Spanische Datenschutzbehörde büsst Twitter mit EUR 30'000 für den Einsatz von Cookies ohne Einwilligung

  
Im Sommer 2020 sanktionierte die spanische Datenschutzbehörde Twitter mit einer Busse von EUR 30’000. Nach Ansicht der Behörde verstiess der Cookie-Banner auf der Website des Kurznachrichtendiensts gegen die spanische Umsetzung der EU-ePrivacy-Richtlinie, welche für das Setzen von Cookies eine vorgängige informierte Einwilligung voraussetzt. Der Cookie-Banner von Twitter enthielt jedoch lediglich die Information, dass mit der Nutzung der Twitter-Website deren Cookie-Richtlinie akzeptiert werde. Der Banner umfasste weder einen Link, um die Verwendung von Cookies abzulehnen, noch konnten die Nutzer die Cookies in granularer Weise konfigurieren und verwalten. Die spanische Datenschutzbehörde verpflichtete Twitter, die Website innert Monatsfrist in Einklang mit den gesetzlichen Vorgaben zu bringen.
  

Untersuchung gegen Twitter nach Beschwerde eines Nutzers

Ein Website-Nutzer beschwerte sich am 5. April 2018 bei der spanischen Datenschutzbehörde AEPD (agencia española protección de datos), dass TWITTER SPAIN, S.L. (Twitter) auf ihrer Website (www.twitter.com) die Nutzer unangemessen über die verwendeten Cookies informiere und solche platzieren würde, sobald ein Nutzer auf die Seite zugreife. Dies betreffe gemäss dem Beschwerdeführer nicht nur registrierte Twitter-Nutzer sondern auch alle anderen Besucher der Twitter-Website gleichermassen. Gestützt auf die Beschwerde leitete die AEPD eine Untersuchung gegen Twitter ein.

Gegenstand des dadurch entstandenen Verfahrens PS/00299/2019 war somit die Frage, ob die Twitter-Website gegen die spanischen Cookie-Vorschriften verstosse. Im Wesentlichen ging es um Art. 22 des spanischen Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI). Dieser Artikel dient der Umsetzung der EU-ePrivacy-Richtlinie auf nationaler Ebene in Spanien.
  

Cookie-Einsatz bei Twitter gemäss Untersuchung der AEPD

Die Untersuchungen der AEPD ergaben, dass beim Besuch der Twitter-Website verschiedene Cookies automatisch auf den Endgeräten der Nutzer gesetzt und gespeichert werden, ohne dass der Nutzer eine bestimmte Aktion durchgeführt haben müsse. Gewisse Arten von Cookies speicherte Twitter nur bis zum Ende der Browser-Sitzung (sog. Session Cookies), andere hingegen bis zu zwei Jahre (sog. Persistent Cookies). Die unterschiedlichen Cookie-Arten würden beispielsweise die Leistung und die Funktionalität der Website sicherstellen, aber auch für Analyse, Targeting und Werbung verwendet werden. Die Untersuchung der AEPD ergab sodann, dass einige automatisch installierte Cookies auch von unbekannter Art seien.
  

Twitter stützt sich auf Zustimmung durch „Weitersurfen“

Der beim Besuch der Twitter-Website erscheinende Cookie-Banner selbst, also die erste Informations-Ebene, enthielt lediglich den Hinweis, dass der Besucher mit der Nutzung von Twitter deren Cookie-Richtlinie akzeptiere. Zudem weist der Banner-Text bloss noch darauf hin, dass Twitter und seine Partner auf globaler Ebene operieren und Cookies unter anderem zur Analyse, Personalisierung und zu Werbezwecken verwenden würden.
  

Anforderungen an einen Cookie-Banner in Spanien

Massgebend für die Beurteilung des Cookie-Banners von Twitter sind zunächst die besonderen Vorschriften für den Einsatz von Cookies und ähnlichen Technologien. Auf EU-Ebene befinden sich diese derzeit (noch) in der EU-ePrivacy-Richtlinie (vgl. zur potentiellen Nachfolgeregelung, MLL-News 19.12.2019), welche ein Opt-In-Prinzip statuiert und von den Mitgliedsstaaten umgesetzt werden muss. Mit Blick auf dieses Opt-In beziehungsweise das Einwilligungserfordernis für den Einsatz von Cookies hat der EuGH unlängst bekräftigt, dass eine aktive Einwilligung erforderlich ist und vorangekreuzte Checkboxen ungenügend sind (vgl. MLL-News vom 25.10.2019).

Massgebend sind demnach die Anforderungen an eine Einwilligung nach der EU-Datenschutzgrundverordnung (DSGVO). Gemäss Art. 4 Nr. 11 DSGVO gilt als Einwilligung:

jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Auch nach der Grundsatzentscheidung des EuGH sind noch nicht alle Fragen geklärt und die Anwendung der EU-Vorgaben auf nationaler Ebene bleibt von grosser Bedeutung für die Praxis. In Spanien besagt die relevante nationale Umsetzungs-Bestimmung (Art. 22.2 LSSI), dass Dienstanbieter auf Endgeräten Cookies setzen können, sofern die Nutzer ihre Zustimmung gegeben haben, nachdem sie klare und vollständige Informationen über die Verwendung erhalten haben. Zudem hält die Bestimmung fest, dass, soweit technisch möglich und wirksam, die Zustimmung des Empfängers zur Verarbeitung der Daten durch die Verwendung geeigneter Browser oder anderer Anwendungsparameter erteilt werden können.
  

Cookie-Banner von Twitter war unzulässig

Die AEPD hob in ihrer Entscheidung (PS/00299/2019) hervor, dass Twitter bereits beim blossen Zugriff auf die Website (technisch nicht notwendige) Cookies einsetze, ohne dass hierfür eine weitere Aktion des Nutzers verlangt wird. Entsprechend dem Hinweis im Banner wollte Twitter insofern bereits das „Navigieren“ auf der Website als Einwilligung genügen lassen. Darüber hinaus weist die AEPD darauf hin, dass der Cookie-Banner von Twitter keine Schaltfläche enthielt, um die Verwendung von Cookies abzulehnen oder die Cookie-Einstellungen granular zu konfigurieren. Einzig am unteren Rand der Twitter-Website verwies ein Link mit dem Titel «Cookies» zur Seite «Cookie-Richtlinien». Auf dieser „zweiten Ebene“ fanden sich Informationen über Cookies sowie Anleitungen, um die Cookie-Einstellungen in verschiedenen Webbrowser anzupassen. Eine Möglichkeit, die Cookie-Verwendung auf der Twitter-Website selbst abzulehnen oder diese in granularer Weise zu konfigurieren, war nicht vorhanden.

Gestützt auf diese Tatsachen gelangte die AEPD ohne weitere Auseinandersetzung zum Schluss, dass die Twitter-Website den Anforderungen von Art. 22.2 LSSI nicht genüge, da mit dem Cookie-Banner von Twitter keine wirksame Einwilligung eingeholt werde.
 

Verstoss nur als geringfügig qualifiziert

Der Verstoss von Twitter gegen die spanische Cookie-Richtlinie wurde unter Beachtung der rechtlichen Vorgaben für die Sanktionsbemessung jedoch als geringfügig eingestuft. Beeinflusst wurde diese Einstufung u.a. von folgenden Kriterien:

  • Das Vorliegen von Vorsatz,
  • der Zeitpunkt der Beschwerde (vor dem Mai 2018, somit vor dem in Kraft treten der EU-Datenschutzgrundverordnung),
  • der Art und der Höhe des entstandenen Schadens im Verhältnis zu den betroffenen spanischen Twitter-Nutzern (ca. 4 Mio. Nutzer),
  • den aus der Verletzung erzielten Gewinnen im Verhältnis zum Umfang der von der Rechtsverletzung betroffenen Nutzern sowie
  • dem Umsatzvolumen von Twitter.
      

Ausgehend davon bezeichnete die AEPD eine Geldbusse in der Höhe von EUR 30’000 als angemessen. Des Weiteren wurde der Kurznachrichtendienst verpflichtet, innerhalb eines Monates seit Zustellung des Urteils geeignete Massnahmen zu ergreifen, um ihre Website in Einklang mit den Bestimmungen von Art. 22.2 LSSI zu bringen.
  

Fazit und Anmerkungen

Die Entscheidung der AEPD enthält bedauerlicherweise keine eingehende Auseinandersetzung mit den verschiedenen Kriterien für eine gültige „Cookie-Einwilligung“. Die Behörde nimmt weder Bezug auf die Kriterien der DSGVO und das Grundsatzurteil des EuGH in Sachen Planet49 noch auf die eigenen Cookie-Leitlinien (vgl. MLL-News vom 25.10.2019) oder ihre Entscheidung in Sachen Vueling (vgl. MLL-News vom 19.12.19). Gleichwohl wird mit dieser Entscheidung einmal mehr bekräftigt, dass in der Praxis beim Einsatz von Cookies weiterhin Nachholbedarf besteht; dies obwohl der Umgang mit Cookies seit Inkrafttreten der DSGVO eines der am ausführlichsten thematisierten und diskutierten Themen ist. So haben auch bereits mehrere andere EU-Datenschutzbehörden diesbezügliche Stellungnahmen und Leitlinien veröffentlicht (vgl. MLL-News vom 10.9.2019).

Im Unterschied zu dem in der EU bekräftigten Opt-In-Grundsatz, basiert die schweizerische Cookie-Regelung weiterhin auf einem Opt-out-Prinzip. So ist gemäss Art. 45c lit. b des Fernmeldegesetzes (FMG) das

„Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung (…) nur erlaubt, (…) wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert sowie darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.“

Ginge es rein nach Schweizer Recht, müssten Schweizer Website-Betreiber nicht grundsätzlich eine Einwilligung für die Verwendung von Cookies einholen. Da jedoch der Grossteil der hiesigen Website-Betreiber auch auf Personen in der EU ausgerichtet ist und Cookies auf Endgeräten von Personen in der EU setzt, sind die EU-Vorschriften auch auf für sie relevant. In diesen Fällen muss somit für das Setzen und Auslesen von (technisch nicht notwendigen) Cookies eine Einwilligung eingeholt werden. Dabei empfiehlt sich, die Praxis der verschiedenen Behörden im Auge zu behalten.

 

Weitere Informationen: