Die spanische Datenschutzbehörde (Agencia española de protección de datos, AEPD) hat «Vueling-Airlines» im Oktober 2019 eine Busse von EUR 18’000 wegen einer gesetzeswidrigen Cookie-Policy auferlegt. Die spanischen Vorschriften zur Umsetzung der EU-ePrivacy-Richtlinie verlangen für den Einsatz von Cookies eine direkte Konfigurationsmöglichkeit auf der Webseite selbst. Vorliegend mussten Besucher der Online-Buchungsplattform www.vueling.com/es jedoch die Browser-Einstellungen konsultieren, um den Einsatz von Cookies in granularer Form unterbinden zu können. Obwohl sich der Entscheid weder auf die DSGVO stützt noch auf die jüngste Cookie-Rechtsprechung des EuGH Bezug nimmt, enthält der Entscheid interessante Hinweise darauf, welche (unterschiedlichen) Anforderungen europäische Datenschutzbehörden an die Cookie-Einwilligungsarchitektur stellen. So soll nach Ansicht der AEPD unter bestimmten Voraussetzungen auch das Weitersurfen auf der Website als gültige Einwilligung gelten können.

Anforderungen im spanischen Recht an die Ausgestaltung der Cookie-Policy

Gemäss Art. 22.2 des spanischen E-Commerce-Gesetzes (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico, LSSI) ist der Einsatz von Cookies nur mit Einwilligung der Webseitenbesucher zulässig, nachdem diese klare und vollständige Informationen über ihre Verwendung erhalten haben. Soweit technisch möglich und wirksam, soll die Einwilligung der Besucher durch die Verwendung geeigneter Browserparameter oder anderer Anwendungen erleichtert werden («uso de los parámetros adecuados del navegador o de otras aplicaciones»). Diese Anforderungen gelten nicht für Cookies, die zur Bereitstellung eines vom Nutzer ausdrücklich aufgeforderten Dienstes zwingend erforderlich sind («technisch-notwendige» Cookies).

Die AEPD hat kürzlich ihre Leitlinien zur Auslegung dieser Norm aktualisiert. Demnach wird Webseiten-Betreibern beim Einsatz von Cookies die Einbindung eines Zweiebenensystems empfohlen. Die erste Ebene – der Cookie-Banner – müsse die wesentlichen Informationen über den Einsatz der Cookies sowie ein sog. Cookie-Konfigurationspanel enthalten, mit dem die Nutzer entscheiden können, ob und welche Cookies akzeptiert werden. Denkbar sei auch, dass der Banner bloss ein direkter Link zu diesem Konfigurationspanel enthält, der wiederum auf einer zweiten Informationsebene, bspw. die Cookie- oder Datenschutzrichtlinie einer Webseite, integriert werden könne.

Zwingend sei die Implementierung dieses Konfigurationspanels, wenn der Webseitenbetreiber eine Einwilligung des Besuchers durch «blosses Weitersurfen» annehme. Diese Form der Einwilligung verlange nach Auffassung der AEPD ein entsprechend granulares System, in dem die Verweigerung der Zustimmung so einfach ist wie ihre Erteilung.

Verweis auf Möglichkeit der Cookie-Konfiguration in den Browser-Einstellungen ist ungenügend

Vorliegend wurden die Besucher der Webseite www.vueling.com/es in einem Cookie-Banner darüber informiert, was Cookies sind, welche Cookies verwendet und zu welchem Zweck diese eingesetzt werden. Daneben befand sich ein Link zur zweiten Ebene, der Cookie-Richtlinie, sowie eine «Akzeptieren und Weitersurfen»-Schaltfläche. Ferner enthielt der Cookie-Banner den Hinweis, dass das Weitersurfen ohne Akzept als Einwilligung gewertet wird.

Was «Vueling» hingegen – in Verletzung von Art. 22. 2 LSSI – nicht zur Verfügung gestellt habe, sei das bereits erwähnte Cookie-Konfigurationspanel, die es dem Webseitenbesucher ermöglichen, Cookie-Einstellungen auf «granulare Weise» vorzunehmen. Anders als es das spanische Recht verlangt, fanden sich in der verlinkten Cookie-Information lediglich Hinweise darauf, dass in den jeweiligen Browser-Einstellungen der Einsatz von Cookies unterbunden und weitergehende Präferenzen im Hinblick auf den Einsatz und die Löschung einzelner Cookie-Arten vorgenommen werden können. Diese Hinweise auf die Browser-Konfigurationsmöglichkeiten können die website-eigene Konfiguration der Cookie-Präferenzen nach Auffassung der AEPD zwar ergänzen, aber nicht ersetzen. Da «Vueling» im Ergebnis eine Einwilligung durch blosses Weitersurfen annehme, den Besuchern aber weder auf erster noch auf zweiter Ebene die Möglichkeit bietet, den Einsatz von Cookies mit der erforderlichen Granularität abzulehnen, könne keine wirksame Einwilligung in den Einsatz von Cookies angenommen werden.

Die AEPD hat die Verletzung als geringfügig eingestuft und «Vueling» mit einer Geldstrafe von 30.000 Euro belegt. Aus verfahrenstechnischen Gründen senkte die AEPD die Sanktion letztlich auf 18.000 Euro.

Auffassung der spanischen Behörde mit EuGH-Rechtsprechung vereinbar?

Bedauerlicherweise nimmt die AEPD in ihrer Begründung weder Bezug auf die DSGVO noch auf das vielbeachtete Planet49-Urteil des EuGH vom 1. Oktober (MLL-News vom 25.10.2019). Je nach Lesart dürfte Letzteres der Wirksamkeit einer «Einwilligung durch Weitersurfen» eine Absage erteilt haben. Der EuGH kam darin zum Schluss, dass Art. 5 Abs. 3 der ePrivacy-Richtlinie hinsichtlich der Anforderungen an die Einwilligungsmodalitäten zwar offenlasse, wie die erforderliche Einwilligung zu geben sei. Die Einwilligung müsse jedoch «ohne jeden Zweifel» gegeben werden – was nur durch ein aktives Verhalten, mit dem die betroffene Person ihre Einwilligung bekundet, erfüllt werden könne.

Obwohl das Augenmerk im Planet49-Urteil auf die Wirksamkeit einer Einwilligung bei einem vorangekreuzten Auswahlkästchen gerichtet war, dürfte die Entscheidung des EuGH auch der Einwilligung durch blosses Weitersurfen seine Wirksamkeit entgegenstehen. Denn – in der Denklogik des EuGH – kann nicht ausgeschlossen werden kann, dass der Besucher den Banner gar nicht wahrgenommen hat, bevor er seine Aktivität auf der von ihm besuchten Website fortsetzt. Ferner verlangt auch die DSGVO explizit eine aktive Einwilligung und bezeichnet Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit ausdrücklich als ungenügend (vgl. Art. 4 Nr. 11 sowie Erwägungsgrund 32 DSGVO). Deshalb sollte nach aktuellem Stand nicht davon ausgegangen werden, dass beim blossen Weitersurfen der Nachweis erbracht werden kann, dass der Nutzer aktiv und ohne jeden Zweifel seine Einwilligung zum Einsatz der Cookies erteilt hat.

Hinsichtlich der von der AEPD ins Feld geführten Anforderungen an die Granularität der Einwilligung wurden bislang weder vom Europäischen Datenschutzausschuss (EDSA) noch vom EuGH greifbare Leitplanken formuliert. Die französische Datenschutzbehörde (CNIL) wies immerhin kürzlich darauf hin, dass eine globale Einwilligung für Cookies nur dann gültig ist, wenn der Nutzer zusätzlich auch die Möglichkeit habe, seine Einwilligung spezifisch für jeden Verarbeitungszweck abzugeben. In diesem Sinne hielt auch die britische Datenschutzbehörde (ICO) fest, dass Einwilligungs-Mechanismen, die den Nutzern keine Wahl ermöglichen, ungenügend seien, selbst wenn entsprechende Steuerungselemente in der Rubrik «Mehr Informationen» vorhanden seien. Um die nötige Granularität beim Einwilligungsmechanismus zu erreichen, sei eine Liste von Checkboxen denkbar (zum Ganzen: MLL-News vom 10.9.19).

Ausblick

Die vorliegende Entscheidung der AEPD verdeutlicht, dass die Anforderungen an die Cookie-Einwilligung in den einzelnen Mitgliedstaaten nach wie vor unterschiedlich ausfallen. Immerhin zeigten sich die Behörden angesichts dieses regulatorischen Flickenteppichs hinsichtlich allfälliger Sanktionen bislang vergleichsweise zurückhaltend. Einigkeit dürfte derzeit wohl lediglich darin bestehen, dass eine Globalübernahme der Allgemeinen Geschäftsbedingungen oder der Nutzungsbedingungen einer Website grundsätzlich für eine wirksame Einwilligung in den Einsatz von Cookies nicht genügt. Vielmehr muss die Einwilligung gesondert eingeholt werden.

Ein Teil der ungeklärten Rechtsfragen auf EU-Ebene ist darauf zurückzuführen, dass die e-Privacy- und die Cookie-Richtlinie nicht durch die angedachte e-Privacy-Verordnung (ePrivacy-VO) abgelöst wurden. Letztere hätte zeitgleich mit der DSGVO im Mai 2018 in Kraft treten und Klarheit über die Rechtslage schaffen sollen. Die geplante Harmonisierung durch den EU-Gesetzgeber scheint aktuell aber ferner denn je zu sein. Auch wenn, entgegen jüngster Berichte, nicht vom „Tod“ der Verordnung gesprochen werden kann, konnten sich die Mitgliedstaaten im EU-Rat nach wie vor nicht auf einen gemeinsamen Standpunkt einigen. Ob und wann eine neue EU-Regelung in Kraft treten wird, lässt sich daher nicht abschätzen.

Weitere Informationen: