Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) hat dem Unternehmen AS Watson (Health & Beauty Continental Europe) B.V., dem Betreiber der Drogeriekette Kruidvat, eine Geldstrafe von 600.000 Euro auferlegt. Grund für die Strafe war die Verwendung von Tracking-Cookies auf der Website Kruidvat.nl, ohne dass die Besucher darüber informiert wurden oder ihre Zustimmung gegeben hatten. Dadurch sammelte das Unternehmen gegen die Datenschutzvorschriften sensible personenbezogene Daten von Millionen Website-Besuchern.

AS Watson konnte durch die gesammelten Daten persönliche Profile der Website-Besucher erstellen. Diese Daten umfassten Standortinformationen sowie Details darüber, welche Seiten besucht wurden, welche Produkte in den Warenkorb gelegt und gekauft wurden und auf welche Empfehlungen geklickt wurde. Diese Informationen sind besonders sensibel, da sie den Kauf von Drogerieprodukten wie Schwangerschaftstests, Verhütungsmitteln oder Medikamenten beinhalten können. Die Kombination dieser sensiblen Informationen mit Standortdaten ermöglicht es, ein sehr detailliertes und invasives Profil der Besucher zu erstellen.

Laut Aleid Wolfsen, dem Vorsitzenden der AP, dürfen Organisationen das Internetverhalten von Nutzern nicht ohne deren ausdrückliche Zustimmung und ohne deren Wissen verfolgen. Die Datenschutz-Grundverordnung (DSGVO) verlangt, dass die Zustimmung freiwillig und auf Basis ausreichender Informationen gegeben wird. Außerdem muss die Möglichkeit bestehen, die Verwendung von Tracking-Cookies abzulehnen, ohne dass dies nachteilige Konsequenzen hat.

Kruidvat.nl hatte in seiner Cookie-Banner die Kästchen für die Zustimmung zur Platzierung von Tracking-Cookies standardmäßig angekreuzt, was gegen die DSGVO verstößt. Besucher, die die Cookies ablehnen wollten, mussten dafür mehrere Schritte durchlaufen. Die AP stellte fest, dass die personenbezogenen Daten der Website-Besucher unrechtmäßig verarbeitet wurden.

Ende 2019 begann die AP eine Untersuchung verschiedener Websites, einschließlich Kruidvat.nl, um die Einhaltung der Cookie-Richtlinien zu überprüfen. Kruidvat.nl erfüllte die Anforderungen nicht, woraufhin die AP das Unternehmen informierte. Im April 2020 stellte die AP fest, dass die Website weiterhin nicht den Anforderungen entsprach, was zu einer weiteren Untersuchung führte. Im Oktober 2020 wurde der Verstoß schließlich behoben.

Angesichts der zunehmenden gesellschaftlichen Verärgerung über Cookies und Cookie-Benachrichtigungen plant die AP, im Jahr 2024 häufiger zu kontrollieren, ob Websites korrekt um Zustimmung für Tracking-Cookies oder andere Überwachungssoftware bitten. Es ist wichtig, dass die Besucher von Websites die Kontrolle über ihre personenbezogenen Daten behalten und fundierte Entscheidungen treffen können. Organisationen müssen daher sicherstellen, dass ihre Cookie-Banner den gesetzlichen Anforderungen entsprechen. AS Watson hat gegen den Bußgeldbescheid Einspruch eingelegt.