… und damit die Zuständigkeit für die Verhängung von Sanktionen für Verstöße gegen Cookie-Vorgaben außerhalb des One-Stop-Mechanismus der DSGVO – Rechtslage in Deutschland weiterhin unübersichtlich.
Nachdem der Conseil d’État (Staatsrat) bereits die Geldbuße von 100 Millionen Euro gegen Google bestätigt hatte, wurde nun auch die Klage von Amazon gegen das durch die französische Datenschutzaufsichtsbehörde CNIL verhängte Bußgeld in Höhe von 35 Millionen Euro abgewiesen. Worum ging es in diesem Entscheid? Was sagt der Conseil d’État dazu?
Die wesentlichen Aussagen der CNIL
Kurzer Rückblick: Am 28. Januar 2022 hatte der Conseil d’État eine Sanktionsentscheidung der CNIL gegen Google bestätigt. In dem vorangegangenen Verfahren hatte die CNIL drei Verstöße von Google gegen Artikel 82 des französischen Datenschutzgesetzes (Loi Informatique et Libertés, LIL) festgestellt: Das Ablegen von Werbecookies auf Endgeräten ohne vorherige Zustimmung des Nutzers, die fehlende Transparenz über diesen Vorgang und das nicht vollständige Gewähren eines Mechanismus zur Ablehnung von Cookies.
Im Falle von Amazon stellte die CNIL im Dezember 2020 zwei Verstöße gegen denselben Artikel fest. Erstens habe Amazon Werbecookies ohne vorherige Zustimmung auf den Endgeräten von Nutzern der Verkaufsseite „Amazon.fr“ hinterlegt. Die Arten der eingesetzten Cookies könnten nicht als „wesentlich“ für den Dienst eingeordnet werden, die vorherige Zustimmung der Nutzer sei mithin erforderlich gewesen. Zweitens seien die durch Amazon zu diesem Vorgang bereitgestellten Informationen mangelhaft gewesen. Das Cookie-Banner der Website sei nicht dazu geeignet gewesen, Internetnutzer mit Wohnsitz in Frankreich vorab und eindeutig über die Hinterlegung von Cookies zu informieren. Die CNIL stellte außerdem fest, dass Cookies zum Einsatz gekommen wären, ohne dass hierüber über das Cookie-Banner hinreichend informiert worden wäre. Dies wäre jedenfalls dann der Fall gewesen, wenn Internetnutzer die Amazon-Website besuchten, nachdem sie auf eine Werbung auf einer anderen Website geklickt hatten.
Die Stellungnahme des Conseil d’État
Mit Entscheid vom 27. Juni 2022 bestätigte der Conseil d’État zugleich die zwei oben genannten Verstöße und die Höhe der Geldstrafe, die „nicht unverhältnismäßig im Hinblick auf die Schwere der Verstöße, die Tragweite der Verarbeitung und die Finanzkraft des Unternehmens“ sei. Im Verfahren gegen Google hatte das Gericht ähnlich argumentiert.
Zugleich unterstreicht der Conseil d’État erneut die Zuständigkeit der CNIL für die Verhängung von Sanktionen in Bezug auf Cookies außerhalb des in der DSGVO vorgesehenen One-Stop-Shop-Mechanismus. Die Zuständigkeit der CNIL nach Art. 82 des LIL bestünde auch dann, wenn der für die Verarbeitung (hier: den Einsatz von Cookies) Verantwortliche zwar außerhalb Frankreichs ansässig ist, er auf französischem Hoheitsgebiet aber über eine Niederlassung verfügt, die mit der Verarbeitung verbundene Tätigkeiten ausübt, wie z. B. Eigenwerbung oder die Vermarktung von Werbemitteln. Der Conseil d‘Etat stützt sich in seiner Entscheidung auch auf Urteile des EuGH vom 1.10.2019, C-673/17 – Planet 49 und vom 15.06.2021, C-645/19 – Facebook Ireland Ltd. Hier hatte der EuGH deutlich gemacht, dass der in Artikel 56 DSGVO definierte Mechanismus der „einheitlichen Anlaufstelle“ für die Maßnahmen zur Umsetzung und Überwachung der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) nicht gilt und infolgedessen dieser „One-Stop-Shop“-Mechanismus nicht für die Kontrolle des Zugriffs auf und die Speicherung von Informationen in den Endgeräten von Nutzern anzuwenden ist – auch wenn es sich dabei um eine grenzüberschreitende Verarbeitung handelt.
Fazit und Rechtslage in Deutschland
Wie im Falle von Google wurde auch die Entscheidung der CNIL aus dem Jahr 2020 gegen Amazon durch den Conseil d’État bestätigt. Amazon habe aufgrund des Ablegens von (technisch) nicht erforderlichen Cookies auf den Endgeräten der Nutzer ohne deren vorherige Zustimmung und wegen mangelhafter Transparenz über diesen Vorgang gegen nationales Recht verstoßen. Auch die Höhe der Geldbuße in Höhe von 35 Millionen Euro sei nicht unverhältnismäßig im Hinblick auf die Schwere der Verstöße, die Tragweite der Verarbeitung und die Finanzkraft des Unternehmens. Der Conseil d’État betont zudem erneut, dass das „One-Stop-Shop“-Prinzip bei Sanktionen gegen Cookie-Vorgaben ausgeschlossen sei und die CNIL deshalb für die Verhängung des Bußgeldes zuständig war.
In Deutschland ist die Rechtslage im Hinblick auf die Zuständigkeit von Aufsichtsbehörden für die Sanktionierung von Verstößen gegen Cookie-Vorgaben (vgl. § 25 TTDSG) weiterhin unübersichtlich. Die über § 1 Nr. 8 TTDSG für Anbieter von Telemedien angeordnete Zuständigkeit der „nach Landesrecht zuständigen Behörden“ hat zur Folge, dass stets im jeweiligen Landesrecht eine Zuweisung der Zuständigkeit für die Sanktionierung von Verstößen gegen § 25 TTDSG gegeben sein muss. Ein Automatismus, wonach an dieser Stelle stets die jeweilige Landesdatenschutzbehörde zuständig ist, besteht insoweit also nicht.
In der Praxis lässt sich hingegen beobachten, dass sich die Datenschutzaufsichtsbehörden gleichwohl breit zur Fragen der Cookie-Compliance äußern (so z. B. jüngst das LDA Brandenburg in seinem aktuellen Tätigkeitsbericht, Nr. 4). Hintergrund hierfür ist auch, dass nach Auffassung der Datenschutzaufsichtsbehörden im Zusammenhang mit dem Einsatz von Cookie stets auch zumindest personenbeziehbare Daten verarbeitet werden und insoweit eine originäre – datenschutzrechtliche – Zuständigkeit der Datenschutzaufsicht gegeben sei.