Die berühmten "Cookie-Banner" sind bereits auf fast jeder Homepage zu finden, auch bei uns obwohl wir gar keine Cookies verwenden ;) Bei diesen wird man zumeist aufgefordert in die Nutzung von bestimmten Cookies - in der Regel für Nutzungstracking und Direktmarketing - einzuwilligen. Die Erforderlichkeit einer Einwilligung ist spätestens seit dem Planet49 Urteil von Oktober 2019 ausjudiziert; nur mehr technisch zwingend notwendige Cookies (wie etwa Warenkorbcookies, LogIn Cookies etc.) dürfen ohne Einwilligung gesetzt werden, alle anderen Cookies benötigen eine Einwilligung.

Aber wie jetzt genau ?

Doch alleine ein Cookie Banner macht noch keinen runden Datenschutz. Einerseits muss er auch wirklich ausreichend über die Art und Weise der Verarbeitung informieren, andererseits muss auch technisch sichergestellt sein, dass die Cookies erst NACH Vorliegen der Einwilligungen aktiv werden. Wenn beides - wie im Fall von Amazon und Google - nicht vorliegt, verstößt man nach Ansicht der CNIL (und auch unserer) gegen die DSGVO und riskiert Millionenstrafen (die die beiden Multis wahrscheinlich wieder von der Steuer absetzen lassen... sofern überhaupt Steuern gezahlt werden).

Findige Leser werden sich jetzt sicher denken: Gibt es bei der DSGVO nicht einen One-Stop-Shop-Mechanismus, der davon ausgeht, dass Verstöße gegen die DSGVO von der federführenden Behörde zu untersuchen sind, im Fall von Google also die (Achtung Sarkasmus) vorbildhafte, stets auf Datenschutz bedachte, sehr aktive und personell zahlreiche irische Datenschutzbehörde (die im übrigen wegen diverser Untätigkeiten nun auch geklagt wird).

Warum sieht sich die CNIL in der Verantwortung

Dieser Punkt ist ein guter (formeller) Einwand gegen die Strafen, wurde von der CNIL jedoch ebenfalls mitberücksichtigt. Die CNIL sieht sich zuständig, da die Cookies von französischen Nutzern auf franzözischen Endgeräten hinterlegt wurden und deshalb der One-Stop-Mechanismus nicht zur Anwendung kommt. Ob diese Argumentation vor Gerichten standhalten wird, wird sich in den nächsten Jahren, nach mehreren Gerichtsinstanzen endgültig zeigen. Jedoch lässt sich festhalten, dass die erste Strafe der CNIL gegen Google (50 Millionen EUR) bereits vor Gericht standgehalten hat. Fun Fact zu diesem Fall: Die CNIL hat hierbei einen Tag vor dem Umzug von Google nach Ireland entschieden, damit nicht die irische Datenschutzbehörde "(un)zuständig" wird.