EUR 30.000 Strafe wegen nicht richtiger Cookie-Implementierung
Beitrag verfasst von Dr. Rainer Knyrim am 03.11.2019 – KTR-Newsletter Nov 2019
Bereits im letzten Newsletter haben wir über die Gefahren nicht richtiger Cookie-Implementierung berichtet. Dass das diesbezügliche Risiko immer größer wird, zeigt nun die erste große Geldstrafe einer Aufsichtsbehörde gegen ein Unternehmen im Zusammenhang mit der Informationsverpflichtung beim Einsatz von Cookies auf der eigenen Webseite.
Eine spanisches Unternehmen betrieb eine Webseite und setzte auf dieser Cookies diverser Drittanbieter ein, etwa von Google Analytics, Google Doubleclick und Facebook, überdies Pixel und Beacons. Mit Aufrufen der Webseite wurde der Besucher mittels üblichem Cookie-Banner wie folgt informiert:
„Wir verwenden Cookies, um Ihre Präferenzen zu speichern, Nutzungsstatistiken zu erstellen und Werbeangebote basierend auf Ihren Browsing-Gewohnheiten an Sie zu senden. Wenn Sie weitersurfen, nehmen wir an, dass Sie deren Verwendung akzeptieren. Weitere Informationen diesbezüglich erhalten Sie in unseren Cookie-Bestimmungen.“
Daneben befand sich eine Schaltfläche mit dem Text „Akzeptieren und weitersurfen“. Es wurde auch auf die eigenen Cookie-Bestimmungen verwiesen.
Dies hat die spanische Aufsichtsbehörde als unzureichend bemängelt, da die Webseitenbesucher keine Möglichkeit hatten, auf das Setzen oder Auslesen der Cookies einzuwirken. Die Behörde erließ gegen das Unternehmen in weiterer Folge einen Strafbescheid in Höhe von 30.000 Euro.
Die spanische Aufsichtsbehörde hielt den bloßen Verweis auf Browsereinstellungen oder „do-not-track“ Blocking-Tools zur Verhinderung des Setzens oder Auslesens von Cookies als nicht ausreichend, um eine entsprechende Verarbeitung durch den Webseitenbetreiber zu rechtfertigen. Dieses Vorgehen stelle zwar eine komplementäre, jedoch keinesfalls hinreichende Information des Webseitenbesuchers dar.
Die Behörde hielt weiters fest, dass Verantwortliche ein Managementsystem oder eine andere Konfigurationsmöglichkeit zur Verwaltung der von ihnen gesetzten Cookies implementieren müssen, welches dem Webseitenbesucher das granulare und generelle Auswählen oder Abwählen beziehungsweise Löschen der Cookies ermöglicht.
Erneut daher von uns der dringende Rat, sich mit der Cookie–Implementierung auf der Webseite auseinanderzusetzen und dafür zu sorgen, dass Cookies erst nach einer aktiven Handlung implementiert werden und es eine Ein/Ausschaltmöglichkeit für Werbe- und Trackingcookies gibt.