Die französische Datenschutzbehörde CNIL verhängte American Express Carte France mit einer Geldstrafe von 1,5 Millionen Euro für das Platzieren von Werbecookies auf Benutzergeräten ohne vorherige Einwilligung. Inspektoren stellten fest, dass die Website des Unternehmens Tracking-Cookies installierte, sobald Besucher die Startseite besuchten. Die Cookies waren aktiv, bevor ein Einwilligungsbanner erschien, und funktionierten weiterhin, selbst wenn Nutzer die Ablehnungsoptionen wählten. CNIL teilte mit, dass einige Cookies auch nach dem Widerruf der Zustimmung aktiv geblieben sind.
American Express Carte France bietet Karten- und Finanzdienstleistungen über seine Online-Plattform an. CNIL erklärte, dass das Unternehmen seine gesetzlichen Verpflichtungen nach dem französischen Datenschutzgesetz nicht erfüllt habe, das vorschreibt, dass Werbe- und Tracking-Cookies erst nach ausdrücklicher Zustimmung der Nutzer installiert werden müssen. Diese Regeln gelten für Cookies, die für Verhaltensanalysen, gezielte Werbung oder andere nicht wesentliche Funktionen verwendet werden.
Die Behörde führte im Januar 2023 Inspektionen durch. Laut seiner Entscheidung hat das Unternehmen die Einwilligungssammlung nicht korrekt verwaltet, nicht das automatische Laden von nicht notwendigen Cookies verhindert und die Verarbeitung nicht gestoppt, wenn Nutzer sich abmeldeten. CNIL betonte, dass diese Anforderungen bereits seit mehreren Jahren bestehen und dass von Organisationen erwartet wird, wirksame Einwilligungsmechanismen umzusetzen.
Nach EU- und französischen Datenschutzbestimmungen muss die Zustimmung frei und im Voraus erteilt werden. Nutzer müssen außerdem in der Lage sein, ihre Zustimmung leicht zurückzuziehen. CNIL erklärte, American Express Carte France entspreche diesen Standards nicht. Die Behörde wies darauf hin, dass Verstöße im Zusammenhang mit Cookies ein wiederkehrender Schwerpunkt der Durchsetzung sind, da Tracking-Technologien Browsing-Muster und persönliche Präferenzen aufdecken können.
American Express teilte mit, dass es Änderungen vorgenommen hat, um die Compliance-Anforderungen zu erfüllen. Die Behörde bestätigte, dass zum Zeitpunkt der Entscheidung bereits einige Korrekturmaßnahmen umgesetzt worden waren.
Der Fall ergänzt eine Reihe von Durchsetzungsmaßnahmen in ganz Europa, die sich gegen Unternehmen richten, die sich nicht an die Cookie-Regeln halten. CNIL hat mehrere Geldstrafen an Unternehmen in Bereichen wie Einzelhandel, Medien und Technologie verhängt. Analysten erklärten, dass die Geldstrafe zeigt, dass Compliance-Verpflichtungen gleichermaßen für Finanzinstitute und Nichtfinanzunternehmen gelten.
Nutzer, die die betroffene Website besucht haben, sollten ihre Browsereinstellungen überprüfen und unerwünschte Cookies entfernen. Datenschutzexperten empfehlen, dass Nutzer Einwilligungsbanner sorgfältig prüfen und nicht notwendige Verfolgung ablehnen, wenn sie eine begrenzte Datenexposition bevorzugen.