Französische Datenschutzaufsicht: Millionenbußgelder gegen Amazon und Google wegen Marketing-Cookies
Erneut hat die Commission Nationale de l’Informatique et des Libertés (CNIL), die französische Datenschutzaufsichtsbehörde, Bußgelder wegen Datenschutzverstößen in Millionenhöhe verhängt. Im Visier der Datenschützer standen dabei Google und Amazon, auf die nach dem Beschluss der Behörde vom 7. Dezember jeweils Bußgelder in Höhe von 100 bzw. 35 Millionen Euro zukommen sollen.
Auslöser der beiden Verfahren war der Einsatz von (Werbe-)Cookies ohne Einwilligung des Nutzers. Spätestens seit dem Urteil in der Rechtssache „Planet 49“ ist klar, dass es für Marketing-Cookies der Einwilligung bedarf. Zudem sollen Google und Amazon nicht hinreichend über die verwendeten Cookies informiert haben, insbesondere seien die Cookie-Hinweise zu pauschal gehalten. Darüber hinaus sei im Falle von Google ein Werbe-Cookie auch nach Abwahl noch auf Geräten des Nutzers gespeichert worden. Die Höhe der Bußgelder begründete die CNIL im Fall von Google mit den enormen Zahlen der potenziell Betroffenen – allein in Frankreich rechnete man mit etwa 50 Millionen Google-Nutzern. Bei Amazon rechtfertige sich die Höhe durch seine enorme Bedeutung für den französischen Onlinehandel. Amazon habe durch die verwendeten Cookies eine erhebliche Steigerung der Sichtbarkeit seiner Produkte auf anderen Websites erreicht.
Interessant an diesen Bußgeldern ist vor allem, dass die Entscheidung nicht auf einem Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) beruht. In diesem Fall wäre die irische Datenschutzaufsicht als federführende Behörde primär zuständig gewesen. Vielmehr hat die CNIL einen Verstoß gegen die nationale Umsetzung der ePrivacy-Verordnung sanktioniert, deren Cookie-Vorschriften in Frankreich durch Art. 82 des französischen Datenschutzgesetzes umgesetzt wurden.
Die Cookie-Gesetzgebung befindet sich derzeit im Reformprozess. Die europäische ePrivacy-Verordnung lässt jedoch weiter auf sich warten: Nachdem die Verhandlungen im Rat (erneut) scheiterten, wird der nächste Versuch einer Einigung nach dem 1. Januar 2021 unter neuer, portugiesischer Ratspräsidentschaft erwartet. Da auf Abstimmung im Rat und anschließendem Trilog auch ein Übergangszeitraum von mindestens einem Jahr folgen soll, ist mit Geltung der ePrivacy-Verordnung vor dem Jahr 2023 nicht zu rechnen.