CNIL: Bus­se von EUR 60 M gegen Micro­soft wegen Coo­kies ohne wirk­sa­me Einwilligung

Die fran­zö­si­sche Auf­sichts­be­hör­de CNIL hat eine Bus­se von nicht weni­ger als EUR 60 Mio. gegen Micro­soft Ire­land Ope­ra­ti­ons Ltd. (MIOL) ver­hängt. Auf bing.com, der in Euro­pa von MIOL betrie­be­nen Micro­soft-Suche, waren nicht not­wen­di­ge Coo­kies gesetzt wor­den, ohne dass zuvor eine wirk­sa­me Ein­wil­li­gung der Nut­zer ein­ge­holt wor­den wäre.

Zunächst hielt sich die CNIL wie schon in der dama­li­gen Goog­le-Sache für nicht unzu­stän­dig, weil für Ver­let­zun­gen der e‑Pri­va­cy-Richt­li­nie anders als bei der DSGVO kein One-Stop-Shop vor­ge­se­hen ist. Die ört­li­che Zustän­dig­keit der CNIL folg­te wei­ter aus der Nie­der­las­sung von Micro­soft in Frank­reich, der fran­zö­si­schen Micro­soft-Toch­ter, weil der Betrieb von Bing untrenn­bar mit den Tätig­kei­ten von Micro­soft France ver­bun­den waren (ähn­lich wie beim Goog­le Spain-Ent­scheid des EuGH und einem jün­ge­ren Ent­scheid des fran­zö­si­schen Con­seil d’E­tat in Sachen Ama­zon).

In der Sache stell­te die CNIL fest, dass Micro­soft auf Bing.com vor einer Ein­wil­li­gung des Nut­zers ein mul­ti­funk­tio­na­les Coo­kie setz­te. Bestimm­te Zwecke wur­den anschlie­ssend durch Ein­wil­li­gun­gen der Nut­zer bestimmt oder aus­ge­schlos­sen – ohne Ein­wil­li­gung dien­te das Coo­kie nur u.a. zu Zwecken der Betrugs­be­kämp­fung, der IT-Sicher­heit und dem Kampf gegen Falschinformationen.

Ein mul­ti­funk­tio­na­les Coo­kie darf laut CNIL ohne Ein­wil­li­gung gesetzt wer­den, wenn es min­de­stens einem not­wen­di­gen Zweck dient (und ohne Ein­wil­li­gung nicht für ande­re Zwecke ein­ge­setzt wird). Das sah die CNIL vor­lie­gend als nicht als erfüllt an. Auch die Betrugs­be­kämp­fung im Rah­men der Wer­bung war kein sol­cher Zweck, weil sie dem Wer­be­ge­schäft und nicht direkt dem Betrieb der Such­ma­schi­ne diene.

Was die Anfor­de­run­gen an die Ein­wil­li­gung betrifft, so müs­se es eben­so ein­fach sein, die Ein­wil­li­gung zu ver­wei­gern wie sie zu ertei­len; andern­falls feh­le es an einer ech­ten Wahl­mög­lich­keit. Auch müs­se der Wider­ruf einer Ein­wil­li­gung so ein­fach sein wie ihr Aus­druck. Micro­soft habe dage­gen ver­sto­ssen, weil neben dem But­ton für die Ein­wil­li­gung in alle Coo­kies ein ent­spre­chen­der But­ton “alles ableh­nen” o.dgl. fehl­te; eine Ableh­nung erfor­der­te min­de­stens zwei Klicks (“Ein­stel­lun­gen”, “Spei­chern”). Der Aus­druck “Ein­stel­lun­gen” sei zudem nicht ein­deu­tig. Der Nut­zer konn­te die Web­site sodann zwar auch nut­zen, ohne mit dem Coo­kie-Ban­ner zu inter­agie­ren; dann wur­de kein Coo­kie gesetzt; das könn­te aber nur dann als ein­fa­che Wider­spruchs­mög­lich­keit gel­ten, wenn der Nut­zer ent­spre­chend und trans­pa­rent infor­miert wor­den wäre. Das war aber nicht der Fall, wes­halb der “Akzeptieren”-Button für den Nut­zer die ein­fach­ste Vari­an­te blieb.