Die französische Datenschutzbehörde CNIL hat Les Publications Conde Nast, das Unternehmen für Vanity Fair, eine Geldstrafe von 750.000 € verhängt, weil sie Cookies auf Benutzergeräten ohne gültige Zustimmung platziert haben. Die Behörde stellte fest, dass die Website nicht notwendige Cookies sofort einsetzte, sobald die Nutzer auf der Seite eintrafen, ohne auf die Interaktion mit dem Einwilligungsbanner zu warten. CNIL erklärte, dass diese Praxis gegen das französische Datenschutzrecht und die Anforderungen der ePrivacy Directive verstößt, die beide eine explizite Vereinbarung vorschreiben, bevor nicht wesentliche Tracker auf Geräten gespeichert werden.
Der Fall begann nach einer 2019 eingereichten Beschwerde, die CNIL dazu veranlasste, die Kekspraktiken von Vanity Fair zu untersuchen. Die erste Überprüfung führte 2021 zu einer formellen Verwarnung. Das Unternehmen verpflichtete sich, seinen Einwilligungsmechanismus zu korrigieren, doch die Nachuntersuchungen von CNIL zeigten, dass die notwendigen Änderungen nicht umgesetzt worden waren. Die Website setzte weiterhin Werbe- und Tracking-Cookies ohne Zustimmung, und Nutzer, die versuchten, Cookies abzulehnen, unterlagen weiterhin der Tracking.
CNIL stellte während seiner Untersuchung mehrere Verstöße fest. Nicht-essentielle Cookies wurden sofort nach Laden der Startseite platziert, und das erschienene Consent-Banner verhinderte nicht, dass die Cookies gespeichert wurden. Einige für Werbung verwendete Cookies wurden als streng notwendig kategorisiert, eine Bezeichnung, die nur für technische Funktionen gedacht ist, die für den Betrieb der Website unerlässlich sind. Diese Kategorisierung ermöglichte es den Cookies, die Einwilligungspflicht zu umgehen. CNIL stellte außerdem fest, dass Nutzer, die auf die Ablehnungsoption klickten oder versuchten, ihre Zustimmung zurückzuziehen, nicht verhindern konnten, Cookies zu platzieren oder zu verwalten. Die Behörde erklärte, dass der Ablehnungsmechanismus nicht funktionierte und die Website weiterhin Tracker installierte, auch nachdem Nutzer sich abgemeldet hatten.
Die Aufsichtsbehörde betrachtete die wiederholte Nichteinhaltung als wesentlichen Faktor bei der Festlegung der Höhe der Geldstrafe. CNIL erklärte, dass der Verlag bereits angewiesen worden sei, seine Praktiken zu ändern, und ihm Zeit gegeben habe, sein System zu aktualisieren. Die fortgesetzte Platzierung von Cookies ohne Zustimmung und die falsche Kennzeichnung von Werbetrackern als essentiell galten als schwerwiegende Sicherheitsverletzungen, die eine große Anzahl von Nutzern betrafen.
Nach französischem Recht müssen Websites klare Informationen über den Zweck von Cookies bereitstellen, Dritte identifizieren, die Zugang zu Daten erhalten, und eine ausdrückliche Zustimmung des Nutzers für alle nicht notwendigen Verfolgungsmaßnahmen einholen. Die Zustimmung muss eine klare positive Diskriminierung sein, und Nutzer müssen eine einfache Möglichkeit haben, sie abzulehnen oder zurückzuziehen. CNIL stellte fest, dass Vanity Fair diese Anforderungen nicht erfüllte und die den Nutzern bereitgestellten Mechanismen irreführend oder ineffektiv waren.
Die Entscheidung unterstreicht CNILs breitere Durchsetzungsfokussierung auf Einwilligungsbanner und Cookie-Einsatz. Die Behörde hat in den letzten Jahren mehrere Strafen für große Online-Dienste für ähnliche Verstöße verhängt, was darauf hindeutet, dass Einwilligungspraktiken weiterhin Priorität haben. CNIL hat erklärt, dass es weiterhin Websites überwachen wird, die große Nutzeraufkommen verarbeiten, und Maßnahmen ergreifen wird, wenn die Einwilligungsregeln nicht eingehalten werden.
Der Verlag kann gegen die Entscheidung Berufung einlegen, aber die Geldstrafe dient als Warnung für jede Organisation in Frankreich, die Online-Tracking für Werbung oder Analysen nutzt. Der Fall unterstreicht auch die Bedeutung klarer Einwilligungsoptionen für Nutzer, die kontrollieren wollen, welche Informationen auf ihren Geräten gespeichert werden. CNIL hat erklärt, dass Cookie-Banner genaue Informationen liefern und die Entscheidungen der Nutzer respektieren müssen, ohne künstliche Hindernisse aufzuerlegen oder ein Design zu implementieren, das die Nutzer zur Akzeptanz lenkt.