Am 4. Juli 2019 verabschiedete die französische Datenschutzbehörde CNIL (Commission nationale de l’informatique et des libertés)[i] neue Richtlinien für die Verwendung von Cookies und ähnliche Anwendungsformen.[ii] Die zeitlich frühere Stellungnahme der französischen Behörde steht im Einklang mit der Rechtsprechung des Gerichtshofs der Europäischen Union, die den praktischen Spielraum im Hinblick auf diese Thematik zuletzt durch das Urteil vom 1. Oktober 2019 weiter eingeengt hat.[iii] (unseren Artikel hier nachzulesen)

Cookies sind Textdateien, die ein Website-Betreiber auf dem Computer (oder Endgerät) des Nutzers speichert. Der Website-Betreiber kann beim erneuten Besuch der Website durch den Nutzer wieder auf die darin enthaltenen Daten zugreifen. Cookies speichern vor allem Informationen über Internetaktivitäten und Websiteeinstellungen (Benutzername, Sprache, Schriftgröße und andere Anzeigeeinstellungen), wodurch der Nutzer diese Informationen nicht bei jedem Besuch der Website neu eingeben muss. Cookies ermöglichen es dem Website-Betreiber sowie gegebenenfalls seinen Geschäftspartnern, Werbung gezielt zu schalten.

In den Richtlinien erinnert die CNIL an das geltende Recht für die Speicherung und den Zugriff auf Informationen eines Internetnutzers mittels Cookies. Die Richtlinien basieren insbesondere auf den Vorgaben der Richtlinie 2002/58/EG vom 12. Juli 2002 in der Fassung 2009/136/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), die in Artikel 82 des Datenschutzgesetzes („Loi Informatique et Liberté„) in französisches Recht umgesetzt wurden. Daneben orientieren sich die Richtlinien ebenfalls an der Definition der Einwilligung in Artikel 4 Ziffer 11 der Datenschutz-Grundverordnung (DSGVO), wie sie in den Leitlinien des Europäischen Datenschutzausschusses (EDSA) ausgelegt wird.

Nach diesen Richtlinien der CNIL müssen Website- oder Anwendungsanbieter, wenn sie Cookies verwenden:

  • die Internetnutzer über den Zweck von Cookies informieren,
  • ihre Einwilligung einholen,
  • den Internetnutzern eine Möglichkeit geben, sie jederzeit abzulehnen.

Diese Bestimmungen sind einheitlich auszulegen, egal ob die Informationen personenbezogene Daten enthalten oder nicht. Bei Nichteinhaltung dieser Bestimmungen kann die CNIL Sanktionen nach Artikel 3 des Datenschutzgesetzes verhängen.

Umfang der Richtlinien

Die Richtlinien gelten für alle Vorgänge, die auf den Zugriff oder die Speicherung von Informationen in den „Endgeräten“ des Internetnutzers abzielen. Gemäß der Richtlinie 2008/63/EG sind Endgeräte Geräte, die direkt oder indirekt mit der Schnittstelle eines öffentlichen Telekommunikationsnetzes verbunden sind, um Informationen zu senden, zu verarbeiten oder zu empfangen. Die Definition der CNIL umfasst verschiedene Geräte wie z.B. Tablet, Smartphone, Festnetz- oder Mobil-Computer, elektronisch verbundenes Fernsehen oder Fahrzeuge sowie Sprachassistenten. Die Richtlinien gelten für die Verwendung von „HTTP-Cookies“ und ähnlichen Anwendungsformen wie „Flash-Cookies“, „local storage“, usw.

Wie man die Einwilligung des Nutzers erhält

Cookies dürfen nicht verwendet werden, außer der Nutzer hat zuvor freiwillig für den konkreten Fall, in informierter Weise und unmissverständlich seine zustimmende Willensbekundung abgegeben. Diese Bekundung muss als Erklärung oder als andere eindeutig bestätigende Handlung erkennbar sein.

Freiwillig abgegebene Einwilligung

Der Nutzer sollte keine größeren Unannehmlichkeiten erleiden, wenn er von seinem Recht Gebrauch macht, die Verwendung von Cookies abzulehnen. Daher entspricht die Verwendung von „Cookie-Walls“, d.h. die Praxis, den Zugang zu einer Website oder Anwendung ohne Einwilligung zu blockieren, nicht den Anforderungen an eine freiwillig abgegebene Einwilligung nach der DSGVO.

Für den konkreten Fall abgegebene Einwilligung

Die Einwilligung des Nutzers muss dem Zweck der Verwendung von Cookies entsprechen. Der Website-Anbieter kann neben einer speziellen Einwilligung auch eine globale Einwilligung zur Verwendung von Cookies anbieten.

In informierter Weise abgegebene Einwilligung

Dem Nutzer sind folgende Informationen zur Verfügung zu stellen:

  • die Identität des oder der Unternehmen, die die Cookies verwenden;
  • der Zweck des Zugriffs auf, oder der Speicherung von Daten;
  • das Bestehen des Rechts auf Widerruf der Einwilligung.

Diese Informationen müssen leicht verständlich sowie vollständig, sichtbar und auffallend zum Zeitpunkt der Einholung der Einwilligung bereitgestellt werden.

Unmissverständlich abgegebene Einwilligung

Die Einwilligung des Nutzers muss durch eine Erklärung oder eine andere eindeutig bestätigende Handlung zum Ausdruck gebracht werden. Das bedeutet, dass die Einwilligung nicht gültig ist, wenn sie auf das Schweigen oder passive Verhalten des Nutzers zurückzuführen ist. So stellt beispielsweise das weitere Durchsuchen einer Website oder die Nutzung einer mobilen Anwendung oder das Scrollen auf der Seite einer Website oder einer mobilen Anwendung keine gültige Einwilligung dar. Die CNIL betrachtet auch die Verwendung von vorangekreuzten Kästchen sowie die Akzeptanz der Allgemeinen Nutzungsbedingungen bzw. Datenschutzerklärung nicht als gültige Einwilligung.

Nachweis der Einwilligung und Widerruf

Gemäß Artikel 7 der DSGVO müssen Unternehmen, die Cookies verwenden, jederzeit nachweisen können, dass sie die erforderliche Einwilligung der Nutzer eingeholt haben.

Außerdem müssen Personen, die der Verwendung von Cookies zugestimmt haben, ihre Einwilligung jederzeit widerrufen können. Unternehmen, die Cookies verwenden, müssen bequeme und freundliche Lösungen entwickeln, damit die Nutzer ihre Einwilligung so einfach wie möglich widerrufen können.

Cookies, die für die Bereitstellung eines Online-Kommunikationsdienstes unbedingt erforderlich sind, können ohne Einwilligung des Nutzers verwendet werden. Aus Gründen der Transparenz müssen die Unternehmen die Nutzer jedoch über das Vorhandensein und den Zweck der Cookies informieren, indem sie beispielsweise einen Hinweis darauf in ihre Datenschutzerklärung aufnehmen.

Die CNIL ist der Ansicht, dass die Browsereinstellungen nach dem Stand der Technik nicht ausdrücken können, dass der Nutzer zur Verwendung von Cookies gültig eingewilligt hat. Die Browsereinstellungen gewährleisten keine ausreichende Vorinformation der Nutzer und ermöglichen es dem Nutzer nicht, eine Einwilligung für die Verwendung der Cookies im konkreten Fall zu erteilen. Darüber hinaus erlauben die Browsereinstellungen keine Dispositionen im Hinblick auf andere Technologien (z.B. Fingerprinting).

Die von der Einwilligungspflicht betroffenen Technologien verarbeiten nicht notwendig personenbezogene Daten. In vielen Fällen werden von den Vorgängen der Speicherung und des Zugriffs auf Informationen jedoch auch personenbezogene Daten erfasst sein, auf welche die DSGVO zur Gänze anwendbar ist.

Anfang 2020 wird die CNIL eine Empfehlung veröffentlichen, in der sie für Website-Betreiber die praktischen Einzelheiten zur Einholung einer Einwilligung von Internetnutzern veranschaulicht.

Margaux Mermin

[i] Die Hauptaufgabe der CNIL besteht darin, die Einhaltung der Vorschriften über personenbezogene Daten sicherzustellen. Sie unterstützt Unternehmen bei der Einhaltung ihrer Vorschriften und hilft Privatpersonen bei der Kontrolle ihrer personenbezogenen Daten und der Ausübung ihrer Rechte (z.B. durch die Untersuchung von Beschwerden von Einzelpersonen).

[ii] CNIL Richtlinien vom 4. Juli 2019, Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) (rectificatif), (FR) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337

[iii] Urteil des Gerichtshofs der Europäischen Union vom 1. Oktober 2019, Planet49, C-673/17, (DE) http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=3469928