Die Comission Nationale de l’informatique et des libertés, die französische Datenschutzbehörde (‚CNIL‘), hat am 1. Oktober 2020 verschiedene Dokumente wie FAQs und eine neue Empfehlung zu Cookies veröffentlicht. Die Empfehlung, welche zwischen dem 14. Januar und dem 25. Februar 2020 öffentlich konsultiert wurde, ist mit Interessenvertretern der digitalen Werbung und der Zivilgesellschaft abgestimmt worden. Eine Frist zur Umsetzung gilt bis zum März 2021. Im Rahmen dieses Artikels sollen einige Knackpunkte der Empfehlungen zusammengefasst werden, da die CNIL neue Anforderungen stellt, welche so explizit nicht von anderen Aufsichtsbehörden vertreten wurden.

Die ePrivacy Richtlinie und die Umsetzung in Frankreich im Überblick

Das Thema Cookies und ähnliche Technologien ist in der Europäischen Union im Rahmen einer Richtlinie geregelt, welche einen europäischen Mindeststandard im Art. 5 Abs. 3 der Richtlinie 2002/58/EG festgelegt. Die Mehrheit der europäischen Mitgliedsstaaten hat diese Regelungen in nationales Recht umgesetzt, so wie Frankreich im Art. 82 des französischen Datenschutzgesetzes. Per se somit nichts Neues für Datenschützer, jedoch betont die CNIL Ihre Kompetenz für die Regulierung und Prüfung sämtlicher Cookies und ähnlicher Technologien, unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nicht. Die CNIL führt als Beispiel einer solchen Technologie Cookies zur Bestimmung der Sprachpräferenz an, sofern diese neben den Sprachwert keine weiteren personenbezogenen Daten speichern.

Welchen Anwendungsbereich haben die FAQs und die Empfehlungen?

Die neuen Publikationen der CNIL erweitern bestehende Empfehlungen und Richtlinien mit praktischen Anwendungsbeispielen und Implementierungshinweisen für den öffentlichen und privaten Sektor. Die CNIL versucht sämtlichen Akteure weitere Hinweise zu geben und deren Bemühungen hinsichtlich einer datenschutzkonformen Gestaltung der Cookies und ähnlichen Technologies zu unterstützen. Die Empfehlung gilt für alle Unternehmen, die Tracking-Technologien einsetzen. Unter Tracking-Technologien versteht man Technologien, die direkt oder indirekt mittels einer Zuordnung von Kennungen eine natürliche Person identifizieren oder identifizierbar machen. Dies sind beispielsweise in einer einzigartigen Kennzahl („ID’s) in Kombination mit einem Cookie, einer IP Adresse oder eines Merkmales des Endgerätes, Technologien des digitalen Fingerprintings oder IDs, welche von Programmen oder Systemen generiert werden.

Die Empfehlung enthält viele Beispiele für Web-Umgebungen und mobile Anwendungen wie Smart TVs, Videospiele, Sprachassistenten, intelligente Fahrzeuge und andere Beispiele unabhängig davon, ob diese zugriffsbeschränkt sind oder nicht. Die CNIL möchte standardisierte Verfahren und Abläufe fördern, einschließlich eines harmonisierten Sprachgebrauches, um die Benutzerfreundlichkeit von Cookie-Bannern zu verbessern. Ein solches Beispiel ist die Bezeichnung eines Cookies zur Regulierung von Einwilligungen als „EU-Einwilligung “ mit einem Indikator als „true“ oder „false“.

Welche Rechtsgrundlagen sind für die Verwendung von Cookies und ähnlichen Technologien in Frankreich anwendbar?

Als Faustregel gilt, dass es nur sehr wenige Cookies und ähnliche Technologien gibt, die keine Einwilligung der betroffenen Person nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit Art. 7 DSGVO erfordern. Immer dann, wenn ein berechtigtes Interesse als rechtliche Grundlage fungiert (Art. 6 Abs. 1 lit. f DSGVO), ist dies ausschließlich für „technisch zwingend erforderliche“ Cookies möglich, welche technisch sicherstellen, dass digitale Inhalte angezeigt werden. Grundsätzlich werden solche Cookies auf jeder Webseite verwendet und häufig weitere, welche nicht zwingend erforderlich sind. Die meisten Webseiten und Apps erfordern eine Einwilligung. Somit kann zusammengefasst werden, dass dieser Aspekt für deutsche Datenschützer wenig überraschend ist.

Welche Transparenzanforderungen gelten gemäß der Empfehlung für Frankreich?

Die CNIL erkennt an, dass Informationen im Cookie-Banner im Sinne einer geschichteten Darstellungsweise transparent zur Verfügung gestellt werden können. Es werden konkrete Anforderungen an den Stil der einzelnen Schichten gestellt, beispielsweise sollten Einzelheiten zu den (gemeinsamen) Verantwortlichen bereits im Banner zur Verfügung gestellt werden, sowie Beschreibungen mit auffälligen Titeln. Konkrete Beispieltexte werden für die Zielgruppensegmentierung, Werbung mittels Geo-Lokalisierungstechnologien und weitere Marketing-Technologien zur Verfügung gestellt. Jedoch mangelt es an einer erschöpfenden Liste, wie granular solche Technologien eingruppiert werden sollten. Es wird leider nicht ausführlich berücksichtigt, dass beispielsweise Custom Audience-Funktionalitäten, durch welche einem Benutzer personalisierte Inhalte meist in sozialen Netzwerken angezeigt werden, oftmals auch eine Verarbeitung von Daten der Ortsbestimmung enthalten. Beide Technologien werden vielmehr separat als Beispiele angeführt.

Die zweite Informationsebene auf dem Banner sollte nach der CNIL eine Art Ausklappmenü mit Buttons enthalten, welche bestimmte Abschnitte genauer erläutern, oder einen Hyperlink zu weiteren Informationen zur Verfügung stellen. Der Fokus der CNIL liegt auch darauf, dass die Information Hinweise enthalten sollte, ob ein Advertising Capping vorgenommen wird, d.h. eine Verarbeitung durch welche sichergestellt wird, dass keine wiederholte Darstellung von bestimmten Werbeinhalten erfolgt. Informationen bzgl. der Kategorien personenbezogener Daten sowie der verfolgten Zwecke sind ebenso aufzuführen. Sofern ein Verantwortlicher technisch erforderliche Inhalte einbettet, sollten die Information so granular gestaltet sein, dass Details bzgl. der Lebensdauer dargestellt werden sowie der Zweck des Cookies, die Aufbewahrungsdauer der erhobenen Informationen (diese sollte nicht mehr als 25 Monate betragen). Weiterhin sollte die Verarbeitung der Daten in streng erforderlichen Technologien, somit die Lebensdauer, nicht mehr als 13 Monate betragen. Diese Zeitspanne sollte nicht automatisch bei einem erneuten Besuch der Webseite verlängert werden. Zudem sind Verantwortliche angehalten, das Cookie Management periodisch zu überprüfen, insbesondere hinsichtlich der Lebensdauer und Aufbewahrungsfristen der einzelnen Technologien.

Welche neuen Anforderungen stellt die Empfehlung der CNIL an eine Einwilligung?

Die CNIL empfiehlt Verantwortlichen einige Maßnahmen Zur Überprüfung des Präferenzmanagements:

Eindeutige Zustimmung

Die CNIL empfiehlt, dass die Kontrollkästchen standardmäßig deaktiviert oder die Schieberegler standardmäßig deaktiviert werden. Falls der Benutzer keine Zustimmung oder Handlung vornimmt, ist dies als Opt-out zu betrachten, und es sollten keine Technologien ausgelöst werden, die eine vorherige Zustimmung erfordern. Dies ist sehr ähnlich zur Auffassung in Deutschland.

Freie Einwilligung

Die CNIL empfiehlt, den Benutzern für jeden Zweck eine Option für die Erteilung der Zustimmung anzubieten. Neu ist, dass die Benennung der Buttons erstmalig im Detail von einer europäischen Aufsichtsbehörde angesprochen wird. Zuvor gab es nur Hinweise anderer Aufsichtsbehörden, dass beispielsweise in Irland eine reine Verwendung von grünen und roten Buttons, Personen mit einer Rot-Grün-Blindheit benachteilige. Die Option, durch Klicken auf eine Schaltfläche alle Zwecke zu akzeptieren oder abzulehnen, wird jedoch toleriert. Die Benennung der Schaltflächen sollte deskriptiv und intuitiv sein, um Missverständnisse zu vermeiden, z.B. „alles akzeptieren“, „ich akzeptiere alles“ oder „alles ablehnen“/“verbieten“/“ich stimme nicht zu“. Eine Option zur Verwaltung von Präferenzen pro Zweck könnte laut der CNIL „meine Auswahl personalisieren“ oder „nach Zweck entscheiden“ genannt werden.

Modalitäten der Verweigerung oder Widerruf einer Einwilligung

Der Website- / App-Benutzer sollte klar und verständlich darüber informiert werden, wie der Widerruf oder die Verweigerung der Einwilligung manifestiert werden kann, z.B. indem er nicht mit dem Einwilligungsbanner interagiert.

Die CNIL bewertet die Browsereinstellungen als unzureichend für die Wahl der Zustimmung, da dies nicht dem Stand der Technik entspreche. Schaltflächen sollten auf der gleichen Ebene und im gleichen Format mit dem gleichen Grad an Einfachheit bereitgestellt werden, um sicherzustellen, dass der Website-/Anwendungsnutzer eine klare und einfache Möglichkeit hat, die Selektion der Präferenz zu manifestieren. Das „Nudging“, somit Manipulieren des Nutzers, um eine bestimmte Aktivität zu erreichen wird von der CNIL stark kritisiert. Ein größerer grüner Button für die Einwilligung in sämtliche Technologien ist somit für Frankreich ab dem März 2021 nicht mehr zu begründen. Die CNIL empfiehlt, dass das Banner auch eine Schaltfläche „Weiter ohne Zustimmung“ im oberen Teil des Banners enthalten könnte.

Die Gültigkeit der Präferenzwahl und der Nachweis der Einwilligung

Der für die Verarbeitung Verantwortliche muss jederzeit nachweisen können, dass der Benutzer seine Einwilligung erteilt hat. Falls Cookies von Drittdienstleistern für das Präferenzmanagement verwendet werden, obliegt die Beweisführung dennoch dem Verantwortlichen. Spannend ist zudem, dass eine Vertragsklausel zur Verpflichtung der Einholung einer gültigen Einwilligung nicht mehr ausreicht, um sich auf eine solche Einwilligung Dritter zu verlassen. Die Modalitäten des Einwilligungsmanagements sind hierfür erforderlich z.B. Zeitstempel auf einer öffentlichen Plattform, Screenshots, Audits der Einwilligungs-Management-Systeme.

Das Erfordernis der freien Entscheidungsfindung wird verletzt, wenn jedes neue Fenster auf der Webseite ein eigenes Banner anzeigen würde. Auch das Einwilligungsbanner soll nach kurzer Zeit nicht länger angezeigt werden. Neu ist zudem, dass der Cookie Banner nun nach 6 anstatt 13 Monaten in Frankreich dem Nutzer erneut anzuzeigen ist. Für diese Best Practise lässt die CNIL abweichende Zeiträume unter der Berücksichtigung des Kontexts, des Umfangs der ursprünglichen Einwilligung und der Erwartungen der Benutzer zu.

Widerruf der Einwilligung

Der Verantwortliche hat eine Möglichkeit des Widerrufes im Voraus festzulegen, welche zudem jederzeit verfügbar sein sollte. Als ein Best-Practise Beispiel wird angefügt, dass ein Cookie Symbol jederzeit im unteren Bildrand angezeigt werden könnte (so bekannt von der Aufsichtsbehörde in Großbritannien) oder ein Link jederzeit verfügbar sein sollte. Zudem wird die Verpflichtung wiederholt, dass nach Widerruf der Einwilligung Technologien nicht gelesen und weitergeschrieben werden sollte, somit der Datentransfer unter der Berücksichtigung des Widerrufs beendet werden sollte.

Wie geht es jetzt weiter?

In der Vergangenheit haben wir festgestellt, dass die verschiedenen Datenschutzbehörden ständig bestrebt sind, die Komplexität der Cookie-Anforderungen zu erhöhen. Da die CNIL als eine der strengsten Behörden gilt, können wir bereits jetzt Unternehmen, die in Frankreich tätig sind oder ihre Dienstleistungen für französische Verbraucher anbieten, empfehlen, sich an die neuesten Leitlinien zu Technologien zu halten und ihre Praxis in Bezug auf Cookies und ähnliche Technologien kritisch zu prüfen. Weiterhin ist davon auszugehen, dass der Wettkampf um die strengsten Anforderungen wahrscheinlich weitergeht und vielleicht weitere Länder sich an den Anforderungen der CNIL orientieren.