Gegenwärtig hat die spanische Datenschutzbehörde (AEPD) ein besonderes Interesse daran, die massive Verletzung von Datenschutzbestimmungen bei der Verwendung von Cookies auf Webseiten zu regularisieren. Genauer gesagt, indem man diejenigen Website-Eigentümer verfolgt, die ihren Betrieb nicht in angemessener Weise regulieren, und sie entsprechend sanktioniert.
In diesem Sinne wurde am 9. Juni 2020 ein Beschluss veröffentlicht, in dem eine Strafe von 30.000 Euro wegen Verstoßes gegen Artikel 22.2 des Gesetzes über die Dienste der Informationsgesellschaft (LSSI) verhängt wurde. Diese Art von Sanktionen beginnt sich in den Tätigkeiten der AEPD zu wiederholen.
In diesem Beschluss wird festgestellt, dass das sanktionierte Unternehmen die Informationen über die von ihm verwendeten Cookies nicht korrekt zur Verfügung stellt und weder die Zwecke der einzelnen Cookies noch die Drittpartei-Mitarbeiter, die von den durch die Cookies gesammelten Informationen Gebrauch machen könnten, eindeutig identifiziert.
Ebenso verwendet die Seite Cookies, die direkt installiert werden, ohne den Benutzer, der auf die Website zugreift, zu irgendeiner Aktion aufzufordern.
In diesem Fall wurden die Ermittlungen auf Antrag einer Person eingeleitet, woraufhin die AEPD die entsprechende Nachforschung einleitete.
Insbesondere wurde Folgendes festgestellt:
a) Beim Zugriff auf die Homepage der Website und ohne irgendeine Aktion durchgeführt zu haben, wurde festgestellt, dass bis zu 7 verschiedene Cookies automatisch im Browser gespeichert wurden.
b) Es gibt keinen Link oder Button im Cookie-Banner, der es ermöglicht, die Verwendung dieser Cookies abzulehnen oder zu einer zweiten Ebene für die Verwaltung und Konfiguration der Cookies umzuleiten.
c) Zu Informationszwecken gibt es auf der Homepage einen Link mit den notwendigen Informationen darüber, was Cookies sind, warum sie verwendet werden und wie man ihre Verwendung in Browsern und mobilen Betriebssystemen verwaltet. Es ist jedoch zu keinem Zeitpunkt eine Möglichkeit vorgesehen, ihre Verwendung vollständig oder granular abzulehnen.
All dies stellt in seiner Gesamtheit eine Verletzung von Artikel 22.2 des LSSI dar, wonach:
“Diensteanbieter können in den Endgeräten der Empfänger Datenspeicherungs- und -abrufgeräte verwenden, sofern die Empfänger ihre Einwilligung gegeben haben, nachdem sie klar und vollständig über die Verwendung dieser Geräte, insbesondere über die Zwecke der Datenverarbeitung, informiert wurden, […].
Soweit technisch möglich und wirksam, kann die Einwilligung des Empfängers zur Verarbeitung der Daten durch die Verwendung geeigneter anderer Anwendungsparameter des Browsers erteilt werden.
Dies steht einer Speicherung oder dem Zugang technischer Art zum alleinigen Zweck der Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz oder, soweit unbedingt erforderlich, zur Bereitstellung eines vom Empfänger ausdrücklich gewünschten Dienstes der Informationsgesellschaft nicht entgegen.“
Dieser Verstoß wird in Artikel 38.4 g) der LSSI als geringfügig eingestuft, der als solches betrachtet: “Verwendung von Datenspeicher- und -abrufsgeräten
wenn die Information nicht zur Verfügung gestellt wurde oder die Einwilligung des Empfängers der Dienstleistung nicht gemäß den in Artikel 22.2. geforderten Bedingungen eingeholt wurde”, und kann gemäß Artikel 39 des genannten LSSI mit einer Geldstrafe von bis zu 30.000 Euro belegt werden.
Es ist daher sehr ratsam, die sowohl von der AEPD selbst Ende 2019 als auch vom Europäischen Datenschutzausschuss im Mai dieses Jahrs veröffentlichten ausdrücklichen Empfehlungen zur Verwendung von Cookies im Detail zu prüfen und umzusetzen:
- https://www.aepd.es/sites/default/files/2019-12/guia-cookies_1.pdf
- https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf
Andreas Terán
Vilá Abogados
Für weitere Informationen wenden Sie sich bitte an
10. Juli 2020
