Vorsicht beim Einsatz von Cookies gegenüber italienschen Verbrauchern

Die Umsetzung der Cookie-Richtlinie beschäftigt Händler nicht nur in Deutschland. Auch in Italien gibt es weitgehende Informationspflichten zum Thema Cookies. Wenn Sie nach Italien verkaufen, sollten Sie sich an diese Vorgaben halten, denn dann kann auch für Sie italienisches Datenschutzrecht gelten, auch wenn Sie keine Niederlassung in Italien haben.

Anwendbares Recht

Das Thema anwendbares Recht und Cookies ist ziemlich komplex. Als Grundregel gilt, dass im Datenschutzrecht das Recht des Mitgliedstaates gilt, indem die Daten erhoben, verarbeitet oder genutzt werden.

Das jeweilige nationale Datenschutzrecht kann aber auch dann Anwendung finden, wenn das Unternehmen aktiv auf das jeweilige Land ausgerichtet ist und z.B. zielgerichtet in dem Land den Abschluss von Verträgen erreichen möchte.

Die Infopflichten des Cookie Law in Italien

In Italien ist die E-Privacy-Richtlinie 2009/136/EG bereits im Jahr 2012 durch Gesetzdekret n. 69 umgesetzt worden.

Nach diesem Gesetz muss vor dem Setzen eines Cookies auf dem Rechner des Verbrauchers die Einwilligung über einen Banner eingeholt werden. Dieses Banner muss auch eine vereinfachte Datenschutzerklärung beinhalten und zudem muss ausführlich in einer Cookie Policy über den Einsatz von Cookies informiert werden.

Das Banner muss nur dann angewendet werden, wenn bestimmte Arten von Cookies im Shop verwendet werden.

Die Cookie Policy muss dagegen immer vorliegen.

Die Datenschutzbehörde hat mit ihrer Maßnahme vom 08. Mai 2014 erklärt, für welche Arten von Cookies zwingend eine Einwilligung erforderlich ist und dazu einige Leitlinien über vereinfachte Modalitäten formuliert - sowohl für die Datenschutzerklärung als auch für die Einholung einer Einwilligung.

Wann muss man das Banner im Shop einbinden?

Das Banner muss auf der ersten besuchten Seite des Shops erscheinen, wenn man:

  • Profiling Cookies einsetzt (sowohl „first party“, d.h. Cookies, die direkt vom Online-Händler eingesetzt werden, als auch „third parties“, d.h. Cookies von Drittanbietern)
  • Analytische Cookies von Drittanbietern benutzt, die aber keinen Mechanismus zur Minderung der Identifikationskraft der eingesetzten Cookies (z.B. keine Anonymisierung der IP Adresse) anwenden.

Wenn im Shop nur technische bzw. analytische Cookies von Drittanbietern verwendet werden, die aber einen Mechanismus zur Minderung der Identifikationskraft benutzten, muss im Shop kein Banner eingebunden werden.

Was sind die wichtigsten Informationen der Cookie Policy?

Das Banner muss mit einer ausführlicheren Cookie Policy verlinkt werden, die u.a. folgende Voraussetzungen erfüllen muss:

  • Vollständige Informationen über die eingesetzten Cookies (welche Art von Cookies zu welchem Zweck)
  • die Möglichkeit zur Verwaltung der Einwilligungen für einzelne Cookies direkt in der Cookie Policy (z.B. durch eine dynamische Tabelle)
  • die Möglichkeit zur Verwaltung der Einwilligungen für Cookies von Drittanbietern direkt in der Cookie Policy oder durch in der Datenschutzerklärung enthaltene Links der Drittanbietern (z.B. Opt-Out-Link bei Google Analytics)
  • Informationen über die „Do-not-Track“ Einstellungen der gängigsten Browser

In den Fällen, in denen kein Banner vorgesehen ist, muss die Cookie Policy ohnehin im Shop erscheinen, durch einen Link "Cookie Policy" oder als Paragraph der Privacy Policy des Shops.

Welche Sanktionen drohen?

Die italienische Datenschutzbehörde sieht folgende Sanktionen für Verstöße gegen Informationspflichten zu Cookies vor:

  • Fehlt die Datenschutzerklärung oder ist sie unvollständig, ist eine Geldbuße zwischen 6.000 und 36.000 Euro vorgesehen (Art. 161 italienischer Datenschutzcodex)
  • Eine Geldbuße zwischen 10.000 Euro bis 120.000 Euro droht für den Einsatz von Cookies ohne vorherige informierte Einwilligung (Art. 162 Abs. 2-bis italienischer Datenschutzcodex)
  • Für die Verletzung der Anmeldungspflicht, die in bestimmten Fällen vorgesehen ist, ist wiederum eine Geldbuße von 20.000 Euro bis 120.000 Euro vorgesehen (Art. 163 italienischer Datenschutzcodex).

Fazit

Für Unternehmen stellen die Anforderungen zur Nutzung von Cookies einige Schwierigkeiten dar, insbesondere in Hinblick auf die Umsetzung der Informationspflichten und technischen Aspekte. Außerdem existieren heute bereits andere Technologien zum Tracken der Kunden, die außerhalb des Einflussbereichs der Online-Händler liegen und die den Sinn und Zweck der Regelungen zu Cookies deckeln (z.B. „Fingerprinting“, eine Art digitaler Fingerabdruck, welcher aus bestimmten Einstellungen des Browsers erstellt werden kann, u.a. Plug-ins, installierten Schriftarten, Systemfarbe usw., die direkt im Server auffindbar sind und welche einen bestimmten Browser sehr genau identifizierbar machen).

Benötigen Sie rechtssichere Texte auch für Ihren italienischen Shop, damit Sie hohe Bußgelder vermeiden? Sprechen Sie uns an, wir helfen Ihnen gerne weiter.

03.05.16
Elisa Ceciliati

Elisa Ceciliati