News

Ungarn: Datenschutzbehörde verhängt erstmalig ein Bußgeld für Website-Cookie-Management

05.05.2023

Ungarische Datenschutzbehörde verhängt erstmalig ein Bußgeld für Website-Cookie-Management

Bis vor kurzem wurde in den Nachrichten über Cookies nur über die gigantischen Bußgelder berichtet, die ausländische Datenschutzbehörden gegen Tech-Giganten (Google, Amazon, Meta) verhängt haben. Aus wirtschaftlichen Gründen setzen die Betreiber einfacher Websites ihre illegalen Praktiken bis zum letztmöglichen Zeitpunkt risikolos fort.

Dieser Zeitpunkt ist für die ungarischen Datenverantwortlichen nun gekommen, da die Nationale Behörde für Datenschutz und Informationsfreiheit (NAIH) kürzlich ihre erste und bisher einzige offizielle Entscheidung zum Cookie-Management veröffentlicht hat. Dass die NAIH ein relativ geringes Bußgeld von nur 10.000.000 HUF (ca. 25.000 €) verhängt hat, wird in der Entscheidung damit begründet, dass das niedrige Bußgeld dadurch gerechtfertigt sei, dass die ungarische Behörde zum ersten Mal eine Untersuchung zum Cookie-Management eingeleitet hat.

Es hat keinen Zweck, sich darauf zu berufen, dass es „alle machen“. Die NAIH betonte, dass die weite Verbreitung des Verstoßes ihn nicht legal mache. In diesem Zusammenhang wies die NAIH auch darauf hin, dass der Betrieb im Rahmen des IAB Europe nicht notwendigerweise eine Garantie für die Einhaltung der Vorschriften darstellt.

Die Behörde hat entschieden, dass es sich bei den in Cookies gespeicherten Informationen um personenbezogene Daten handelt, da sie einer Person eindeutige Kennungen zuweisen, um einen bestimmten Nutzer zu identifizieren.

Einige Aspekte der Verwendung von Cookies werden von der NAIH abgelehnt:

Es ist rechtswidrig, die Option „Alles ablehnen“ schwieriger zu gestalten als die Option „Alles akzeptieren“. Die Option „Alles akzeptieren“ war auf der ersten Ebene verfügbar (ein Klick), während die Option „Alles ablehnen“ nur auf der zweiten Ebene verfügbar war (zwei Klicks). Die Option „Widersprechen“, d. h. die Erlaubnis zur Platzierung von Cookies aus Gründen des berechtigten Interesses zu verweigern, war erst auf der dritten Ebene (nach mindestens drei Klicks) verfügbar. Wir weisen darauf hin, dass die französische Datenschutzbehörde CNIL im Dezember 2022 eine ähnliche Entscheidung getroffen hat: Sie verhängte gegen Microsoft eine Geldstrafe in Höhe von 60 Millionen Euro für seine Cookie-Management-Praktiken auf der Website bing.com, unter anderem mit der Begründung, dass die Zustimmung mit einem Klick möglich war, die Ablehnung jedoch zwei Klicks erforderte.

Die Informationen waren zu kompliziert und schwer zu lesen. Die Website zeigte zu viele Informationen über Cookies in einem unangemessen kleinen Bereich des Bildschirms und in einer Art und Weise an, dass nur wenige Zeilen auf einmal lesbar waren. Insgesamt entsprachen die bereitgestellten Informationen nicht der Datenschutzgrundverordnung. Die Angabe des Namens des für die Verarbeitung Verantwortlichen als „Wir und unsere Partner“ war selbst bei 754 Partnern nicht deutlich genug.

Missbräuchliche Berufung auf ein berechtigtes Interesse. Auf der Website wurde der Begriff „berechtigtes Interesse“ in irreführender Weise verwendet. Es ist unlauter, für Cookies, die auf einer Einwilligung beruhen, und für Cookies, die auf einem berechtigten Interesse beruhen, die gleichen Verarbeitungszwecke anzugeben. Im Falle von Cookies, die für das technische Funktionieren von Websites erforderlich sind, ist die Verwendung der Einwilligung als Rechtsgrundlage ausgeschlossen; der für die Verarbeitung Verantwortliche hat jedoch keine angemessene Interessenabwägung vorgenommen.

Datenübermittlung an Drittländer. In mehreren Fällen wurden die von den Cookies gesammelten Daten über die 754 benannten Partner an Drittländer übermittelt, ohne auf die Risiken der Datenübermittlung an Drittländer aufmerksam zu machen und die betroffenen Personen hierüber zu informieren.

Es ist erwähnenswert, dass auch zivile Organisationen aktiv zu Massenverfahren der Behörden gegen Websites und Apps beitragen können. So reichte beispielsweise die von dem österreichischen Aktivisten Maximilian Schrems geleitete NOYB im Sommer 2022 bei den nationalen Datenschutzbehörden fast 300 Beschwerden gegen Websites ein, die OneTrust-Cookie-Banner verwenden.

Es ist daher klar, dass Website-Betreiber jetzt letztmalig die Möglichkeit haben, die Cookie-Management-Praktiken und Cookie-Banner-Einstellungen ihrer Websites zu überprüfen, bevor das NAIH dies für sie tut.

Kontakt

Datenschutz
Corporate
Arbeitsrecht

Share

Alle anzeigen

Insights

LED Lichter Fensterfassade Cyber Risks
News

Masterplan Geothermie NRW vorgestellt – Vergabe- und subventions­rechtliche Rahmen­bedingungen der klima­neutralen Wärme­versorgung der Zukunft

18.04.2024
people shopping sun with pulse
News

Regulatory & Governmental Affairs – Europanews 2024

18.04.2024
horizontal escalator airport with pulse
News

Neu seit 15.03.2024: Streit­verkündungen in DIS-Schiedsverfahren – ­Die Ergänzenden Regeln für Streitverkündungen (DIS-ERS)

17.04.2024
mother board details with pulse
Briefing

KI und M&A: Chancen nutzen – Risiken managen

16.04.2024
balloon sky
News

EGMR entscheidet über drei „Klimaklagen“ – wegweisender Erfolg für zukünftige Klimaschutzklagen?

16.04.2024
car trails lights
News

Ein neuer verbindlicher Rechts­rahmen für die Lade­infrastruktur in Europa – EU-weites Inkrafttreten der AFIR und Veröffentlichung der Q&A durch die EU-Kommission

16.04.2024
binoculars sun with pulse
News

Russland-Sanktionen:­ Reporting­pflichten für EU-Banken konkretisiert

16.04.2024
Hand berührt LED-Wandbildschirm
News

Data Compliance Governance

16.04.2024
abstraktes Textilmuster
News

Rabatte und Boni wieder auf der Agenda der Kartell­behörden

15.04.2024