Cookie-Consent ist Voraussetzung nachgelagerter Verarbeitung

Die spanische Datenschutzaufsicht AEPD hat erneut deutlich gemacht, dass Fehler beim Cookie-Consent nicht auf die technische Ebene des Setzens oder Auslesens von Cookies beschränkt bleiben. Werden Cookies zu Werbezwecken ohne wirksame Einwilligung eingesetzt, kann dies auch die spätere Verarbeitung der daraus gewonnenen personenbezogenen Daten rechtswidrig machen. Im konkreten Fall verhängte die AEPD gegen ein Werbenetzwerk eine Geldbuße von zunächst 120.000 Euro. Nach Anerkennung der Verantwortlichkeit und freiwilliger Zahlung reduzierte sich der Betrag auf 72.000 Euro.

Was ist passiert?

Betroffen war ein Unternehmen, das als Werbenetzwerk zwischen Publishern und Werbetreibenden agierte. Über seine Plattform wurden Anzeigen auf Webseiten Dritter ausgeliefert. Dabei wurden unter anderem technische Informationen, IP-Adressen, Geräte- und Browserdaten, URLs, Referrer-Informationen sowie Interaktionsdaten wie Klicks und Impressionen verarbeitet.

Das Unternehmen stützte sich für verschiedene Verarbeitungszwecke auf berechtigte Interessen. Dazu zählten die Auslieferung von Werbung, die Messung der Werbeleistung, die Betrugsprävention und die Verbesserung der Dienste. Zugleich verwies es darauf, dass nicht es selbst, sondern die Publisher für die Einholung der erforderlichen Cookie-Einwilligungen auf den jeweiligen Webseiten zuständig seien.

Die AEPD folgte dieser Argumentation nicht. Aus Sicht der Behörde fehlte es bereits an einer wirksamen vorherigen Einwilligung für das Speichern und Auslesen der Cookies auf den Endgeräten der Nutzer. Da die anschließende Verarbeitung auf genau diesen rechtswidrig gewonnenen Daten beruhte, konnte sie auch nicht nachträglich über berechtigte Interessen legitimiert werden.

Einwilligung als Voraussetzung für Werbe-Cookies

Für Cookies und vergleichbare Technologien gilt zunächst das ePrivacy-Gesetzgebung, in Spanien umgesetzt über Art. 22.2 LSSI. Danach ist für nicht technisch erforderliche Cookies regelmäßig eine vorherige, informierte und aktive Einwilligung erforderlich. Dies entspricht auch der Linie des EuGH in der Planet49-Entscheidung: Eine wirksame Cookie-Einwilligung darf nicht fingiert werden und setzt eine eindeutige aktive Handlung voraus.

Gerade bei Werbe-, Tracking- oder Analyse-Cookies reicht es daher nicht aus, pauschal auf berechtigte Interessen zu verweisen. Das berechtigte Interesse kann die Einwilligung für das Speichern oder Auslesen im Endgerät nicht ersetzen.

Spätere Verarbeitung ebenso rechtswidrig

Der zentrale Punkt der Entscheidung liegt in der Verbindung zwischen ePrivacy-Recht und DSGVO. Die AEPD trennt zwar formal zwischen dem Zugriff auf das Endgerät und der späteren Verarbeitung personenbezogener Daten. Sie macht aber deutlich: Wenn die Daten bereits ohne die erforderliche Cookie-Einwilligung erhoben wurden, fehlt auch der späteren Verarbeitung die tragfähige Grundlage.

Das Unternehmen konnte sich daher nicht erfolgreich auf Art. 6 Abs. 1 lit. f DSGVO berufen. Nach Auffassung der AEPD fehlte es unter anderem an einer vernünftigen Erwartung der Nutzer, dass ihre Daten ohne klare vorherige Zustimmung durch ein Dritt-Werbenetzwerk zu Werbezwecken verarbeitet werden. Zudem belastete der vorgelagerte Verstoß gegen die Cookie-Vorgaben die anschließende Interessenabwägung erheblich.

Diese Argumentation entspricht der Linie der EDSA-Cookie-Banner-Taskforce. Danach kann eine nachgelagerte Verarbeitung regelmäßig nicht DSGVO-konform sein, wenn schon das Speichern oder Auslesen der Cookies gegen Art. 5 Abs. 3 ePrivacy-Richtlinie bzw. die jeweilige nationale Umsetzung verstößt.

Fazit

Die Entscheidung zeigt, dass Consent-Banner nicht nur ein formales Interface-Thema sind. Wer Cookies zu Werbe- oder Trackingzwecken einsetzt, muss sicherstellen, dass die Einwilligung wirksam eingeholt wird, bevor Daten erhoben und weiterverarbeitet werden.

Für Werbenetzwerke, Publisher und andere AdTech-Akteure ist besonders relevant: Die Verantwortung lässt sich nicht ohne Weiteres auf andere Beteiligte verlagern. Wer personenbezogene Daten aus Cookie-basierten Prozessen verarbeitet, muss prüfen, ob die vorgelagerte Einwilligung tatsächlich tragfähig ist. Andernfalls kann nicht nur das Setzen oder Auslesen der Cookies rechtswidrig sein, sondern auch die gesamte darauf aufbauende Datenverarbeitung.

Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?

Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können. 

Jetzt unverbindliches Angebot anfordern