Spanische Datenschutzbehörde: 30.000,- EUR Bußgeld wegen rechtswidriger Cookie-Policy auf Webseite von Vueling

Die Spanische Datenschutzbehörde hat ein Bußgeld iHv. 30.000,- EUR wegen der rechtswidrigen Cookie-Policy auf der Webseite der Fluggesellschaft Vueling Airlines verhängt. Der Beschluss der Behörde ist hier - in spanischer Sprache - downloadbar (Verfahrensnummer PS/00300/2019).

Anders als vielfach zu lesen, wurde das Bußgeld nicht aufgrund eines DSGVO-Verstoßes verhängt. Teilweise wird auch behauptet, dass die jüngste Entscheidung des EuGH, wonach das Setzen von Cookies die aktive Einwilligung verlangt (= News v. 02.10.2019) , der Grund des Bescheides sei.

Dabei handelt es sich um kompletten Unsinn. Weder die DSGVO noch das EuGH-Urteil haben mit dem aktuellen Entscheid der Spanischen Datenschutzbehörden etwas zu tun.

Grundlage ist vielmehr das nationale spanische E-Commerce-Gesetz (Spanish Law on Information Society Services and Electronic Commerce), das ins einer Ursprungsform bereits im Jahr 2002 verabschiedet wurde. In § 22 Abs.2 dieses Gesetzes ist geregelt:

"Article 22. Rights of service recipients

(...)
(2)  When service providers employ devices for the storage and recovery of data from terminal equipment, they shall inform recipients of the use and finality of such devices in a clear and comprehensive manner, offering recipients the opportunity to refuse, by a simple means and free of charge, to allow their data to be processed. This shall not prevent any storage of or access to data for the purpose of carrying out or technically facilitating the transmission of a communication over an electronic communications network, or as strictly necessary in order to provide an information society service explicitly requested by the recipient. (...)

Nach dieser Norm ist es also Pflicht, dass ein Webseiten-Betreiber in Spanien den User nicht nur über die Speicherung von (personenbezogenen) Daten informiert, sondern ihm auch die Möglichkeit bereitstellen muss,  auf einfache Art und Weise kostenlos die weitere Speicherung seiner Informationen zu untersagen ("offering recipients the opportunity to refuse, by a simple means and free of charge, to allow their data to be processed"). 

In Deutschland existiert eine ähnliche Vorschrift in § 13 TMG, wobei die inhaltliche Ausgestaltung in Bereichen voneinander abweicht.

Vueling Airlines  bot auf ihrer Webseite nun keine eigene technische Möglichkeit in Form eines Management Systems an, einzelne Cookies zu deaktivieren. Vielmehr verwies die Webseite grundsätzlich auf die Deaktivierungs-Möglichkeiten, die der User in seinem Browser hatte. 

Hierin sah die Spanische Datenschutzbehörde einen Verstoß gegen § 22 Abs.2, da hierdurch dem User die Möglichkeit genommen werde, in einfacher Weise einzelne, unterschiedliche Entscheidungen hinsichtlich der Cookies zu treffen:

"(Spanisches Original): En el presente caso, si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a traves de cookies es implfcito, ya que en ningun momento da la opcion de poder oponerse a la instalacion de estas en el dispositivo o de cualquier otra cookies, sino que remite a la configuracion de los navegadores para eliminarlas o bloquearlas, no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a traves de las opciones del navegador.

No facilita un sistema de gestion o panel de configuracion de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta seleccion el panel podra habilitar un mecanismo o boton para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. A este respecto se considera que la informacion ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sena complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva.

(freie Übersetzung):  Im vorliegenden Fall, ist beim Zugriff auf die zweite Ebene  die Einwilligung zur Übermittlung von Daten an Dritte durch Cookies implizit, da sie zu keinem Zeitpunkt die Möglichkeit bietet, der Installation dieser Daten auf dem Gerät oder anderen Cookies zu widersprechen, sondern sich auf die Konfiguration der Browser bezieht, um sie zu entfernen oder zu blockieren, ohne die Möglichkeit zu bieten, die Zustimmung zur Verwendung von Cookies zu verweigern oder die bereitgestellten Daten zurückzuziehen, wenn nicht durch die Optionen des Browsers.

Es  gibt kein Managementsystem oder ein Cookie-Konfigurations-Panel, das es dem Benutzer ermöglicht, sie auf granulare Weise zu löschen. Um diese Auswahl zu erleichtern, kann das Panel einen Mechanismus oder eine Schaltfläche aktivieren, um alle Cookies abzulehnen, einen anderen, um alle Cookies zu aktivieren oder dies auf granulare Weise zu tun, um Einstellungen zu verwalten.

In diesem Zusammenhang wird davon ausgegangen, dass die Informationen über die von verschiedenen Browsern bereitgestellten Tools zur Konfiguration von Cookies komplementär zu den vorherigen sind, aber nicht ausreichen für den Zweck, eine granulare oder selektive Konfiguration der Einstellungen zu ermöglichen."

Die Spanische Datenschutzbehörde verhängte daher aufgrund dieses Verstoßes ein Bußgeld iHv. 30.000,- EUR. Unbekannt ist, ob Vueling sich gegen die Entscheidung wehren wird.

Anmerkung von RA Dr. Bahr:
Wichtig bei der Entscheidung ist, dass in Deutschland grundsätzlich keine Verpflichtung zum Anbieten eines solchen Cookie-Management-Tools besteht, anders als in Spanien.

Zwar existieren mit § 13 TMG für bestimmte Bereiche Ausnahmeregelungen. Es ist jedoch umstritten, ob und inwieweit § 13 TMG überhaupt noch nach dem Inkrafttreten der DSGVO Anwendung findet.