CNIL-Leitlinien für die Verwendung von Cookies und anderen Tracking-Verfahren im Hinblick auf die ePrivacy-Richtlinie und die DSGVO

Am 4. Juli veröffentlichte die französische Datenschutzbehörde CNIL aktualisierte Leitlinien für die Verwendung von Cookies und anderen Tracking-Technologien in Anwendung der ePrivacy-Richtlinie und der DSGVO. Die am 19. Juli angenommenen aktualisierten Leitlinien wurden im französischen Amtsblatt veröffentlicht und können hier (nur auf Französisch bisher verfügbar) eingesehen werden. Die Leitlinien ersetzen frühere CNIL-Leitlinien zum gleichen Thema vom 5. Dezember 2013.
 
Insgesamt erscheint uns der Text als ein recht konstruktiver Beitrag zu den laufenden Bemühungen der Aufsichtsbehörden und der Industrie um die Auslegung und Umsetzung der DSGVO. Mit der Veröffentlichung dieser Leitlinien kündigt die CNIL auch Pläne für weitere „sektorale“ Leitlinien im Laufe des Jahres an. Angesichts der recht engen Übereinstimmung zwischen den von der CNIL in diesen Leitlinien festgelegten Anforderungen und den Merkmalen und Funktionen des TCF V2 scheint zumindest eine gewisse Aussicht auf eine Rolle des TCF bei künftigen detaillierten Leitlinien für die digitale Werbebranche zu bestehen.  
 
Einige Highlights der neuen Leitlinien sind hier aufgeführt:
 
Allgemeine Hinweise
Die Leitlinien bestätigen die Ansicht der CNIL, dass die Zustimmung im Rahmen der Anwendung der ePrivacy-Richtlinie so zu verstehen ist, dass sie dieselbe Bedeutung und dieselben Eigenschaften hat wie die Zustimmung nach der DSGVO (siehe S. 2).
 
Artikel 1 – Geltungsbereich
 
Hinsichtlich des Anwendungsbereichs umfassen die Leitlinien alle Vorgänge, die darauf abzielen, auf Informationen zuzugreifen, die auf Benutzer-Endgeräten gespeichert sind, oder Informationen auf diesen Geräten zu speichern.  Zu den Geräten gehören ausdrücklich Tablets, Smartphones, PCs und Laptops, Spielkonsolen, Connected TV, Connected Cars, Sprachassistenten und alle anderen Geräte, die mit einem öffentlichen Telekommunikationsnetz verbunden sind.  Es werden Cookies abgedeckt, aber auch lokal freigegebene Objekte/Flash-Cookies, HTML5-Lokalspeicher, Geräte-Fingerabdrücke, Werbe- oder Betriebssystem-IDs usw. (S. 2).
 
Artikel 2 – wie man eine rechtsgültige Zustimmung einholt
 
Die Leitlinien lehnen die Cookie-Walls eher ab, obwohl sie zumindest einen gewissen Spielraum bieten, den Zugang von der Zustimmung abhängig zu machen. Zum einen ist die CNIL der Ansicht, dass die Einwilligung nur dann gültig ist, wenn der Nutzer in der Lage ist, die Einwilligung für Cookies ohne wesentliche Vor- oder Nachteile („d’inconvénients majeurs“) zu verweigern oder zurückzuziehen. Zum anderen wird zur Unterstützung dieser Position in den Leitlinien auf die Erklärung des European Data Protection Board aus dem Jahr 2018 zur Überarbeitung der ePrivacy-Richtlinie und ihre Auswirkungen auf den Schutz der Privatsphäre und die Vertraulichkeit der Kommunikation verwiesen, in der festgestellt wird, dass die Zustimmung der Nutzer, die wegen Verweigerung oder Widerrufung ihrer Zustimmung zum Tracking negative Konsequenzen zu erwarten haben, ungültig ist (S. 2).
Die Nutzer müssen unabhängig von anderen Verarbeitungszwecken für jeden bestimmten Datenverarbeitungszweck ihre Zustimmung erteilen können.  In den Leitlinien wird die Ansicht vertreten, dass die Zustimmung des Nutzers zur Datenverarbeitung für mehrere Zwecke auf einmal (z.B. „alle akzeptieren“) akzeptabel ist, solange der Nutzer die zusätzliche Möglichkeit zur individuellen Zustimmung für jeden Zweck hat (siehe Artikel 2, S. 2).
Benutzer, deren Einwilligung zu Cookies eingeholt wird, müssen informiert werden:

  • Die Identität des Verantwortlichen der Datenverarbeitung
  • Die Zwecke der Daten Verarbeitung und Speicherung
  • Informationen über das Bestehen des Rechts auf Widerruf der Einwilligung

Die Leitlinien weisen darauf hin, dass, wenn auf den Zugriff und die Speicherung [z.B. zum Ablegen eines Cookies] die Verarbeitung personenbezogener Daten folgt und die Rechtsgrundlage für eine solche Weiterverarbeitung die Zustimmung ist, die gesamte Bandbreite der von der DSGVO geforderten Offenlegung von Informationen bereitgestellt werden muss.  Interessanterweise gehen die Leitlinien nicht davon aus, dass die Zustimmung die einzig mögliche Rechtsgrundlage für die Weiterverarbeitung personenbezogener Daten ist, was das ICO kürzlich in seiner eigenen Guidance zu Cookies getan hat.
Damit die Einwilligung gültig ist, muss dem Nutzer eine aktualisierte, vollständige Liste aller Unternehmen zur Verfügung gestellt werden, die Cookies oder andere Tracker verwenden, bevor er einwilligen kann. Es gibt keine vorschriftsmäßigen Leitlinien mehr für die Formatierung solcher Informationsveröffentlichungen.
Die Zustimmung muss durch eine positive Maßnahme signalisiert werden. Das Weiterblättern nach unten entspricht nicht dieser Norm. Die Leitlinien scheinen jedoch eine positive Maßnahme zur Bestätigung der voreingestellten Optionen nicht auszuschließen. 
Die Leitlinien erinnern daran, dass die DSGVO verlangt, dass die für die Datenverarbeitung Verantwortlichen jederzeit nachweisen können, dass sie die Zustimmung des Nutzers eingeholt haben, wenn die Zustimmung die Rechtsgrundlage ist.  Das bedeutet, dass Akteure, die Tracker verwenden, Mechanismen einführen müssen, die es ihnen ermöglichen, jederzeit nachzuweisen, dass sie eine rechtsgültige Zustimmung eingeholt haben.  Es gibt keine vorschreibenden oder detaillierten Angaben mehr darüber, woraus solche Mechanismen bestehen müssen (S. 3).
Das Einholen der Einwilligung kann durch Third Party im Auftrag des Verantwortlichen der Datenverarbeitung erfolgen. In diesem Zusammenhang ist die CNIL der Ansicht, dass bloße Vertragsklauseln, die First Party verpflichten, im Namen der Third Party eine rechtsgültige Zustimmung einzuholen, nicht ausreichen, um das Erfordernis des Nachweises einer gültigen Zustimmung zu erfüllen (Artikel 2, Seite 3). Die Zustimmung muss genauso einfach zu widerrufen sein wie zu erteilen, und die Nutzer müssen dies jederzeit tun können.

Artikel 3 – über die Rollen und Verantwortlichkeiten der jeweiligen Akteure
 
Die Leitlinien sehen je nach Szenario unterschiedliche Rollen und Haftungsgrade vor. Somit kann ein Dritter ein Controller oder ein Joint Controller mit der First Party oder ein Processor sein. Im Falle der Joint Controllership sollten die für die Datenverarbeitung Verantwortlichen ihre jeweiligen Verpflichtungen auf transparente Weise definieren. Im Falle eines Controller-Processor-Verhältnisses muss ein zwischen den beiden Parteien geschlossener Vertrag oder eine andere rechtsverbindliche Handlung die Verpflichtungen jeder Partei klären (S. 3).  Der Verweis auf andere verbindliche Rechtsakte scheint zumindest potenziell Mechanismen wie den TCF einzubeziehen.

Artikel 4 – Einstellungen des Benutzerterminals, einschließlich Browsereinstellungen

Die Leitlinien sind der Ansicht, dass die über die Browsereinstellungen ausgedrückte Einwilligung nach dem derzeitigen Stand der Technik nicht dem DSGVO-Standard des Informierten und Spezifischen entspricht und keine Szenarien über die Verwendung von Cookies wie Fingerabdruck hinaus berücksichtigen kann. Sie evozieren jedoch die Möglichkeit einer Weiterentwicklung der Browser-Features und -Funktionen, die letztendlich diese Probleme angehen, auch durch die Integration von Mechanismen, die eine DSGVO-konforme Erfassung der Zustimmung ermöglichen. Auch hier scheint es eine Möglichkeit oder zumindest einen impliziten Hinweis auf den TCF zu geben. 

 
Artikel 5 – Cookies zur Zielgruppenmessung, Anleitung zur Speicherdauer der Cookies

Die Leitlinien enthalten recht verbindliche Bestimmungen über die Speicherung und dem Zugang zur Audience Measurement, einschließlich der Umstände, unter denen eine solche Speicherung und ein solcher Zugang keine Zustimmung erfordern sollte.  Diese sind in Artikel 5 aufgeführt.
Hinsichtlich der Dauer der Datenspeicherung hält die CNIL an ihren bisherigen Leitlinien fest, dass Cookies keine Lebensdauer von mehr als 13 Monaten haben sollten, bevor eine neue Zustimmung eingeholt wird. Informationen, die über Cookies und andere Tracking-Technologien gesammelt werden, sollten nicht länger als 25 Monate aufbewahrt werden.