Was ist CNIL und wie wird es eingehalten?

Am 1. Oktober 2020 veröffentlichte die französische Datenschutzbehörde (CNIL) eine überarbeitete Version ihrer Richtlinien von 2019 zu Cookies und ähnlichen Technologien. Die überarbeitete Version wurde veröffentlicht, um auch die DSGVO-Verordnung zu Cookies zu berücksichtigen.

CNIL oder Commission Nationale de l'informatique et des libertes (Nationale Kommission für Informatik und Freiheit) ist eine französische Verwaltungsbehörde, die befugt ist, die Datenschutzgesetze in Frankreich durchzusetzen. Die CNIL ist für die Durchsetzung aller unten aufgeführten drei Gesetze im Land verantwortlich.

• Französisches Datenschutzgesetz
• DSGVO
• Datenschutzrichtlinie für elektronische Kommunikation

Es hat auch die Befugnis, Beschwerden entgegenzunehmen und Bußgelder für Gesetzesverstöße zu verhängen.

Wenn Ihr Unternehmen in eine der folgenden Kategorien fällt, müssen Sie diese einhalten.

• Hat seinen Sitz in Frankreich und den französischen Gebieten in Übersee
• Erhebt und/oder verarbeitet personenbezogene Daten von Bürgern und Einwohnern Frankreichs und der französischen Überseegebiete

Dies sind die gleichen Anwendbarkeitsgrundsätze wie in der DSGVO.

Der Benutzer sollte die Zustimmung mit einer eindeutigen bestätigenden positiven Handlung zulassen (z. B. durch Klicken auf „Ich akzeptiere“ auf einem Cookie-Banner). Die Untätigkeit des Benutzers, Scrollen oder fortgesetztes Surfen usw. kann nicht als Zustimmung gewertet werden, und es sollten keine anderen Cookies als die erforderlichen Cookies auf dem Gerät des Benutzers abgelegt werden, bis die ausdrückliche Zustimmung erhalten wurde.

Benutzer sollten Cookies genauso einfach ablehnen können, wie sie sie ursprünglich akzeptiert haben.

Nutzer sollen ihre Zustimmung zu Cookies einfach und jederzeit widerrufen können.

Benutzer müssen vor der Zustimmung klar über die Zwecke der Cookies informiert werden, zusammen mit den Folgen der Annahme oder Ablehnung von Cookies.

Unternehmen, die eine Zustimmung zu Cookies einholen, sollten jederzeit einen Nachweis über die gültige Sammlung der freien, informierten, spezifischen und eindeutigen Zustimmung des Benutzers erbringen.

Nachfolgend finden Sie eine Infografik, die Ihnen einen schnellen Überblick über die Compliance-Anforderungen gemäß CNIL gibt.

Sowohl CNIL als auch GDPR haben ähnliche Anforderungen, wenn es darum geht, die Zustimmung der Benutzer zur Wiedergabe von Cookies einzuholen. Sie sind wie unten gezeigt.

• Die Einwilligung muss frei erteilt werden. Der Nutzer sollte frei entscheiden können, ob er Cookies zulässt oder nicht.

• Die Einwilligung muss spezifisch sein. Sie müssen für jeden Zweck der Datenerhebung eine Einwilligung einholen. Das bedeutet, dass Sie, wenn Sie eine Einwilligung zu Analysezwecken erhalten haben, eine neue Einwilligung zur Datenerhebung zu Marketingzwecken benötigen.

• Der Zustimmungsantrag muss gut informiert sein. Dies bedeutet, dass Sie den Benutzer zum Zeitpunkt der Anfrage über Ihre Datenschutzpraktiken informieren müssen. Es hat sich bewährt, sie darüber zu informieren, dass Sie Cookies verwenden, und ihnen einen Link zu Ihrer Datenschutzrichtlinie zu präsentieren.

• Die Einwilligung muss eindeutig sein. Sie müssen eine ACCEPT- und REJECT-Schaltfläche anzeigen. Es reicht nicht aus, nur die Schaltfläche ACCEPT anzuzeigen. Der Benutzer sollte in der Lage sein, positive Maßnahmen auf Ihrer Website zu ergreifen.

Obwohl die ausdrückliche Zustimmung gemäß CNIL erforderlich ist, werden bestimmte Cookies ohne die Zustimmung des Benutzers zugelassen. Nachfolgend finden Sie die Liste der Cookies, die von der Einholung der Einwilligung ausgenommen sind.

• Cookies zur Authentifizierung bei einem Dienst
• Cookies, die verwendet werden, um sich die Einkaufswagenartikel auf einer E-Commerce-Website zu merken
• Bestimmte Cookies zur Generierung von Verkehrsstatistiken
• Cookies, die es kostenpflichtigen Websites ermöglichen, den freien Zugriff auf eine Auswahl von Inhalten zu beschränken, die von Benutzern angefordert werden
• Cookies, die die Zustimmung der Benutzer speichern
• Cookies zur Anpassung der Benutzeroberfläche
• Spracheinstellungs-Cookies

Die CNIL ist der Ansicht, dass die Zustimmung ausschließlich aus einer positiven Handlung resultieren sollte. Daher muss jede Untätigkeit als Ablehnung der Verwendung von Cookies verstanden werden.

Im Folgenden sind die beiden Fälle aufgeführt, in denen Sie Cookies auf den Geräten Ihrer Benutzer platzieren können.

• Der Benutzer hat seine Zustimmung zu Cookies ausgedrückt
• Cookies gehören zur ausgenommenen Kategorie (wie im obigen Abschnitt aufgeführt).

Grundsätzlich ist es notwendig, die vom Benutzer geäußerten Wahlmöglichkeiten beizubehalten, unabhängig davon, ob es sich um seine Zustimmung oder seine Ablehnung handelt. So müssen sie beim Surfen auf der Website ihre Auswahl nicht von Seite zu Seite neu formulieren.

Generell empfiehlt es sich daher, die vom Internetnutzer geäußerte Wahl zu speichern, um ihn für einen bestimmten Zeitraum nicht erneut anzufragen.

Die Aufbewahrungsfrist der Auswahl muss von Fall zu Fall beurteilt werden (in Bezug auf die Art der betreffenden Website oder Anwendung und die Besonderheiten ihrer Zielgruppe). Im Allgemeinen empfiehlt es sich, die Auswahl für einen Zeitraum von 6 Monaten aufzubewahren.

Cookie-Walls sind Website-Designs, bei denen ein Benutzer Cookies akzeptieren muss, bevor er auf die Inhalte der Website zugreifen kann. Während die Richtlinien von 2019 die Verwendung von Cookie-Walls vollständig verbieten. Als Folge des französischen Gerichtsurteils gegen das Gesetz hat die CNIL ihre Richtlinien dahingehend überarbeitet, dass die Rechtmäßigkeit von Cookies-Walls von Fall zu Fall beurteilt werden muss.

Wenn eine Cookie-Wall verwendet wird, sollte der Benutzer deutlich darauf hingewiesen werden, dass der Zugriff auf Inhalte ohne Zustimmung nicht möglich ist. Andernfalls sollte die Cookie-Wand oder das Banner in Kürze verschwinden, damit sie den Zugriff des Benutzers auf den Inhalt nicht beeinträchtigen oder den Benutzer anderweitig zur Zustimmung bewegen.

Die CNIL hat sowohl Richtlinien als auch Empfehlungen vorgelegt. Die CNIL-Richtlinien zu Cookies und anderen Tracern informieren Sie über das geltende Recht, wenn ein Benutzer über die Schnittstelle eines Smartphones, Computers, Tablets usw. mit dem Internet interagiert.

Die Empfehlung soll die betroffenen Fachleute bei ihrem Compliance-Prozess anleiten. Es bietet Beispiele für praktische Methoden zur Einholung von Einwilligungen gemäß den geltenden Vorschriften, aber auch zur Erfüllung der in Artikel 82 des Datenschutzgesetzes festgelegten Anforderungen.

Die CNIL verhängt eine Geldbuße gegen eine Organisation im Falle eines Verstoßes gegen die DSGVO oder das französische Datenschutzgesetz auf zwei Arten.

• Nach einer Beschwerde oder einer Meldung eines Verstoßes an die CNIL
• Nach einer Untersuchung der CNIL

In beiden Fällen kann der Vorsitzende der CNIL einen Berichterstatter unter den Kommissionsmitgliedern der CNIL mit Ausnahme der Mitglieder des engeren Ausschusses ernennen und an den engeren Ausschuss verweisen. Der engere Ausschuss setzt sich aus fünf CNIL-Beauftragten und einem unter ihnen gewählten Vorsitzenden zusammen.

Die beschuldigte Organisation wird informiert und Dokumente werden während des schriftlichen Verfahrens zwischen dem Berichterstatter und der Organisation ausgetauscht. Der engere Ausschuss erhält dann alle Unterlagen.

Während des Verfahrens kann die beschuldigte Organisation angehört werden, wenn der Berichterstatter dies für sinnvoll hält. In diesem Fall bestätigt ein schriftlicher Bericht die Anhörung.

Die Strafe kann überwachend oder nicht überwachend sein. Unter aufsichtsrechtlichen Bedingungen wird das beschuldigte Unternehmen oder die beschuldigte Organisation gezwungen, einen Betrag von bis zu 4 % des weltweiten Gesamtumsatzes oder bis zu 20 Mio. £ zu zahlen, je nachdem, welcher Betrag höher ist. In nicht maßgebender Weise erfolgt eine Abmahnung, einstweilige Verfügung mit Zwangsgeld etc.

Wie sie angekündigt hatte, schätzt sie, dass die Frist für die Einhaltung der neuen Regeln (die am 1. Oktober veröffentlicht wurden) sechs Monate nicht überschreiten sollte, dh bis spätestens Ende März 2021.

Die CNIL wird dann Audits durchführen und Durchsetzungsmaßnahmen einleiten. Wie immer müssen Betreiber auch sicherstellen, dass sie sowohl die ePrivacy-Richtlinie als auch die Datenschutz-Grundverordnung einhalten.

Mit Hilfe des Plugins CookieYes GDPR Cookie Consent and Compliance Notice können Sie die CNIL-Compliance-Reise für Ihre WordPress-Website vereinfachen. Das Plugin macht die Cookie-Verwaltung mit seinen leistungsstarken Funktionen einfach.

Das Plugin bietet Ihnen die folgenden Funktionen.

• Autocookie-Scan – Das Plugin durchsucht Ihre Website automatisch nach Cookies.
• Cookie-Zustimmungsbanner – Sie können ein Zustimmungsbanner erstellen und anpassen, um die in den Richtlinien der Gesetze genannten Anforderungen zu erfüllen.
• Granulare Zustimmungsoption – Suchen Sie die ausdrückliche Zustimmung zu Cookies, indem Sie die Benutzer über die Verwendung jeder Art von Cookies auf Ihrer Website informieren.
• Cookie-Zustimmungsprotokoll – Erfassen Sie die Zustimmung Ihrer Benutzer mit relevanten Daten wie Cookies, Datum, Uhrzeit usw.
• Automatische Skriptblockierung – Sie können die Skriptblockierung von Cookies von Plug-ins und Diensten von Drittanbietern aktivieren
• Datenschutzrichtlinien-Generator – Generieren Sie ganz einfach eine Datenschutz-/Cookie-Richtlinie von Grund auf neu.

Nach den neuen Richtlinien der CNIL bleibt Ihnen nicht mehr viel Zeit, um diese einzuhalten. Beginnen Sie also noch heute Ihre Compliance-Reise mit dem CookieYes GDPR Cookie Consent and Compliance Notice Plugin.