INFORMATIONEN

Cookies und andere Tracker – Die geänderten Leitlinien und Empfehlungen der CNIL

Am 1. Oktober veröffentlichte die Commission Nationale de l’informatique et des libertés (CNIL), Frankreichs Datenschutzaufsichtsbehörde, die überarbeiteten Leitlinien zu Cookies und anderen Trackern („Trackern“) sowie die endgültigen unverbindlichen Empfehlungen.

Nachdem der französische Staatsrat, der Conseil d’État, festgestellt hat, dass das Verbot von Cookie-Walls in der vorherigen Version (vom 4. Juli 2019) nicht gültig ist, hat die CNIL ihren Leitfaden geändert. Für Organisationen mit einer Online-Präsenz in Frankreich oder deren Websites in Frankreich verfügbar sind, ist die Veröffentlichung der Leitlinien und Empfehlungen unerlässlich.

Geänderte Leitlinien

Da sie bereits geltende Vorschriften wie die Datenschutz-Grundverordnung und die Datenschutzrichtlinie für elektronische Kommunikation präzisieren, gelten die Leitlinien als präskriptiv. Bis spätestens Ende März 2021 sollten die Unternehmen über konforme Verfahren verfügen, wenn sie die folgenden Punkte berücksichtigen

organisatorische Schwierigkeiten.

Die geänderten Leitlinien enthalten unter anderem die folgenden Punkte:

Information

Vor der Einwilligung müssen die Betroffenen über Folgendes informiert werden:

  • die Zwecke der Tracker.
  • die Folgen einer Annahme oder Ablehnung von Trackern.
  • die Identität aller Akteure, die Tracker verwenden, die der Zustimmung unterliegen.
  • Website-Navigation

    Der Einzelne muss eine bestimmte bestätigende Handlung vornehmen (z. B. auf einem Cookie-Banner auf „Ich stimme zu“ klicken), um der Hinterlegung von Cookies zuzustimmen. Es ist schwierig, das Navigieren auf einer Webseite als regulären Ausdruck der Zustimmung zu erkennen.

    Wesentliche Cookies

    Wenn Einzelpersonen nicht durch Zustimmung zu Trackern zustimmen, können nur Tracker auf ihrem Computer installiert werden, die für den Betrieb des Dienstes erforderlich sind.

    Die CNIL hat einige Beispiele für wichtige Tracker genannt:

    Tracker, die für die Authentifizierung bei einem Dienst bestimmt sind.

    die für die Speicherung des Inhalts eines Warenkorbs auf der Website eines Händlers bestimmt sind.

    Tracker zur Erstellung von Verkehrsstatistiken.

    die es kostenpflichtigen Websites erlauben, den freien Zugang zu beschränken.

    Verweigerung & Opt-out

  • Es sollte genauso schnell gehen, Tracker abzulehnen, wie sie zuzulassen. Die Menschen sollten in der Lage sein, ihre Zustimmung sofort und zu jedem Zeitpunkt zu widerrufen.
  • Nachweis der Zustimmung

    Organisationen, die Tracker verwenden, müssen in der Lage sein, jederzeit den Nachweis zu erbringen, dass die frei gegebene, relevante, informierte und eindeutige Zustimmung des Nutzers eingeholt wurde.

    Kekse

  • Für Personen, die den Trackern nicht zugestimmt haben, ist die Sperrung von Inhalten zwar nicht verboten, kann aber das Recht des Einzelnen auf Zustimmung beeinträchtigen. Die Frage, ob die Zustimmung frei gegeben werden kann und ob die Cookie-Wand gültig ist, muss von Fall zu Fall entschieden werden.
  • In der datengesteuerten Welt von heute können Unternehmen fast nur noch fundierte Entscheidungen auf der Grundlage der tatsächlichen Verkehrszahlen treffen. Lange Zeit war unklar, ob für diese Tracker eine Genehmigung erforderlich ist. Einige Organisationen fordern auf ihrer Website eine Genehmigung an, andere nicht.

    Es ist daher spannend, dass die CNIL Tracker, die zur Erstellung von Verkehrsstatistiken dienen, als notwendig und nicht zustimmungspflichtig ansieht. Natürlich ist die CNIL nur in Frankreich zuständig. Es bleibt daher abzuwarten, ob der CNIL, die nach dem Brexit die zu befolgende Aufsichtsbehörde zu sein scheint, andere nationale Aufsichtsbehörden folgen werden, die die britische ICO aus dem EU-weiten EDPB streichen werden.

    Leitlinien

    Darüber hinaus bieten die Leitlinien praktisches Wissen und Beispiele zu folgenden Themen:

  • Bereitstellung von Informationen an Personen, bevor deren Zustimmung eingeholt wurde.
  • Die Schnittstelle für die Verweigerung oder den Widerruf der Zustimmung.
  • Der Nachweis der Zustimmung.
  • Vorgänge, die von der Zustimmungspflicht ausgenommen sind.
  • Maßnahmen zur Gewährleistung der transparenten Nutzung von Online-Trackern.
  • Die CNIL schlägt vor, dass Einwilligungsbanner nicht nur eine Schaltfläche „Alle zulassen“, sondern auch eine Schaltfläche „Alle ablehnen“ für die Schnittstelle enthalten. Ob dies nicht schon deshalb erforderlich ist, weil die Ablehnung eines Trackers so einfach sein sollte wie seine Genehmigung, bleibt abzuwarten, da die Schaltfläche „Alles zulassen“ in der Regel enthalten ist und den geringsten Aufwand für die Einwilligung darstellt, der ausgeglichen werden muss.

    Darüber hinaus schlägt die CNIL vor, dass Websites, die normalerweise die Zustimmung zum Tracker für einen bestimmten Zeitraum aufbewahren, auch ihre Ablehnung für einen bestimmten Zeitraum aufrechterhalten, um den Nutzer nicht bei jedem Besuch erneut zu fragen.

    Damit sich der Nutzer über das Ausmaß seiner Zustimmung im Klaren ist, schlägt die CNIL vor, die Zustimmung auf jeder der verfolgten Seiten einzuholen, wenn die Tracker die Verfolgung auf anderen Seiten als der besuchten Seite ermöglichen.

    Wie kann man am besten eine Folgenabschätzung für den Datenschutz erstellen?

    Die ICO bietet auch eine Vorlage zum Herunterladen an, die Sie zur Vereinfachung verwenden können, aber Sie können die Bewertung trotzdem so gestalten, wie es für Sie am besten ist.