{"id":507,"date":"2019-09-04T09:34:17","date_gmt":"2019-09-04T07:34:17","guid":{"rendered":"http:\/\/blog.eprivacy.eu\/?p=507"},"modified":"2020-12-09T09:35:51","modified_gmt":"2020-12-09T08:35:51","slug":"cnil-leitlinien-fuer-die-verwendung-von-cookies-und-anderen-tracking-verfahren-im-hinblick-auf-die-eprivacy-richtlinie-und-die-dsgvo","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=507&lang=de","title":{"rendered":"CNIL-Leitlinien f\u00fcr die Verwendung von Cookies und anderen Tracking-Verfahren im Hinblick auf die ePrivacy-Richtlinie und die DSGVO"},"content":{"rendered":"\n<p>Am 4. Juli ver\u00f6ffentlichte die franz\u00f6sische Datenschutzbeh\u00f6rde CNIL aktualisierte Leitlinien f\u00fcr die Verwendung von Cookies und anderen Tracking-Technologien&nbsp;in Anwendung der ePrivacy-Richtlinie und der DSGVO. Die am 19. Juli angenommenen aktualisierten Leitlinien wurden im franz\u00f6sischen Amtsblatt ver\u00f6ffentlicht und k\u00f6nnen&nbsp;<a href=\"https:\/\/www.legifrance.gouv.fr\/affichTexte.do;jsessionid=3759DB55B09C981B623B6909378DB9A8.tplgfr22s_2?cidTexte=JORFTEXT000038783337&amp;dateTexte=&amp;oldAction=rechJO&amp;categorieLien=id&amp;idJO=JORFCONT000038782809\" target=\"_blank\" rel=\"noreferrer noopener\">hier<\/a>&nbsp;(nur auf Franz\u00f6sisch bisher verf\u00fcgbar) eingesehen werden. Die Leitlinien ersetzen fr\u00fchere CNIL-Leitlinien zum gleichen Thema vom 5. Dezember 2013.<br>&nbsp;<br>Insgesamt erscheint uns der Text als ein recht konstruktiver Beitrag zu den laufenden Bem\u00fchungen der Aufsichtsbeh\u00f6rden und der Industrie um die Auslegung und Umsetzung der DSGVO.&nbsp;Mit der Ver\u00f6ffentlichung dieser Leitlinien k\u00fcndigt die CNIL auch Pl\u00e4ne f\u00fcr weitere &#8222;sektorale&#8220; Leitlinien im Laufe des Jahres an. Angesichts der recht engen \u00dcbereinstimmung zwischen den von der CNIL in diesen Leitlinien festgelegten Anforderungen und den Merkmalen und Funktionen des TCF V2 scheint zumindest eine gewisse Aussicht auf eine Rolle des TCF bei k\u00fcnftigen detaillierten Leitlinien f\u00fcr die digitale Werbebranche zu bestehen. &nbsp;<br>&nbsp;<br>Einige Highlights der neuen Leitlinien sind hier aufgef\u00fchrt:<br>&nbsp;<br><strong>Allgemeine Hinweise<\/strong><br>Die Leitlinien best\u00e4tigen die Ansicht der CNIL, dass die Zustimmung im Rahmen der Anwendung der ePrivacy-Richtlinie&nbsp;so zu verstehen ist, dass sie dieselbe Bedeutung und dieselben Eigenschaften hat wie die Zustimmung nach der DSGVO&nbsp;(siehe S. 2).<br>&nbsp;<br><strong>Artikel 1 &#8211; Geltungsbereich<\/strong><br>&nbsp;<br>Hinsichtlich des Anwendungsbereichs umfassen die Leitlinien alle Vorg\u00e4nge, die darauf abzielen, auf Informationen zuzugreifen, die auf Benutzer-Endger\u00e4ten gespeichert sind, oder Informationen auf diesen Ger\u00e4ten zu speichern. &nbsp;Zu den Ger\u00e4ten geh\u00f6ren ausdr\u00fccklich Tablets, Smartphones, PCs und Laptops, Spielkonsolen, Connected TV, Connected Cars, Sprachassistenten und alle anderen Ger\u00e4te, die mit einem \u00f6ffentlichen Telekommunikationsnetz verbunden sind. &nbsp;Es werden Cookies abgedeckt, aber auch lokal freigegebene Objekte\/Flash-Cookies, HTML5-Lokalspeicher, Ger\u00e4te-Fingerabdr\u00fccke, Werbe- oder Betriebssystem-IDs usw. (S. 2).<br>&nbsp;<br><strong>Artikel 2 &#8211; wie man eine rechtsg\u00fcltige Zustimmung&nbsp;<\/strong><strong>einholt<\/strong><br>&nbsp;<br>Die Leitlinien lehnen die Cookie-Walls eher ab,&nbsp;obwohl sie zumindest einen gewissen Spielraum bieten, den Zugang von der Zustimmung abh\u00e4ngig zu machen. Zum einen ist die CNIL der Ansicht, dass die Einwilligung nur dann g\u00fcltig ist, wenn der Nutzer in der Lage ist, die Einwilligung f\u00fcr Cookies ohne wesentliche Vor- oder Nachteile (&#8222;d&#8217;inconv\u00e9nients majeurs&#8220;) zu verweigern oder zur\u00fcckzuziehen. Zum anderen wird zur Unterst\u00fctzung dieser Position in den Leitlinien auf die Erkl\u00e4rung des European Data Protection Board aus dem Jahr 2018 zur \u00dcberarbeitung der ePrivacy-Richtlinie und ihre Auswirkungen auf den Schutz der Privatsph\u00e4re und die Vertraulichkeit der Kommunikation verwiesen, in der festgestellt wird, dass&nbsp;die Zustimmung der Nutzer, die wegen Verweigerung&nbsp;oder Widerrufung&nbsp;ihrer&nbsp;Zustimmung zum Tracking&nbsp;negative Konsequenzen zu erwarten haben, ung\u00fcltig ist (S. 2).<br>Die Nutzer m\u00fcssen unabh\u00e4ngig von anderen Verarbeitungszwecken f\u00fcr jeden bestimmten Datenverarbeitungszweck ihre Zustimmung erteilen k\u00f6nnen.&nbsp; In den Leitlinien wird die Ansicht vertreten, dass die Zustimmung des Nutzers zur Datenverarbeitung f\u00fcr mehrere Zwecke auf einmal (z.B. &#8222;alle akzeptieren&#8220;) akzeptabel ist, solange der Nutzer die zus\u00e4tzliche M\u00f6glichkeit zur individuellen Zustimmung f\u00fcr jeden Zweck hat (siehe Artikel 2, S. 2).<br>Benutzer, deren Einwilligung zu Cookies eingeholt wird, m\u00fcssen informiert werden:<\/p>\n\n\n\n<ul><li>Die Identit\u00e4t des&nbsp;Verantwortlichen der Datenverarbeitung<\/li><li>Die Zwecke der Daten Verarbeitung und Speicherung<\/li><li>Informationen \u00fcber das Bestehen des Rechts auf Widerruf der Einwilligung<\/li><\/ul>\n\n\n\n<p>Die Leitlinien weisen darauf hin, dass, wenn auf den Zugriff und die Speicherung [z.B. zum Ablegen eines Cookies] die Verarbeitung personenbezogener Daten folgt und die Rechtsgrundlage f\u00fcr eine solche Weiterverarbeitung die Zustimmung ist, die gesamte Bandbreite der von der DSGVO&nbsp;geforderten Offenlegung von Informationen bereitgestellt werden muss. &nbsp;Interessanterweise gehen die Leitlinien nicht davon aus, dass die Zustimmung die einzig m\u00f6gliche Rechtsgrundlage f\u00fcr die Weiterverarbeitung personenbezogener Daten ist, was das ICO k\u00fcrzlich in seiner eigenen Guidance zu Cookies getan hat.<br>Damit die Einwilligung g\u00fcltig ist, muss dem Nutzer eine aktualisierte, vollst\u00e4ndige Liste aller Unternehmen zur Verf\u00fcgung gestellt werden, die Cookies oder andere Tracker verwenden, bevor er einwilligen kann. Es gibt keine vorschriftsm\u00e4\u00dfigen Leitlinien mehr f\u00fcr die Formatierung solcher Informationsver\u00f6ffentlichungen.<br>Die Zustimmung muss durch eine positive Ma\u00dfnahme signalisiert werden. Das Weiterbl\u00e4ttern nach unten entspricht nicht dieser Norm.&nbsp;Die Leitlinien scheinen jedoch eine positive Ma\u00dfnahme zur Best\u00e4tigung der voreingestellten Optionen nicht auszuschlie\u00dfen.&nbsp;<br>Die Leitlinien erinnern daran, dass die DSGVO verlangt, dass die f\u00fcr die Datenverarbeitung Verantwortlichen jederzeit nachweisen k\u00f6nnen, dass sie die Zustimmung des Nutzers eingeholt haben, wenn die Zustimmung die Rechtsgrundlage ist. &nbsp;Das bedeutet, dass Akteure, die Tracker verwenden, Mechanismen einf\u00fchren m\u00fcssen, die es ihnen erm\u00f6glichen, jederzeit nachzuweisen, dass sie eine rechtsg\u00fcltige Zustimmung eingeholt haben. &nbsp;Es gibt keine vorschreibenden oder detaillierten Angaben mehr dar\u00fcber, woraus solche Mechanismen bestehen m\u00fcssen (S. 3).<br>Das Einholen&nbsp;der Einwilligung kann durch Third Party im Auftrag des&nbsp;Verantwortlichen der Datenverarbeitung erfolgen. In diesem Zusammenhang ist die CNIL der Ansicht, dass blo\u00dfe Vertragsklauseln, die First Party&nbsp;verpflichten, im Namen der Third Party eine rechtsg\u00fcltige Zustimmung einzuholen, nicht ausreichen, um das Erfordernis des Nachweises einer g\u00fcltigen Zustimmung zu erf\u00fcllen (Artikel 2, Seite 3).&nbsp;Die Zustimmung muss genauso einfach zu widerrufen sein wie zu erteilen, und die Nutzer m\u00fcssen dies jederzeit tun k\u00f6nnen.<\/p>\n\n\n\n<p><strong>Artikel 3 &#8211; \u00fcber die Rollen und Verantwortlichkeiten der jeweiligen Akteure<\/strong><br>&nbsp;<br>Die Leitlinien sehen je nach Szenario unterschiedliche Rollen und Haftungsgrade vor.&nbsp;Somit kann ein Dritter ein Controller&nbsp;oder ein Joint Controller mit der First Party oder ein Processor sein. Im Falle der Joint Controllership sollten die f\u00fcr die Datenverarbeitung Verantwortlichen ihre jeweiligen Verpflichtungen auf transparente Weise definieren. Im Falle eines Controller-Processor-Verh\u00e4ltnisses muss ein zwischen den beiden Parteien geschlossener Vertrag oder eine andere rechtsverbindliche Handlung die Verpflichtungen jeder Partei kl\u00e4ren (S. 3). &nbsp;Der Verweis auf andere verbindliche Rechtsakte scheint zumindest potenziell Mechanismen wie den TCF einzubeziehen.<\/p>\n\n\n\n<p><strong>Artikel 4 &#8211; Einstellungen des Benutzerterminals, einschlie\u00dflich Browsereinstellungen<\/strong><\/p>\n\n\n\n<p>Die Leitlinien sind der Ansicht, dass die \u00fcber die Browsereinstellungen ausgedr\u00fcckte Einwilligung nach dem derzeitigen Stand der Technik nicht dem DSGVO-Standard des Informierten und Spezifischen entspricht und keine Szenarien \u00fcber die Verwendung von Cookies wie Fingerabdruck hinaus ber\u00fccksichtigen kann. Sie evozieren jedoch die M\u00f6glichkeit einer Weiterentwicklung der Browser-Features und -Funktionen, die letztendlich diese Probleme angehen, auch durch die Integration von Mechanismen, die eine DSGVO-konforme Erfassung der Zustimmung erm\u00f6glichen. Auch hier scheint es eine M\u00f6glichkeit oder zumindest einen impliziten Hinweis auf den TCF zu geben.&nbsp;<\/p>\n\n\n\n<p>&nbsp;<br><strong>Artikel 5 &#8211; Cookies zur Zielgruppenmessung, Anleitung zur Speicherdauer der&nbsp;Cookies<\/strong><\/p>\n\n\n\n<p>Die Leitlinien enthalten recht verbindliche Bestimmungen \u00fcber die Speicherung und dem&nbsp;Zugang zur Audience Measurement, einschlie\u00dflich der Umst\u00e4nde, unter denen eine solche Speicherung und ein solcher Zugang keine Zustimmung erfordern sollte. &nbsp;Diese sind in Artikel 5 aufgef\u00fchrt.<br>Hinsichtlich der Dauer der Datenspeicherung h\u00e4lt die CNIL an ihren bisherigen Leitlinien fest, dass Cookies keine Lebensdauer&nbsp;von mehr als 13 Monaten haben sollten, bevor eine neue Zustimmung eingeholt wird. Informationen, die \u00fcber Cookies und andere Tracking-Technologien&nbsp;gesammelt werden, sollten nicht l\u00e4nger als 25 Monate aufbewahrt werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Am 4. Juli ver\u00f6ffentlichte die franz\u00f6sische Datenschutzbeh\u00f6rde CNIL aktualisierte Leitlinien f\u00fcr die Verwendung von Cookies und anderen Tracking-Technologien&nbsp;in Anwendung der ePrivacy-Richtlinie und<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=507&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/507"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=507"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/507\/revisions"}],"predecessor-version":[{"id":508,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/507\/revisions\/508"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=507"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=507"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=507"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}