Schlagwort: Cookie Richtlinie

Britische Datenschutzbehörde ICO verzichtet auf Einwilligung beim Setzen von Cookies

4. Februar 2013

Wer die Website des britischen ICO (Information Commisioner’s Office) häufig besucht, wird sich über eine Änderung wundern: Während beim Besuch der Website bisher eine explizite Einwilligung vor dem Setzen von Cookies eingeholt wurde, werden nun ohne Nachfrage Cookie gesetzt. Dies stellt eine Neuinterpretation der eigenen Richtlinie zum Umgang mit Cookies, welche zuletzt im Mai letzten Jahres überarbeitet wurde, dar. Der Nutzer wird nun durch ein Banner am unteren Rand der Website darüber informiert, dass Cookies, welche der Verbesserung der Website dienen sollen, gesetzt wurden. Das Banner verschwindet automatisch, wenn der Nutzer eine andere Seite innerhalb des Angebots aufruft. Über einen Link innerhalb des besagten Banners hat der Nutzer die Möglichkeit, Näheres über die Cookies zu erfahren und “nicht essentielle” Cookies zu deaktivieren. Wenn die Ablehnung von Cookies nicht explizit erklärt wird, vermutet das ICO nach eigener Aussage, dass das Setzen von Cookies in Ordnung sei. Damit ist das ICO, welches bislang eine Vorreiterrolle in Europa innehatte, von einem Opt-In zu einem Opt-Out Modell umgeschwenkt. Bemerkenswert ist die Erläuterung des Sinneswandels: 2011 habe es in der Öffentlichkeit noch kein ausreichendes Wissen über Cookies und deren Verwendung gegeben. Mittlerweile habe sich dies jedoch – auch dank der Tätigkeit des ICO – geändert und es herrsche ein ausreichendes Bewusstsein bezüglich der Cookie-Problematik. Daher halte man es für vertretbar, von einer expliziten Einwilligung zu einer mutmaßlichen Einwilligung zu wechseln.

Ob dies möglicherweise den Tod der Cookie Richtlinie darstellt, oder schlicht eine praktikable und unaufdringliche Umsetzung der selbigen ist, wird sich noch zeigen müssen. Sicher ist jedoch, dass die praktische Umsetzung der Cookie-Richtlinie, die bisher in Deutschland nicht in nationales Recht transformiert wurde, weiterhin große Unklarheiten birgt und der Rechtssicherheit bislang nicht zuträglich ist.

Kategorien: Online-Datenschutz
Schlagwörter: ,

Artikel 29 Gruppe äußert sich zur Frage, wann keine Einwilligung zum Setzen eines Cookies erforderlich ist

4. Juli 2012

Bei ihrem Juni-Treffen hat sich die Artikel 29 Datenschutzgruppe nicht nur zu Binding Corporate Rules geäußert, sondern auch dazu Stellung genommen, wann nach der sogenannten Cookie-Richtlinie keine Einwilligung zum Setzen eines Cookies erforderlich ist. Ein Cookie darf generell ohne Einwilligung gesetzt werden, wenn die Ausnahmekriterien von Artikel 5 Absatz 3 der Richtlinie vorliegen. Demnach muss der alleinige Zweck [des Cookies] die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz sein, oder [das Setzen eines Cookies] unbedingt erforderlich sein, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Anhand praktischer Beispiele führt die Artikel 29 Datenschutzgruppe auf, welche Situationen von dieser Ausnahmeregelung gedeckt sein können:

  • Nutzer-Eingabe“ Cookies, die dazu genutzt werden, um dem Nutzer Eingaben bei mehrseitigen Formularen oder die richtigen Artikel im Warenkorb zuzuordnen, sollen der Ausnahme unterfallen können, wenn es sich um First-Party Cookies handelt, die nur für kurze Dauer (z.B. die aktuelle Sitzung) Gültigkeit haben.
  • Authentifizierungscookies, z.B. das Login bei einer Online-Bank, sollen ebenfalls unter den genannten Voraussetzungen von der Ausnahme umfasst sein. Über die Dauer einer Sitzung gespeicherte Authentifizierungscookies bedürfen jedoch einer Einwilligung des Nutzers. Dazu soll aber bereits die Checkbox „Eingeloggt bleiben (setzt ein Cookie)“ ausreichend sein.
  • Nutzerbezogene Sicherheitscookies, z.B. die Aufzeichnung wiederholt fehlgeschlagener Loginversuche, können sogar einwilligungsfrei sein, wenn sie dauerhaft gespeichert werden, da sie sonst ihren Zweck nicht erreichen könnten.
  • Audio-Video Session Cookies / Flash Cookies sind solche Cookies, die dazu genutzt werden, um technische Daten zur Wiedergabe von Audio- oder Videoinhalten (Bildqualität, Verbindungsgeschwindigkeit, Zwischenspeicherungsparameter) zu speichern. Auch diese sollen keine Einwilligung voraussetzen, solange sie ausschließlich diesem Zweck dienen und nur bis zum Ende der aktuellen Sitzung gespeichert werden.
  • Load-Balancing Session Cookies sollen ebenfalls für die Dauer einer Sitzung ohne Einwilligung gesetzt werden könne, wenn es erforderlich ist, dass der Nutzer immer demselben Server zugewiesen wird.
  • Cookies zur Speicherung von Anzeigepräferenzen, bei denen beispielsweise die gewünschte Sprache oder die Anzahl der Suchergebnisse pro Seite gespeichert wird, können nach Ansicht der Artikel 29 Datenschutzgruppe ebenfalls der Ausnahmeregelung unterfallen, solange sie nur bis zum Ende der aktuellen Sitzung gespeichert werden. Soll die Einstellung dauerhaft gespeichert werden, ist jedoch eine Einwilligung notwendig, die bereits darin liegen könne, dass neben der Flagge, auf die der Nutzer klickt, um die Sprache zu wechseln, der Hinweis „verwendet Cookies“ angezeigt wird.
  • Cookies um Inhalte per Social-Plugins zu teilen – Auch die vielfach umstrittenen Social-Plugins sollen einwilligungsfrei Cookies setzen können, wenn diese dem Nutzer das Teilen und Kommentieren der Inhalte der Betreiberwebsite in einem sozialen Netzwerk ermöglichen. Diese Ausnahme kann nach Ansicht der Datenschützer jedoch nur für Nutzer gelten, die aktuell bei einem sozialen Netzwerk eingeloggt sind. Selbst in diesem Fall soll die Einwilligungsfreiheit auf die aktuelle Sitzung beschränkt sein.

Weiterhin führt die Artikel 29 Gruppe auch Szenarien auf, die nicht von der Ausnahmeregelung gedeckt sein sollen. Eine Einwilligung soll in diesen Fällen folglich nicht entbehrlich sein:

  • Social-Plugin Tracking Cookies – Während das Teilen von Inhalten noch unbedingt erforderlich sein könne, um den vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen, könne davon bei verhaltensbasierter Werbung, Analyse oder Marktforschung etc. infolge eines Nutzertrackings nicht mehr die Rede sein.
  • Third-Party Advertising / Werbenetzwerke – Hier halten die Datenschützer fest, dass für jegliche Form von Third-Party Advertising nicht von einem Vorliegen der Ausnahmen ausgegangen werden könne, da es immer an dem ausdrücklichen Wunsch des Nutzers fehle. Dies gelte auch für eher technische Zwecke wie Frequency Capping, Financial Logging, Ad Affiliation, Click Fraud Detection, Forschung und Marktanalyse, Produktverbesserung und Debugging.
  • Websiteanalyse-Tools – An dieser Stelle arbeitet die Artikel 29 Gruppe schön heraus, dass zwar viele Seitenbetreiber Websiteanalyse-Tools als absolut notwendig ansehen, aber nur die Sicht des Nutzers maßgeblich sei. Demnach fallen weder Tools, bei denen die Daten auf dem Server des Betreibers bleiben (z.B. Piwik), noch Tools, bei denen die Daten zu einem Dritten übertragen werden (z.B. Google Analytics), unter die Ausnahmeregelung der Richtlinie. Nichtsdestotrotz vertritt die Arbeitsgruppe die Auffassung, dass Cookies von First-Party Websiteanalyse-Tools keine Risiken für die Privatsphäre begründen, solange diese sich ausschließlich auf durch den Websitebetreiber (First-Party) aggregierte statistische Zwecke beschränken, die Website verständliche Informationen über diese Cookies in Ihrer Datenschutzerklärung enthält und angemessene Schutzmaßnahmen für die Privatsphäre getroffen werden. Solche Schutzmaßnahmen sollen nach Meinung der Arbeitsgruppe einen nutzerfreundlichen Opt-Out-Mechanismus sowie Anonymisierungsmechanismen bezüglich solcher Informationen, die zur Identifizierung von Nutzern verwendet werden könnten (z.B. IP-Adressen), umfassen. Infolge dieser Einschätzung schlägt die Arbeitsgruppe vor, bei einer zukünftigen Richtlinienrevision eine dritte Ausnahme für solche First-Party Websiteanalyse Cookies aufzunehmen.

Die Datenschützer weisen darauf hin, dass sich keine allgemein gültige Aussage derart treffen lässt, dass beispielsweise ein First-Party Cookie für die Dauer einer Sitzung immer einwilligungsfrei wäre, wohingegen ein dauerhaftes Cookie eines Dritten immer eine Einwilligung erfordere. Vielmehr käme es auf die konkrete Implementierung des Cookies im Einzelfall an. Insbesondere sei zu beachten, dass ein Cookie, welches mehreren Zwecken dient, z.B. dem Tracking und Speicherung von Nutzerpräferenzen, nur dann einwilligungsfrei sein könne, wenn sämtliche Zwecke von der Ausnahmeregelung umfasst würden.

Ferner gibt die Arbeitsgruppe zu bedenken, dass diese Erläuterungen nicht auf Cookies im technischen Sinne beschränkt seien, sondern Geltung für sämtliche Methoden zum Speichern von Informationen auf dem Endgerät des Nutzers hätten.

Neues zur Cookie-Richtlinie

30. Mai 2012

Deutschland:

Auch wenn zwischenzeitlich sowohl vom Bundesrat, als auch von der SPD-Fraktion, ein Entwurf zur Änderung des Telemediengesetzes in den Bundestag eingebracht wurde, ist die E-Privacy Richtlinie (= Cookie-Richtlinie) in Deutschland bisher nicht umgesetzt worden, da die Vorschläge bei der schwarz-gelben Regierungsmehrheit nicht auf Zustimmung stießen. Obwohl Deutschland ein Vertragsverletzungsverfahren droht, da die Richtlinie bereits bis Mai letzten Jahres hätte umgesetzt sein müssen, zeichnet sich eine zeitnahe Änderung des TMG somit weiterhin nicht ab. Nichtsdestotrotz hält der Bundesbeauftragte für den Datenschutz, Peter Schaar, die E-Privacy Richtlinie nach Medienberichten für unmittelbar in Deutschland anwendbar. Eine unmittelbare Anwendung von EU-Richtlinien in Mitgliedsländern, ohne die im Normalfall notwendige Umsetzung in nationales Recht, ist möglich, wenn die Umsetzungsfrist abgelaufen ist, die Richtlinie unbedingt und hinreichend bestimmt ist. Diese Vorraussetzungen sieht Schaar als gegeben an, und folgert daraus, dass die deutschen Datenschutzbehörden ihre Aufsichtsmaßnahmen direkt auf die E-Privacy Richtlinie stützen könnten.

EU:

Basierend auf den bereits skizzierten Einschätzungen ihres Vorsitzenden Jakob Kohnstamm hat auch die Artikel-29-Gruppe eigene Best Practice Empfehlungen für den datenschutzkonformen Einsatz von Cookies im Rahmen des Behavorial Targetings veröffentlicht.

UK:

Ende Mai 2012 ist eine einjährige Übergangsfrist abgelaufen, innerhalb derer das ICO (Information Commissioner’s Office) keine formalen Maßnahmen wegen Verstößen gegen die in den Data Protection Act aufgenommenen Bestimmungen der Cookie-Richtlinie ergreifen wollte. Von nun an drohen bei schweren Verstößen Strafen bis zu 500.000 £. Um solch drastische Sanktionen zu vermeiden, beantwortet das ICO die am häufigsten gestellten Fragen rund um die datenschutzkonforme Implementierung von Cookies in einem Video und stellt ausführliche Leitlinien zum Cookieeinstatz zur Verfügung. Auch die ICC (International Commerce Chamber) hält eigene Informationsmaterialien zu dem Thema bereit. Wie eine solche Umsetzung aussehen kann, zeigt beispielsweise die Website der BBC, welche sich für eine Leiste am oberen Bildrand entscheidet. Aboutcookies.org  wählt hingegen eine dauerhaft präsente Box am unteren Bildschirmrand.

Irland:

In Irland wurde die Cookie-Richtlinie durch S.I. No. 336 of 2011 umgesetzt. Der irische Data Protection Commissioner hat gegenüber der Website the Sociable in Bezug auf diese Umsetzung ausgeführt, dass keine gesonderte Einwilligung für den Einsatz von seitenfremden Analysewerkzeugen, wie z.B. Google Analytics, notwendig ist, solange der Website-Betreiber die Information bereitstellt, dass auch Cookies von Drittanbietern gesetzt werden.

Französische Datenschutzbehörde gibt Tipps zur Umsetzung der ePrivacy-Richtlinie

23. November 2011

Nachdem Frankreich die Vorgaben der ePrivacy Richtlinie, die oftmals auch als Cookie-Richtlinie bezeichnet wird, in nationales Recht umgesetzt hat, veröffentlichte die französische Datenaufsichtsbehörde (CNIL) vor Kurzem einen Leitfaden zur Handhabung der neuen Regeln auf ihrer Website.

Damit stellt die CNIL zunächst klar, dass sie eine Einwilligung im Wege der Browser-Einstellungen hinsichtlich der Akzeptanz von (Dritt-)Cookies – entgegen der bislang allgemein geäußerten Auffassung – für unzureichend hält. Für die Betreiber, die in Frankreich mit Cookies operieren ergeben sich somit zumindest Prüfpflichten, ob das Angebot noch rechtskonform erfolgt.

Klarstellend wird weiterhin ausgeführt, dass der Begriff “Cookie” weit auszulegen ist. So sind auch die sogenannten Flash-Cookies (local shared objects) und andere lokal gespeicherte Webinhalte (DOM Storage) Unterfälle eines “Cookies” im Sinne der Richtlinie.

Interessant ist insbesondere die exemplarische Auflistung der Fälle, in denen die CNIL keine Notwendigkeit einer Einwilligung vor dem Setzen eines Cookies sieht:

  • Cookies für virtuelle Einkaufswagen
  • SessionID-Cookies, die dazu benötigt werden, die vom Nutzer angeforderten Dienste bereitzustellen.
  • Cookies, die ausschließlich dazu beitragen, die vom Nutzer gewünschte Sicherheit zu ermöglichen.
  • Cookies, welche die Sprache des Nutzers registrieren (bei Seiten mit mehreren Sprachoptionen).
  • Cookies, die andere Präferenzen des Nutzers speichern, welche notwendig sind, um die angeforderten Dienste bereitzustellen.
  • Auch Flash-Cookies sollen zustimmungsfrei sein, sofern diese benötigt werden, um vom Nutzer angeforderte Multimediainhalte abzuspielen.

Bezüglich Drittanbieter-Cookies (beispielsweise Werbenetzwerken) wird klargestellt, dass keine doppelte Zustimmung notwendig ist. Wenn der Nutzer also bereits gegenüber einem Werbentzwerk seine Einwilligung erklärt hat, muss er dies nicht noch einmal tun, wenn durch dieses Werbenetzwerk auf der Seite eines Kunden ein Cookie gesetzt wird. Ebenso ist beim wiederholten Besuch einer Website keine erneute Zustimmung erforderlich.

Sofern der Nutzer dem Setzen eines Cookies nicht zustimmt, könnte ihm nach Vorstellung der CNIL die Möglichkeit geboten werden, den Cookie dauerhaft oder nur für diesen Besuch abzulehnen. Diese Angaben könnten in einem “Ablehungscookie” gespeichert werden.

Die heutigen Möglichkeiten, Cookies mithilfe der im Webbrowser implementierten Technicken zu verwalten, hält die CNIL noch für unausgereift. Explizit stört man sich daran, dass:

  • die bisherigen Browserlösungen dem Nutzer keine klaren und vollständigen Informationen bereitstellen, wenn die Zustimmung angefordert wird.
  • die Websiten, die sich der Browsermechanismen bedienen wollen, keine Möglichkeit haben, zu überprüfen, ob die korrekten Browsereinstellungen gewählt wurden.
  • die bisherigen Browsereinstellungen nicht zwischen solchen Cookies unterscheiden können, die einer vorherigen Zustimmung bedürfen und solchen, die zustimmungsfrei sind.
  • die Einstellungen für den Nutzer schwierig anzuwenden sind, und sich von Browser zu Browser stark unterscheiden.

Nichtsdestotrotz zieht man die Möglichkeit in Betracht, dass sich in Zukunft eine wirksame Zustimmung über ein zusätzliches Browsermodul oder eine Webplattform erteillen lässt. Den bisherigen Versuchen der Werbewirtschaft wie www.youronlinechoices.com steht die CNIL kritisch gegenüber, da sich diese ausschließlich auf die alte Rechtslage bezögen und eine Anpassung an die aktuellen Erfordernisse schwer vorstellbar erscheine.

Es wird jedoch nicht nur darauf hingewiesen, was nicht ausreichend ist, sondern auch Beispiele angeführt, wie eine wirksame Zustimmung erreicht werden könnte:

  • Ein Banner am oberen Ende der der Website, wie z.B. auf der ICO Website.
  • Ein die Seite überlagernder Zustimmungsbereich.
  • Checkboxen, die angehakt werden müssen, wenn man sich für einen Online-Service registriert.

Ablehnend steht die französische Datenschutzbehörde hingegen Popups gegenüber, da diese regelmäßig von Browsern geblockt werden.

Abschließend wird festgehalten, dass Websitebetreiber verantwortlich für Drittanbietercookies sind, sofern diese beim Besuch ihrer Website gesetzt werden. Außerdem wird klargestellt, dass eine Zustimmung nicht durch Nutzungsbedinungen oder deren Änderung erfolgen kann.

Am Ende wird darauf aufmerksam gemacht, dass pro Verstoß Bußgelder bis zu 300.000 € und strafrechtliche Verfolgung drohen.

Auch für Unternehmen außerhalb Frankreichs dürften diese Einschätzungen eine wertvolle Orientierungshilfe darstellen, da die nationalstaatlichen Regelwerke bestenfalls in Details voneinander abweichen.(se)

Artikel-29-Gruppe zu Anforderungen an die informierte Zustimmung von Werbecookies

1. September 2011

Zur Vorbereitung eines Treffens zwischen dem Internet Advertising Bureau (IAB) und der European Advertising Standards Alliance (EASA), welche die Interessen der Onlinewerbewirtschaft wahrnehmen, und der Artikel-29-Datenschutzgruppe hat deren Vorsitzender Jacob Kohnstamm in einem Brief Stellung zur Frage genommen, welche Anforderungen an eine Zustimmung zur Speicherung von Cookies zu stellen sind. Diese Frage stellt sich infolge der ePrivacy Richtlinie der EU, welche den Anbietern von Internetdiensten vor der Nutzung von Cookies bestimmte Informationspflichten auferlegt und Ihnen abverlangt eine Einwilligung der Nutzer einzuholen. Auf Grund dieser Verpflichtung wird die Richtlinie auch als Cookie Richtlinie bezeichnet. Zum Inhalt der ePrivacy Richtlinie und deren Umsetzung in nationales Recht finden Sie bereits einige Artikel in unserem Blog.

Der Brief Kohnstamms stellt eine Antwort auf den Vorschlag der Werbewirtschaft dar, der im Kern in einem nichterfolgten Opt-Out eine Einwilligung der Nutzer sieht.

Kohnstamm stellt dabei klar, dass in dem Unterbleiben eines Opt-Outs keineswegs eine freiwillig gegebene und informierte Zustimmung zu sehen sei. Er begründet dies damit, dass durchschnittliche Nutzer kaum Kenntnisse über die Methoden der verhaltensbasierten Onlinewerbung hätten und demzufolge auch nicht wüssten, wie man diesen widerspricht. Eine Zustimmung basierend auf einem unterbliebenen Opt-Out bezeichnet er daher als illusorisch. Damit folgt Kohnstamm mit seiner Argumentation dem rechtlichen Grundsatz, dass ein Schweigen keine Willenserklärung darstellt.

Weiterhin führt Kohnstamm aus, dass auf einer Website, die mehrere Werbenetzwerke einsetzt, für jedes Werbenetzwerk eine einzelne informierte Zustimmung zu verlangen sei. Den Nutzern dürfe es nicht zum Nachteil gereichen, wenn eine Websitebetreiber auf mehrere Werbepartner setze.  Ist jedoch dasselbe Werbenetzwerk auch auf einer anderen Website aktiv ist, solle es keiner erneuten Zustimmung bedürfen. Die informierte Zustimmung ist laut Aussage Kohnstamms daher auf das das jeweilige Werbenetzwerk und nicht auf die einzelne Website bezogen. Dies habe auch zur Folge, dass sich die Flut der Zustimmungs-Pop-Ups automatisch im Verlauf der Internetnutzung reduziere. Nichtsdestotrotz schließt die Artikel-29-Gruppe nicht grundsätzlich aus, dass die Industrie eine einheitliche zentralisierte Möglichkeit zur Annahme (oder Ablehnung) von Werbecookies über eine Website schaffe, solange eine feingestaffelte Abstufung möglich bleibe. Kohnstamm forderte die Industrieverantwortlichen explizit auf, zusammen eine gangbare Lösung zu entwickeln.

Auch eine einheitliche browserbasierte Lösung, welche auf Basis von Erwägungsgrund 66 der Richtlinie angedacht wird, lehnt die Artikel-29-Gruppe nicht schlichtweg ab. Unabdingbar sei jedoch, dass der Browser als Voreinstellung alle Cookies ablehne, um den Nutzern überhaupt eine Zustimmungsmöglichkeit zu eröffnen. Auch hier führt Kohnstamm aus, dass es dem durchschnittlichen Nutzer an Kenntnis bezüglich der Einstellungsmöglichkeiten des Browsers in Bezug auf Onlinewerbung fehle. Damit eine Zustimmung über den Browser den Erfordernissen der Richtlinie entspreche, müsste dieser auch die Möglichkeit bieten, die relevanten Informationen über den Zweck des Cookies und die weitere Verarbeitung [der Daten] anzuzeigen. Die Artikel-29-Grupppe erkennt zwar ausdrücklich die Fortschritte der Browserhersteller im letzten Jahr an, hält aber nochmals fest, dass die Voreinstellung Cookies generell anzunehmen, nicht im Einklang mit der von der Richtlinie geforderten informierten Zustimmung stehe.

Schlußendlich erläutert Kohnstamm, welche Anforderungen an eine informierte Zustimmung zu stellen seien. So müssten sämtliche Informationen derart bereitgestellt werden, dass sie auch dem durchschnittlichen Nutzer einleuchteten. Voraussetzung für das Setzen eines Tracking-Cookies sei es, dem Nutzer zu erklären, dass basierend auf seiner Aktivität beim Besuch von Websites ein Profil angelegt werde, um ihm Werbung anzuzeigen. Dies müsse in klarer und unmissverständlicher Art und Weise erfolgen. Aktuell ließe sich das noch nicht, wie von IAB/EASA vorgeschlagen, über ein einheitliches Icon bewerkstelligen, da die Nutzer diesem Icon nicht den entsprechenden Aussagegehalt beimessen könnten. Weiterhin müssten die geforderten Informationen leicht zugänglich sein. Dies könne insbesondere nicht angenommen werden, wenn drei Klicks bis zum Ziel notwendig seien. (se)

Französische Umsetzung der ePrivacy Richtlinie

31. August 2011

Mittlerweile hat Frankreich die Vorgaben der ePrivacy Richtlinie in nationales Recht umgesetzt.

Der Regelung zufolge ist eine generelle Einwilligung zum Setzen von Cookies durch den Browser oder ein anderes Programm möglich. Entgegen der Einschätzung der Artikel-29-Gruppe soll dies auch bereits vor Anzeige des Cookies und den damit verbundenen Informationen möglich sein.

Telekommunikationsanbieter sind verpflichtet, die französische Datenaufsichtsbehörde (CNIL) bei Verstößen gegen die Datensicherheit unverzüglich zu unterrichten. Die Betroffenen sind ebenfalls zu unterrichten, wenn die Gefahr besteht, dass personenbezogene Daten betroffen sind. Von der Unterrichtung des Betroffenen kann jedoch abgesehen werden, wenn die CNIL es als gesichert ansieht, dass angemessene Maßnahmen zur Unbrauchbarmachung der kompromittierten Daten getroffen wurden. Weiterhin sind die Anbieter gehalten, ein Verzeichnis über Verstöße gegen die Datensicherheit zu erstellen, welches jederzeit von der CNIL angefordert werden kann. Verstöße gegen die Vorschriften in Bezug auf die Datensicherheit können mit einer bis zu fünfjährigen Haftstrafe und/oder einer Geldstrafe bis zu 300.000 € geahndet werden. Für Unternehmen kann die Geldstrafe verfünffacht werden. (se)