Französische Datenschutzbehörde gibt Tipps zur Umsetzung der ePrivacy-Richtlinie

23. November 2011

Nachdem Frankreich die Vorgaben der ePrivacy Richtlinie, die oftmals auch als Cookie-Richtlinie bezeichnet wird, in nationales Recht umgesetzt hat, veröffentlichte die französische Datenaufsichtsbehörde (CNIL) vor Kurzem einen Leitfaden zur Handhabung der neuen Regeln auf ihrer Website.

Damit stellt die CNIL zunächst klar, dass sie eine Einwilligung im Wege der Browser-Einstellungen hinsichtlich der Akzeptanz von (Dritt-)Cookies – entgegen der bislang allgemein geäußerten Auffassung – für unzureichend hält. Für die Betreiber, die in Frankreich mit Cookies operieren ergeben sich somit zumindest Prüfpflichten, ob das Angebot noch rechtskonform erfolgt.

Klarstellend wird weiterhin ausgeführt, dass der Begriff „Cookie“ weit auszulegen ist. So sind auch die sogenannten Flash-Cookies (local shared objects) und andere lokal gespeicherte Webinhalte (DOM Storage) Unterfälle eines „Cookies“ im Sinne der Richtlinie.

Interessant ist insbesondere die exemplarische Auflistung der Fälle, in denen die CNIL keine Notwendigkeit einer Einwilligung vor dem Setzen eines Cookies sieht:

  • Cookies für virtuelle Einkaufswagen
  • SessionID-Cookies, die dazu benötigt werden, die vom Nutzer angeforderten Dienste bereitzustellen.
  • Cookies, die ausschließlich dazu beitragen, die vom Nutzer gewünschte Sicherheit zu ermöglichen.
  • Cookies, welche die Sprache des Nutzers registrieren (bei Seiten mit mehreren Sprachoptionen).
  • Cookies, die andere Präferenzen des Nutzers speichern, welche notwendig sind, um die angeforderten Dienste bereitzustellen.
  • Auch Flash-Cookies sollen zustimmungsfrei sein, sofern diese benötigt werden, um vom Nutzer angeforderte Multimediainhalte abzuspielen.

Bezüglich Drittanbieter-Cookies (beispielsweise Werbenetzwerken) wird klargestellt, dass keine doppelte Zustimmung notwendig ist. Wenn der Nutzer also bereits gegenüber einem Werbentzwerk seine Einwilligung erklärt hat, muss er dies nicht noch einmal tun, wenn durch dieses Werbenetzwerk auf der Seite eines Kunden ein Cookie gesetzt wird. Ebenso ist beim wiederholten Besuch einer Website keine erneute Zustimmung erforderlich.

Sofern der Nutzer dem Setzen eines Cookies nicht zustimmt, könnte ihm nach Vorstellung der CNIL die Möglichkeit geboten werden, den Cookie dauerhaft oder nur für diesen Besuch abzulehnen. Diese Angaben könnten in einem „Ablehungscookie“ gespeichert werden.

Die heutigen Möglichkeiten, Cookies mithilfe der im Webbrowser implementierten Technicken zu verwalten, hält die CNIL noch für unausgereift. Explizit stört man sich daran, dass:

  • die bisherigen Browserlösungen dem Nutzer keine klaren und vollständigen Informationen bereitstellen, wenn die Zustimmung angefordert wird.
  • die Websiten, die sich der Browsermechanismen bedienen wollen, keine Möglichkeit haben, zu überprüfen, ob die korrekten Browsereinstellungen gewählt wurden.
  • die bisherigen Browsereinstellungen nicht zwischen solchen Cookies unterscheiden können, die einer vorherigen Zustimmung bedürfen und solchen, die zustimmungsfrei sind.
  • die Einstellungen für den Nutzer schwierig anzuwenden sind, und sich von Browser zu Browser stark unterscheiden.

Nichtsdestotrotz zieht man die Möglichkeit in Betracht, dass sich in Zukunft eine wirksame Zustimmung über ein zusätzliches Browsermodul oder eine Webplattform erteillen lässt. Den bisherigen Versuchen der Werbewirtschaft wie www.youronlinechoices.com steht die CNIL kritisch gegenüber, da sich diese ausschließlich auf die alte Rechtslage bezögen und eine Anpassung an die aktuellen Erfordernisse schwer vorstellbar erscheine.

Es wird jedoch nicht nur darauf hingewiesen, was nicht ausreichend ist, sondern auch Beispiele angeführt, wie eine wirksame Zustimmung erreicht werden könnte:

  • Ein Banner am oberen Ende der der Website, wie z.B. auf der ICO Website.
  • Ein die Seite überlagernder Zustimmungsbereich.
  • Checkboxen, die angehakt werden müssen, wenn man sich für einen Online-Service registriert.

Ablehnend steht die französische Datenschutzbehörde hingegen Popups gegenüber, da diese regelmäßig von Browsern geblockt werden.

Abschließend wird festgehalten, dass Websitebetreiber verantwortlich für Drittanbietercookies sind, sofern diese beim Besuch ihrer Website gesetzt werden. Außerdem wird klargestellt, dass eine Zustimmung nicht durch Nutzungsbedinungen oder deren Änderung erfolgen kann.

Am Ende wird darauf aufmerksam gemacht, dass pro Verstoß Bußgelder bis zu 300.000 € und strafrechtliche Verfolgung drohen.

Auch für Unternehmen außerhalb Frankreichs dürften diese Einschätzungen eine wertvolle Orientierungshilfe darstellen, da die nationalstaatlichen Regelwerke bestenfalls in Details voneinander abweichen.(se)