Google und Amazon erhalten wegen Cookies Rekord-Datenschutzbußen

Im Kampf gegen Tracking-Cookies hat die französische Datenschutzaufsicht ein deutliches Zeichen gesetzt und die Konzerne Google und Amazon mit Bußgeldern in Höhe von 100 bzw. 35 Millionen EUR belegt. Als Rechtsgrundlage diente nicht die DSGVO, sondern die französischen E-Privacy-Gesetze, da die laut DSGVO zuständigen Staaten eher passiv agieren.

Die französische Datenschutzbehörde CNIL (Commission nationale de l’informatique et des libertés) geht schon seit einiger Zeit mit recht drastischen Bußgeldern gegen Datenschutzverstöße vor. Bereits 2019 hatte etwa Google dies zu spüren bekommen, als das Unternehmen aufgrund unzureichender Privatsphären-Einstellungsoptionen und fehlenden rechtlichen Grundlagen für die Einblendung personalisierter Werbung ein Bußgeld in Höhe von 50 Millionen zahlen musste.

Datenschutzrechtlich weiterhin fragwürdige Werbe-Cookies

Im aktuellen Verfahren ging es um die Tracking- bzw. Werbe-Cookies, wie sie auf vielen Webseiten eingesetzt werden. Die CNIL beanstandete gegenüber den US-Konzernen Google und Amazon:

  • dass diese Cookies mitunter bereits vor der expliziten Zustimmung durch die Nutzer setzten,
  • außerdem reiche die angebotenen Informationen im Cookie-Banner nach Ansicht der Behörde nicht aus,
  • um den Nutzern der Angebote tatsächlich eine informierte Entscheidung über Annahme oder Ablehnung dieser Cookies zu ermöglichen.

Google

Sanktion gegen Google: 50 Millionen betroffenen Internetnutzer und weitreichende Auswirkungen

Aufgrund der überragenden Marktposition von Google in Frankreich, die CNIL spricht von 50 Millionen betroffenen Internetnutzern, sowie den weitreichenden Auswirkungen des Google-Werbegeschäfts, verhängte die Behörde ein Bußgeld in Höhe von insgesamt 100 Millionen Euro, wobei der amerikanische Mutterkonzern Google LLC 60 Millionen zahlen soll, der europäische Ableger mit Sitz in Irland (Google Ireland Limited) weitere 40 Millionen.

Datenschutzvorwürfe gegen Amazon: 

Die Vorwürfe gegen Amazon lauteten ähnlich. Hier wies die Datenschutzbehörde etwa auf die überragende Stellung des Konzerns im E-Commerce hin sowie auf den Umstand, dass

  • für einmal auf den Amazon-Seiten angesehene Produkte
  • anschließend auch auf anderen Webseiten Werbung eingeblendet

werde. Deshalb halte man das ebenfalls hohe Bußgeld von 35 Millionen Euro für angemessen.

Nachbesserungen der Unternehmen waren nicht ausreichend

Sowohl Amazon als auch Google haben allerdings schon seit September ihre Cookie-Praxis teilweise entschärft. So wurden die Cookie-Banner überarbeitet und zusätzliche Informationen bereitgestellt und es wird nun explizit auf die Widerspruchsoption für die Ablehnung der Cookies hingewiesen. Beide Unternehmen haben zudem die besonders umstrittene Praxis des Setzens von Cookies ohne vorhergehende Einwilligung abgeschafft. Doch diese Nachbesserungen reichen der CNIL noch nicht aus.

Weiterhin zu wenig Aufklärung für eine wirksame Einwilligung

Nach wie vor genügten die in den Cookie-Bannern enthaltenen Informationen nicht, die Nutzer im notwendigen Maße aufzuklären und somit die notwendige informierte Einwilligung zu ermöglichen. Die beiden Unternehmen haben drei Monate Zeit, weitere Verbesserungen umzusetzen, mit denen die Auflagen der CNIL erfüllt werden.

Erfolgt dies nicht, drohen weitere Strafzahlungen in Höhe von 100.000 Euro pro Tag.

CNIL hat One-Stop-Shop umgangen, da Irland und Luxemburg zögern 

Laut der europäischen Datenschutzgrundverordnung gilt das One-Stop-Shop-Prinzip, nach dem es für ein Unternehmen in Europa immer nur diejenige Datenschutzbehörde des Staates zuständig ist, in dem dieses Unternehmen seinen europäischen Hauptsitz hat. Im Falle von Google wäre dies etwa Irland, wobei die dortige Datenschutzbehörde sich bislang jedoch überwiegend als wenig aktiv gezeigt hat, und daher von Datenschützern aus anderen EU-Staaten immer wieder kritisiert wurde. Für Amazon wäre demnach Luxemburg zuständig.

Frankreich berief sich nicht auf die DSGVO, sondern den French Data Protection Act

Um nicht am One-Stop-Shop-Prinzip zu scheitern, nutzte die CNIL bei dem aktuellen Verfahren gegen Google und Amazon daher eine abweichende Rechtsgrundlage und berief sich nicht auf die DSGVO, sondern auf die französische Umsetzung der europäischen E-Privacy-Richtlinie in Form des French Data Protection Act. Konkret bezogen sich die Vorwürfe auf einen Verstoß gegen Artikel 82 des FDPA.

Österreichische Post handelte unzulässig mit Daten, profitierte aber von einem Formfehler im Strafbefehl

Deutlich mehr Glück als Amazon und Google in Frankreich hatte jetzt dagegen die Österreichische Post. Das ehemalige Staatsunternehmen war von der dortigen Datenschutzbehörde ebenfalls zu einer schmerzhaften Strafe in Höhe von 18 Millionen Euro verdonnert worden, zu der sich noch weitere 1,8 Millionen Euro an Verfahrenskosten addiert hätten.  Dass die Strafe nicht gezahlt werden muss, liegt ausschließlich an einem Formfehler wie das österreichische Bundesverwaltungsgericht im November entschied.

  • Beanstandet wurde, dass in dem Bußgeldbescheid keine natürlichen Personen als die letztlich Verantwortlichen für den Datenschutzverstoß genannt worden waren.
  • Nur wenn die verantwortlichen Personen konkret bestimmt würden, sei der Strafbescheid gültig, führte das Gericht in der Begründung aus.

In dem Verfahren ging es um den seit Jahren ausgeübten Datenhandel der Post. Die hatte bis Ende 2019 unter anderem sogar Auskunft über die vermeintliche parteipolitische Affinität von Postkunden gegeben. Mehr als 2 Millionen Österreicher waren von dieser Praxis betroffen, ohne dass sie dieser Dateneitergabe zuvor zugestimmt hatten.

Weitere News zum Thema:

DSGVO-Geldbuße gegen Telecom-Tochter

Hohe DSGVO-Strafe für die AOK wegen werblicher Verwendung von Gewinnspieldaten

Datenpanne bei einer Autovermietung

Hintergrund: 5 Kriterien für die Höhe der DSGVO-Bußgelder

Die Unternehmensbußgelder werden nach dem neuen Konzept der Datenschutzbehörden anhand mehrerer Kriterien in einem fünfstufigen Prozess ermittelt:

  1. Zunächst wird das Unternehmen einer Größenklasse zugeordnet, wobei es vier verschiedene dieser Klassen (Kleinstunternehmen, kleine und mittlere Unternehmen sowie Großunternehmen) gibt.
  2. Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt.
  3. Anschließend wird ein wirtschaftlicher Grundwert ermittelt, der einer Art Tagessatz entspricht.
  4. Dieser Grundwert wird im vierten Schritt mit einem Faktor multipliziert, der die Schwere des Tatbestands wiederspiegelt. Die Faktoren reichen von 1-2 für leichte, formelle Verstöße (nach Art. 83 Abs. 4 DSGVO) bis zu 12 oder höher bei sehr schweren, materiellen Verstößen (nach Art. 83 Abs. 5, 6 DSGVO).
  5. Abschließend wird der so ermittelte Wert anhand weiterer täterbezogener oder sonst noch nicht berücksichtigter Umstände angepasst. Hiermit soll etwa verhindert werden, dass ein Unternehmen durch ein hohes Bußgeld zahlungsunfähig wird.

Weitere  Details zu den Berechnungsvorgaben finden Sie im Konzept der Datenschutzbehörden.

Schlagworte zum Thema:  Datenschutz, Klage, Datenschutz-Grundverordnung