Die Spanische Aufsichtsbehörde hat Vueling wegen der Verwendung von Cookies eine DSGVO-Strafe von EUR 30.000,-- auferlegt.
Der Sachverhalt
Vueling.com nutzt Cookies auf der Website, und informiert die User auch der Cookie Policy über deren Verwendung, und zwar über die Cookies selbst, die Art der Datenerhebung über beacons, Pixel und ähnliches.
Es wird auch darüber informiert, dass Dritte auf diese Cookies zugreifen können.
Die User der Website haben jedoch keine Möglichkeit, über ein Cookie Management System oder eine Cookie Leiste Einstellungen dazu vorzunehmen, dass zB tracking cookies unterbunden werden, und nur essentielle Cookies zugelassen werden.
Es besteht nur die Möglichkeit, die Cookies gennerell zuzulasssen bzw. auf der Seite „weiterzusurfen“, oder nicht und es wird auf die „Cookie-Bestimmungen“ verwiesen.
Nach Ansicht der Spanischen Aufsichtsbehörde fehlt die Möglichkeit, die Cookies granular zu löschen bzw. zuzulassen.
Nach Ansicht der Spanischen Aufsichtsbehörde fehlt die Möglichkeit, die Cookies granular zu löschen bzw. zuzulassen.
In den Cookie-Bestimmungen wird ausschließlich auf die Browser-Einstellungsmöglichkeiten verwiesen, und Vueling geht auch von einer Einwilligung (siehe unten „Einverständnis“) aus:
Sie können Ihren Browser so konfigurieren, dass er standardmäßig alle Cookies annimmt oder ablehnt, oder so, dass auf dem Bildschirm eine Benachrichtigung über den Empfang jedes Cookies eingeblendet wird, um über seine Speicherung auf Ihrer Festplatte jeweils direkt zu entscheiden. Konsultieren Sie die Hilfefunktion Ihres Browsers, um zu erfahren, wie Sie die aktuelle Konfiguration ändern können. Darüber hinaus können Sie Tools zur Blockierung von Nachverfolgungscookies wie „Do Not Track” verwenden. ...
Sie haben auch die Möglichkeit, jederzeit das Einverständnis zu widerrufen, das Sie zur Verwendung von Cookies durch Vueling gegeben haben, indem Sie in Ihrem Browser die nachfolgende beschriebene Konfigurationsänderung vornehmen“
Die Entscheidung
Diese Tatsachen stellen einen Verstoß gegen Abschnitt 22.2 Spanisches Gesetz über Dienste der Informationsgesellschaft und elektronischen Handel dar, wonach eine informierte Einwilligung für die Verwendung von Cookies notwendig ist.
Die Browsereinstellung stellt daher mE nach Ansicht der Spanischen Aufsichtsbehörde keine „Einwilligung“ iSd Art 22.2. des relevanten Spanischen Gesetzes dar.
Auch in Österreich wird in § 96 (3) TKG davon ausgegangen, dass eine Browsereinstellung auf einer Website eine Einwilligung bei essentiellen Cookies darstellen kann:
(§ 96 Abs 3 TKG)
Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche
personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden.
Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat.
Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen.
Das Auskunftsrecht nach dem Datenschutzgesetz und der DSGVO bleibt unberührt.
Schlussfolgerung:
1.
Es ist immer eine ausreichnde Information darüber notwendig, dass Cookies verwendet werden, welche Daten die Cookies erheben, und wofür
diese Datenerhebung erfolgt, dh für welchen Zweck der Verantwortliche (Website-Betreiber) die erhobenen Daten tatsächlich verwendet, und wie lange die
Daten gespeichert werden. Dies ergibt sich einersteits aus § 96 Abs 3 TKG, andererseits aber auch aus Art 13 DSGVO (Informationspflicht bei direkter Datenerhebung), wobei nach Art 13 DSGVO auch weitere Informationen zur Verfügung
zu stellen sind.
2.
Essentielle Cookies, die für die
„Datenübertragung“ oder das Funktionieren des Dienstes der Informationsgesellschaft unbedingt erforderlich sind, können mE weiterhin auf die Rechtsgrundlage des „berechtigten Interesses"
(Art 6 Abs 1 lit f DSGVO) gestützt werden. Eine „Einwilligung“ ist in diesem Zusammenhang mE sogar kontraproduktiv, da es instransparent ist,
eine Einwilligung zu fordern, wenn eine andere Rechtsgrundlage verwendet wird.
3.
Marketingcookies, und zwar unabhängig, ob
für eigene Zwecke erhoben, oder als third-party-cookies, oder als Cookies, die von Drittanbietern gesetzt und für den Website-Betreiber (und zB Google, Facebook) etc... dann Verwendung finden,
können nur auf die Rechtsgrundlage der „informierten, freiwilligen und jederzeit widerrufbaren sowie nachweisbaren“ Einwilligung gestützt werden.
4. Eine Einwilligung kann nicht durch eine Leiste: „Wenn Sie weitersurfen akzeptieren Sie Cookies“ (Spanische Aufsichtsbehörde) oder eine vorangeclickte Checkbox eingeholt werden (EuGH Planet49).
20.10.2019, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben