TikTok ist der neueste Technologieriese, der von der französischen Datenschutzbehörde für den Verstoß gegen die Regeln zur Cookie-Einwilligung geschult wurde.
Die 5-Millionen-Euro-Strafe angekündigt Today by the CNIL bezieht sich auf einen Cookie-Zustimmungsfluss, den TikTok auf seiner Website (tiktok.com) bis Anfang letzten Jahres verwendet hatte – in dem die Regulierungsbehörde feststellte, dass es für Benutzer nicht so einfach war, Cookies abzulehnen, wie sie zu akzeptieren – so war es im Wesentlichen Manipulation der Zustimmung, indem es den Besuchern der Website leichter gemacht wird, die Verfolgung zu akzeptieren, als sich abzumelden.
Dies war der Fall, als der Watchdog im Juni 2021 den Prozess von TikTok überprüfte, bis zur Implementierung einer Schaltfläche „Alle ablehnen“ auf der Website im Februar 2022 – was die Angelegenheit anscheinend gelöst hat. (Und kann die relativ geringe Geldstrafe erklären, die in diesem Fall erhoben wird, zusammen mit der Anzahl der betroffenen Benutzer und Minderjährigen – sowie die Durchsetzung, die sich nur auf seine Website bezieht, nicht auf seine mobile App.)
Tracking-Cookies werden in der Regel verwendet, um verhaltensbasierte Werbung zu schalten, können aber auch für andere Website-Aktivitäten, wie z. B. Analysen, verwendet werden.
„Während der im Juni 2021 durchgeführten Überprüfung stellte die CNIL fest, dass die Unternehmen TikTok United Kingdom und TikTok Ireland zwar eine Schaltfläche anboten, mit der Cookies sofort akzeptiert werden konnten, sie jedoch keine gleichwertige Lösung (Schaltfläche oder andere) zum Zulassen eingerichtet hatten ebenso einfach kann der Internetnutzer seine Einzahlung verweigern. Mehrere Klicks waren nötig, um alle Cookies abzulehnen, dagegen nur einer, um sie zu akzeptieren“, stellt der Watchdog in einer Pressemitteilung fest [translated from French with machine translation].
„Der eingeschränkte Ausschuss war der Ansicht, dass die Verkomplizierung des Ablehnungsmechanismus tatsächlich darauf hinausläuft, Benutzer davon abzuhalten, Cookies abzulehnen, und sie zu ermutigen, die Einfachheit der Schaltfläche „Alle akzeptieren“ zu bevorzugen“, fügte er hinzu und sagte, er habe festgestellt, dass TikTok daher gegen eine gesetzliche Anforderung verstoßen habe für Einwilligungsfreiheit – ein Verstoß gegen Artikel 82 des französischen Datenschutzgesetzes, „da es nicht so einfach war, Cookies abzulehnen, wie sie zu akzeptieren“.
Darüber hinaus stellte die CNIL fest, dass TikTok die Nutzer nicht „in ausreichend präziser Weise“ über die Zwecke der Cookies informiert hatte – sowohl auf dem Informationsbanner auf der ersten Ebene der Cookie-Einwilligung als auch im Rahmen der „Auswahlschnittstelle“. die zugänglich war, nachdem man auf einen im Banner präsentierten Link geklickt hatte. Daher wurden mehrere Verstöße gegen Artikel 82 festgestellt.
Die französische Durchsetzung erfolgte im Rahmen der ePrivacy-Richtlinie der Europäischen Union – die im Gegensatz zur EU-Datenschutz-Grundverordnung (DSGVO) nicht vorschreibt, dass Beschwerden, die Benutzer im gesamten Block betreffen, an einen leitenden Datenaufseher in einem EU-Land zurückverwiesen werden müssen Hauptniederlassung (wenn ein Unternehmen diesen Status beansprucht – wie es TikTok mit Irland für die DSGVO tut).
Dies hat es der französischen Aufsichtsbehörde ermöglicht, in den letzten Jahren eine Reihe von Durchsetzungsmaßnahmen wegen Verstößen gegen Big Tech-Cookies zu verhängen – nach einem Update von 2019 wurden seit 2020 Unternehmen wie Amazon, Google, Facebook und Microsoft mit einigen saftigen Bußgeldern (und Korrekturanordnungen) belegt zu seinen Leitlinien zur Datenschutzrichtlinie für elektronische Kommunikation die vorschrieb, dass eine Einwilligung für das Ad-Tracking erforderlich ist.
Frankreichs Aktivität zur Bereinigung der Cookie-Einwilligung scheint eine wichtige Ergänzung zur langsameren grenzüberschreitenden DSGVO-Durchsetzung zu sein – die gerade erst beginnt, sich auf werbebasierte Geschäftsmodelle auszuwirken, die sich auf zustimmungsloses Tracking konzentrieren, wie die endgültigen Entscheidungen gegen Facebook und Instagram, die Anfang dieses Monats von der irischen Datenschutzkommission herausgegeben wurden.
Wenn Tracking- und Profiling-Werbegiganten gezwungen sind, sich darauf zu verlassen, die Zustimmung der Benutzer einzuholen, um verhaltensbasierte Werbung zu schalten, ist es entscheidend, dass die Qualität der eingeholten Zustimmung kostenlos und fair ist – nicht durch den Einsatz irreführender Designtricks manipuliert, wie es normalerweise der Fall ist – so the Die ePrivacy-Cookie-Erzwingung der CNIL scheint wichtig zu sein.
Erst im vergangenen Sommer wurde TikTok beispielsweise daran gehindert, sich nicht mehr auf die Zustimmung der Benutzer als Rechtsgrundlage für die Verarbeitung von Personendaten zu verlassen, um „personalisierte“ Anzeigen zu schalten, sondern auf der Grundlage eines berechtigten Interesses als Rechtsgrundlage (was impliziert, dass es beabsichtigt, die Benutzer nicht mehr zu fragen für ihre Zustimmung) nach Intervention von EU-Datenschutzbehörden, die davor warnten, dass ein solcher Schritt mit der Datenschutzrichtlinie für elektronische Kommunikation unvereinbar wäre (und wahrscheinlich auch gegen die DSGVO verstoßen würde).
Während die Durchsetzung im Rahmen von ePrivacy nur auf dem eigenen Markt der Regulierungsbehörde (in diesem Fall Frankreich) gilt, können die Auswirkungen dieser Entscheidungen weiter reichen. Google folgte beispielsweise einer Sanktion der CNIL, indem es überarbeitete, wie es die Zustimmung zu Cookies in der gesamten EU einholt. So reagiert möglicherweise nicht jedes Unternehmen, aber es ist wahrscheinlich, dass die Anwendung unterschiedlicher Compliance-Konfigurationen für verschiedene EU-Märkte mit Kosten verbunden ist – im Gegensatz zur Anwendung eines (hohen) Standards auf allen EU-Märkten. Die Durchsetzung des Datenschutzes in der elektronischen Kommunikation kann also dazu beitragen, die EU-Messlatte zu setzen.
TikTok wurde wegen einer Stellungnahme zur Sanktion der CNIL kontaktiert. Ein Sprecher des Unternehmens schickte uns diese Erklärung:
Diese Ergebnisse beziehen sich auf frühere Praktiken, die wir im letzten Jahr angesprochen haben, einschließlich der Erleichterung der Ablehnung nicht wesentlicher Cookies und der Bereitstellung zusätzlicher Informationen über den Zweck bestimmter Cookies. Die CNIL selbst hat unsere Zusammenarbeit im Verlauf der Untersuchung hervorgehoben, und der Datenschutz der Benutzer bleibt für TikTok oberste Priorität.