Die CNIL führte bei der Amazon Europe Core S.à r.l. («Amazon EU») drei Online-Kontrollen auf der Website Amazon.fr am 12. Dezember 2019, 6. März 2020 und 19. Mai 2020 sowie einer Kontrolle am 30. Januar 2020 in den Räumlichkeiten französischen Niederlassung von Amazon EU, der Amazon Online France SAS, durch. Bei der Amazon EU handelt sich um eine luxemburgische Gesellschaft, die zur Amazon-Gruppe gehört. Das Ziel war die Prüfung, ob die Webseite Amazon.fr dem französischen Datenschutzgesetz («F‑DSG») entsprach. (E. I. 1-3).

Die CNIL ist für die Beurteilung der Webseite Amazon.fr örtlich zuständig

Amazon EU versuchte zu argumentieren, dass die CNIL für das vorliegende Verfahren örtlich nicht zuständig sei. Sie vertrat die Auffassung, dass es an der territorialen Zuständigkeit der CNIL fehlte, weil die französische Niederlassung von Amazon, die Amazon Online France SAS, nicht an der Festlegung von Cookies auf der amazon.fr Website beteiligt gewesen sei. Ihre Tätigkeit sei darauf beschränkt, Marketing- und Beratungslösungen für Unternehmen anzubieten, die ihre Produkte im Amazon.fr-Shop und auf Websites Dritter vermarkten wollen. Zudem würde die Werbung auf Webseiten Dritter im Namen der Kunden von Amazon EU und nicht der französischen Niederlassung angezeigt. Es fehle somit an einer untrennbaren Verbindung zwischen den Aktivitäten der französischen Niederlassung und der Speicherung von Cookies durch Amazon EU (E. II.A.2. 42-45).

Dem mochte die CNIL nicht zu folgen: Mit Verweis auf die Rechtsprechung des EuGHs zum «Google-Spain»-Fall (EuGH, 13. Mai 2014, Google Spain, C-131/12, Ziffer 48), folgerte sie, dass die Amazon Online France SAS eine Niederlassung der Amazon EU nach dem F-DSG sei. Sodann würden die durch die Amazon EU erbrachten Dienstleistungen erst durch die Daten ermöglicht, die durch die auf den Endgeräten der Internetnutzer hinterlegten Cookies erhoben werden. Damit würde die französische Niederlassung es erst ermöglichen, dass Amazon EU ihre Dienstleistungen überhaupt erbringen könne. Damit bestehe jedoch einen genügenden örtlichen Zusammenhang, um dem französischen Recht unterworfen zu sein und die CNIL als örtlich zuständig zu qualifizieren (E. II.A.2. 46-52).

Fehlende Einwilligung und mangelnde Information

Die Untersuchungen der CNIL ergaben, dass beim Besuch der Webseite Amazon.fr. oder nach einem Klick auf eine verlinkte Werbeseite eines Dritten mehr als 40 Werbe-Cookies automatisch auf dem Gerät eines Nutzers gesetzt wurden. Wie beim Entscheid gegen Google, sah die CNIL Art. 82 F-DSG verletzt: Es fehlt einerseits die Einwilligung zu Speicherung von Werbe-Cookies auf den Endgeräten der Nutzenden und die den Nutzenden zur Verfügung gestellten Informationen waren ungenügend.

Für die Speicherung der Cookies auf den Endgeräten der Nutzenden müsse die Einwilligung zeitlich vor der Speicherung erfolgen. Das sei nicht der Fall gewesen, sondern die Cookies seien schon vorher, mit dem Besucht auf der Webseite Amazon.fr auf den Geräten gespeichert worden (E. II.D. 77-88).

Sodann hätte die Art und der Umfang der zur Verfügung gestellten Informationen nicht dem F-DSG entsprochen. Der Banner am unteren Bereich der Webseite mit dem Hinweise «En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus» (frei übersetzt: «Durch die Nutzung dieser Website akzeptieren Sie unsere Verwendung von Cookies zur Bereitstellung und Verbesserung unserer Dienste. Mehr erfahren [Link]») war nicht genügend. Es fehlte auch die Möglichkeit Werbe-Cookies direkt abzulehnen (E. II.D. 89-111).

Amazon EU versuchte zu argumentieren, dass ihre Cookie-Praktiken in Einklang mit dem luxemburgischen Recht gewesen seien. Die CNIL beurteilte das bekanntlich anders und verwiesen auf die Leitlinie der CNIL vom 19. Juli 2019 zur Umsetzung von Art. 82 F-DSG, insbesondere zu den Ausführungen zu Cookies und anderen Tracking-Technologien. Da half auch nicht das Argument von Amazon EU, dass es aufgrund der mangelnden europäischen Doktrin zur Handhabung von Cookies schwierig sei, zu wissen, was von ihnen in diesem Bereich erwartet werde.

Die ausgesprochene grenzüberschreitende Busse gegen Amazon EU von EUR 35 Millionen

Die CNIL stützte sich zur Berechnung der Geldbusse auf die theoretische Strafhöhe von 2 % des vom Verantwortlichen für die Verarbeitung durchgeführten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Als Verantwortlicher der Datenverarbeitung erzielte Amazon EU im Jahr 2019 einen weltweiten Umsatz von rund EUR 7,7 Milliarden. Darauf basierend, sah es die CNIL als gerechtfertigt, eine Geldbusse in der Höhe von EUR 35 Millionen zu verhängen.  

Die CNIL verlangte zudem von Amazon EU jeweils vor der Speicherung von Werbe-Cookies die Einwilligung der Nutzenden einzuholen sowie die dazu erforderlichen Information in genügend transparenter Weise zur Verfügung zu stellen. Nach einer Frist von drei Monaten würde bei Nichterfüllung ein Zwangsgeld von EUR 100'000 pro Tag angedroht.

Wie es weiter geht

Gegen den Beschluss der CNIL kann Amazon innert vier Monaten nach Bekanntgabe Klage beim Bundesverwaltungsgericht (dem Conseil d’Etat) erheben, entsprechend bis anfangs April 2021.

Olivier Heuberger