Diese häufig gestellten Fragen sollen Informationen über die aktualisierten französischen Leitlinien zum Cookie-Recht liefern - einschließlich der Frage, wie diese französischen Leitlinien mit der EU-Gesetzgebung zusammenhängen, was sie für Ihr Unternehmen bedeuten und welche Folgen die Nichteinhaltung hat.
Was sind die französischen Richtlinien zum Cookie-Recht? Wie hängen sie mit der Datenschutz-Grundverordnung und der Datenschutzrichtlinie für elektronische Kommunikation (dem "Cookie-Gesetz") zusammen?
Die Datenschutzrichtlinie für elektronische Kommunikation und die Datenschutzgrundverordnung (GDPR) sind die wichtigsten EU-Rechtsvorschriften, die die Verwendung von Cookies und ähnlichen Tracking-Technologien regeln. Die Datenschutzrichtlinie für elektronische Kommunikation trat 2002 in Kraft, wurde aber seitdem immer wieder geändert (zuletzt 2009). Die Datenschutz-Grundverordnung trat 2018 in Kraft. Während es sich bei der DSGVO um eine Verordnung handelt, was bedeutet, dass sie in allen EU-Mitgliedstaaten rechtsverbindlich ist, verfügt die Datenschutzrichtlinie für elektronische Kommunikation nicht über dieselbe umfassende Befugnis. Richtlinien legen bestimmte Ergebnisse fest, die erreicht werden müssen (d. h. eine Reihe von Regeln), aber jeder EU-Mitgliedstaat kann frei entscheiden, wie er die Richtlinien in nationales Recht umsetzt, um die Einhaltung dieser Regeln zu gewährleisten. Das bedeutet, dass alle EU-Mitgliedstaaten ihre eigenen Cookie-Gesetze haben - aber diese Gesetze können bis zu einem gewissen Grad variieren, solange sie die in der Datenschutzrichtlinie für elektronische Kommunikation festgelegten Kernelemente erfüllen.
Frankreich hat die Datenschutzrichtlinie für elektronische Kommunikation in Artikel 82 des französischen Gesetzes "Informatique et Libertés" (d. h. "Frankreichs Cookie-Gesetz") umgesetzt. Die französische Datenschutzbehörde (CNIL) ist für die Durchsetzung dieses Gesetzes zuständig.
Im Jahr 2013 hat die CNIL Leitlinien für die praktische Umsetzung des französischen Cookie-Gesetzes ("Leitlinien") verabschiedet. Kurz nach der Datenschutz-Grundverordnung aktualisierte die CNIL die Leitlinien und gab Empfehlungen heraus, um sie an die Anforderungen des neuen EU-Gesetzes anzupassen. Im Jahr 2020 wurden diese Leitlinien und Empfehlungen erneut aktualisiert. Nach der Annahme dieser aktualisierten Leitlinien und Empfehlungen im Oktober 2020 kündigte die CNIL eine Übergangsfrist bis Ende März 2021 an. Während dieses Zeitraums wird die CNIL keine neuen Verpflichtungen in Bezug auf Cookies durchsetzen, die sich aus den neuesten Versionen der Leitlinien und Empfehlungen ergeben (d. h. "CNILs Leitlinien").
Ich habe eine Website, die Cookies an Personen in Frankreich sendet (oder senden könnte) - was muss ich tun, um sicherzustellen, dass ich bis zu dieser Frist die Vorschriften einhalte?
Wenn Ihr Unternehmen Privatpersonen in Frankreich Cookies zur Verfügung stellt, sollten Sie bereits Verfahren zur Einwilligung in Cookies eingeführt haben, die den früheren Versionen der CNIL-Leitlinien entsprechen.
Nach dem 31. März 2021 müssen Sie nun sicherstellen, dass Ihre Cookie-Einwilligungspraktiken alle neuen Verpflichtungen bezüglich der Verwaltung von Cookie-Einwilligungen erfüllen, die sich aus der neuesten Version der CNIL-Leitlinien ergeben. Konkret müssen Sie sicherstellen, dass Ihre Nutzer:
dass sie ihre Einwilligung genauso einfach verweigern können, wie sie sie gegeben haben, und dass sie ihre Einwilligung genauso einfach widerrufen können, wie sie sie gegeben haben (d. h., dass Sie eine Schaltfläche im Stil von "Alles ablehnen" verwenden und es Ihren Nutzern leicht machen, herauszufinden, wo sie ihre Präferenzen anpassen können, wann immer sie dies tun wollen);
Zustimmung zu jedem einzelnen Zweck, für den Ihr Unternehmen Cookies verwendet; und
>
über die Identität der Einrichtungen, die Cookies setzen, informiert werden (d.h. die Liste mit der Identität der Einrichtungen muss ihnen zum Zeitpunkt der Einholung der Zustimmung zur Verfügung gestellt und regelmäßig aktualisiert werden - eine gute Praxis ist es, die Zustimmung alle sechs Monate "neu zu sammeln").
Außerdem müssen Sie in der Lage sein, gegenüber der CNIL nachzuweisen, dass Sie eine gültige Einwilligung erhalten haben, wenn diese danach fragt.
Vorherige Versionen des CNIL-Leitfadens legten fest, dass das Vertrauen auf angekreuzte Kästchen, eine "gebündelte" Einwilligung (Einwilligung für mehrere Verarbeitungszwecke gleichzeitig) oder das Scrollen oder Navigieren eines Benutzers durch eine Website nicht dem GDPR-Standard für die Einwilligung entspricht und nicht als gültige Einwilligung gemäß dem französischen Cookie-Gesetz ausgelegt werden kann. Der neueste CNIL-Leitfaden stellt klar, dass man sich nicht auf die Cookie-Konfigurationseinstellungen eines Webbrowsers verlassen kann, um eine gültige Zustimmung des Nutzers zu erhalten.
Was passiert, wenn ich die Vorschriften nicht fristgerecht erfülle?
Im Gegensatz zur Datenschutz-Grundverordnung, der Datenschutzrichtlinie für elektronische Kommunikation und dem französischen Cookie-Gesetz gelten die Leitlinien und Empfehlungen einer Datenschutzbehörde wie der CNIL als "weiches Recht" und sind nicht verbindlich. In den Leitlinien der CNIL wird jedoch erläutert, wie sie feststellen wird, ob ein Unternehmen gegen das französische Cookie-Gesetz verstößt (d. h. wie sie das französische Cookie-Gesetz durchsetzen wird). Das heißt, wenn die Cookie-Praktiken Ihres Unternehmens nicht den Anforderungen des CNIL-Leitfadens entsprechen, verstoßen Sie wahrscheinlich gegen das französische Cookie-Gesetz und können Gegenstand von Durchsetzungsmaßnahmen sein.
Nach dem 31. März 2021 wird die CNIL mit der Durchsetzung des französischen Cookie-Gesetzes im Zusammenhang mit diesen neuen Verpflichtungen und Anforderungen beginnen, die sich aus den Leitlinien und Empfehlungen ergeben. Da die CNIL-Leitlinien mit Blick auf die Datenschutz-Grundverordnung (GDPR) verfasst wurden, verstoßen Sie bei Verstößen gegen das französische Cookie-Gesetz möglicherweise auch gegen die GDPR.