Datenschutz in Frankreich: Neue Richtlinien für Cookies
Am 17. September 2020 wurden die neuen Richtlinien über die Verwendung von Cookies sowie diesbezügliche Empfehlungen von der französischen Datenschutzbehörde (sog. „CNIL“) veröffentlicht[1].
Die vormals geltenden Richtlinien aus 2019 erklärten sog. „Cookie-Walls“ in Frankreich für per se illegal. Eine Cookie-Wall ist eine Möglichkeit für Betreiber von Webseiten, den Benutzern den Zugriff zu verwehren, wenn sie sich nicht mit allen Cookies der Webseite einverstanden erklären. Das französische oberste Verwaltungsgericht („Conseil d’Etat“) hatte diese Regelung mit Urteil vom 19. Juni 2020 jedoch für unvereinbar mit der Datenschutz-Grundverordnung (sog. „DSGVO“) erklärt. Daher war die CNIL gehalten, neue Richtlinien auszuarbeiten.
1. Voraussetzungen einer wirksamen Einwilligung
Die Einwilligung der Nutzer von Webseiten zur Verwendung von Cookies mehrere Voraussetzungen erfüllen, damit sie wirksam ist:
a) Freiwilligkeit der Einwilligung
Erstes Merkmal einer wirksamen Einwilligung ist die Freiwilligkeit ihrer Abgabe. Das bedeutet, dass der Einwilligende diese ohne Zwang und in Kenntnis aller Tatsachen abzugeben hat.
- Cookies Walls
Die neuen Richtlinien der CNIL verbieten den Betreibern die Einrichtung von Cookies Walls nun nicht mehr per se. Daraus lässt sich jedoch nicht der Schluss ziehen, dass Cookie-Walls immer zulässig sind. Die Möglichkeit, dass sie die Freiwilligkeit der Nutzereinwilligung ausschließt, bleibt bestehen. So erklärt die CNIL in ihren Richtlinien, dass jeweils im Einzelfall unter Berücksichtigung aller Umstände zu prüfen ist, ob eine Cookie-Wall die Freiwilligkeit der Einwilligung beeinträchtigt oder nicht. Als wichtigste Anforderung an diese hat sich zunächst die Information des Benutzers über die Folgen seiner Entscheidung, ob er einwilligt oder nicht, herauskristallisiert. Insbesondere muss der Benutzer darüber informiert werden, dass ihm der Zugriff auf die Webseite verwehrt wird, wenn er nicht einwilligt.
Nichtdestotrotz können angesichts geltender Regelungen auf EU-Ebene Zweifel an der grundsätzlichen Legalität von Cookie-Walls nicht aus dem Weg geräumt werden. Gem. Erwägungsgrund 42 der DSGVO sollte nur dann von der Freiwilligkeit einer Einwilligung ausgegangen werden, wenn der Einwilligende eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Der Europäische Datenschutzausschuss verneint aber die Freiwilligkeit der Einwilligung im Zusammenhang mit Cookie-Walls (Leitlinie Nr. 05/2020 über die Einwilligung gem. der Richtlinie 2016/679, S. 12).
In Anbetracht dessen erscheint die Verwendung von Cookie-Walls auf französischen Webseiten nach wie vor als nicht ratsam.
- Zustimmung mehrerer Datenverarbeitungsprozesse
Die Freiwilligkeit der Einwilligung kann auch dann beeinträchtigt sein, wenn der Benutzer mittels einer Einwilligung mehreren Datenverarbeitungsprozessen zustimmen soll, die unterschiedliche Verwendungszwecke haben. Nach Ansicht der CNIL ist eine solche Sammeleinwilligung nur dann freiwillig, wenn dem Benutzer die Möglichkeit gegeben wird, den Datenverarbeitungsprozessen einzeln, getrennt nach ihrem Verwendungszweck, zuzustimmen.
Des Weiteren muss sich die Einwilligung spezifisch auf die Verwendung von Cookies beziehen. Insbesondere bedarf es getrennter Einwilligungen für die Verwendung von Cookies und die allgemeinen Nutzungsbedingungen einer Webseite.
b) Aufklärung des Benutzers
Weitere Voraussetzung für die Wirksamkeit der Einwilligung ist, dass der Benutzer bei Abgabe der Einwilligung Kenntnis aller Informationen betreffend die Cookies hatte. In diesem Sinne verlangt die CNIL, dass die Information in einfachen und verständlichen Worten erteilt werden muss, und rät von der Verwendung juristischer oder technischer Terminologie ab. Die erteilten Informationen müssen komplett und für den Benutzer sichtbar sein. In den Richtlinien findet sich eine Aufzählung der Informationen, deren Kenntnisnahme für den Benutzer möglich sein muss:
- Die Identität des oder der Verantwortlichen oder der gemeinsam Verantwortlichen;
- Der Verwendungszweck der Cookies;
- Die Art und Weise Cookies zu akzeptieren oder abzulehnen;
- Die Folgen einer Annahme oder Ablehnung von Cookies;
- Das Recht, seine Einwilligung zu widerrufen.
c) Die Eindeutigkeit der Einwilligung
Die Einwilligung kann nicht konkludent, sondern nur durch eine eindeutige Erklärung abgegeben werden. Für die Annahme einer Einwilligung ist es daher nicht ausreichend, dass der Benutzer die Nutzung einer Webseite einfach fortsetzt, nachdem ihm ein Hinweis angezeigt wurde. Ohne ausdrückliche Einwilligung ist daher von einer Ablehnung der Verwendung von Cookies auszugehen. Zur Abfrage der Einwilligung empfiehlt die CNIL zum Beispiel die Verwendung von Kästchen mit zu setzenden Häkchen, wobei allerdings die Häkchen nicht standardmäßig gesetzt sein dürfen, sondern vom Benutzer zu setzen sind.
d) Die Speicherung der Einwilligung/Ablehnung
Die CNIL hält die Speicherung der Einwilligung/Ablehnung des Benutzers für erforderlich, damit der Benutzer bei der Navigation nicht bei der Öffnung jeder neuen Seite nach seiner Einwilligung gefragt wird. Denn auch die wiederholte Nachfrage könne die Freiwilligkeit der Entscheidung des Benutzers beeinträchtigen. Eine Speicherung der Entscheidung des Benutzers ist also empfohlen. Die Speicherdauer soll im Einzelfall bestimmt werden. Die CNIL empfiehlt aber auch eine regelmäßige Bestätigung der Einwilligung. Dabei hält sie Abstände von bis zu sechs Monaten vor der erneuten Abfrage der Einwilligung für angemessen.
e) Der Beweis der Einwilligung
Jeder Verantwortliche muss jederzeit in der Lage sein, den Beweis dafür zu erbringen, dass die Einwilligung wirksam und unter Einhaltung der oben genannten Voraussetzungen gegeben wurde. In den Empfehlungen der CNIL gibt diese mittels Beispiele eine Hilfestellung, wie der Beweis der wirksamen Einwilligung erbracht werden kann.
f) Cookies, deren Verwendung keiner Einwilligung bedarf
Für die Verwendung mancher Arten von Cookies bedarf es keiner Einwilligung. So verhält es sich zum Beispiel mit Cookies, deren einziger Verwendungszweck es ist, die Kommunikation auf elektronischem Wege zu ermöglichen oder zu vereinfachen. Ebenfalls einwilligungsfrei sind Cookies, die erforderlich sind, um einen Online-Kommunikationsservice bereitzustellen, der ausdrücklich von den Benutzern gefordert ist. Genauso wenig bedürfen solche Cookies der Zustimmung, deren Verwendungszweck sich allein darauf beschränkt, die Anzahl der Besucher der Webseite zu erfassen. Grund hierfür ist, dass diese Cookies erforderlich für die Betreibung der Webseite sind. Alle diese Cookies sind jedoch nur dann einwilligungsfrei, wenn sie nicht die Verfolgung der gesamten Navigation des Benutzers ermöglichen.
Die CNIL gibt Empfehlungen für den Einsatz solcher einwilligungsfreien Cookies:
- Die Benutzer sollen über die Implementierung solcher Cookies informiert werden (z.B. über die Datenschutzerklärung der Webseite);
- Die Lebensdauer von Cookies müssen auf einen Zeitraum begrenzt werden, der eine aussagekräftige Einschätzung der Besucherzahl ermöglicht. Die CNIL hält einen 13-monatigen Zeitraum für angemessen. Zudem sollte die Dauer von Cookies nicht automatisch bei neuen Besuchen verlängert werden;
- Die durch diese Tracer gesammelten Informationen sollten für einen Zeitraum von maximal 25 Monaten aufbewahrt werden;
- Die oben genannten Lebens- und Aufbewahrungsfristen werden einer periodischen Überprüfung unterzogen.
2. Verantwortliche
Die Richtlinien der CNIL regeln außerdem die Verpflichtungen der verschiedenen Beteiligten in Bezug auf die Verwendung von Cookies. Dabei wird zwischen drei Arten von Verantwortlichen in Bezug auf die Verwendung von Cookies unterschieden: den Betreiber, den Dritten und den Zulieferer.
Der Betreiber, der die Cookies auf seiner eigenen Webseite einrichtet, gilt als Verantwortlicher i.S.d. DSGVO. Er bleibt es auch dann, wenn er die Verwaltung der Cookies einem Dritten überlässt, solange die Cookies in seinem Interesse verwendet werden.
Der Betreiber muss aber nicht der einzige Verantwortliche für die sich auf seiner Webseite befindlichen Cookies sein. Auch Dritte können Cookies auf seiner Webseite ablegen. Wenn sie diese für ihre eigenen Interessen verwenden, sind sie ebenfalls Verantwortliche i.S.d. DSGVO. In diesem Fall ist der Betreiber dafür verantwortlich, dass die vom Dritten auf seiner Webseite gespeicherten Cookies mit französischem Recht vereinbar sind. Der Dritte und der Betreiber sind außerdem gemeinsam Verantwortliche i.S.d. DSGVO, sodass sie gehalten sind, ihre jeweiligen Pflichten in transparenter Weise vertraglich festzuhalten.
Ein Zulieferer verwendet die Cookies nicht in seinem eigenen Interesse, sondern im Interesse eines Dritten. Der Zulieferer und der Verantwortliche müssen in diesem Fall einen Vertrag schließen, der, wie bei Drittem und Betreiber, die jeweiligen Pflichten der Parteien definiert.
[1] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux «cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4juillet 2019 ; Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux «cookies et autres traceurs »
26.10.2020