklickt hatten, konnten sich darüber informieren, wie sie sog. „Anti-Tracking-Tools“ installieren und letztlich die Cookies ablehnen konnten. Kurzgefasst bot die Site dem Nutzer keine Konfigurationsmöglichkeit an.
Spanisches Recht verpflichtet Webseiten-Betreiber zur Installation von Cookie-Management-Systemen
Das bloße Informieren über die Verwendung von Cookies verstößt gegen den seit 2002 geltenden § 22 Abs. 2 des nationalen spanischen E-Commerce-Gesetzes „Spanish Law on Information Society Services and Electronic Commerce“ (LSSI). Diese Vorschrift besagt, dass Websites den Nutzern auch die Möglichkeit einräumen müssen, auf einfache Art und Weise ihre Datenverarbeitung abzulehnen, beispielsweise über ein Cookie-Management-System.
Vueling hat ihre Praxis trotz des Bußgeldes noch nicht umgesetzt
Vueling stellte ihren Besuchern keine Möglichkeit der Cookie-Verwaltung in diesem Sinne zur Verfügung, weshalb sie von der spanischen Datenaufsichtsbehörde ein 30.000 Euro teures Bußgeld kassierte. Dieses reduzierte die Behörde auf 18.000 Euro, weil die Airline sich kooperativ zeigte und das Bußgeld direkt zahlen wollte. Paradox ist aber, dass auf der Website immer noch dasselbe Cookie-Banner einzusehen ist!
Auch für Deutschland ist der Fall wichtig
Was die deutsche Rechtslage betrifft, gibt es keine dem § 22 Abs. 2 LSSI entsprechende Regelung. Etwa schreibt § 13 TMG Website-Anbietern gerade nicht vor, ein Cookie-Management-System vorzuhalten.
Dennoch verdient die Entscheidung im Lichte der DSGVO Beachtung. Denn der EuGH (EuGH,Urteil v. 01.10.2019, Az: C‑673/17) hat Anfang Oktober solche Websites für verordnungswidrig erklärt, die den Nutzern keine echte Möglichkeit einräumen, dem Einsatz von Cookies aktiv zu akzeptieren.