Rechtsbeobachtung Nr. 86 – August 2025. 

 

Cookies und Internet-Nutzer-Targeting: Aktueller Stand.

Am 1. September verhängte die CNIL eine Geldstrafe von 325 Millionen Euro gegen Google und 150 Millionen Euro gegen die irische Tochtergesellschaft der Shein-Gruppe. Diese beiden Beträge werden den Durchschnitt der von der CNIL in den letzten Monaten verhängten Sanktionen deutlich erhöhen.

Google wurde sanktioniert, weil es ohne die gültige Zustimmung der französischen Nutzer Werbung zwischen den E-Mails der Gmail-Nutzer einblendete und beim Erstellen von Google-Konten Cookies platzierte.

Die CNIL verlangt außerdem von Google, diese Anzeigenschaltung innerhalb von sechs Monaten zu entfernen und bei der Erstellung eines Google-Kontos eine gültige Einwilligung der Nutzer zur Platzierung von Werbe-Cookies einzuholen, andernfalls droht eine Geldstrafe von 100.000 Euro pro Tag. 

Die gegen Shein verhängte Geldstrafe steht auch im Zusammenhang mit der Nichteinhaltung der Regeln für Cookies, die hier auf den Geräten der Nutzer platziert werden, die die Website "shein.com" besuchen.

Diese beträchtlichen Geldstrafen sind Teil der verschiedenen Maßnahmen, die die Kommission zur Regulierung der Verfolgung und gezielten Ansprache von Internetnutzern ergriffen hat und die im Jahr 2019 auf ihrer Website veröffentlicht wurden.

Die CNIL hatte Google bereits im Dezember 2021 mit einer Geldstrafe von 150 Millionen Euro wegen Verstoßes gegen die Cookie-Vorschriften und mit weiteren 50 Millionen Euro wegen mangelnder Transparenz und Klarheit seiner Datenschutzrichtlinie sowie des Fehlens einer Rechtsgrundlage für personalisierte Werbung belegt.

Kürzlich wurde auch das Unternehmen Orange wegen ähnlicher Praktiken beim Versenden von Werbung in Form von E-Mails sanktioniert.

Diese Entscheidungen geben uns die Möglichkeit, die Praktiken der gezielten Ansprache von Internetnutzern und den rechtlichen Rahmen zu überprüfen.

Die für die einzelnen Fälle geltenden Regeln sind spezifisch: Die Kommission weist darauf hin, dass Vorgänge im Zusammenhang mit der Verwendung von Trackern und der elektronischen Kundenansprache nicht unter die DSGVO, sondern unter andere Regelungen fallen: die „ePrivacy“-Richtlinie, die in Artikel 82 des Datenschutzgesetzes für Tracker umgesetzt wurde, und L. 34-5 der CPCE für die kommerzielle Kundenansprache mit elektronischen Mitteln.

Bei den als nicht konform geltenden Praktiken handelt es sich hauptsächlich um die Platzierung von Trackern ohne Zustimmung des Nutzers, aber auch um die zunehmende Praxis der Verwendung von „Cookie-Walls“, die den Zugang des Nutzers zu einem Dienst von seiner Zustimmung zur Platzierung von Trackern auf seinem Endgerät abhängig machen.

Die CNIL betrachtet diese Praxis im Gegensatz zu einigen ihrer europäischen Pendants nicht als an sich illegal.

Sie betont jedoch, dass die Zustimmung freiwillig erfolgen muss und dass die dem Nutzer angebotenen Alternativen in ausgewogener Weise präsentiert werden müssen, ohne ihn dazu zu ermutigen, die eine Option der anderen vorzuziehen (zum Beispiel, indem eine Wahlmöglichkeit komplexer gestaltet wird als die andere).

Es ist außerdem erforderlich, dass die Einwilligung auf Information beruht, das heißt, dass die Menschen die Konsequenzen ihrer Entscheidungen vollständig und klar verstehen.

Diese Entscheidungen der CNIL sind auch der Höhepunkt von Beschwerden, die die NGO noyb vor mehr als zwei Jahren bei zahlreichen Datenschutzbehörden in Europa eingereicht hat, hauptsächlich im Zusammenhang mit dem Phänomen der Cookie-Walls oder Pay or Okay und der Frage der Transparenz bei der Datenerhebung.

So schloss sich das österreichische Bundesverwaltungsgericht Mitte August der Auffassung der österreichischen Datenschutzbehörde an und vertrat die Ansicht, dass das Vorhandensein mehrerer Zwecke für die Platzierung von Cookies eine gesonderte Einwilligung erfordert.

Nach Ansicht des Gerichts würde die Zusammenfassung verschiedener Verarbeitungszwecke die Entscheidungsfreiheit beeinträchtigen und die Einwilligung ungültig machen.

„Diese Detailtiefe steht in engem Zusammenhang mit der Voraussetzung, dass die Einwilligung für einen bestimmten Zweck erteilt werden muss“, heißt es in der Urteilsbegründung.

Diese jüngsten Entwicklungen bestätigen die Position der Aufsichtsbehörden, dass der Rechtsrahmen und insbesondere die ePrivacy-Richtlinie strikt für die Einwilligung gilt, insbesondere bei nicht unbedingt notwendigen Cookies.

Die Behörden dulden keine „Standard“-Einwilligungen oder unklare Informationsschnittstellen mehr.

       

Er wurde diesen Sommer vom Senat befragt. Anton Carniaux, Leiter der Abteilung für Öffentlichkeitsarbeit und Recht bei Microsoft Frankreich, räumte ein, dass er nicht „garantieren“ könne, dass die Daten französischer Staatsbürger, die in Europa gespeichert sind, niemals an die amerikanische Regierung übermittelt würden. gemäß dem Cloud Act, obwohl „dies noch nie vorgekommen ist“.

In diesem Kontext der Abhängigkeit von amerikanischen Konzernen hat die dänische Regierung den offiziellen Start einer Initiative angekündigt, um die Integration von Open-Source-Lösungen in ihre öffentlichen Dienste zu bewerten.

Am 9. September veröffentlichten die DGE und die DGCCRF den Entwurf der Benennung der nationalen Behörden, die für die Umsetzung der europäischen Verordnung über KI zuständig sind.

Das Dokument enthält ein Diagramm, das die – zahlreichen – zuständigen Behörden gemäß den einschlägigen Artikeln der Verordnung und den Zwecken der KI-Verarbeitung aufzeigt.

Dank der Arbeit des stellvertretenden Leiters der DINUM-Rechtsmission ist es nun möglich, die Karte der CNIL-Kontrollen nach Jahr und Tätigkeitsbereich einzusehen.

Die Kartierung konzentriert sich auf diese Kontrollen und umfasst nicht alle Maßnahmen der CNIL, wie z. B. Sensibilisierungskampagnen vor Ort, formelle Mitteilungen, Sanktionen usw.

Es basiert auf den Daten, die die CNIL auf data.gouv veröffentlicht.

 

Europäische Institutionen und Gremien

Die europäischen Nachrichten sind zu dieser Jahreszeit aufgrund der Aktivität der Institutionen und insbesondere des Gerichtshofs der Europäischen Union (EuGH) sehr geschäftig.

Der Vorschlag für eine Verordnung zur Kontrolle der Kommunikation („Chat-Kontrolle“), die darauf abzielt, sexuellen Missbrauch an Kindern zu verhindern und zu bekämpfen, steht unter dänischer Präsidentschaft erneut auf der Tagesordnung des Europäischen Rates vom 12. September 2025.

Der überarbeitete Vorschlag sieht die Möglichkeit vor, Kommunikationen auf dem Endgerät des Nutzers zu scannen, bevor sie versendet werden, und stellt in den Augen vieler Wissenschaftler und der Zivilgesellschaft einen Rückschritt gegenüber dem Text der polnischen Präsidentschaft dar.

Am 8. September wurde ein neuer offener Brief (der vierte zu diesem Thema) veröffentlicht, der von mehr als 600 Wissenschaftlern aus 34 Ländern unterzeichnet wurde.

Sie hebt die Ineffizienz und die Risiken dieses Vorschlags im Hinblick auf die Verschlüsselung hervor und nennt mögliche Alternativen.

Am 4. September leitete die Europäische Kommission das Verfahren zur Verabschiedung eines Angemessenheitsbeschlusses für den Datenschutz mit Brasilien ein.

Nach ihrer Verabschiedung wird diese Entscheidung die erste Angemessenheitsentscheidung für Lateinamerika seit den Entscheidungen zu Argentinien am 3. Juni 2003 und Uruguay am 21. August 2012 sein.

Die brasilianischen Behörden haben außerdem ein Verfahren eingeleitet, das darauf abzielt, eine gleichwertige Entscheidung zu treffen, um den freien Fluss brasilianischer Daten in die EU zu ermöglichen.

Die nächsten Schritte umfassen die Vorlage des Entscheidungsentwurfs zur Überprüfung an den Europäischen Datenschutzausschuss (EDPB) und an den Ministerrat, der die EU-Mitgliedstaaten vertritt.

Das Europäische Parlament wird den Vorschlag ebenfalls prüfen.

Am 5. September Die Europäische Kommission hat angekündigt, Google mit einer Geldstrafe von 2,95 Milliarden Euro zu belegen. wegen Verstoßes gegen EU-Kartellrecht durch Wettbewerbsverzerrung im Werbetechnologiesektor („Adtech“).

Google soll seine eigenen Online-Werbetechnologie-Dienstleistungen auf Kosten konkurrierender Werbetechnologie-Dienstleister, Werbetreibender und Online-Verlage bevorzugt haben.

Die Kommission ordnete an, dass Google diese Praktiken der Selbstbegünstigung beenden und Maßnahmen ergreifen müsse, um die in seiner Adtech-Lieferkette inhärenten Interessenkonflikte zu beseitigen.

Google hat nun 60 Tage Zeit, die Kommission darüber zu informieren, wie es weiter vorgehen will.

Diese Sanktion rief eine sofortige Reaktion der Vereinigten Staaten hervor, wobei Donald Trump seine Absicht bekundete, Vergeltungsmaßnahmen gegen die EU zu ergreifen.

Am 3. September erließ die Kommission in ihrer Entscheidung T-553/23 | Latombe gegen Kommission Der Gerichtshof der Europäischen Union hat die Klage des Europaabgeordneten Philippe Latombe abgewiesen, mit der dieser die Aufhebung der dritten Fassung des Abkommens über den Datentransfer zwischen der EU und den Vereinigten Staaten erreichen wollte. der Data Protection Framework (DPF), da die Vereinigten Staaten "ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten".

Herr hob insbesondere hervor, dass das amerikanische Berufungsgremium, der „Data Protection Review Court“ (DPRC), nicht unparteiisch sei und von der Exekutive abhängig sei.

Er wies auch auf die Praxis von Geheimdiensten hin, massenhaft personenbezogene Daten aus der Europäischen Union zu sammeln, ohne vorherige Genehmigung eines Richters oder einer unabhängigen Verwaltungsbehörde und daher ohne ausreichend klare und präzise Richtlinien.

Das Gericht weist den Antrag auf Annullierung zurück.

Er betont, dass die Tätigkeit des DPRC einer Reihe von Schutzmaßnahmen unterliegt, dass die Europäische Kommission die Anwendung des DPF überwacht und dass es für ausreichend erachtet wird, dass die von amerikanischen Behörden durchgeführten Geheimdiensttätigkeiten einer nachträglichen gerichtlichen Überprüfung durch das DPRC unterliegen.

Gegen die Entscheidung des Gerichtshofs der EU kann beim EuGH Berufung eingelegt werden, und der Abgeordnete Philippe Latombe hat bereits seine Absicht bekundet, eine solche Berufung einzulegen.

Am 4. September hob der EuGH in einem wichtigen Urteil (Rechtssache C-413/23 P | EDPB/CRU) eine Entscheidung des Europäischen Gerichtshofs für Menschenrechte in Bezug auf den Begriff der personenbezogenen Daten auf.

Es handelt sich um eine Entscheidung über die Berufung des Europäischen Datenschutzbeauftragten (EDPS) gegen das Urteil des EU-Gerichtshofs, mit dem dessen Entscheidung aus dem Jahr 2020 für nichtig erklärt wurde.

In dieser Entscheidung kam der EDPS zu dem Schluss, dass der Einheitliche Abwicklungsausschuss (SRB) der Europäischen Union gegen die DSGVO europäischer Institutionen verstoßen hat, indem er die Stellungnahmen von Gläubigern und Aktionären zum Konkursverfahren einer spanischen Bank an eine Wirtschaftsprüfungsgesellschaft weiterleitete.

Der EuGH ist der Ansicht, dass persönliche Meinungen von Einzelpersonen personenbezogene Daten darstellen und dass das Gericht sie als solche hätte behandeln müssen.

Sie ist außerdem der Ansicht, dass das Risiko der Re-Identifizierung im Zusammenhang mit der Verarbeitung und Übermittlung personenbezogener Daten zum Zeitpunkt der Erhebung von Fall zu Fall bewertet werden muss und dass das Gericht einen Fehler begangen hat, indem es die ursprüngliche Entscheidung des Europäischen Datenschutzausschusses aufgehoben hat, unter anderem weil es nicht festgestellt hatte, ob der Inhalt der pseudonymisierten Kommentare tatsächlich personenbezogene Daten enthielt.

Der EuGH gab jedoch der CRU in der Frage Recht, unter welchen Bedingungen pseudonymisierte Daten auch als personenbezogene Daten gelten können, und schrieb in seiner Entscheidung, dass „Pseudonymisierte Daten sollten nicht in allen Fällen und für jede Person als personenbezogene Daten im Sinne der Anwendung der DSGVO angesehen werden.“ Insofern die Pseudonymisierung je nach den Umständen des Einzelfalls andere Personen als den Verantwortlichen wirksam daran hindern kann, die betroffene Person zu identifizieren, sodass die betroffene Person für diese Personen nicht oder nicht mehr identifizierbar ist.

In einem weiteren Urteil vom 4. September (Urteil C 655/23, IP gegen Quirin Privatbank AG) entschied der Gerichtshof über das Bestehen eines Rechts auf einstweilige Verfügung gegen den Verantwortlichen und über das Ausmaß des immateriellen Schadens.

Der Gerichtshof ist der Ansicht, dass die DSGVO keinen präventiven Rechtsbehelf gegen künftige unrechtmäßige Datenverarbeitung vorsieht, dass die Mitgliedstaaten dies jedoch vorsehen können.

Sie stellte außerdem klar, dass Gefühle wie Demütigung oder Sorge ausreichen können, um einen moralischen Schaden zu begründen, sofern entsprechende Beweise erbracht werden.

Sie fügt hinzu, dass die Schwere des Verschuldens des Datenverantwortlichen oder der Erhalt einer einstweiligen Verfügung keinen Einfluss auf die Höhe der Entschädigung haben sollte, die ausschließlich kompensatorischer Natur bleibt.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

In Deutschland urteilte das Bundesarbeitsgericht, dass ein Arbeitgeber die Gesundheitsdaten eines Arbeitnehmers unrechtmäßig verarbeitet hatte, indem er ihn überwachte, um zu überprüfen, ob er seine Arbeitsunfähigkeit vortäuschte.

Sie sprach der Angestellten außerdem 1500 € als immateriellen Schadenersatz zu.

Die belgische Datenschutzbehörde (APD) hat einen Politiker gerügt, der die E-Mail-Adresse einer Person aus einer öffentlichen Quelle gesammelt und ihr politische Nachrichten geschickt hat, was gegen die Grundsätze der DSGVO der Rechtmäßigkeit, Zweckbindung und Transparenz verstößt.

In Spanien wurde Loro Parque, ein Unternehmen, das einen Zoo und einen Wasserpark betreibt, von der APD mit einer Geldstrafe von 250.000 € belegt, weil es ohne vorherige Information oder Zustimmung Fingerabdrücke gesammelt hatte: Die betroffenen Personen mussten ihre Fingerabdrücke abgeben, wenn sie Aktionstickets besaßen, die ihnen mit einem einzigen Ticket Zugang zu beiden Parks gewährten.

Darüber hinaus verhängte die APD eine Geldstrafe von 500.000 Euro gegen die spanische Handelskammer, weil diese die Steueridentifikationsnummern von Selbstständigen ohne Rechtsgrundlage an private Unternehmen weitergegeben hatte.

In Italien verhängte die APD eine Geldstrafe von 50.000 € gegen ein Automobilunternehmen.

Letztere hatte nach der Abwesenheit ihrer Mitarbeiter „Rückkehrgespräche mit ihnen“ geführt, was zu einer übermäßigen Datenerhebung, einschließlich sensibler Daten, führte.

Die APD weist außerdem auf einen Verstoß gegen die Grundsätze der Transparenz und der Gültigkeit der Einwilligung der Mitarbeiter hin.

Die litauische Datenschutzbehörde (DPA) hat Vinted angewiesen, die Erfassung der Telefonnummern seiner Kunden zum Zwecke der Kontoverifizierung einzustellen.

Sie war zunächst der Ansicht, dass die von Vinted angeführten Gründe, nämlich die Überprüfung der Benutzerkonten und die Gewährleistung der Sicherheit der Plattform, keinen wesentlichen Bestandteil des Vertrags zwischen dem Datenverantwortlichen und der betroffenen Person darstellten.

Sie merkte außerdem an, dass in den Nutzungsbedingungen andere mögliche Mittel zur Überprüfung der Identität eines Nutzers genannt würden und dass die Verarbeitung personenbezogener Daten daher nicht dem in Artikel 6 Absatz 1 Buchstabe b der DSGVO festgelegten Erforderlichkeitskriterium entspreche.

Der Oberste Verwaltungsgerichtshof der Niederlande urteilte, dass eine Einrichtung für psychische Gesundheit nicht verpflichtet sei, einer Aufforderung zur Löschung von Daten nachzukommen.

Die Datenaufbewahrung war aufgrund des Behandlungsvertrags und für die Verwaltung der Dienstleistungen der Einrichtung erforderlich.

In Polen wurde die ING Bank Śląski mit einer Geldstrafe von 4.300.000 € belegt, weil sie Ausweisdokumente ohne legitimen Grund oder Risikobewertung gescannt hatte..

Die APD stellte fest, dass die Bank sensible Daten, darunter PESEL-Nummern und Dokumentendetails, unnötigerweise verarbeitet hatte und damit gegen den in den Geldwäschebestimmungen vorgeschriebenen risikobasierten Ansatz verstoßen hatte.

 

China verschärft seine Vorschriften für Datentransfers ins Ausland.

Die Shanghaier Niederlassung von Dior wird von den chinesischen Sicherheitsbehörden beschuldigt, Kundendaten illegal an die Zentrale in Frankreich übermittelt zu haben, ohne die vorgeschriebenen Sicherheitsbewertungen, Benutzerbenachrichtigungen und Verschlüsselungsvorschriften einzuhalten.

Die Filiale wurde mit einer Verwaltungsstrafe belegt.

In den Vereinigten Staaten schickten 44 Generalstaatsanwälte einen Brief an 13 KI-Unternehmen, darunter OpenAI, CharacterAI, Replika und Meta, in dem sie diese darüber informierten, dass sie zur Verantwortung gezogen würden, wenn sie Kindern Schaden zufügten.

Der Brief hebt die jüngsten Enthüllungen über die technischen Richtlinien von Meta für Meta AI und die Chatbots von Facebook, WhatsApp und Instagram hervor.

Dieses von den Rechts-, Politik- und Technikabteilungen des Unternehmens genehmigte Dokument ermächtigt Chatbots, Kinder zu romantischen oder verführerischen Gesprächen mit dem Chatbot einzuladen, einschließlich Kommentaren zum Aussehen der Kinder sowie Rollenspielszenarien.

Im Blog „Tech Community“ von Microsoft wurde Ende August bekannt gegeben, dass das neueste Update von MS Word für Windows die Word-Dateien der Benutzer standardmäßig automatisch in der Cloud (OneDrive) speichert.

Microsoft präsentiert dieses Update als Verbesserung in den Bereichen Sicherheit, Zugriff, Teamarbeit und Einsatz von KI.

Zwar können diese Einstellungen in den Word-Voreinstellungen geändert werden, doch das standardmäßige Hochladen von Dokumenten in eine amerikanische Cloud wirft Fragen im Zusammenhang mit der DSGVO auf, insbesondere hinsichtlich der Vertraulichkeit der Daten und der Zugänglichkeit dieser Daten durch US-amerikanische Behörden.

Die intelligenten Brillen „Halo“ geben Anlass zur Sorge unter KI-Experten.

L. Jarosvsky berichtet, dass diese neuen Brillen immer eingeschaltet sind, alles aufzeichnen und keinen Indikator haben, der die Träger darauf hinweist, dass sie aufgezeichnet werden.

In einem Interview mit TechCrunch wiesen die Gründer von Halo Berichten zufolge jede Verantwortung von sich und erklärten, dass es in US-Bundesstaaten, in denen das heimliche Aufzeichnen von Gesprächen ohne die Zustimmung der anderen Person illegal ist, Sache des Benutzers sei, diese Zustimmung vor der Verwendung der Brille einzuholen.