Strafen für E-Commercebetreiber wegen Nichterfüllung des Cookiegesetzes in Spanien

Zwei spanische E-Commercegeschäfte wurden am 14. Januar 2014 aufgrund von Nichterfüllung des Cookiegesetzes bestraft. Diese Strafen von relativ geringem Betrag (3.000 Euros für das eine, 500 Euros für das andere Geschäft) sollen als Aufruf an E-Commercebetreiber, die ihren Sitz in Spanien haben oder die Dienstleistungen in Spanien anbieten, verstanden werden, ihre Webseiten nach den neuen Cookie-Richtlinien zu aktualisieren.

I. Strafbares Verhalten im E-Commerce in Bezug auf Cookiegesetz in Spanien

 

Zunächst muss verstanden werden, für welche Straftat die zwei E-Commercegeschäfte bestraft wurden. Die Entscheidung der spanischen Datenschutzbehörde (im folgenden „AEPD“) vom 14. Januar 2014 fasst es in den erwiesenen Tatbeständen Nr. 8 und 10 und in ihren Urteilsgründen Nr. 7 und 8 in klarer Form zusammen.

Der erwiesene Tatbestand Nr. 8 der genannten Entscheidung des AEPD legt Folgendes vor: „Die Nutzung der vorgenannten Dienstleinstungen“ (diese sind Google Analytics, Youtube, Zopim, TradeDoubler, Magento und WordPress) „führt zum Download von verschiedenen Cookiearten, die nicht von der Informationspflicht des Nutzers, der auf die Webseite seiner Wahl zugreift, befreit sind.“

Ausserdem fügt erwiesener Tatbestand Nr. 8 hinzu, dass die „Instalation und Anwendung von Cookies, seien es eigene oder von dritten bereitgestellte, nicht von der Informationspflicht vor der Speicherung auf dem Gerät des Nutzers befreit.“

Dieses Verhalten ist strafbar, wie im vorgenannten Urteilsgrund erklärt wird, weil es für den Nutzer unmöglich ist, Zustimmung oder Verweigerung zur Verwendung dieser Cookies zu äussern. Der Dienstleister hat die Pflicht, die Nutzer über die Art der Cookies, die sich auf sein Gerät installieren werden und den Zweck dieser Installation zu informieren.

Nach angemessener Erfüllung der Informationspflicht muss der Dienstleister auch die vorherige und ausdrückliche Zustimmung der betroffennen Person bekommen, die nur als gültig verstanden wird, wenn der Nutzer angemessen informiert wurde.

Die einzige Ausnahme zu der (i) Vorinformationspflicht und (ii) ausdrücklichen Zustimmungspflicht nach angemessener Information sind die sog. befreiten Cookies. Diese Cookies begrenzen sich auf die Erfüllung folgender Kirterien: (i) wenn das Cookie nur für die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz benutzt wird oder (ii) wenn das Cookie sich stets aus der Erbringung einer Dienstleistung der Informationsgesellschaft ergibt und ausdrücklich vom Empfänger gewünscht war.

II. Anwendbare Sanktionen bei Straftaten im E-Commerce in Spanien

 

Die auf diesen Zusammenhang anwendbaren Straftaten und Sanktionen werden im Titel VII des 34/2002 Gesetzes vom 11. Juli über Dienstleinstungen der Informations- und E-Commercegesellschaften betrachtet (Artikeln 37 bis 45).

Die oben dargelegten Straftaten werden gemäss Art. 38.4 g) als geringfügig empfunden: „Die Nutzung von Speicher- und Datenwiederherstellungvorrichtungen, wenn die Information nicht weitergeleitet oder die Zustimmung des Dienstleistungsempfängers nicht nach der Voraussetzungen des Art. 22.2“ erworben wurde.

Gemäss Art. 39, kann eine Geldbuße von bis zu 30.000 Euro von der Komission für geringfügige Straftaten festgesetzt werden. Die Wahrscheinlichkeit, dass eine Strafe in einer solchen Höhe durchgesetzt wird, ist gering. E-Commercegeschäfte können einer Strafe unterliegen, wenn ihre Webseiten so gestaltet sind, dass sie die oben dargelegten Verpflichtungen nicht erfüllen und die Webseite Cookies enthält, die nicht von der Mitteilungspflicht befreit sind.

Mariscal Abogados, Rechtsanwälte Madrid, Spanien

Eurojuris España, Netzwerk von Spanischen Anwaltskanzleien