Frankreich verfolgt die lästigen Online-Tracker, die als Cookies bekannt sind – und zeigt der Welt, dass es keine Angst hat, seine Muskeln gegen Big Tech zu spielen.
Mit der Ankündigung von Geldstrafen in Höhe von 150 Millionen Euro für Google und 60 Millionen Euro für Facebook am frühen Donnerstag ging die französische Datenschutzbehörde CNIL viel weiter als andere EU-Wachhunde, um die Tracker einzudämmen, die es Werbetreibenden ermöglichen, Menschen mit maßgeschneiderten Anzeigen anzusprechen, während sie sich im Internet bewegen.
Die Geldbußen – erstmals von POLITICO gemeldet und erhoben, weil es französischen Benutzern nicht ermöglicht wurde, Cookies einfach abzulehnen – kamen, nachdem die CNIL Anfang 2021 die Bekämpfung der Tracking-Technologie zu einer vorrangigen Priorität erklärt hatte. Cookies, die Tracking-Tools, die für irritierende Pop-ups und Anzeigen zur Einwilligung verantwortlich sind die Ihnen im Internet folgen, werden regelmäßig als die Geißel des Internets verschrien, die Paris zu beseitigen gelobt hat.
Von Europas Flaggschiff-Datenschutz-Grundverordnung daran gehindert, aufgrund des Durchsetzungsmechanismus dieses Regelwerks direkt gegen einige der größten Akteure des Internets vorzugehen, hat sich der französische Wachhund entschieden, einen anderen Satz von EU-Datenschutzvorschriften zu verwenden, um weit verbreitete Cookie-Praktiken einzudämmen.
Gemäß der e-Privacy-Richtlinie steht es der CNIL frei, direkt gegen Unternehmen vorzugehen, die ansonsten von der irischen Datenschutzkommission beaufsichtigt würden, da die DSGVO dem Land, in dem das Unternehmen rechtmäßig niedergelassen ist, die vorrangige Durchsetzungsbefugnis einräumt. Viele Technologieunternehmen haben ihre EU-Stützpunkte in Dublin.
„Dieses Thema ist in diesem Jahr wirklich eine Priorität unserer Kontrollpolitik, und bei Bedarf könnten diesen Kontrollen formelle Mitteilungen folgen, öffentlich oder nicht, und finanzielle Sanktionen, öffentlich oder nicht“, sagte CNIL-Chefin Marie-Laure Denis zuletzt in einem Interview Jahr.
Als Teil dieser Bemühungen hat der Watchdog bereits fast 350 Millionen Euro an Geldstrafen gegen Big Tech verhängt (erneut eine Geldstrafe gegen Google und Ende 2020 gegen Amazon verhängt) und mehr als 90 Unternehmen vor der Nichteinhaltung der Cookie-Regeln gewarnt. Bisher übertrifft das Irlands Gesamtstrafe von etwas mehr als 225 Millionen Euro gegen Big Tech, die in Form von Strafen für Twitter und WhatsApp wegen DSGVO-Verstößen verhängt wurden.
Die französische Regulierungsbehörde hat sich bisher auf zwei wichtige Verstöße konzentriert: Benutzer können Cookies nicht so einfach wie möglich ablehnen und Cookies automatisch auf den Geräten der Benutzer platzieren, bevor sie überhaupt die Möglichkeit haben, sie zu akzeptieren oder abzulehnen. Dies sind weit verbreitete Verstöße im Internet, aber bisher scheint nur die CNIL ernsthaft daran zu denken, sie zu bekämpfen.
Das energische Vorgehen der CNIL sorgt für Aufsehen.
„Ich denke, die CNIL demonstriert ihre Führungsrolle in dieser Angelegenheit, indem sie gegen größere Technologieunternehmen vorgeht“, sagte Pat Walshe, ein Cookies-Experte.
Er fügte hinzu, dass die Regulierungsbehörde eine Botschaft aussende, dass „jetzt eine Änderung notwendig ist“ und Unternehmen antreibe, es besser zu machen.
In ähnlicher Weise sagte Floor Terra, ein Datenschutzberater, der früher bei der niederländischen Datenschutzbehörde arbeitete, dass Frankreich bei der Durchsetzung von Cookie-Regeln „eindeutig voraus“ sei.
Ungleiche Befugnisse
Um fair gegenüber anderen europäischen Datenschutzbehörden zu sein, haben nicht alle die gleichen Befugnisse wie die Franzosen in Bezug auf Cookies.
Während die DSGVO den europäischen Datenschutzbehörden nahezu identische Durchsetzungsbefugnisse einräumt, wird die e-Privacy-Richtlinie, mit der die CNIL gegen Cookies vorgeht, im gesamten Block unterschiedlich durchgesetzt, da sie noch aktualisiert werden muss, um sie an die DSGVO.
Spanien beispielsweise hat ebenfalls ein beeindruckendes Vorgehen gegen Cookies eingeleitet, aber seine Datenschutzbehörde kann nicht hoffen, dass Frankreichs schlagzeilenträchtige Aktion mithalten kann: Die Höchststrafe, die es verhängen kann, ist ein Bruchteil der Strafe, die die CNIL verhängen kann.
Die irische Datenschutzkommission – die mit der Durchsetzung der DSGVO gegen die Mehrheit der großen Technologieunternehmen, darunter Facebook, Google und Apple – beauftragt ist, wird durch ihre Version der e-Privacy-Regeln noch weiter lahmgelegt.
Die Dubliner Regulierungsbehörde kann keine Geldbußen direkt verhängen. Sie kann nur einen Vollstreckungsbescheid erlassen, der von einem Gericht angenommen werden muss, bevor er in eine Geldbuße umgewandelt werden kann. Die französische CNIL konnte direkt gegen Google und Facebook vorgehen, gerade weil sie im Rahmen der französischen Umsetzung der e-Privacy-Regeln über starke Bußgeldbefugnisse verfügt. Wäre der Fall unter die DSGVO gestellt worden, hätte Paris aufgrund des One-Stop-Shop-Mechanismus die Durchsetzung an Dublin übergeben müssen.
In einigen Gerichtsbarkeiten kann die Datenschutzbehörde überhaupt keine Cookie-Regeln durchsetzen, da die e-Privacy von einer anderen Regulierungsbehörde wie der Telekommunikationsbehörde verwaltet wird.
Für Walshe zeigt der gebrochene Ansatz für Cookies im gesamten Block die Notwendigkeit, die E-Privacy-Regeln zu aktualisieren. Eine e-Privacy-Verordnung sollte 2018 zusammen mit der DSGVO online gehen, wurde jedoch aufgrund anhaltender Meinungsverschiedenheiten zwischen den Abgeordneten und den nationalen Hauptstädten über wichtige Aspekte des Dossiers in der EU-Regelungsmaschine blockiert.
Im Privaten sagen einige EU-Beamte, dass eine aktualisierte e-Privacy-Verordnung möglicherweise nie das Licht der Welt erblickt, da andere digitale Regelwerke jetzt als wichtiger angesehen werden.
Frankreich, das jetzt die rotierende EU-Ratspräsidentschaft innehat, drängt nicht darauf, die e-Privacy über die Linie zu bringen. Beamte sagten, das Gesetz habe keine Priorität und es sei unwahrscheinlich, dass es während der sechsmonatigen Präsidentschaft abgeschlossen wird.
„Das zeigt die Notwendigkeit einer Regulierung. [e-Privacy] befindet sich jetzt im Trilog, und die Franzosen haben jetzt die Präsidentschaft für die nächsten sechs Monate. Sie sollten es vereinbaren“, sagte Walshe.
Willst du mehr Analyse von POLITIK? POLITIK Pro ist unser Premium Intelligence Service für Profis. Von Finanzdienstleistungen bis hin zu Handel, Technologie, Cybersicherheit und mehr bietet Pro Echtzeit-Intelligenz, tiefe Einblicke und bahnbrechende Erkenntnisse, die Sie benötigen, um einen Schritt voraus zu sein. Email [email protected] um eine kostenlose Testversion anzufordern.