Ablehnen von Cookies zu kompliziert
Jede Menge Beschwerden hatte die Aufsichtsbehörde CNIL aus der Internet-Community erhalten. Der Vorwurf: Sowohl beim Google-Suchdienst als auch bei der Tochter YouTube würden sogenannte „Dark Patterns“ verwendet, die das Verwalten von Cookies unnötig schwer machen. Gleiches gelte für die französischsprachige Facebook-Seite. Eine Überprüfung der Experten bestätigte das: Während die Einwilligung in das Datentracking mit einem einzigen Klick erfolgte, waren für eine Ablehnung aller Cookies mehrere Schritte notwendig. Bei Facebook kam noch ein irreführender Faktor hinzu. Hier musste bei Ablehnung nicht notwendiger Cookies ein Button mit Aufschrift „Akzeptieren“ gedrückt werden. Google und Facebook hätten mit ihren Consent-Tools Nutzerinnen und Nutzer in ihrer Entscheidungsfreiheit beeinträchtigt, so die CNIL. Derartige Praktiken sind in Frankreich nach Artikel 82 des Datenschutzgesetzes verboten, weil sie zum viel einfacheren Wählen der Zustimmungsoption verleiten.
Profit durch Auswertung der Daten
90 Millionen Euro muss deshalb der US-Mutterkonzern Google LLC zahlen. Die europäische Tochter Google Ireland Ltd. wurde zusätzlich mit einem Strafgeld von 60 Millionen Euro belegt. Im Fall von Facebook ist es nur die irische Konzerntochter, die eine Strafe in Höhe von 90 Millionen Euro erhält. Bei der Festlegung der Summe hat die CNIL nach eigenen Worten zum einen die hohen Zugriffszahlen der Webseiten berücksichtigt. Aber auch die „beachtlichen Gewinne“ des Unternehmens aus datenbasierter Werbung seien mit eingeflossen.
Weitere Strafen könnten folgen
Maximal drei Monate gibt die Behörde den beiden Tech-Giganten Zeit, ihre Cookie-Abfragen anzupassen. Das sei ganz einfach, betont man bei der CNIL: Neben der Schaltfläche zum Akzeptieren der kleinen Browser-Dateien müsse es nur eine weitere zum Ablehnen geben. Das „Nein“ zum Tracking müsse genau so einfach erteilt werden können wie das „Ja“. Kommt man den Auflagen nicht nach, werden für jeden Tag der Verzögerung weitere 100.000 Euro fällig.
Ist die CNIL überhaupt zuständig?
Die französische Datenschutzbehörde beruft sich bei ihrer Entscheidung nicht auf die Datenschutz-Grundverordnung, sondern auf den Artikel 82 des französischen Datenschutzgesetzes. Dabei handelt es sich um die Umsetzung der europäischen ePrivacy-Richtlinie 2002/58/EG. Zwar stellt die wesentlich jüngere Datenschutz-Grundverordnung ähnliche Anforderungen an europäische Webseiten. Hier ist für die Einhaltung allerdings jeweils das Land zuständig, in dem das anbietende Unternehmen seinen Hauptsitz hat. Im Fall von Google und Facebook sind das Irland und seine Data Protection Commission (kurz: DPC). Auf deren Entscheidung allerdings wollte die CNIL offenbar nicht warten. Denn Irland hat es bekanntermaßen nicht eilig, die mächtigen Konzerne in ihre Schranken zu weisen.
Fazit
Die französische Datenschutzaufsichtsbehörde hat Google und Facebook mit Bußgeldern belegt, weil ihre Cookie-Abfragen nicht den gesetzlichen Anforderungen entsprechen. Die CNIL ist bekannt für ihr strenges und konsequentes Vorgehen: Im vergangenen halben Jahr hat sie nach eigenen Angaben in 100 weiteren Fällen Sanktionen verhängt. Google hat bereits Änderungen angekündigt. Bei Facebook will man Entscheidung zunächst prüfen.