Frankreich: Neue Richtlinien und Empfehlungen zu Cookies
Die französische Datenschutzbehörde (CNIL) hat am 1. Oktober 2020 neue Richtlinien und Empfehlungen zu Cookies und ähnlichen (Tracking-)Technologien erlassen. Damit hat die CNIL vor allem ihre Grundsätze im Zusammenhang mit der Verwendung von Cookies nachgeschärft und präzisiert. Gleichzeitig hat sie auch eine Auswahl von Fragen und Antworten zu den Empfehlungen (FAQs) veröffentlicht. Die wichtigsten Punkte dieser Dokumente haben wir nachfolgend zusammengefasst.
Grundlegende Prinzipien:
Die CNIL hält auch weiterhin an den wesentlichen Grundsätzen fest, die sie bereits in ihren vorangegangenen Dokumenten zusammengefasst hat:
- Es liegt dann keine gültige Einwilligung zur Verwendung von Cookies vor, wenn der Nutzer das Browsen oder Scrollen auf der Website fortsetzt, wenn vorangekreuzte Opt-in-Boxen verwendet werden, oder der Nutzer (bloß) die Nutzungsbedingungen auf der Webseite annimmt.
- Es besteht die Verpflichtung, die konkreten Zwecke der Cookies (Cookie-Kategorien, z.B. Analyse oder Werbe-Cookies) und die anderen Verantwortlichen im Zusammenhang mit der Verwendung von Cookies (z.B. Facebook beim Setzen von Cookies für den „Like“-Button) anzugeben.
- Es muss die Möglichkeit bestehen, die Einwilligung jederzeit zu widerrufen, und zwar auf dieselbe einfache Art und Weise wie diese ursprünglich erteilt wurde.
- Außerdem muss ein Nachweis über die Einwilligung (Erteilung und Widerruf) geführt werden.
Ausgestaltung von Cookie-Bannern
Gerade in diesem Bereich besteht nach wie vor eine große Verunsicherung, was einerseits daran liegt, dass sich die europäischen Datenschutzbehörden zu diesem Thema entweder überhaupt nicht (z.B. Österreich) oder uneinheitlich geäußert haben. Anderseits gibt es dazu noch keine übergeordneten Vorgaben des Europäischen Gerichtshofes. Die CNIL hat dankenswerterweise einige praktische Beispiele genannt, wie ein Cookie-Banner konkret hausgestaltet werden sollte.
Eine globale Einwilligung kann immer nur dann erteilt werden, wenn gleichzeitig die Möglichkeit besteht, auch alle Cookies abzulehnen (über die Schaltflächen „Alle akzeptieren“ und „Alle ablehnen“) und sich die beiden Schaltflächen auf derselben Ebene befinden. Damit schiebt die CNIL jenen Ausgestaltungen einen Riegel vor, bei denen eine globale Ablehnung gar nicht oder nur über mehrere Ebenen möglich ist. Auf der ersten Ebene befinden sich oft die Schaltflächen „Alle akzeptieren“ und „Cookie-Präferenzen“. Meist ist es dem Nutzer zur Ablehnung von Cookies zu mühsam, sich durch mehrere Einstellungen/Ebenen zu klicken, weshalb er oft den Weg des geringsten Widerstands wählt und alle Cookies annimmt.
Um es dem Nutzer möglichst einfach zu machen, seine ursprünglich erteilte Einwilligung zu widerrufen oder zu adaptieren, wird empfohlen, entweder einen leicht auffindbaren Link oder ein „Cookie“-Symbol auf der Webseite zur Verfügung zu stellen, mit dem die Auswahl jederzeit abgeändert werden kann.
Aufbewahrungsfrist
Die CNIL betont, dass es wichtig ist, die getroffenen Entscheidungen des Nutzers zu dokumentieren und entsprechend aufzubewahren. Damit soll auch gewährleistet werden, dass der Nutzer zumindest für einen gewissen Zeitraum nicht erneut um seine Einwilligung zur Verwendung von Cookies gefragt wird. Als Zeitraum sieht die Behörde 6 Monate als praktikabel und angemessen an. Die ursprünglich von der CNIL angenommene maximale Gültigkeitsdauer von 13 Monaten für Cookies wird nicht mehr aufrechterhalten.
Cookie-Walls
Eine Cookie-Wall dient dazu, dem Nutzer den Zugriff auf die Inhalte der Webseite zu verweigern, wenn er nicht der Verwendung von Cookies (z.B. zur Werbung) zustimmt. Die bisher von der CNIL vertretene Ansicht, Cookie-Walls seien per se unzulässig, wird nicht mehr beibehalten. Vielmehr vertritt die Behörde nunmehr die Ansicht, dass deren Zulässigkeit im konkreten Einzelfall beurteilt werden müsse, und zwar dahingehend, ob solche Praktiken die Entscheidungsfreiheit des Einzelnen beeinträchtigen. Wichtig dabei ist, dass der Nutzer klar über die Folgen seiner Wahl informiert werden muss, insbesondere über die Unmöglichkeit, auf den Inhalt der Website oder der Anwendung oder des Dienstes zuzugreifen, wenn er seine Einwilligung nicht gibt.
Ausnahmen von einer Einwilligung für Cookies
Die CNIL hat bestätigt, dass bestimmte Cookies von einer Einwilligung ausgenommen sind. Dazu gehören technische Cookies, die für die Erbringung eines Dienstes unbedingt erforderlich sind (z.B. Warenkorb-Cookies oder Authentifizierungs-Cookies). Analyse-Cookies fallen grundsätzlich nicht darunter.
Die Behörde ist jedoch der Ansicht, dass unter bestimmten Voraussetzungen auch Analyse-Cookies vom Einwilligungserfordernis ausgenommen sein können. Dazu gehören Analyse-Cookies, deren Zweck sich auf die Messung des Benutzerkreises der Website oder der Anwendung beschränkt, um unterschiedlichen Bedürfnissen gerecht zu werden (Leistungsmessung, Erkennung von Navigationsproblemen, Optimierung der technischen Leistung oder Ergonomie, Abschätzung der Leistung der erforderlichen Server, Analyse der konsultierten Inhalte usw.). Wichtig dabei ist, dass (i) die gesammelten Daten nur vom Webseiten-Betreiber und nur für seine eigenen Zwecke genutzt werden dürfen, (ii) die Tracking-Technologien keine Verfolgung über verschiedene Standorte oder Anwendungen hinweg ermöglichen, und (iii) die Daten nur zur Erstellung anonymer Statistiken verwendet werden, ohne sie mit anderen Daten zu verknüpfen.
Die CNIL hat eine Übergangszeit von sechs Monaten eingeräumt, damit die neuen Regeln umgesetzt werden können. Natürlich sind davon nur solche Verantwortliche betroffen, auf die die französischen Datenschutzvorschriften anwendbar sind. Da nicht davon ausgegangen werden kann, dass die österreichische Datenschutzbehörde ebenfalls Empfehlungen oder Richtlinien im Zusammenhang mit der Verwendung von Cookies erlässt, muss man hierzulande auf eine behördliche Entscheidung zu diesem Thema warten oder der Europäische Gerichtshof oder Europäische Datenschutzausschuss (EDSA) beziehen dazu konkret Stellung. Nichtsdestotrotz können die meisten Punkte zumindest als praktikable Handlungsempfehlung auch für Österreich in Erwägung gezogen werden.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.