Datenschutz in Frankreich: Neue Empfehlungen zum Cookie-Banner für französische Internetseiten

Dienstag, 28. April 2020 | Französisch Cet article en français

Am 14.01.2010 hat die französische Datenschutzbehörde CNIL einen Entwurf für eine neue Empfehlung veröffentlicht, der die praktische Umsetzung des Einholens der Einwilligung zum Setzen von Cookies und ähnlichen Technologien zum Gegenstand hat.

Dieser Empfehlungsentwurf « Cookies und andere Tracker » wurde im Anschluss an die Richtlinien der CNIL über den rechtlichen Rahmen für Cookies und andere Tracker vom 4.7.2019 veröffentlicht und hat die praktische Umsetzung des Einholens der Einwilligung zum Setzen von Cookies und ähnlichen Technologien für Anbieter von Internetseiten oder mobilen Anwendungen zum Gegenstand. Der Empfehlungsentwurf unterlag bis zum 25.02.2020 einer öffentlichen Anhörung, bei der die betroffenen Akteure (Anbieter und Werbeagenturen) zum Inhalt der Empfehlung der CNIL Stellung nehmen konnten. Die endgültige Fassung der Empfehlung wurde bis zum heutigen Tag noch nicht veröffentlicht

Welchen Anwendungsbereich hat dies neue Empfehlung der französischen Datenschutzbehörde

Der sachliche Anwendungsbereich der Empfehlung der französischen Datenschutzbehörde ist relativ weit gefasst: er umfasst sowohl Anbieter von Webumgebungen und mobilen Anwendungen, die Cookies verwenden, als auch Dritte, die im Rahmen ihrer Tätigkeiten Cookies setzen können, und dies egal ob der Benutzer authentifiziert ist oder nicht.

Der Empfehlungsentwurf ist allerdings nicht auf sogenannte funktionale oder technische Cookies anwendbar (die beispielsweise zur Authentifizierung eines Benutzers notwendig sind, zur Navigation von einer Seite zur nächsten, oder für den Warenkorb…)

Die praktische Umsetzung der informierten Einwilligung zu Cookies

Gemäß Artikel 82 des französischen Gesetzes „Informatik und Freiheiten“ (Loi n° 78-17 Informatique et Libertés) muss die Information zur Setzung von Cookies und anderen Trackern für jeden Benutzer eines Webservice oder mobilen Service klar und umfassend sein.

In diesem Zusammenhang stellt der Empfehlungsentwurf der CNIL klar, dass auf einer ersten, übergeordneten Informationsebene, über den Zweck der Verarbeitung, den oder die für die Verarbeitung Verantwortlichen, sowie über die Reichweite der Einwilligung informiert werden muss. Konkret sind also nunmehr ab der ersten Informationsebene mehr Hinweise als vorher erforderlich.

Die CNIL erwartet in ihrer Empfehlung, das auf der übergeordneten Informationsebene (konkret das Cookie-Banner der Webseite oder mobilen Applikation, mit dem die Einwilligung eingeholt wird), ein kurzer Titel für jede Art von Cookies angegeben wird, gefolgt von einer kurzen Erklärung mit Zweck des Cookies (z.B. „personalisierte Werbung“, „Werbeanzeige“, „standortabhängige Werbung“, „Werbeanalyse“ oder „Teilen auf sozialen Netzwerken“), sowie die Kategorie der für die Verarbeitung Verantwortlichen (z.B. Anbieter der Webseite, Partner, Dritter usw.).

Weiterhin empfiehlt die CNIL, genauere Hinweise zu den unterschiedlichen Zweckbestimmungen jedes einzelnen Cookies auf einer untergeordneten, zweiten Informationsebene zugänglich zu machen, etwa mittels eines Dropdown-Menus oder Links auf dem Cookie-Banner.

Die praktische Umsetzung der freien und tatsächlichen Wahl des Benutzers

Die Einwilligung eines Benutzers zur Setzung von Cookies ist nur dann gültig, wenn sie freiwillig erteilt wurde.

Um sicherzustellen, dass die Einwilligung des Benutzers zu Cookies freiwillig ist, muss diesem gleichermaßen die Möglichkeit gegeben werden, der Setzung von Cookies zuzustimmen oder nicht (etwa durch Ankreuzen eines Kontrollkästchens, oder Buttons „Ich stimme zu“ / „Ich stimme nicht zu“).

Außerdem darf dem Benutzer kein Nachteil dadurch entstehen, dass er die Cookies abgelehnt hat. Daher muss die Ablehnung von Cookies genau solange gespeichert werden wie die Zustimmung, um zu vermeiden, dass der Benutzer einer Webseite bei jedem Besuch erneut aktiv die Cookies ablehnen muss (wodurch er sich indirekt genötigt fühlen könnte, die Cookies zu akzeptieren).

Die praktische Umsetzung der spezifischen Einwilligung zu Cookies

Der Benutzer muss die Möglichkeit haben, seine Einwilligung individuell für jede unterschiedliche Zweckbestimmung und für jede Art von Cookies zu geben.

Allerdings ist es für die französische Datenschutzbehörde denkbar, dem Benutzer die Möglichkeit zu geben, global allen Cookies einer Webseite oder Applikation zuzustimmen, wenn drei Bedingungen erfüllt sind:

  • Der Benutzer muss im Vorfeld auf alle unterschiedlichen Zweckbestimmungen der Verarbeitungstätigkeiten hingewiesen worden sein.
  • Dem Benutzer muss anderweitig die Möglichkeit gegeben werden, seine Einwilligung spezifisch für jede Art von Cookies zu geben.
  • Dem Benutzer muss ebenfalls die Möglichkeit gegeben werden, alle Cookies global abzulehnen.

In der Praxis wäre es vorstellbar, dem Benutzer auf gleiche Weise drei Möglichkeiten anzubieten (drei Buttons im selben Design): „Alles aktivieren“ / „Alles desaktivieren“ / „Cookie-Präferenzen bestimmen“.

Anforderungen zur wirksamen Cookie-Einwilligung und zum Zurückziehen der Einwilligung

 Die Benutzer müssen über die Dauer ihrer Einwilligung zu den Cookies informiert werden, sowie darüber, wie sie ihre Einwilligung zu den Cookies wieder zurückziehen können. Das Desaktivieren von Cookies muss immer einfach zugänglich sein, etwa durch einen Link „Cookie-Einstellungen“. Die CNIL fordert, dass das Desaktivieren von Cookies so leicht sein muss, wie die Einwilligung zu den Cookies.

Wie muss der Nachweis der Einwilligung des Benutzers erbracht werden?

Schließlich fordert die CNIL in ihrem Empfehlungsentwurf, dass der Anbieter einer Webseite oder Applikation ein System vorsieht, dass es ermöglicht den Nachweis der Einwilligung des Benutzers zu den Cookies zu erbringen, gemäß dem Prinzip der Accountability.

Dabei handelt es sich um einen doppelten Nachweis: Zum einen muss nachgewiesen werden können, dass der Cookie-Hinweis und das Einwilligungsbanner auf der Webseite den datenschutzrechtlichen Anforderungen entsprechen (etwa durch ein entsprechendes Audit, Screenshots, usw.). Zum anderen muss nachgewiesen werden können, dass jeder einzelne Besucher der Webseite, bei dem Cookies gesetzt wurden, seine Einwilligung gegeben hat. In ihrem Entwurf empfiehlt die CNIL diesbezüglich einen individuellen Nachweis durch Registrierung im Tracker mit Zeitstempel und Kontextualisierung durch den Anbieter der Webseite oder der mobilen Applikation.