Suche

Cookies im spanischen Datenschutzrecht

Im September 2019 wurde ein Bußgeld in Höhe von 30.000€ gegen die VUELING AIRLINES, S.L. verhangen wurde. Sie hatte Webseitenbesuchern verwehrt eigene Cookies und die von Drittanbietern mit einem einfach zugänglichen Tool zu verwalten.
Es bestehen zudem sehr detaillierte Vorgaben in Bezug auf den Einsatz von Cookies und vergleichbaren Technologien durch Anbieter von Diensten der Informationsgesellschaft in Spanien.
Im November 2019 hat die AEPD einen Leitfaden auf Spanisch über den Einsatz von Cookies und vergleichbaren Technologien (im folgenden Cookies genannt) veröffentlicht. Er erlaubt es Unternehmen Cookies rechtskonform auf der eigenen Webseite einzusetzen und bietet neben detaillierten Erklärungen auch Formulierungsbeispiele. Die Kernpunkte sind folgende:

Erfüllung der Informationspflichten

  • Über Cookies ist in transparenter Form aufzuklären. Insbesondere sind Informationen über die Wirkungsweise des jeweiligen Cookies, Speicherdauer, Datenweitergabe an Dritte und in Drittländer, Widerspruchs- und Widerrufsmodalitäten, Profilbildung und alle weiteren Angaben gem. Art. 13 DSGVO bereitzustellen. Dies kann im Wege einer Cookie-Policy festgehalten werden.
  • Die Information muss leicht erreichbar sein, z.B. durch einen aussagekräftigen Link an prominenter Stelle.
  • Informationen können Nutzern in gestufter Form bereitgestellt werden. Insbesondere kann diese Form der Darbietung in einem Consent Management System umgesetzt werden.
  • Informationen zu Cookies können Nutzern auch auf einem anderen Medium (z.B. offline Informationszettel) zur Verfügung gestellt werden.

Einholen der Einwilligung

  • Nutzer können nicht alleinig durch das Surfen auf einer Webseite in den Einsatz von Cookies einwilligen. Eine eindeutig bestätigende Handlung ist die Mindestvoraussetzung für eine wirksam erteilte Einwilligung.
  • Nutzer müssen die Möglichkeit haben Cookies abzulehnen, sodass ein tatsächliches Wahlrecht besteht. In Sonderfällen kann davon abgewichen werden.
  • Die Einwilligung kann z.B. vor dem Download einer App, bei der Einrichtung einer App, über ein Consent-Banner oder über die Browser-Einstellungen des Nutzers (letzteres nur unter strengen Voraussetzungen) eingeholt werden.
  • Cookies müssen auf der ersten Informationsstufe mindestens gemäß ihrer Zwecke (z.B. Webseitenanalyse und Marketing) gruppiert werden, damit der Nutzer eine informierte Auswahl treffen kann. Es wird davon abgeraten jeden Cookie einzeln zur Auswahl zur stellen, da dies zu Überforderung führt.
  • Die Einwilligung muss nachweisbar sein.
  • Widerrufs- und Widerspruchseinstellungen müssen jederzeit erreichbar sein. Die Platzierung in der Cookie-Policy ist zulässig.
  • Der Widerruf der Einwilligung muss genau so einfach sein, wie die Erteilung derselben und jederzeit möglich sein.
  • Bei Minderjährigen unter 14 Jahren muss die Einwilligung vom Erziehungsberechtigten eingeholt werden. Entsprechend des durch den Cookie verursachten Risikos, müssen angemessene Anstrengungen zur Verifikation des Erklärenden getroffen werden.
  • Ein Webseitenbetreiber kann die Einwilligung für mehrere Internetpräsenzen auf einmal einholen, sofern er ausreichend darüber informiert. Auf abweichende Inhalte (z.B. weitere Webseite mit jugendgefährdenden Inhalten) muss deutlich hingewiesen werden.
  • Nutzer können auch auf einem anderen Medium (z.B. offline Registrierungskarte) einwilligen.
  • Die Einwilligung ist nach Auffassung der AEPD spätestens alle 24 Monate erneut einzuholen.

Eine Ausnahme besteht für Cookies, die alleinig die Verbindung zwischen dem Endgerät und dem Netzwerk herstellen oder eine Dienstleistung bereitstellen, die vom Nutzer ausdrücklich angefragt wurde. Es bedarf demnach keiner Einwilligung für folgende auf Cookies basierende Funktionen:

  • Auto-Fill;
  • Authentifikation;
  • Sicherheit;
  • Multimedia-Wiedergabe;
  • Webseiteninterface-Personalisierung (z.B. Nutzer wählt die Sprache) und
  • Social-Media-Plugins (eingeschränkt).

Sofern personenbezogene Daten durch Cookies verarbeitet werden, müssen dennoch die Informationspflichten gem. Art. 13 DSGVO erfüllt werden.

Kontaktieren Sie uns!

Sichern Sie sich das Wissen unserer Experten!

Abonnieren Sie unseren Newsletter: