Die belgische Aufsichtsbehörde De Geschillenkamer van de Gegevensbeschermingsautoritei verhängte über ein Unternehmen eine Strafe in Höhe von EUR 15.000,-, nachdem das Unternehmen trotz zweimaliger Aufforderung die Webseite nicht datenschutzkonform gestaltete. Es handelt sich dabei um eine Webseite, die auf juristische Nachrichten spezialisiert ist (behauptete monatliche Reichweite: 35.000 Leser).
Die Datenschutzerklärung, der zugehörige Informationsbanner sowie der Einsatz von Cookies waren nicht datenschutzkonform – und dies, obwohl die Behörde dem Unternehmen dahingehende Anweisungen zum Setzen von Maßnahmen erteilt hatte.
Nachstehend ein Auszug jener Themenbereiche, die nach Ansicht der Aufsichtsbehörde nicht DSGVO-konform waren und zur Strafe führten:
Die Aufsichtsbehörde monierte hinsichtlich der Datenschutzerklärung unter anderem:
- dass die Datenschutzerklärung auf der Website nur in englischer Sprache verfügbar war, obwohl die Website an ein niederländisch- und französischsprachiges Publikum gerichtet ist.
- dass die Informationen für die betroffenen Personen nicht leicht zugänglich gemacht wurde sowie nicht über den Verantwortlichen, nicht über die Zwecke und nicht über die Rechtsgrundlagen aufgeklärt wurde.
- dass auf das „US-Datenschutzrecht“ verwiesen wurde.
- dass in der Datenschutzerklärung festgehalten wurde, dass die IP Adresse kein personenbezogenes Datum sei und daher kein Zweck der Erhebung, keine Rechtsgrundlage und keine Speicherdauer anzuführen sei.
- dass der Datenschutzerklärung nicht zu entnehmen war, welche Rechte den Betroffenen zustehen, wie lange die Daten gespeichert werden und auf die niederländische Aufsichtsbehörde verwiesen wurde, die für den belgischen Verantwortlichen aber nicht zuständig ist.
Zudem wurde nach Ansicht der Aufsichtsbehörde in den ersten beiden Versionen der Webseite nicht um Zustimmung für die Verwendung von Cookies gebeten, weder für „First-Party“- Analyse Cookies, also Cookies, die der Verantwortliche selbst setzt, noch für beispielsweise Google Analytics Cookies („Third-Party Cookies“). Das Argument des Verantwortlichen, dass der Einsatz von First-Party Analyse Cookies zur Vertragserfüllung und aus berechtigtem Interesse zwingend notwendig sei, ließ die Aufsichtsbehörde nicht gelten – bei Einsatz von Analysetools ist stets die Zustimmung der betroffenen Person einzuholen.
Auch der Cookie-Banner war nach Ansicht der Aufsichtsbehörde nicht DSGVO-konform. Dieser lautete sinngemäß: „Vielen Dank, dass Sie die Website besuchen wollen. Wir verwenden andere Cookies zu Analysezwecken. Sie können sie ablehnen, wenn Sie wollen. Mehr Informationen.“, ohne darauf näher einzugehen, wie eine Ablehnung zu diesem Zeitpunkt möglich ist.
Diese Entscheidung – die im Detail komplex ist und weit mehr Themenbereiche anspricht, als hier überblicksartig dargestellt werden kann – zeigt klar, dass die Anforderungen an einen datenschutzrechtlich korrekten Onlineauftritt hoch sind und konstant überarbeitet werden müssen. Dies gilt insbesondere für die Formulierung und Platzierung der Datenschutzerklärung sowie den Einsatz von Cookies und Ausgestaltung des Cookie Banners.
Entscheidung der belgischen Aufsichtsbehörde (in belgischer Sprache)