Cookies: Wie hoch ist das Bußgeldrisiko in Deutschland?

Niklas Vogt

Die spanische Datenschutzaufsichtsbehörde hat Mitte Oktober ein Bußgeld über 30.000 € für ein fehlerhaftes Cookie-Banner verhängt. Die Entscheidung gibt Anlass, einen Blick auf die bisherige Cookie-Bußgeldpraxis in Europa zu werfen und sich der Frage zu nähern, wie hoch das Bußgeldrisiko mittlerweile in Deutschland ist.

Das Thema Cookies erhitzt nach wie vor die Gemüter. Nachdem der Europäische Gerichtshof (EuGH) im vergangenen Jahr eine wichtige Entscheidung zum rechtskonformen Einsatz der „Kekse“ traf und der Bundesgerichtshof (BGH) im Mai dieses Jahres nachlegte, ist zumindest etwas klarer geworden, welche Anforderungen die Rechtsprechung an den Einsatz der Technologie stellt. Trotzdem kann aufgrund der vielfältigen Detailfragen von Rechtssicherheit noch keine Rede sein.

In diesem Zusammenhang kommt immer wieder die Frage auf: Gibt es für den rechtswidrigen Einsatz von Cookies überhaupt schon Bußgelder? Und wie hoch ist das Risiko, dass eine Datenschutzbehörde hierzulande aktiv wird? Diesen Fragen widmet sich der vorliegende Beitrag.

Bisherige Bußgeldpraxis in Europa

Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) gab es bereits einige Bußgelder europäischer Aufsichtsbehörden für den rechtswidrigen Einsatz von Cookies.

Spanien

Das aktuellste Bußgeld wurde am 16. Oktober 2020 von der spanischen Datenschutzaufsichtsbehörde gegen die Fluglinie Iberia verhängt. Höhe immerhin 30.000 €. Der Grund für das Bußgeld war ein fehlerhaftes Cookie-Banner, wodurch keine wirksame Einwilligung eingeholt wurde. Noch im Juni dieses Jahres war auf der Website von Iberia ein Cookie-Banner mit folgendem Text im Einsatz (frei übersetzt):

"Iberia L.A.E. informiert Sie, dass Cookies auf Ihrem Gerät gespeichert werden, um das ordnungsgemäße Funktionieren und die Sicherheit unserer Websites zu gewährleisten und Ihnen das bestmögliche Surferlebnis zu bieten. Klicken Sie auf Cookies akzeptieren, wenn Sie die Verwendung dieser Cookies akzeptieren, oder ändern Sie die Einstellungen in den Cookie-Einstellungen, wenn Sie dies wünschen. Für weitere Informationen lesen Sie bitte Iberia's Cookie Policy".

Die spanische Behörde stellte einen Verstoß gegen das nationale Umsetzungsgesetz zur ePrivacy-Richtlinie fest (§ 22 Abs. 2 LSSI - „Spanish Law on Information Society Services and Electronic Commerce“). Hiernach müssen Website-Betreiber den Nutzer nicht nur informieren, sondern ihm auch eine einfache und kostenlose Möglichkeit einräumen, der Datenverarbeitung zu widersprechen. Das Banner von Iberia sah aber keine Möglichkeit vor, dass Nutzer die Cookies auch ablehnen konnten.

Wieso wurde hier nicht auf einen DSGVO-Verstoß erkannt, mögen Sie sich jetzt vielleicht fragen. Hintergrund ist, dass der Einsatz von Cookies und anderen Identifiern europarechtlich in erster Linien durch Art. 5 Abs. 3 der ePrivacy-Richtlinie (2002/58/EG) geregelt ist. Existiert ein nationales Gesetz, dass diese Vorschrift auf mitgliedsstaatlicher Ebene umsetzt, ist dieses Gesetz aufgrund von Art. 95 DSGVO vorrangig vor den Vorschriften der DSGVO anzuwenden. Es handelt sich juristisch um eine Spezialvorschrift (lex specialis).

Kommen wir nach diesem kurzen Exkurs wieder zur spanischen Bußgeldpraxis:

Auch über das aktuelle Bußgeld gegen Iberia hinaus hat sich insbesondere Spanien bei der Verhängung von Bußgeldern im Cookie-Kontext hervorgetan. Mittlerweile gibt es – den Fall Iberia einbezogen – 15 uns bekannte Bußgelder der spanischen Behörde. Die Bandbreite reicht dabei von 1.600 € bis hin zu 30.000 €, wobei den Höchstbetrag neben Iberia die Billigfluglinie Vueling und der spanische Ableger von Twitter „aufgebrummt“ bekamen. Startschuss war in Spanien das Bußgeld gegen Vueling am 6. September 2019. Es ist erkennbar, dass sich die Bemühungen ab Mitte 2020 verstärkt haben, denn von den 15 Bußgeldern wurden 13 nach dem 1. Juni 2020 verhängt.

Bei nahezu allen Cookie-Bußgeldern haperte es bei den Website-Betreibern an den „Basics“: Entweder gab es gar keine (aktive) Wahlmöglichkeit (wie vom EuGH in seiner „Planet 49“-Entscheidung gefordert) oder die Cookies wurden bei schlichtem Weitersurfen gesetzt. In anderen Fällen waren die erteilten Informationen nicht ausreichend oder aber es gab keine Möglichkeit, Cookies auch abzuwählen. Die Rechtswidrigkeit war hier also mehr oder weniger schnell erkennbar.

Für all diejenigen, die sich mit der Bußgeldpraxis in Spanien näher beschäftigen möchten noch ein Hinweis: In vielen Fällen haben die Verantwortlichen von der in Spanien üblichen Rabatt-Möglichkeit zur Reduzierung des Bußgeldes Gebrauch gemacht und so das Bußgeld durch Widerspruchsverzicht und fristgemäße Zahlung um 20% reduziert.

Belgien

Außerhalb von Spanien ist uns europaweit bislang nur noch ein weiteres Cookie-Bußgeld bekannt, das aus Belgien stammt. Hier hatte die belgische Aufsichtsbehörde am 17. Dezember 2019 ein Bußgeld in Höhe von 17.000 € gegen den juristischen Nachrichtendienst Jubel.be verhängt. Ausweislich einer Presseerklärung der Behörde sollte an dem Dienst ein Exempel statuiert werden, da dieser nach Ansicht der Behörde eine Vorbildfunktion erfülle. Das Unternehmen, das im Jahr 2018 einen Jahresumsatz in Höhe von ca. 1,7 Mio. Euro erzielte, hatte gleich in mehrfacher Hinsicht gegen Vorgaben verstoßen: So waren die Informationen im Zusammenhang mit der Einwilligung nicht transparent. Außerdem gab es keine Möglichkeit, eine einmal erteilte Einwilligung zu widerrufen. Spannend an dieser Entscheidung: Der Website-Betreiber setzte auch Google-Analytics-Cookies ein und berief sich dafür auf sein berechtigtes Interesse als Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO). Dem erteilte die Behörde eine Abfuhr und stellte fest, dass Cookies zur statistischen Analyse nicht unbedingt erforderlich seien und somit eine Einwilligung notwendig sei.

Situation in Deutschland

Für Deutschland lässt sich sagen, dass uns bislang kein Bußgeld einer Aufsichtsbehörde für den rechtswidrigen Einsatz von Cookies bekannt ist.

Das heißt allerdings nicht, dass die Aufsichtsbehörden untätig sind. Wie wir wissen, gibt es seit Mitte August dieses Jahres eine konzentrierte Aktion elf deutscher Datenschutzaufsichtsbehörden gegen größere Medienhäuser (dazu zählen die Aufsichtsbehörden in Baden-Württemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Schleswig-Holstein). Die Aktion richtet sich explizit auf das Thema Tracking und Cookies, wie auch der Pressemitteilung des LfDI Baden-Württemberg zu entnehmen ist. Die Medienbranche wurde dabei von den deutschen Behörden offenbar ganz bewusst ausgewählt, da man glaubt, dass der Cookie-Einsatz hier mit am exzessivsten ist. Wer mehr zu dieser Aktion wissen möchte, findet die im Rahmen des Informationsfreiheitsgesetzes veröffentlichten Anschreiben der Behörden aus Rheinland-Pfalz und Baden-Württemberg online.

Die Frist in den behördlichen Verfahren ist voraussichtlich Ende September abgelaufen. Daher ist damit zu rechnen, dass relativ bald erste Ergebnisse aus diesen Verfahren öffentlich werden. Es kann davon ausgegangen werden, dass die Behörden diese Verfahren als Testballon nutzen, um anschließend auch andere Branchen in den Blick zu nehmen. Ein konkreter Zeitrahmen ist dafür allerdings noch nicht prognostizierbar.

Es gilt bei allen Prognosen auch zu bedenken, dass wir in Deutschland in gewissem Maße eine Sonderproblematik haben: Seit der Entscheidung des BGH in der Rechtssache „Planet 49“ steht fest, dass der Cookie-Einsatz rechtlich an den Anforderungen des § 15 Abs. 3 TMG (Telemediengesetz) gemessen werden muss, der nach der Rechtsprechung des BGH vor dem Hintergrund von Art. 5 Abs. 3 der ePrivacy-Richtlinie europarechtskonform auszulegen ist. Damit ergibt sich aus Art. 95 DSGVO eine Sperrwirkung (siehe oben), so dass bei der Verfolgung von Verstößen gegen Cookie-Regeln allein die Vorgaben des TMG anzuwenden sind. Für den Bereich des TMG ist allerdings umstritten, ob die Datenschutzaufsichtsbehörden überhaupt für eine Sanktionierung von Verstößen zuständig sind. Es wird sich zeigen, ob sich die Behörden von diesem Thema am Vorgehen gegen Verstöße hindern lassen, oder ob sie es weiterhin (wie beim aktuellen Verfahren gegen die Medienverlage) elegant ignorieren.

Fazit: Bußgeldrisiko in Deutschland steigt

Bislang sind Website-Betreiber mit rechtswidrigen Cookie-Bannern noch verhältnismäßig glimpflich davongekommen. Lediglich in Spanien gab es bereits nennenswerte Bußgelder.  Doch die sorglosen Zeiten scheinen hierzulande zu einem Ende zu kommen. Auch wenn es in Deutschland bisher noch kein Cookie-Bußgeld gab, ist davon auszugehen, dass nach den wegweisenden Entscheidungen des EuGH und des BGH in Sachen „Planet 49“, sowie den behördlichen Anstrengungen gegen deutsche Medienverlage spätestens im nächsten Jahr die ersten Bußgelder kommen.

Die bisherige europäische Bußgeldpraxis ist dabei auch für deutsche Verantwortliche interessant, denn ebenso wie der § 15 Abs.3 TMG fußen die maßgeblichen Normen in Spanien und Belgien auf dem europarechtlichen Art. 5 Abs. 3 der ePrivacy-Richtlinie.

Vor diesem Hintergrund lohnt es sich, die eigene Website auf Konformität zu prüfen. Auf folgende drei Punkte sollte dabei ganz besonders das Augenmerk gelegt werden: (1) Es müssen die für die Einwilligung zwingend erforderlichen Informationen bereitgestellt werden, (2) es muss eine aktive Wahlmöglichkeit geben und (3) falls Sie Ihre Datenverarbeitung auf berechtigte Interessen stützen, sollten Sie eine dokumentierte Interessenabwägung vorweisen können.

Wenn das Kind in den Brunnen gefallen ist und die Aufsichtsbehörde ein Bußgeldverfahren gegen Sie angestrengt hat, sollte die Strategie in diesem Verfahren sorgsam gewählt werden. So kann sich eine vollständige Kooperation mit der Behörde zwar bußgeldmindernd auswirken – gleichzeitig muss dies nicht in jedem Fall die beste Vorgehensweise sein. Dies gilt nicht zuletzt vor dem Hintergrund der bestehenden Rechtsunsicherheiten in der Anwendung des § 15 Abs. 3 TMG und der umstrittenen Frage der Zuständigkeit der Datenschutzaufsichtsbehörden für TMG-Bußgelder.