Spanien: Bußgeld über 30.000 Euro wegen Cookie-Banner

News

Die spanische Datenschutzaufsichtsbehörde hat gegenüber der Billigfluggesellschaft Vueling Airlines SA (Vueling) ein Bußgeld in Höhe von 30.000 Euro verhängt, wegen eines Cookie-Banners, das gegen spanisches Datenschutzrecht verstößt.

Billige Flüge im Austausch gegen Daten

Nutzer der Webseite vueling.com sehen beim Ansurfen der Seite folgenden Cookie-Banner:

Surfen Besucher der Webseite die Cookie-Richtlinie an, werden sie darüber informiert, was Cookies sind und welche Cookies auf dieser Webseite zum Einsatz kommen. Nach der Cookie-Richtlinie verwendet Vueling Cookies wie folgt:

  • selbst oder durch Dritte mittels Beacons, Pixel-Tags und lokaler Speicherung
  • zur Auswertung und statistischen Berechnung mittels anonymer Daten

mit dem Hinweis: „Diese Informationen werden nicht für andere Zwecke verwendet“. Es können auch Drittanbieter-Cookies eingesetzt werden.

Ein Managementsystem oder ein Cookie-Konfigurationspanel bietet Vueling auf der Webseite nicht an. Derartige Systeme ermöglichen dem Nutzer die Auswahl, ob die Seite Cookies auf dem Endgerät speichern darf und wenn ja, welche (essentiell/erforderlich, Leistung-/Performance, Funktion, Werbung/Targeting). Statt eines solchen Tools verweist das Unternehmen auf seiner Webseite darauf, dass Nutzer ihren Browser selbständig durch Installation entsprechender Anti-Cookie-Tools so konfigurieren könnten, dass entweder standardmäßig alle Cookies akzeptiert oder aber abgelehnt werden. Es sei außerdem möglich, jederzeit die Einwilligung zur Verwendung von Cookies durch Vueling zu widerrufen, indem der Browser dementsprechend konfiguriert werde.

Verstoß gegen nationales Datenschutzrecht

Die spanische Datenschutzaufsichtsbehörde sah darin einen Verstoß gegen das nationale „Spanish Law on Information Society Services and Electronic Commerce“ (E-Commerce-Gesetz).

§ 22 Absatz 2 dieses Gesetzes besagt:

„When service providers employ devices for the storage and recovery of data from terminal equipment, they shall inform recipients of the use and finality of such devices in a clear and comprehensive manner, offering recipients the opportunity to refuse, by a simple means and free of charge, to allow their data to be processed. This shall not prevent any storage of or access to data for the purpose of carrying out or technically facilitating the transmission of a communication over an electronic communications network, or as strictly necessary in order to provide an information society service explicitly requested by the recipient. (…)“

Frei übersetzt legt diese Vorschrift dem Webseitenbetreiber in Spanien also die Pflicht auf, Nutzer der Webseite über die Speicherung von Daten zu informieren und ihnen die Möglichkeit bereitzustellen, auf einfache Art und Weise kostenlos die weitere Verarbeitung ihrer Daten zu untersagen.

Die oben dargestellte Präsentation der Webseite genügte diesen Anforderungen nach Ansicht der spanischen Aufsichtsbehörde nicht. Weil Vueling auf ihrer Webseite keine Möglichkeit der Cookie-Verwaltung im Sinne des § 22 Absatz 2 E-Commerce-Gesetz angeboten hat, wurde ein Bußgeld in Höhe von 30.000 Euro gegen sie verhängt (Dokument auf spanisch). Nicht bekannt ist, ob das Unternehmen gegen den Bescheid vorgehen wird.

Die Entscheidung im Lichte von DSGVO und EuGH zu Planet49

Die Entscheidung der Aufsichtsbehörde bedarf der Einsortierung in die gegenwärtige Diskussion um Cookie-Banner vor dem Hintergrund des EuGH-Urteils vom 01.10.2019 in der Rechtssache C‑673/17 (sog. „Planet49-Entscheidung“). Wie bereits ausführlich berichtet und in unserem Podcast eingehend besprochen, hat der EuGH darin Voraussetzungen für die Wirksamkeit einer Einwilligung in das Setzen von technisch nicht notwendigen Cookies benannt. Im Ergebnis werden Webseitenbetreiber danach zukünftig nicht umhinkommen, sich insoweit um die Wirksamkeit ihrer Einwilligungen verstärkt Gedanken machen zu müssen.

Hier kommen die, der Entscheidung gegen Vueling zugrundeliegenden Konfigurationspanele (Consent-Management-Tools) ins Spiel. Denn zwar erging das Bußgeld vorliegend auf Grundlage nationaler Datenschutzgesetze und damit gerade nicht unter Bezugnahme auf die Entscheidung des EuGH oder DSGVO. Es wurde jedoch im Ergebnis ein Verhalten sanktioniert, welches auch der EuGH in seiner Entscheidung vom 01.10.2019 zum Gegenstand hatte. Auch wenn sich im deutschen Recht keine Entsprechung zu § 22 Absatz 2 des spanischen E-Commerce-Gesetzes findet – § 13 TMG enthält gerade keine Pflicht des Anbieters, ein Cookie-Management-System vorzuhalten – verdient diese Entscheidung daher Beachtung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

DSGVO Beratung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.