Französische Aufsichtsbehörde auf Bußgeldtournee

Image of Carlo Cilento

Veröffentlicht am 14. Feb. 2023 und bearbeitet am 17. Aug. 2023 von Carlo Cilento

Es war ein heißer Monat für den Datenschutz in Frankreich. Die französische Datenschutzbehörde (CNIL) verhängte Geldstrafen gegen drei große Technologieunternehmen (Apple, TikTok und Microsoft). Alle Entscheidungen sind interessant, und eine ist mit einer hohen Geldstrafe verbunden.

CNIL auf Bußgeldjagd

  1. Die ePrivacy-Richtlinie
  2. Apple muss 8 Millionen Euro Strafe für illegales Tracking zahlen
  3. TikTok wurde wegen eines Cookie-Schlamassels zu einer Geldstrafe von 5 Millionen Euro verurteilt
  4. Microsoft muss 60 Millionen Euro Strafe für Bing-Cookies zahlen
  5. Einige Überlegungen
  6. Abschließende Überlegungen
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Die ePrivacy-Richtlinie

Alle Fälle drehen sich um Artikel 5 der Datenschutzrichtlinie für elektronische Kommunikation der EU. Wir schreiben in unseren Blogs viel über die GDPR, aber auch die ePrivacy-Richtlinie ist sehr wichtig, wenn es um den Datenschutz geht.

Die GDPR ist als "Cookie-Gesetz" bekannt, aber die Richtlinie ist das eigentliche Cookie-Gesetz. Artikel 5 verlangt die Zustimmung zum Lesen und Schreiben von Informationen, die auf dem Endgerät des Nutzers gespeichert sind. Die Vorschrift bezieht sich auf Cookies, gilt aber auch für andere Technologien wie Werbe-IDs (wie im Fall von Apple).

Die Richtlinie enthält zwei Ausnahmen. Für die notwendige Verarbeitung von Informationen ist keine Zustimmung erforderlich:

  • Um die Kommunikation zu ermöglichen (z. B. müssen Telefongesellschaften Telefonnummern verarbeiten)
  • Zur Erbringung einer Dienstleistung, die der Nutzer angefordert hat. Diese Ausnahmeregelung gilt auch für so genannte wesentliche Cookies, die von Websites verwendet werden, z. B. Cookies, die Benutzereinstellungen speichern oder Artikel in einem Einkaufswagen verfolgen.

Cookies, die für Marketing und Webanalyse benötigt werden, sind keine wesentlichen Cookies und können nur nach Einholung der Zustimmung verarbeitet werden. Aus diesem Grund sehen Sie beim Surfen im Internet so viele lästige Cookie-Banner.

Insgesamt handelt es sich um eine strengere Regelung als die DSGVO, da die DSGVO die Verarbeitung personenbezogener Daten auf anderen Grundlagen als der Einwilligung zulässt, z. B. auf der Grundlage eines berechtigten Interesses oder zur Erfüllung eines Vertrags (wir haben hier mehr über die Rechtsgrundlagen geschrieben).

Ein weiterer wichtiger Unterschied ist, dass die Richtlinie nicht direkt anwendbar ist. Die Datenschutzbehörden der einzelnen Mitgliedstaaten setzen die Richtlinie also nicht direkt durch, sondern die nationalen Gesetze zur Umsetzung der Richtlinie (im Falle der CNIL das französische Datenschutzgesetz).

Apple muss 8 Millionen Euro Strafe für illegales Tracking zahlen

Im ersten Fall geht es um Werbe-IDs. iOS 14.6 verwendet Werbe-IDs, um Nutzeraktivitäten zu verfolgen und Werbung im App Store zu personalisieren. Das Betriebssystem fragt den Nutzer nicht nach seiner Zustimmung, bietet aber in den Datenschutzeinstellungen eine Opt-out-Option. Die CNIL hielt dies für einen Verstoß gegen die Datenschutzrichtlinie für elektronische Kommunikation und verhängte gegen Apple eine Geldstrafe in Höhe von 8 Millionen Euro. Nach Angaben von Politico will Apple die Entscheidung anfechten.

Dieses Urteil ist nicht neu. Die Datenschutz-Grundverordnung schreibt vor, dass die Zustimmung durch eine eindeutige Handlung erteilt werden muss, und der EU-Gerichtshof hat bereits klargestellt, dass Opt-out-Systeme niemals eine gültige Zustimmung einholen können - die Regeln sind also so klar wie nur möglich. Und dennoch verwenden Unternehmen immer noch Opt-out-Systeme (sogar multinationale Unternehmen mit gut ausgestatteten Rechtsabteilungen).

Zwei weitere Dinge sind zu beachten. Erstens drehte sich der Fall speziell um iOS 14.6, und die Datenschutzbehörde hat das Tracking in anderen Versionen nicht untersucht. Zweitens hat Apple seine Datenschutzeinstellungen ab iOS 15 geändert und ein Opt-in-System für die spezielle Datenschutzoption, um die es in diesem Fall ging, eingeführt. Dies bedeutet nicht unbedingt, dass Apple die Nutzer nicht mehr ohne deren Zustimmung verfolgt - tatsächlich ist das Unternehmen in Kalifornien mit einer Datenschutzklage wegen unerlaubter Verfolgung konfrontiert.

french-watchdog.png

Im zweiten Fall untersuchte die CNIL die Cookies auf der Website von TikTok. Die Ergebnisse waren nicht sehr erfreulich.

Erstens verwendete die Website drei Cookies, unabhängig davon, ob der Nutzer sie akzeptieren oder ablehnen wollte. Zwei davon waren wichtige Cookies im Sinne der Datenschutzrichtlinie für elektronische Kommunikation, aber eines war ein Marketing-Cookie. Das kann man nicht machen.

Zweitens bot das Cookie-Banner dem Nutzer die Wahl, Cookies in der ersten Ebene zu akzeptieren oder anzupassen, wodurch der Nutzer gezwungen war, die zweite Ebene aufzurufen und zusätzliche Klicks zu tätigen, um Cookies abzulehnen. Dies ist ein Paradebeispiel für irreführendes Design, das wir bereits in unserem Blog erörtert haben. Außerdem enthielt das Banner keine ausreichenden Informationen für den Nutzer. Aus diesem Grund befand die CNIL, dass der Cookie-Banner nicht konform war und dass die Website Cookies ohne die Zustimmung des Nutzers verarbeitete.

Nebenbei bemerkt hat TikTok eine interessante Verteidigung vorgebracht: "Die Ablehnung von Cookies ist auf unserer Website wirklich einfach, denn der Nutzer kann den Cookie-Banner einfach ignorieren und weiter surfen." Die Annahme aller Cookies erfordert also nur einen Klick, die Ablehnung null - so einfach ist das! Unnötig zu sagen, dass die CNIL das nicht geglaubt hat.

Microsoft muss 60 Millionen Euro Strafe für Bing-Cookies zahlen

Im dritten Fall geht es um Cookies auf der Domäne Bing.com, die Microsoft eine Geldstrafe in Höhe von 60 Millionen Euro einbrachten.

Die Behörde stellte zunächst fest, dass das auf der Website angezeigte Cookie-Banner nicht mit der Datenschutz-Grundverordnung und den CNIL-Richtlinien übereinstimmte. Ähnlich wie das Banner von TikTok.com enthielt auch das von Bing keine Ablehnungsoption auf der ersten Ebene und zwang den Nutzer zu weiteren unnötigen Klicks, um Cookies abzulehnen.

Die CNIL stellte außerdem fest, dass Bing.com unabhängig von den Nutzerpräferenzen ein Cookie zur Bekämpfung von Werbebetrug platzierte. Microsoft hielt dieses Cookie für wesentlich, aber die CNIL entschied auf der Grundlage ihrer eigenen Richtlinien anders. Die Behörde stellte auch fest, dass ein Werbe-Cookie ohne Zustimmung platziert wurde, was Microsoft als Folge eines menschlichen Fehlers darstellte.

Einige Überlegungen

Der Zeitpunkt für die Entscheidungen gegen TikTok und Microsoft könnte nicht besser gewählt sein. Eine Arbeitsgruppe des Europäischen Datenschutzausschusses befasste sich mit Cookie-Bannern und veröffentlichte ihren Bericht kurz nach der Veröffentlichung der Entscheidungen der CNIL. Die Notwendigkeit einer Ablehnungsschaltfläche in der ersten Ebene von Bannern ist übrigens einer der Hauptpunkte des Berichts.

Wir haben dieses Thema in unserem Blog ausführlich behandelt, weil wir glauben, dass der Bericht ein guter Indikator dafür ist, wie die Datenschutzbehörden von nun an mit Cookie-Fällen umgehen werden. Es bleibt zu hoffen, dass die von der CNIL gegen TikTok und Microsoft verhängten Geldstrafen für ihre irreführenden Banner anderen Datenschutzbehörden als Beispiel dienen werden.

Ein weiterer wichtiger Aspekt bei allen drei Entscheidungen ist die Zuständigkeit. Die CNIL sagt in dieser Hinsicht nichts Neues, aber das Thema ist es dennoch wert, untersucht zu werden.

Apple, TikTok und Microsoft haben alle ihre europäischen Niederlassungen in der Republik Irland, und alle drei machten geltend, dass der DPC (die irische Datenschutzbehörde) für die Entscheidung ihrer Fälle gemäß der Datenschutz-Grundverordnung zuständig sei. In den Fällen ging es jedoch um Verstöße gegen die ePrivacy-Richtlinie, und die ePrivacy-Richtlinie folgt anderen Zuständigkeitsregeln als die DSGVO. Deshalb hielt sich die CNIL für zuständig, Geldbußen zu verhängen.

Die Zuständigkeit mag wie eine Formsache aussehen, aber aus praktischer Sicht ist sie von großer Bedeutung. Einige Datenschutzbehörden sind strenger als andere, und die CNIL ist viel strenger als die Datenschutzbehörde. Wären die Fälle in Irland entschieden worden, wäre das Ergebnis möglicherweise anders und günstiger für die Unternehmen ausgefallen.

Abschließende Überlegungen

Es ist noch zu früh, um das zu sagen, aber es könnte sein, dass wir endlich ein hartes Durchgreifen gegen betrügerische Cookie-Banner erleben. Bei Simple Analytics waren wir noch nie ein Fan der Verwendung von Cookies, geschweige denn von diesen lästigen und oft irreführenden Cookie-Bannern. Der Grund dafür ist, dass Website-Besitzer die nötigen Einblicke erhalten können, um die Leistung ihrer Website zu verbessern, ohne dass Cookies benötigt werden.

Wir sind eine cookielose Google Analytics-Alternative, die 100% GDPR-konform ist und keinen Cookiebanner benötigt. Sind Sie neugierig, wie das aussieht? Probieren Sie uns einfach aus!

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten