INFORMATIONEN

Französisches Gerichtsurteil zu „Cookie-Wänden

Die französische Datenschutzbehörde (CNIL) hat am 4. Juli 2019 ihre überarbeiteten Cookie-Richtlinien (die „Richtlinien“) veröffentlicht und damit den ersten Schritt in einem zweistufigen Programm zur Regulierung des Ad-Tech-Marktes getan.

Im Januar 2020 führte die CNIL praktische Leitlinien (die „Praktischen Leitlinien“) ein, um eine rechtmäßige Zustimmung für Cookies zu erhalten. Diese Leitlinien zielen darauf ab, „das einschlägige Recht“ zu Cookies zu bekräftigen, einschließlich des Konzepts der „Einwilligung“, wie es in der DSGVO vorgesehen ist, und nach französischem Recht Artikel 5(3) der Datenschutzrichtlinie für elektronische Kommunikation für die Verwendung von Cookies und ähnlichen Trackern durchzusetzen.

Beschreibung der Entscheidung

Kurz nach ihrer Einführung im Jahr 2019 haben mehrere Branchenverbände, die die Internet-, E-Commerce-, Verlags- und Werbeindustrie vertreten, die CNIL-Leitlinien vor dem „Conseil d’Etat“, dem höchsten französischen Verwaltungsgericht (dem „Staatsrat“), angefochten, um die Nichtigerklärung dieser Leitlinien zu erwirken, da die CNIL ihre Befugnisse missbraucht habe, indem sie darüber hinausging.

Außerdem forderten sie den Staatsrat auf, dem Gerichtshof der Europäischen Union (EuGH) nicht weniger als 13 Fragen zur vorläufigen Entscheidung vorzulegen, um sich einen Überblick über das Zusammenspiel zwischen der Datenschutzrichtlinie für elektronische Kommunikation und der Datenschutz-Grundverordnung zu verschaffen und die für Cookies geltende rechtliche Regelung zu klären.

Am 19. Juni 2020 entschied der Staatsrat, dass die CNIL ihre Befugnisse verletzt hatte, indem sie in ihren Leitlinien festlegte, dass Cookie-Walls nicht zulässig seien, und dass diese Klausel folglich durch die Leitlinien beeinträchtigt worden war.

Indem er jedoch die eingeschränkte Position der Soft Rule bekräftigte, hielt der Staatsrat an den Leitlinien fest und erklärte sich bereit, dem EuGH keine Vorabentscheidungsfragen vorzulegen.

Soft Law sollte Cookie-Wände nicht verhindern

Um die Einhaltung des französischen Datenschutzgesetzes zu gewährleisten, kann die CNIL als Regulierungsbehörde weiche Gesetze wie Leitlinien, Empfehlungen oder Referenzstrukturen anwenden. Im Laufe der Jahre hat die CNIL in großem Umfang Softwaregesetze eingesetzt, um Unternehmen bei der Einhaltung der DSGVO zu unterstützen.

Obwohl sie rechtlich nicht bindend sind, haben Organisationen einen Anreiz, diese Leitlinien zu befolgen, wenn sie dies nicht tun, nur aus Angst, von der CNIL bestraft zu werden. Seit 2016 ist es jedoch möglich, die „Soft-Law“-Regeln der CNIL vor dem Staatsrat in Frage zu stellen.

Die CNIL erinnert in ihren Leitlinien an den allgemeinen Grundsatz der Datenschutz-Grundverordnung, wonach die Einwilligung freiwillig erteilt werden muss. Konkret heißt es in den Leitlinien: „Eine Einwilligung kann nur dann gültig sein, wenn die betroffene Person in der Lage ist, ihre Option wirksam auszuüben, und ihr keine erheblichen Nachteile entstehen, wenn sie ihre Einwilligung nicht erteilt oder zurückzieht.

Der Status der CNIL zur Einwilligung im Sinne von Cookies und anderen Tracking-Technologien basiert auf der im Mai 2018 veröffentlichten Erklärung des Europäischen Datenschutzausschusses (EDPB) zur ePrivacy-Verordnung, in der es heißt:

„Damit die Einwilligung frei gegeben werden kann, wie es die Datenschutz-Grundverordnung verlangt, darf der Zugang zu Diensten und Funktionen nicht von der Einwilligung eines Nutzers in die Verarbeitung personenbezogener Daten oder die Verarbeitung von Informationen, die sich auf die Endgeräte der Endnutzer beziehen oder von diesen verarbeitet werden, abhängig gemacht werden, was bedeutet, dass Cookie-Walls ausdrücklich verboten werden sollten.

In seiner Entscheidung vertrat der französische Rat die Auffassung, dass die CNIL lediglich den Standpunkt des EDSB zu Cookie-Walls in Erinnerung gerufen hatte (d. h., dass diese nach der Datenschutz-Grundverordnung nicht rechtmäßig sind), ohne ihn zu ihrem eigenen Standpunkt zu machen, und daher dem Standpunkt des EDSB zu Cookie-Walls keine rechtsverbindliche Wirkung verliehen hatte.

Obwohl das Urteil des Staatsrats bestätigt, dass die CNIL die zuständige Regulierungsbehörde für die Umsetzung von Leitlinien zu Cookies und anderen Tracking-Technologien ist, hebt es dennoch die ausdrückliche Haltung der CNIL zu Cookie-Walls mit der Begründung auf, dass es nicht möglich ist, ein „allgemeines und absolutes Verbot“ für die Anwendung von Cookie-Walls aus dem einzigen Erfordernis der „freien“ Zustimmung gemäß der DSGVO abzuleiten. Die CNIL habe somit ihre Befugnis zum Erlass von „soft law“ in dieser Hinsicht missbraucht, indem sie Leitlinien umsetzte, in denen festgelegt wurde, dass „Cookie Walls“ nicht zulässig seien.

Gleichzeitig bestätigte der Staatsrat alle anderen von den Klägern beanstandeten Punkte in den Leitlinien, wie z. B. die Art und Weise, wie die Nutzer vor Cookies gewarnt werden, die von der Zustimmung ausgeschlossen sind, die Bedingungen für Analyse-Cookies, die Lebensdauer von Analyse-Cookies und die Aufbewahrungsfrist für die mit diesen Cookies erhobenen Daten.

Tatsächlich bekräftigt der Staatsrat, dass es sich um unverbindliche Leitlinien handelt, und stellt fest, dass die CNIL ihre Befugnisse bei der Auslegung des einschlägigen Gesetzes nicht missbraucht hat. Der Staatsrat scheint also bewusst den Platz der CNIL an den Kekswänden definiert zu haben, während er dem Rest der CNIL-Leitlinien folgt.

Also, sind Cookie-Walls erlaubt oder nicht?

Das Mindeste, was wir sagen können, ist, dass die Entscheidung des Staatsrats einige Zweifel aufkommen lässt. Diese Entscheidung kommt einige Wochen nach der jüngsten Veröffentlichung der überarbeiteten Leitlinien für die Einwilligung (veröffentlicht am 4. Mai 2020) durch den EDPB, in denen bekräftigt wird, dass Cookie-Walls nach der DSGVO nicht rechtmäßig sind, da sie keine freie Einwilligung ermöglichen.

In diesem Fall besteht das Problem darin, dass der Staatsrat nicht über die Begründetheit des Falles entschieden hat (d. h. ob die Cookie-Walls nach der DSGVO rechtmäßig sind) und nicht über die Rolle des EDPB in Bezug auf die Cookie-Walls entschieden hat. Folglich befindet sich die Werbetechnikbranche in Frankreich in einem Schwebezustand, da sie nicht genau weiß, ob Cookie-Walls zulässig sind.

Die Entscheidung des Staatsrats wirft auch einige Fragen auf, die geklärt werden müssen. Ist es der CNIL untersagt, Einschränkungen gegen Organisationen zu erlassen, die Cookie-Walls verwenden?

Muss es in Frankreich ein Gesetz geben, das Cookie-Walls ausdrücklich verbietet, damit die CNIL solche Gesetze umsetzen kann? Wäre es angebracht, dass der EDPB seine Haltung zu Cookie-Walls überdenkt?

Es sei daran erinnert, dass die Datenschutzbehörden in der EU trotz einiger geringfügiger Unterschiede insgesamt ähnliche Positionen zur Einhaltung von Cookies vertreten.

Die Leitlinien des EDSB sind den nationalen Leitlinien insofern übergeordnet, als sie den kollektiven Standpunkt der 27 Mitgliedstaaten der EU darstellen. Daher scheint nun ein Streit zwischen der Entscheidung des Staatsrats und der Rolle des EDSB bei den Cookie-Wänden zu bestehen. Dies bringt auch die CNIL als ständiges Mitglied des EDSB in eine schwierige Lage.

In Frankreich befinden sich die Ad-Tech-Unternehmen nun in einer Zwickmühle, da die Haltung des EDPB und die Entscheidung des Staatsrats im Widerspruch zueinander stehen.

Wie würde sich die Entscheidung des Staatsrats auf die Einhaltung der Vorschriften für den Ad-Tech-Sektor auswirken?

Folglich wird die Entscheidung des Staatsrats wahrscheinlich die Durchsetzung des Ad-Tech-Sektors in Frankreich aufschieben. Wie kürzlich berichtet, erklärte die CNIL die Einhaltung von Cookies zu einer ihrer obersten Prioritäten im Rahmen ihres Durchsetzungsplans für 2020.

Als Reaktion auf die Entscheidung des Staatsr
ats kündigte die CNIL jedoch an, dass sie ihre Leitlinien und ihren funktionalen Leitfaden ändern werde. Die Veröffentlichung beider ist frühestens für September 2020 geplant.

Schlussfolgerung

Es ist erwähnenswert, dass die CNIL bereits in ihren früheren Cookie-Leitlinien von 2013 Cookie-Walls mit der Begründung verboten hat, dass Nutzer, die die Verwendung von Cookies ablehnen, weiterhin von dem angebotenen Dienst, d. h. dem Zugang zur Website, profitieren sollten. Da das Verbot von Cookie-Walls nun aus den CNIL-Leitlinien gestrichen wurde, bleibt abzuwarten, ob die CNIL Geldstrafen gegen Unternehmen verhängen wird, die Cookie-Walls einsetzen.

Zeiterfassung und Datenschutz

In der Vergangenheit wurden die Arbeitszeiten auf unterschiedliche Weise festgehalten. Mit der Einführung der digitalen Zeiterfassung ist die Frage des Arbeitnehmerdatenschutzes am Arbeitsplatz noch dringlicher

mehr »

Entlarvung von 5 gängigen DSGVO-Mythen

Auch zwei Jahre nach der Umsetzung der Datenschutz-Grundverordnung ist das EU-Datenschutzgesetz noch immer von vielen Missverständnissen und Spekulationen umgeben. Obwohl die meisten von uns das

mehr »