· 

Diese Weihnachtskekse schmecken der franzoesischen Datenschutzbehoerde nicht.



Die französische Datenschutzbehörde (CNIL) hat eine Millionenstrafe gegen Google LLC (EUR 60 Mio) und Google Ireland Ltd (EUR 40 Mio) und gegen Amazon Europe (EUR 35 Mio).


Cookies führen zur Strafe gegen Amazon

 

 

Im Wesentlichen geht es um Cookies auf Websiten, die nach Ansicht der CNIL nicht gesetzeskonform gesetzt werden bzw. zu Verarbeitungen von personenbezogenen Daten ohne ausreichende Rechtsgrundlage (Einwilligung) sowie unzureichender Information der Internetnutzer führen.

 

Amazon legte über die Website amazon.fr vor jeder Einwilligung des Internetnutzers bereits eine große Anzahl von Cookies auf dem Endgerät des Websitebesuchers ab. Es handelte sich dabei auch um nicht technisch notwendige, dh „essentielle“ Cookies.

 

Weiters informierte Amazon die Internetuser unzureichend über die Art und Weise der Verarbeitungen, die mit den Cookies verbunden sind, insbes. weil einfach ein „Cookie-Banner“ verwendet wurde, der darauf hinwies, dass eine Nutzung der Website zur Einwilligung führt, und nur allgemeine Informationen über die Funktionsweise der Cookies und die damit in Zusammenhang stehenden Verarbeitungen und die Zwecke, für die Amazon die erhobenen Informationen nutzt gegeben wurden.

Das Overlay enthielt auch keine Informationen, dass die Internetnutzer die Möglichkeit und das Recht haben, die Setzung der Cookies zu verhindern und damit die Verarbeitung ihrer personenbezogenen Daten abzulehnen.

Besonders kritisch war die Verarbeitung in diesem Zusammenhang, wenn die Website amazon.fr über eine andere Website durch Anklicken einer Anzeige, die dort geschaltet worden war, aufgerufen wurde.

 

Amazon hat die Website offensichtlich (dies ergibt sich aus der Pressemitteilung der CNIL) ab September 2020 neu gestaltet und die Verarbeitung der Cookies bzw. die Information dazu auf „neue Beine“ gestellt, dennoch geht die CNIL von einer Gesetzeswidrigkeit aus, und eine Geldstrafe von EUR 35.000.000,-- verhängt.

 

Bemerkenswert ist in diesem Zusammenhang, ist die Begründung der Zuständigkeit der CNIL. Diese geht davon aus, dass der One-Stop-Shop-Mechanismus (siehe dazu Art 56 Abs 6 DSGVO) in diesem Zusammenhang nicht zur Anwendung gelangt, da Daten von Endgeräten von in Frankreich ansässigen Internetnutzern von der Verarbeitung betroffen sind, auf denen Cookies hinterlegt werden.

 

 

EUR 100.000.000,-- Strafe gegen Google

 

In einem weiteren Verfahren hat die CNIL gegen Google LLC eine Geldbuße von EUR 60.000.000,-- und gegen Google Ireland Ltd. eine Geldbuße wegen einer Gesetzesverletzung in Höhe von EUR 40.000.000,-- verhängt.

Auch diese Geldstrafe steht in Zusammenhang mit Cookies, die in der Suchmaschine auf der französischen Website google.fr ohne Einwilligung und mit unzureichender Information der Website-Nutzer gesetzt wurden.

Die „Online-Untersuchung“ der Website google.fr hat am 16. März 2020 stattgefunden und nur 9 Monate später verhängt die CNIL ein Strafe in Höhe von insgesamt EUR 100.000.000,-- gegen die beiden Google-Gesellschaften.

Die Cookies wurden ohne vorherige Einwilligung der Websitebesucher auf den Endgeräten abgelegt, obwohl es sich um Cookies für Werbezwecke gehandelt hat, die nur nach vorheriger Einwilligung, die vom Websitebesucher durch eine bestätigende Handlung nach entsprechend ausreichender Information über die Funktionsweise der Cookies gegeben werden kann, verwendet werden dürfen.

Die CNIL verweist dazu explizit auf Art 82 des französischen Datenschutzgesetzes.

 

Auch in diesem Verfahren verweist die CNIL darauf, dass die Verwendung von Cookies im Rahmen der Aktivitäten von Google Frankreich, das eine Niederlassung von Google Inc und Google Ireland Ltd. ist, verarbeitet werden, und daher die französische Datenschutzbehörde „örtlich“ zuständig ist, und verweist zur sachlichen Zuständigkeit auf die Verarbeitung von Daten auf Endgeräten von Nutzern, die in Frankreich leben.

 

CNIL geht davon aus, dass Google Inc (USA) und Google Ireland Ltd. (IRLAND) für die Verarbeitung als gemeinsame Verantwortliche anzusehen sind, und daher wird die Strafe gegen beide Gesellschaften ausgesprochen.

 

Die Pressemitteilung der CNIL in englischer Sprache ist hier verfügbar.

 

CNIL geht davon aus, dass Google Inc (USA) und Google Ireland Ltd. (IRLAND) für die Verarbeitung als gemeinsame Verantwortliche anzusehen sind, und daher wird die Strafe gegen beide Gesellschaften ausgesprochen.

 

 

Die Pressemitteilung der CNIL in englischer Sprache ist hier verfügbar.

 

 

10.12.2020, Autor

 

Michael Schweiger, zert DSBA


Download
Cookies Strafe CNIL Google Amazon.pdf
Adobe Acrobat Dokument 790.3 KB

Kommentar schreiben

Kommentare: 0