Einsatz von Cookies in Frankreich – Französische Datenschutzbehörde CNIL verhängt Strafen in Rekordhöhe gegen Google und Amazon
Einer der Vorsätze, die ein Webseitenbetreiber in Frankreich für das Jahr 2021 fassen sollte, ist die Anpassung seiner Website an die neuesten Leitlinien der französischen Datenschutzbehörde CNIL hinsichtlich des Einsatzes von Cookies.
Denn die französische Behörde hat Ende 2020 hart zugeschlagen: In einer Pressemitteilung vom 10. Dezember 2020 hat die CNIL mitgeteilt, eine Geldstrafe in Höhe von 100 Mio. Euro gegen Google (60 Mio. Euro gegen Google LLC und 40. Mio. Euro gegen Google Ireland Ltd.) und in Höhe von 35 Mio. Euro gegen Amazon wegen Nichteinhaltung der in Frankreich anwendbaren Regeln zum Einsatz von Cookies verhängt zu haben.
Diese Sanktionen wurden infolge der Anfang 2020 durchgeführten Online-Kontrollen auf den Seiten amazon.fr und google.fr verhängt. Es wurde festgestellt, dass Amazon und Google automatisch personalisierte Werbe-Cookies auf den Endgeräten der Nutzer platzierten, ohne vorab deren Einwilligung eingeholt zu haben. Zudem sah die CNIL die Informationen zu den Cookies, die den Internetnutzern zur Verfügung gestellt wurden, als unzureichend an.
Für die französische Datenschutzbehörde ist die Einhaltung der Regeln zum Einsatz von Cookies seit Jahr 2020 eine Priorität. Für das Jahr 2021 hat die CNIL verschärfte Kontrollen angekündigt.
Durch die Verhängung besonders hoher Geldstrafen gegen die GAFA-Mitglieder sendet die CNIL nun ein starkes Signal an alle digitalen Akteure.
Welche Lehren können daraus gezogen werden?
- Die CNIL kann auch gegen Gesellschaften, die ihren Sitz außerhalb Frankreichs haben, Geldstrafen verhängen;
- Die CNIL kontrolliert auch in Zeiten von Corona und Lockdown;
- Die französischen Leitlinien zum rechtssicheren Einsatz von Cookies sollten bis April 2021 unbedingt umgesetzt werden.
1. Geldstrafen der CNIL auch gegen deutsche Gesellschaften möglich
Die französische Datenschutzbehörde CNIL kann ausländische Gesellschaften kontrollieren und sanktionieren, sobald diese Gesellschaften Nutzer, die in Frankreich wohnhaft sind, ansprechen.
Grundlage hierfür ist Artikel 3 des französischen Datenschutzgesetzes („Loi informatique et Libertés“), der folgende Regelungen enthält:
„I. - Unbeschadet der in Artikel 3 der Verordnung (EU) 2016/679 vom 27. April 2016 vorgesehenen Kriterien gelten für Verarbeitungen, die in den Anwendungsbereich der Verordnung fallen, alle Bestimmungen dieses Gesetzes für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters auf französischem Hoheitsgebiet, unabhängig davon, ob die Verarbeitung in Frankreich erfolgt oder nicht.
II. - Nationale Vorschriften, die auf der Grundlage der Bestimmungen derselben Verordnung mit Verweis auf das nationale Recht erlassen werden, um die in dieser Verordnung vorgesehenen Rechte und Pflichten anzupassen oder zu ergänzen, gelten, wenn die betroffene Person in Frankreich ansässig ist, auch wenn der für die Verarbeitung Verantwortliche nicht in Frankreich niedergelassen ist.“
Im Fall von Amazon wurde die Strafe gegen die Gesellschaft luxemburgischen Rechts AMAZON EUROPE CORE verhängt, die für die europäischen Webseiten von Amazon zuständig ist. Gemäß der Datenschutzbehörde wurden die Cookies im Rahmen der Tätigkeiten der Gesellschaft Amazon France eingesetzt, bei der es sich um die französische Niederlassung der Gesellschaft AMAZON EUROPE CORE handelt.
Was den Fall Google angeht, so hat die CNIL ihre Zuständigkeit damit gerechtfertigt, dass der Einsatz von Cookies im Rahmen der Tätigkeiten der Gesellschaft Google France stattfand, welche wiederum die Niederlassung in Frankreich der Gesellschaften Google LLC und Google Ireland Limited ist.
2. Kontrollen auch während Corona und Lockdown
Die französische Datenschutzbehörde kann Online-Kontrollen von ihren Räumlichkeiten aus durchführen.
In diesem Fall unterzieht die CNIL die Homepage des Verantwortlichen einer Überprüfung, im Rahmen derer insbesondere die Sicherheit der Webseite, die Rechtmäßigkeit des Cookie-Banners, die Informationen, die dem Nutzer zur Verfügung gestellt werden, und natürlich die Cookies kontrolliert werden.
Der betroffene Seitenbetreiber wird erst nach erfolgter Prüfung informiert. Ihm wird das Kontrollprotokoll der CNIL übermittelt, zu dem er Stellung nehmen kann.
3. Einhaltung der französischen Leitlinien zu Cookies für deutsche Gesellschaften unbedingt notwendig
Da auch deutsche Gesellschaften durch die französische Datenschutzbehörde bestraft werden können, müssen die Leitlinien der CNIL zum rechtssicheren Einsatz von Cookies unbedingt beachtet werden, insbesondere dann, wenn sie eine Niederlassung in Frankreich haben.
Nachfolgend ein Überblick über die französischen Cookies-Regelungen (weiterführende Informationen finden Sie in unserem Artikel „Verwendung von Cookies im Online-Marketing in Frankreich“):
- Vor jedem Ablegen von Tracking- und Werbe-Cookies muss die Einwilligung des Nutzers eingeholt werden (sog. Cookie-Banner, 1. Stufe).
Der Verwendungszweck muss auf dem Banner selbst erkennbar und ausreichend genau formuliert sein. Eine zu vage Formulierung wird sanktioniert. Dem Nutzer muss zudem die Möglichkeit eingeräumt werden, die Verwendung von Cookies zu verweigern.
Im Fall Amazon war aus Sicht der CNIL der Cookie-Banner, welcher auf der Seite Amazon.fr erschien, zu allgemein formuliert[1], um den Nutzer hinreichend genau zu informieren. Zudem sah er nicht die Möglichkeit vor, die Cookies zu verweigern.
- Der Cookie-Banner muss zwingend durch eine Cookie- Charta vervollständigt werden („Cookie-Einstellungen anpassen“, 2. Stufe).
- Die Einwilligung des Nutzers muss ausdrücklich und eindeutig sein, das heißt durch positives Tun materialisiert werden (z.B. Klicken auf den Button „OK“ oder „Cookie-Einstellungen“). Sie muss zu jeder Zeit wieder zurückgenommen werden können.
Das bloße Weitersurfen stellt keine rechtmäßige Einwilligung dar.
Google und Amazon wurde vorgeworfen, dass Cookies auch dann abgelegt wurden, wenn der Nutzer nicht ausdrücklich und aktiv eingewilligt hatte, bzw. auf dem PC verblieben, auch wenn der Nutzer seine Einwilligung zurückgenommen hatte.
- Der Webseitenbetreiber muss das Vorliegen der Einwilligung des Nutzers beweisen können.
Anmerkung: Die Datenschutzgrundverordnung sieht eine Strafobergrenze von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist.
Hier finden Sie weitere Informationen zum Online-Handel in Frankreich:
Für weitere Informationen stehen wir Ihnen selbstverständlich gerne zur Verfügung.
[1] Der Banner war wie folgt formuliert: « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus » („Durch die Nutzung dieser Website erklären Sie sich damit einverstanden, dass wir Cookies verwenden, um unsere Dienste anzubieten und zu verbessern. Mehr dazu.“)
PDF öffnen Drucken