Die französische Aufsichtsbehörde CNIL hat eine Busse von nicht weniger als EUR 60 Mio. gegen Microsoft Ireland Operations Ltd. (MIOL) verhängt. Auf bing.com, der in Europa von MIOL betriebenen Microsoft-Suche, waren nicht notwendige Cookies gesetzt worden, ohne dass zuvor eine wirksame Einwilligung der Nutzer eingeholt worden wäre.
Zunächst hielt sich die CNIL wie schon in der damaligen Google-Sache für nicht unzuständig, weil für Verletzungen der e‑Privacy-Richtlinie anders als bei der DSGVO kein One-Stop-Shop vorgesehen ist. Die örtliche Zuständigkeit der CNIL folgte weiter aus der Niederlassung von Microsoft in Frankreich, der französischen Microsoft-Tochter, weil der Betrieb von Bing untrennbar mit den Tätigkeiten von Microsoft France verbunden waren (ähnlich wie beim Google Spain-Entscheid des EuGH und einem jüngeren Entscheid des französischen Conseil d’Etat in Sachen Amazon).
In der Sache stellte die CNIL fest, dass Microsoft auf Bing.com vor einer Einwilligung des Nutzers ein multifunktionales Cookie setzte. Bestimmte Zwecke wurden anschliessend durch Einwilligungen der Nutzer bestimmt oder ausgeschlossen – ohne Einwilligung diente das Cookie nur u.a. zu Zwecken der Betrugsbekämpfung, der IT-Sicherheit und dem Kampf gegen Falschinformationen.
Ein multifunktionales Cookie darf laut CNIL ohne Einwilligung gesetzt werden, wenn es mindestens einem notwendigen Zweck dient (und ohne Einwilligung nicht für andere Zwecke eingesetzt wird). Das sah die CNIL vorliegend als nicht als erfüllt an. Auch die Betrugsbekämpfung im Rahmen der Werbung war kein solcher Zweck, weil sie dem Werbegeschäft und nicht direkt dem Betrieb der Suchmaschine diene.
Was die Anforderungen an die Einwilligung betrifft, so müsse es ebenso einfach sein, die Einwilligung zu verweigern wie sie zu erteilen; andernfalls fehle es an einer echten Wahlmöglichkeit. Auch müsse der Widerruf einer Einwilligung so einfach sein wie ihr Ausdruck. Microsoft habe dagegen verstossen, weil neben dem Button für die Einwilligung in alle Cookies ein entsprechender Button “alles ablehnen” o.dgl. fehlte; eine Ablehnung erforderte mindestens zwei Klicks (“Einstellungen”, “Speichern”). Der Ausdruck “Einstellungen” sei zudem nicht eindeutig. Der Nutzer konnte die Website sodann zwar auch nutzen, ohne mit dem Cookie-Banner zu interagieren; dann wurde kein Cookie gesetzt; das könnte aber nur dann als einfache Widerspruchsmöglichkeit gelten, wenn der Nutzer entsprechend und transparent informiert worden wäre. Das war aber nicht der Fall, weshalb der “Akzeptieren”-Button für den Nutzer die einfachste Variante blieb.