Die Autoriteit Persoonsgegevens -AP (niederländische Datenschutzbehörde) hat in diesem Jahr ein mehrjähriges Projekt in Angriff genommen, das gegen das unerlaubte online Folgen von Nutzern vorgeht. Die Firma Kruidvat erhielt vor Kurzem als eines der ersten Unternehmen ein Bußgeld von € 600.000 für das unrechtmäßige Sammeln von Nutzerdaten mittels Tracking Cookies auferlegt. Wollen Sie wissen, welche Anforderungen Ihr Cookie Banner erfüllen muss, um Bußgelder zu vermeiden? Lesen Sie dann den Blog unseres Kollegen, Rechtsanwalt Sjoerd Aelen.
Was sind Cookies?
Cookies sind kleine Textdateien, die auf dem Computer des Nutzers beim Besuch einer Website platziert werden. Mit Hilfe von Cookies kann man die Nutzererfahrung seiner Website verbessern, zum Beispiel indem man die Nutzerdaten oder die Produkte im Warenkorb speichert. Außerdem kann man mit Hilfe von Cookies ein Nutzerprofil erstellen und damit gezieltere Reklame senden. Die sogenannten ‘Tracking Cookies’ sind besonders beliebt.
Verarbeiten von personenbezogenen Daten
Unternehmen und Organisationen verarbeiten mit Cookies oft auch personenbezogene Daten von Website-Nutzern. Es ist darum wichtig, dass Website-Nutzer gut über die Verwendung von Cookies informiert werden. Dies geschieht im Allgemeinen mittels eines Cookie Banners. Für den Gebrauch von Tracking Cookies muss man ausdrücklich eine eindeutige Zustimmung seines Website-Nutzers einholen. Diese Pflicht ergibt sich aus dem Telecommunicatiewet (niederländisches Telekommunikationsgesetz, auch „Cookiewet“ genannt) und der Algemene Verordening Gegevensbescherming AVG (entspricht der deutschen DSGVO).
Welche Arten von Cookies gibt es?
Es gibt verschiedene Arten von Cookies, die jeweils auf verschiedene Weise in die Privatsphäre des Website-Nutzers eindringen. Global unterscheidet man drei verschiedene Arten: funktionale Cookies, analytische Cookies und Tracking Cookies.
| Art | Zweck | Beispiel | Zustimmung |
| Funktionale Cookies | Diese Cookies sind notwendig für die Basisfunktionen einer Website. Sie sorgen dafür, dass ein Nutzer Zugang zu den gesicherten Teilen einer Website und dass die Website gut funktioniert. | Speichern von Login-Daten, Produkte in einem Warenkorb speichern, Vorlieben wie Spracheinstellungen und Schriftgröße. | Weil funktionale Cookies für das Funktionieren einer Website erforderlich sind, ist hierfür keine ausdrückliche Zustimmung des Nutzers erforderlich. Allerdings muss der Nutzer über den Gebrauch dieser Cookies informiert werden. |
| Analytische Cookies | Analytische Cookies sammeln Daten darüber, wie Nutzer die Website gebrauchen. Hierzu gehören Informationen, z.B. welche Seiten am meisten besucht wurden und wie lange Nutzer auf der Seite bleiben. Diese Daten helfen dem Website-Besitzer, die Leistungen der Seite zu verbessern und die Nutzererfahrung zu optimieren. | Diese Cookies helfen z.B. zu verstehen, welcher Inhalt beliebt ist, wie Nutzer durch die Seite navigieren und wo eventuell Schwachstellen bei der Nutzererfahrung auftauchen. Beispiele sind Google Analytics, Hotjar und Matomo. | Für analytische Cookies, die wenig Einfluss auf die Privatsphäre haben, wie anonymisierte Datensammlungen, ist keine ausdrückliche Zustimmung erforderlich. Wenn jedoch diese Daten für Tracking benutzt oder von dritten Parteien verarbeitet werden, ist Zustimmung wohl erforderlich. |
| Tracking Cookies | Tracking Cookies werden gebraucht, um ein detailliertes Profil des Nutzers zu erstellen. Sie folgen dem Surfverhalten über mehrere Websites und sammeln Informationen für gezielte Reklamezwecke, was dann zu personalisierten Anzeigen führen kann. | Cookies von Werbenetzwerken wie Google Ads, Facebook Pixel und andere Retargeting Tools. | Für Tracking Cookies ist immer eine ausdrückliche Zustimmung des Besuchers erforderlich, da sie weitgehende Informationen über persönliche Vorlieben und Verhalten sammeln. |
Welche Anforderungen muss ein Cookie Banner erfüllen?
Laut Gesetz muss ein Cookie Banner auf jeden Fall folgende Anforderungen erfüllen:
- Deutliche und spezifische Information: teilen Sie mit, welche Cookies gebraucht und zu welchem Zweck sie verwandt werden. Gebrauchen Sie keine unklaren oder beeinflussenden Formulierungen. Wir empfehlen, das Cookie Banner mit der Datenschutzerklärung (und anders herum) zu verlinken.
- Freie und eindeutige Zustimmung: der Nutzer muss seine Zustimmung zum Gebrauch von Tracking Cookies aktiv erteilen. Dies bedeutet, dass im Vorhinein angekreuzte Fächer nicht erlaubt sind. Setzen Sie die Buttons für Ablehnung / Zustimmung gleichwertig auf eine Ebene.
- Zustimmung für verschiedene Arten von Cookies: bieten Sie Nutzern die Möglichkeit, per Cookie Art ihre Zustimmung zu erteilen.
- Einfache Möglichkeit, um die Zustimmung wieder zurückzunehmen: machen Sie es dem Nutzer einfach, die Zustimmung wieder zurückzunehmen. Sorgen Sie ebenfalls dafür, dass die Dokumentation von Cookies nach Einziehung der Zustimmung stoppt.
- Dokumentation und Beweisführung: Sorgen Sie dafür, dass Sie nachweisen können, dass Sie eine gültige Zustimmung für das Platzieren von Cookies erhalten haben. Dies kann durch das Führen einer Datei erfolgen, in der registriert wird, welche Entscheidungen die Nutzer getroffen haben und wann.
- Keine nachteiligen Folgen: Die Ablehnung von Cookies darf den Zugang zur Website oder ihre Funktionen nicht unangemessen einschränken. Die Nutzer müssen die Seite weiterhin gebrauchen können, auch wenn sie bestimmte Cookies ablehnen.
Wenn Sie diese Anforderungen erfüllen, können Sie die Sanktionen der AP vermeiden. Darüber hinaus vermeiden Sie auch ein mögliches hohes Bußgeld. Möchten Sie die Anforderungen der AP selbst nachlesen? Lesen Sie hier die Faustregeln für Cookie Banner.
Was sind die möglichen Folgen, wenn ein Cookie Banner nicht den Anforderungen entspricht?
Die Nichteinhaltung der gesetzlichen Vorschriften für Cookie Banner kann ernsthafte Folgen haben. Diese können von einer Rufschädigung bis hin zu einem Bußgeld durch die AP reichen.
Bußgeld in Höhe von € 600.000 Euro für Tracking Cookies an Kruidvat.nl
Die Drogeriekette Kruidvat (genauer: der Mutterkonzern A.S. Watson) erhielt ein Bußgeld für das Platzieren von Tracking Cookies auf die Geräte von Website-Nutzern ohne ihre Zustimmung. In dem Cookie Banner von Kruidvat.nl waren die Fächer zur Zustimmung für das Platzieren von Tracking Cookies standardmäßig eingestellt. Nutzer, die diese Cookies noch ablehnen wollten, mussten viele Schritte gehen, um dieses zu erreichen. Es war daher also nicht die Rede von einer freien, spezifischen, informierten und unmissverständlichen Willensäußerung. Dies verstößt gegen die AVG.
Die AP spricht wegen ihres spezifischen Charakters bei Drogerieprodukten wie Schwangerschaftstest und Medikamenten von sensiblen Informationen. Indem diese Information an das Gerät des einzelnen Nutzers gekoppelt wird, kann ein sehr detailliertes und invasives Profil von Personen erstellt werden, die Kruidvat.nl besuchen.
Die AP hat Kruidvat nicht sofort ein Bußgeld auferlegt, sondern hat das Unternehmen 2019 zunächst in einem Brief verwarnt. Nachdem sich 2020 herausgestellt hat, dass Kruidvat sein Cookie Banner nicht angepasst hatte, hat die AP (mit einer gehörigen Verspätung) 2024 ein Bußgeld auferlegt.
Das Bußgeld entspricht der Ankündigung der AP in ihrem Jahresplan für das Jahr 2024. Darin hat sie angekündigt, dass sie ein mehrjähriges Projekt in Angriff nehmen wird, das das unerlaubte Folgen von Personen, zum Beispiel durch online Cookies, auf verschiedenen Gebieten bestreiten wird.
Kruidvat hat gegen den Bußgeldbescheid Einspruch eingelegt. Daher ist das Bußgeld noch nicht definitiv. Es kann davon ausgegangen werden, dass die AP mit diesem Bußgeldbeschluss ein Exempel statuieren will und mit einer abschreckenden Wirkung auf andere Unternehmen und Organisationen rechnet. Sollten Sie diesen Bußgeldbeschluss nachlesen wollen, finden Sie ihn hier.
Landgericht Amsterdam beanstandet bei Criteo Tracking Cookies
Criteo, ein Unternehmen, dass auf Reklametechnologie spezialisiert ist und unter anderem auch Cookies entwickelt, wurde 2023 vom Landgericht Amsterdam in einem einstweiligen Verfügungsverfahren für das unrechtmäßige Platzieren von Tracking Cookies ohne Zustimmung von Nutzern verurteilt. Criteo gebrauchte diese Cookies, um ausführliche Nutzerprofile zu erstellen und gezielte Reklame anzubieten. Das Cookie Banner, das auf den Websites von Criteos Partnern gebraucht wurde, entsprach jedoch nicht den Anforderungen der AVG und des Cookie-Gesetzes.
Criteo hat sich in dem einstweiligen Verfügungsverfahren mit der Behauptung verteidigt, dass die entsprechenden Websites von Partnern von Criteo verwaltet würden und dass daher diese Partner dafür zuständig seien, die Zustimmung zu erlangen. Criteo hätte sie hierzu vertraglich verpflichtet. Das Landgericht Amsterdam ist jedoch der Meinung, dass Criteo sich nicht hinter seinen Partnern verstecken könne. Criteo bleibt nämlich auch trotz der vertraglich vereinbarten Verpflichtung seiner Partner selbst eine für die Verarbeitung verantwortliche Partei im Sinne der AVG. Das Landgericht Amsterdam hat daher in dem einstweiligen Verfügungsverfahren bestimmt, dass Criteo dieses Vorgehen unter Androhung eines Zwangsgeldes stoppen muss
Daraufhin hat Criteo gegen dieses Urteil Berufung eingelegt. In der Berufung trug Criteo unter anderem vor, dass Nutzer auf ihren Brouwsern neue, zu platzierende Cookies ablehnen könnten. Das Oberlandesgericht Amsterdam hat dieses Argument nicht akzeptiert, da in der AVG ein Opt-in und nicht ein Opt-out Verfahren gewählt wurde.
Schlussfolgerung: Informieren Sie Ihre Nutzer, fragen Sie ausdrücklich um Zustimmung und sorgen Sie dafür, dass Ihr Cookie Banner den gesetzlichen Anforderungen entspricht
Es ist wichtig, dass Ihr Unternehmen oder Ihre Organisation Cookies entsprechend den Anforderungen der AVG und dem „Cookiewet“ gebraucht. Informieren Sie Ihre Website-Nutzer über den Gebrauch von Cookies und sorgen Sie dafür, dass Sie für das Platzieren von Tracking Cookies ihre Zustimmung erhalten. Halten Sie sich dabei an die Faustregeln für Cookie Banner der AVG. Das bewahrt Sie vor unangenehmen Überraschungen.
Fragen?
Wenn Sie Fragen zu der Art haben, wie Ihre Organisation die Anforderungen der AVG umgesetzt hat, nehmen Sie Kontakt auf zu unserem Spezialisten auf diesem Gebiet, Rechtsanwalt Anne-Mieke Dumoulin-Siemens.
