Zur Navigation springen Zum Inhalt springen Zum Footer springen

Richtlinie der französischen Datenschutzbehörde CNIL zum Thema „Cookies und andere Tracker“

  • 6 Minuten Lesezeit

Hintergrund

Am 01.10.2020 hat die französische Datenschutzbehörde CNIL ihre Entscheidung Nr. 2020-091 vom 17.09.2020 veröffentlicht bzgl. der Verabschiedung einer Richtlinieüber die Anwendung von Artikel 82 des Gesetzes vom 06.01.1978 auf Schreib- und Lesevorgänge im Endgerät eines Benutzers“ (die sogenannte Richtlinie „Cookies und andere Tracker“). Diese Entscheidung hebt die vorherige Richtlinie Nr. 2019-093 zu diesem Thema auf. Am selben Tag hat die CNIL eine Entscheidung Nr. 2020-092 veröffentlicht bzgl. der Verabschiedung einer Empfehlung zur praktischen Umsetzung der o.g. Richtlinie beim Einsatz von Cookies und anderen Trackern.

Diese beiden Texte haben zum Gegenstand, den Rahmen und die Bedingungen für die Verwendung von Cookies im Endgerät eines Nutzers festzusetzen, insbesondere bzgl. dessen Einwilligung.

Es muss daran erinnert werden, dass die CNIL bereits am 04.07.2019 eine Richtlinie zum Thema „Cookies und andere Tracker“ veröffentlicht hatte, sowie einen Entwurf für eine Empfehlung am 25.01.2020, der von einer öffentlichen Anhörung der betroffenen Akteure der Werbebranche bis zum 25.02.2020 gefolgt war.

Diese Richtlinie der CNIL von 2019 wurde in einer Entscheidung des Conseil d’Etat Nr. 434684 vom 19.06.2020 teilweise für nichtig erklärt, wobei das höchste französische Verwaltungsgericht insbesondere das uneingeschränkte Verbot der sog. „Cookie walls“ kritisiert hat, dass die CNIL in ihrer Richtlinie von 2019 durchsetzen wollte.

Mit den beiden obengenannten Texten vom 01.10.2020 hat die CNIL nunmehr ihre Richtlinie an die Entscheidung des Conseil d’Etat angepasst und mit dem Ergebnis der öffentlichen Anhörung der Werbebranche in Einklang gebracht.

Anwendungsbereich der Richtlinie und der Empfehlung der CNIL 

Der sachliche Anwendungsbereich der Richtlinie sowie der Empfehlung der CNIL ist weitgefasst: Er umfasst sowohl Anbieter von Webumgebungen und mobilen Anwendungen, die Cookies verwenden, als auch Dritte, die im Rahmen ihrer Tätigkeiten Cookies setzen können, und dies egal ob der Benutzer authentifiziert ist oder nicht.

Die CNIL erinnert daran, dass die neue Regelung sowohl auf die Verwendung von Cookies anwendbar ist, als auch auf andere Tracking-Methoden wie Flash-Cookies oder Fingerprinting.  

Wie erhält man eine gültige Einwilligung? 

Die Verwendung von Cookies oder Trackern im Endgerät eines Nutzers setzt dessen ausdrückliche Zustimmung voraus. Diese Zustimmung muss durch eine positive Handlung des im Vorfeld ausreichend informierten Nutzers ausgedrückt werden.  

Die vorherige Information des Nutzers

Die CNIL weist in ihrer Richtlinie darauf hin, dass die vorherige Belehrung des Nutzers mindestens folgende Informationen enthalten muss:

  • die Identität des oder der für die Verarbeitung verantwortlichen Personen,
  • die unterschiedlichen Zweckbestimmungen der Cookies,
  • wie man die Cookies annehmen oder ablehnen kann,
  • die Folgen, die mit einer Zustimmung oder Ablehnung der Tracker verbunden sind,
  • die Möglichkeit, die Zustimmung zurückzuziehen.

Ab dem ersten Cookie-Fenster ist also nunmehr eine umfangreichere Information notwendig:  

Ab dem ersten Informationsniveau müssen dem Nutzer die unterschiedlichen Zweckbestimmungen der Tracker vorgestellt werden. Die CNIL empfiehlt, dass jede Zweckbestimmung durch einen kurzen Titel hervorgehoben wird, gefolgt von einer kurzen Beschreibung (z.B. „personalisierte Werbung“; „angepasste Inhalte“; „location-basierte Werbung“; „Freigabe in sozialen Netzwerken“).

Weiterhin wird empfohlen, dass auf dem Cookie-Fenster zusätzliche Informationen und eine detailliertere Beschreibung der Zweckbestimmungen jedes einzelnen Trackers zugänglich gemacht werden (auf einer sog. „zweiten Informationsebene »), etwa durch einen Link oder eine interaktive Schaltfläche.

Außerdem müssen nach der neuen Regelung die Nutzer in dem Cookie-Fenster über die Identität sämtlicher für die Verarbeitung verantwortlicher Personen informiert werden (einschließlich aller gemeinsamen Verantwortlichen). Demnach muss den Nutzern eine vollständige und regelmäßig aktualisierte Liste der für die Verarbeitung Verantwortlichen zur Verfügung gestellt werden. Es wird allerdings darauf hingewiesen, dass die genaueren Informationen zu diesen Verantwortlichen (etwa genaue Identität, Link zu ihrer Datenschutzerklärung) durch einen Link auf dem ersten Informationsniveau zugänglich gemacht werden können.

Einholung der Einwilligung durch eine positive Handlung des Nutzers

Der Nutzer muss seine Zustimmung zur Verwendung von Cookies auf seinem Endgerät unbedingt durch eine positive Handlung abgeben. Gemäß der CNIL ist das Fortfahren der Navigation auf der Internetseite oder der Nutzung einer mobilen App keine eindeutige „positive Handlung“, die einer Zustimmung gleichgestellt werden könnte.

In diesem Sinne ist die Nutzung von vorangekreuzten Kästchen zum Einholen der Zustimmung untersagt. Die CNIL empfiehlt, den Nutzern Ankreuzfelder anzubieten, die als Standarteinstellung nicht angekreuzt sind, oder Slider, die als Standardeinstellung desaktiviert sind.

Außerdem muss der Nutzer die Möglichkeit haben, seine Zustimmung spezifisch für jede einzelne Zweckbestimmung / jede Art von Trackern abzugeben. Die CNIL erkennt jedoch an, dass dies nicht unbedingt der Möglichkeit im Wege stehen muss, dem Nutzer eine globale Zustimmungsmöglichkeit für alle Zweckbestimmungen anzubieten (beispielsweise durch eine Schaltfläche „Alles akzeptieren“), unter der Bedingung, dass dem Nutzer im Vorfeld alle verfolgten Zweckbestimmungen vorgestellt wurden, und ihm ab dem ersten Cookie-Fenster die Möglichkeit gegeben wurde, seine Wahl je nach Zweckbestimmung individuell zu gestalten (etwa durch eine Schaltfläche „Meine Wahl personalisieren“ / „Nach Zweckbestimmung entscheiden“).

Die CNIL weist außerdem darauf hin, dass der Nutzer die Möglichkeit haben muss, Cookies mit derselben Benutzerfreundlichkeit anzunehmen oder abzulehnen. Daher empfiehlt die CNIL, dem Nutzer die Möglichkeit zu bieten, seinen Widerspruch in demselben Cookie-Fenster und auf dieselbe Art und Weise wie für eine Zustimmung auszudrücken (etwa durch zwei parallele Schaltflächen „Alles akzeptieren“ / „Alles ablehnen“).

Die CNIL erinnert allerdings daran, dass ein Widerspruch auch von anderen Formen der Handlung abgeleitet werden kann, z.B. von einer einfachen Untätigkeit des Nutzers, mangels jeglicher Reaktion auf das Cookie-Fenster oder durch das einfache Schließen des Cookie-Fensters. Die CNIL ist der Meinung, dass die Untätigkeit eines Nutzers sowie jede andere Art der Handlung, die keine ausdrückliche Zustimmung ist, als ein Widerspruch zur Verwendung von Cookies eingestuft werden muss. 

Letztlich wird darauf hingewiesen, dass das Layout der Schaltflächen, die dem Nutzer zur Zustimmung / Ablehnung der Cookies angeboten werden, nicht irreführend sein darf oder zur Bevorzugung einer der beiden Möglichkeiten führen darf.

Die Gültigkeitsdauer der Wahl des Nutzers und der Widerruf seiner Einwilligung

In ihrer Empfehlung vom 01.10.2020 hat die CNIL klargestellt, dass die Wahl des Nutzers zur Verwendung von Cookies grundsätzlich zumindest während seiner Navigation auf der Internetseite gespeichert werden muss, um zu vermeiden, dass dieser auf jeder besuchten Seite erneut aufgefordert wird, seine Einwilligung abzugeben.  

Die CNIL empfiehlt, die Wahl des Nutzers (Einwilligung oder Widerspruch) über einen gewissen Zeitraum hin zu speichern, um zu vermeiden, dass dieser durch eine höhere Navigationsfreundlichkeit bei einer Zustimmung zur Verwendung von Cookies beeinflusst wird. In ihrer Empfehlung vom 01.10.2020 gibt die CNIL eine Aufbewahrungsfrist von 6 Monaten als „gute Praktik“ an (Dabei scheint es allerdings nicht Pflicht zu sein, den Widerspruch eines Nutzers solange wie eine Einwilligung zu speichern).

Die Nutzer müssen weiterhin darüber informiert werden, wie sie ihre Einwilligung zur Verwendung von Cookies widerrufen können. Die Möglichkeiten, eine Einwilligung zu widerrufen müssen auf allen Seiten des angebotenen Service leicht zugänglich sein, etwa durch eine Schaltfläche „Cookies verwalten“ (oder ein Cookie-Symbol in der Fußzeile jeder Seite). Gemäß der CNIL muss es genau so leicht sein, seine Einwilligung zu widerrufen, wie diese ursprünglich abzugeben.

Der Nachweis der Einwilligung des Nutzers 

Der für die Verarbeitung Verantwortliche ist ebenfalls verpflichtet, ein System vorzusehen, das es ermöglicht, einen Nachweis der Einwilligung des Nutzers zu erbringen.

Die CNIL schlägt diesbezüglich insbesondere vor, den Nachweis der Gültigkeit der eingeholten Einwilligung des Nutzers entweder durch ein Bildschirmfoto mit Zeitstempel vom Cookie-Banner, so wie es auf dem Endgerät des Nutzers angezeigt wird, zu erbringen, oder durch regelmäßige Audits des Einwilligungs-Mechanismus durch einen zu diesem Zwecke beauftragten Dritten.

 



Rechtstipp aus dem Rechtsgebiet Datenschutzrecht Französisches Recht

Artikel teilen:


Sie haben Fragen? Jetzt Kontakt aufnehmen!

Weitere Rechtstipps von Rechtsanwältin Anna Domanski

Für viele Firmen, die Opfer von unlauterem Wettbewerb durch andere Firmen sind, ist es oft schwierig, den Nachweis des durch das unlautere Wettbewerbsverhalten entstandenen Schadens zu erbringen. ... Weiterlesen
Angesichts der technischen Fortschritte, beschleunigt durch die aktuelle Gesundheitskrise, greifen immer mehr Firmen auf digitale Signaturverfahren (sog. elektronische Unterschriften) zur ... Weiterlesen
Hintergrund Am 01.10.2020 hat die französische Datenschutzbehörde CNIL ihre Entscheidung Nr. 2020-091 vom 17.09.2020 veröffentlicht bzgl. der Verabschiedung einer Richtlinie „ über die Anwendung ... Weiterlesen

Beiträge zum Thema

(2)
29.01.2020
Am 1. Oktober 2019 hat der Europäische Gerichtshof (EuGH) in einem sog. Vorabentscheidungsverfahren (Az.: ... Weiterlesen
(2)
03.01.2020
Es gibt nicht sehr viele Gesetzesänderungen, die für alle tschechischen Unternehmer zum Jahresende 2019 von ... Weiterlesen
(2)
23.03.2021
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat ein Bußgeldverfahren, ... Weiterlesen