Cookies: Die spanische Datenschutzbehörde verhängt erstmals Sanktionen

PrintMailRate-it
Nun ist es passiert. Die spanische Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) hat der Verletzung der Datenschutzbestimmungen im Zusammenhang mit Cookies den Kampf erklärt. Und wieder einmal sind es die großen Unternehmen, die nicht davor zurückschreckten, ihre Möglichkeit zur Datensammlung zu missbrauchen, und damit den Gesetzgeber zum Handeln zwangen. Kleine und mittlere Unternehmen, die über die Nutzung dieser Technologie bisher noch nicht nachgedacht hatten, sind es, die künftig genauso belastet werden wie die großen. Denn auch sie müssen nun herausfinden, ob ihre Webseite Cookies verwendet, sowie mit Hilfe eines Anwalts eine Cookie-Politik entwerfen, um sicher zu gehen, dass die AEPD sie nicht mit Bußgeldern belegt. Denn genau das tut die AEPD nun: sie verhängt Sanktionen. In den ersten beiden Fällen handelt es sich zwar nicht um übertrieben hohe Bußgelder (500 bzw. 3.000 Euro), aber der Gesetzgeber hat eine Höchststrafe von 150.000 Euro für schwere Missbrauchsfälle festgelegt, was dem Thema zusätzlich Gewicht verleiht. 
 
Darüber hinaus nutzt die AEPD im Zuge dieser ersten Sanktion die Gelegenheit, um uns, die wir noch nicht an diese Terminologie und die neue Form der Einmischung in unsere Privatsphäre gewöhnt sind, genau zu erläutern, was ein Cookie ist, welche Arten es gibt und wie diese auszulegen sind. Ihr Beschluss beinhaltet eine Art Leitfaden für Cookies, der den bereits im vergangenen Jahr veröffentlichten ergänzt. So weist die Agentur nachdrücklich darauf hin, dass Cookies Textdateien sind, die im Computer eines Nutzers installiert werden, um bestimmte Daten abzuspeichern, die dann später von demjenigen, der sie eingerichtet hat, genutzt werden, um ihm z. B. personalisierte Werbung zuzuschicken. 
 
Derzeit wird zwischen verschiedenen Cookie-Kategorien unterschieden, nämlich:
  1. eigenen Cookies oder Cookies von Dritten, je nachdem, wer Editor ist und die gesammelten Daten schließlich nutzt;
  2. sogenannten „Sitzungs-Cookies” oder dauerhafte Cookies, je nachdem, ob die gesammelten Informationen nach Verlassen einer Webseite gelöscht oder auf unbestimmte Zeit gespeichert werden;
  3. technischen Cookies, die den Zugang zu bestimmten Dienstleistungen erlauben;
  4. personalisierten Cookies, die danach definiert werden, wie sie die Vorlieben des Nutzers ab dem zweiten Zugriff auf eine Webseite abspeichern;
  5. Analyse-Cookies, die erlauben, das Verhalten des Nutzers zu verfolgen und zu analysieren;
  6. Cookies zu Werbezwecken, die das Management von Anzeigenplätzen oder Werbeflächen ermöglichen sowie
  7. Cookies für die verhaltensbedingte Online-Werbung, die gestatten, das Verhalten der Nutzer mittels der andauernden Beobachtung ihrer Surfgewohnheiten zu speichern. 
 
Das wirft die Frage auf, ob man nun in Spanien Cookies verwenden darf oder nicht. Und, falls ja: welche und unter welchen Bedingungen? Grundsätzlich können Cookies verwendet werden, und zwar alle. Dafür muss der Dienstleister allerdings den Nutzer im Vorfeld in deutlicher und vollständiger Form über deren Herkunft, Zweckbestimmung, Nutzung und Löschungsform unterrichten. Und der Nutzer muss sein ausdrückliches Einverständnis mit deren Nutzung erklärt haben, ausgenommen in jenen Fällen, in denen die Cookies der Datenübertragung über das Kommunikationsnetz oder der Erbringung einer Dienstleistung dienen, die der Nutzer ausdrücklich beantragt hat. 
 
Hier beginnt das Durcheinander. Die AEPD vertritt die Auffassung, dass die von den beiden Unternehmen, über die das Bußgeld verhängt wurde, angebotene Information nicht ausreichend war, weil: 
  1. sie auf keinerlei Weise Auskunft über die verwendete Cookie-Art erteilt;
  2. sie nicht klärt, ob es sich um eigene Cookies oder die von Dritten handelt, was im Zusammenhang mit Haftungsfragen wichtig ist;
  3. sie nicht erklärt, wie man die Einverständniserklärung widerrufen oder die Cookies deaktivieren kann;
  4. der Zugang zu der entsprechenden Information schwierig und nicht eindeutig sichtbar ist, da sie an verschiedenen Stellen der Webseite angeboten wird, und
  5. weil es keine Möglichkeit gibt herauszufinden, was die Zweckbestimmung der gesammelten Daten ist, weshalb, darüber hinaus, Datenschutzbestimmungen verletzt werden.
     
In der jeweiligen Cookie-Politik beider Unternehmen wird nach Ansicht der Agentur dem Nutzer nicht ausreichend konkret und deutlich die Möglichkeit eingeräumt, sein „Einverständnis nach gebührender Aufklärung” zu erteilen. In beiden Fällen wurde zwar kein hohes Bußgeld verhängt, da die Verstöße von der Agentur als leicht eingestuft wurden, weil sie weder eine Absicht noch einen wirtschaftlichen Nutzen feststellen konnte. Dennoch sollte jedes Unternehmen dies zum Anlass nehmen, die eigene Cookie-Politik zu überprüfen.
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu