ICO und CNIL publizieren Richtlinien für die Verwendung von Cookies


Sowohl die britische (ICO) als auch die französische (CNIL) Datenschutzbehörde haben im Juli Richtlinien für die Verwendung von Cookies erlassen. Darin erläutern die Behörden die Vorgaben der Datenschutzgrundverordnung (DSGVO) sowie der e-Privacy-Richtlinie und ihrer nationalen Umsetzungserlasse. Der Fokus der Richtlinien liegt auf der Einhaltung der Informationspflicht sowie der Pflicht zur Einholung einer rechtsgültigen Einwilligung für die Verwendung von Cookies. Seit dem Inkrafttreten der DSGVO werden an diese beiden Pflichten erhöhte Anforderungen gestellt. Auch für Schweizer Unternehmen, die das Online-Verhalten von Personen in der EU mittels Cookies „beobachten“, sind die Richtlinien wichtig. Denn auch sie müssen die Vorgaben des EU-Rechts beachten und nicht bloss die derzeit noch weniger streng ausgestaltete Schweizer Regelung.
 

Was sind Cookies?

Die neuen Richtlinien des ICO und der CNIL enthalten Regelungen für die Verwendung von Cookies. Cookies sind Informationsdateien, die durch Web-Dienste, wie Websites oder Apps, bei deren Aufruf oder Verwendung durch einen Nutzer auf dessen Endgerät gesetzt werden. Besucht ein Nutzer beispielsweise eine Website, so speichert diese oft Cookies im Browserverlauf des Users. Bei einem späteren Aufruf der Website durch den gleichen Nutzer, senden die Cookies die Informationen an die Website zurück. Insofern dienen die Cookies der Informationsspeicherung zwischen zwei oder mehreren Websitebesuchen, wodurch zahlreiche übliche Website-Funktionen, wie die Bereitstellung eines Warenkorbs oder eines Nutzer-Logins, ermöglicht werden. Darüber hinaus erlauben Cookies aber beispielsweise auch, die Dauer und Häufigkeit von Websitebesuchen eines Nutzers oder dessen Surfverhalten auf der Website zu beobachten.
 

Arten von Cookies

Werden die Cookies direkt über die besuchte Website gesetzt, so spricht man von «first-party Cookies». Möglich ist aber auch, dass die Cookies über eine Drittwebsite gesetzt werden, wenn Elemente von dieser (z.B. Bilder, Werbung oder Social Media Plugins) auf der besuchten Website integriert sind. Die von Drittwebsites gesetzten Cookies bezeichnet man als «third-party Cookies».

Weiter werden Cookies auch nach deren Lebensdauer unterschieden. Sofern Cookies nach dem Beenden der Browsersession gelöscht werden, handelt es sich um «Session-Cookies». Die Lebensdauer dieser Cookies endet somit in der Regel, wenn der Nutzer das Browserfenster schliesst. Mit den Session-Cookies werden unterschiedliche Zwecke verfolgt, beispielsweise das Merken eines in den Warenkorb gelegten Produkts während dem Surfen auf der Website. Daneben gibt es aber auch Cookies deren Lebensdauer die einzelne Browsersession überdauern («Persistent-Cookies»). Persistent-Cookies dienen dabei insbesondere dazu, die Präferenzen der Nutzer zu speichern (z.B. das Merken eines in den Warenkorb gelegten Produkts, das der Nutzer letztlich in der betreffenden Browsersession nicht bestellt hat) oder aber um den Nutzer mit gezielter Werbung auch auf anderen Websites oder Apps anzusprechen.
 

Nicht nur die DSGVO ist zu beachten!

Für die Verwendung von Cookies sind als Rechtsgrundlagen auf europäischer Ebene die europäische Datenschutzgrundverordnung (DSGVO) (sofern Personendaten verarbeitet werden) sowie die Datenschutzrichtlinie für elektronische Kommunikation (e-Privacy-Richtlinie) einschlägig. Die e-Privacy-Richtlinie aus dem Jahr 2002 wurde 2009 durch die sog. Cookie-Richtlinie ergänzt und hätte eigentlich zeitgleich mit der DSGVO durch die sog. e-Privacy-Verordnung ersetzt werden sollen (MLL-News vom 2.12.2017).

Da die die Verabschiedung und Inkraftsetzung der e-Privacy-Verordnung aber nach wie vor – wohl mindestens bis im Jahr 2021 – auf sich warten lässt, gelangen derzeit die e-Privacy-Richtlinie und die entsprechenden nationalen Umsetzungsgesetze parallel zur DSGVO zur Anwendung (MLL-News vom 27.4.2019). Sowohl das ICO wie auch die CNIL beziehen sich in ihren Empfehlungen deshalb auf die Regelungen der jeweiligen nationalen Gesetzgebung und der DSGVO.
 

Bearbeitung von Personendaten beim Einsatz von Cookies?

Zu beachten ist, dass die DSGVO nur zur Anwendung gelangt, wenn mit Cookies personenbezogene Daten verarbeitet werden. Die besonderen Vorschriften für Cookies gelten jedoch unabhängig davon. In den Richtlinien verdeutlichen die Behörden, dass sie bei Datenbearbeitungen mit Cookies relativ rasch vom Vorliegen von personenbezogenen Daten ausgehen.

Dies gilt insbesondere, wenn einzelne Informationselemente miteinander kombiniert werden, die alleine für sich genommen nicht als personenbezogene Daten qualifiziert werden. Wird dadurch ermöglicht, einen bestimmten Nutzer wiederzuerkennen, herauszufiltern oder auf einen Nutzer bezogene Rückschlüsse zu ziehen, so handelt es sich um personenbezogene Datenverarbeitung und die Bestimmungen der DSGVO müssen eingehalten werden. Hierzu muss nicht zwingend der Name des Nutzers bekannt sein. Ausreichend soll es insbesondere nach Ansicht des ICO bereits sein, wenn ein Nutzer über einen längeren Zeitraum oder über verschiedene Endgeräte oder Websites hinweg wiedererkannt wird.
 

Anwendungsbereich der Cookie-Richtlinien

Die Richtlinien des ICO der CNIL umfassen den gleichen Anwendungsbereich, der durch die e-Privacy-Richtlinie bzw. die national umgesetzten Gesetzgebungsakte übereinstimmend definiert wird. Die e-Privacy-Richtlinie erwähnt Cookies nicht explizit, sondern hält technologieneutral fest, dass die Speicherung von Informationen auf einem Endgerät oder der Zugriff darauf nur unter gewissen Voraussetzungen erlaubt ist. Die Vorschriften gelten insofern auch für mit Cookies vergleichbare Technologien, wie z.B. das Browser-Fingerprinting. Als Endgeräte kommen neben Computern oder Mobilgeräten grundsätzlich alle mit dem Internet verbundenen Geräte («Internet of Things») in Frage. Der Anwendungsbereich der e-Privacy-Richtlinie erstreckt sich zudem nicht nur auf Websites oder Web-Browser, sondern auch auf Mobile Apps, die untereinander oder mit Websites über Cookies «kommunizieren».

Die Regelungen gelten auch ausdrücklich für Cookies, die es ermöglichen das Surfverhalten von Nutzern auf einer Website zu analysieren (sog. analytics Cookies). Vom Anwendungsbereich erfasst sind neben «first-party Cookies» auch «third-party Cookies», wobei bei Letzteren einige Besonderheiten zu beachten sind (vgl. dazu weiter unten). Vom Anwendungsbereich der Vorschriften der e-Privacy-Richtlinie ausgenommen sind in der Regel nicht öffentliche Intranet-Netzwerke, wobei die in diesem Zusammenhang vorgenommenen Verarbeitungen von personenbezogenen Daten gleichwohl der DSGVO unterstehen.
 

Einhaltung der Informationspflicht

Mit der Verwendung von Cookies ist grundsätzlich eine umfassende Informationspflicht seitens der Cookie Verwender verbunden. Die Information hat in verständlicher Weise zu erfolgen, so dass möglichst jeder Nutzer den Zweck und die Funktion der verwendeten Cookies nachvollziehen kann. Das ICO verlangt letztlich die Erteilung der gleichen Informationen, wie sie in der DSGVO vorgeschrieben werden (vgl. Art. 13 und 14). Im Vordergrund steht dabei die Beschreibung der Cookies, die eingesetzt werden sollen, sowie die Zwecke der damit verbundenen Bearbeitungen. Die CNIL betont ferner , dass neben der Beschreibung und Zwecksetzung der Cookies auch über das Recht zum Widerruf der Einwilligung sowie über die mögliche Entfernung bereits gesetzter Cookies informiert werden muss (siehe zur Einwilligung sogleich nachfolgend).

Je nach Art und Anzahl der verwendeten Cookies sind hierzu verschiedene Ansätze möglich, wobei das ICO verschiedene Alternativen in Betracht zieht. Vorgeschlagen wird z.B. eine Auflistung aller verwendeten Cookies oder aber eine allgemeinere Beschreibung der Funktionsweisen und Kategorien der eingesetzten Cookies. Letztere stellt für viele Nutzer wohl eine geeignetere und verständlichere Informationsform dar. Jedenfalls sollte die Information für einen Nutzer sofort beim ersten Aufruf einer Website oder eines Apps klar ersichtlich sein. In der Praxis kann diese Information beispielsweise in einen sog. Cookie-Banner integriert werden. Darüber hinaus verlangt das ICO neben den Grundinformationen auch Links auf detailliertere Informationen in einer Datenschutzerklärung oder einer speziellen Cookie Policy.
 

Einwilligung für den Einsatz von Cookies

Nutzer müssen über die Verwendung von Cookies nicht nur in oben erwähnter Weise informiert werden, sondern auch ihre Einwilligung dazu geben. Es ist deshalb naheliegend, die Informationspflicht mit dem Einwilligungsmechanismus zu verbinden (z.B. mittels einem Cookie-Banner). Der Begriff der Einwilligung entspricht jenem nach Art. 4 Nr. 11 DSGVO, worin folgende Definition vorgesehen ist:

„jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.

Bereits daraus geht hervor, dass strenge Anforderungen an eine gültige Einwilligung gestellt werden. Konkret muss beim Einsatz von Cookies gemäss ICO und CNIL namentlich Folgendes beachtet werden:

  • Eine Einwilligung ist eine freie, auf einen spezifischen Fall bezogene und informierte Willenserklärung. Eine Globalübernahme der Allgemeinen Geschäftsbedingungen (AGB) oder der Nutzungsbedingungen einer Website genügt grundsätzlich nicht. Vielmehr muss die Einwilligung gesondert eingeholt werden. Zur vieldiskutierten Frage, wie „granular“ die Einwilligungs-Optionen für die Nutzer sein müssen, äussern sich die Behörden nicht direkt. Die CNIL weist aber darauf hin, dass eine globale Einwilligung für Cookies nur dann gültig ist, wenn der Nutzer zusätzlich auch die Möglichkeit habe, seine Einwilligung spezifisch für jeden Verarbeitungszweck abzugeben. In diesem Sinne hält auch das ICO fest, dass Einwilligungs-Mechanismen, die den Nutzern keine Wahl ermöglichen, ungenügend seien, selbst wenn entsprechende „Steuerungselemente“ („controls“) in der Rubrik „Mehr Informationen“ vorhanden seien. Ferner betont das ICO, dass lange Listen von Checkboxen als eine Möglichkeit erscheinen mögen, den Einwilligungsmechanismus angemessen „granular“ zu gestalten. Allerdings berge auch dieser Ansatz verschiedene Risiken in sich, da Nutzer womöglich gar nicht mit dem Mechanismus interagieren werden oder die bereitgestellten Informationen nicht verstehen könnten.
     
  • Das blosse Weitersurfen oder -navigieren auf der Website durch den Nutzer ohne Vornahme einer ausdrücklichen Einwilligungshandlung ist nicht als gültige Einwilligung zu betrachten. Das gleiche gilt für Voreinstellungen im Internetbrowser oder auf der Website selbst, die das Setzen von Cookies zulassen. Erforderlich ist eine eindeutige bestätigende Handlung;
     
  • Das Setzen von Cookies setzt zwingend voraus, dass eine Einwilligung vorab eingeholt wird, d.h. vor der Einwilligung dürfen grundsätzlich keine Cookies auf dem Endgerät des Nutzers gesetzt oder ausgelesen werden. Mit jedem Einsatz neuer Cookies oder der Ergänzung der Zwecke oder Funktionalität bestehender Cookies, muss erneut eine rechtsgültige Einwilligung eingeholt werden.
     
  • Die Einwilligung muss freiwillig erteilt werden und darf nicht durch mögliche negative Folgen bei einer Ablehnung beeinflusst sein. Konkret darf der Zugriff zu einer Website grundsätzlich nicht von der Einwilligung zur Verwendung von Cookies abhängig gemacht werden (sog. Cookie Walls). Während dies nach der Stellungnahme der CNIL – unter Hinweis auf eine Stellungnahme des EDSA zur e-Privacy-Richtlinie (3/2019) – ausnahmslos der Fall ist, ist der Standpunkt des ICO weniger deutlich. Zu Recht weist das ICO auf Erwägungsgrund 25 hin, der bereits zum Ausdruck bringt, dass die „Kopplung“ des Website-Zugriffs an die Einwilligung zum Einsatz von Cookies in bestimmten Konstellationen zulässig ist. Der Einsatz einer Cookie Wall soll aber auch nach Ansicht des ICO nur in Bezug auf bestimmte Bereiche einer Website, nicht die Website insgesamt, zulässig sein. Als weitere Voraussetzung gilt nach Ansicht des ICO, dass die betreffenden Cookies die Erbringung eines vom Nutzer ausdrücklich gewünschten Dienstes erleichtern müssen. Aus diesem Grund dürfe der Website-Zugriff bspw. nicht an die Zustimmung zu Cookies gekoppelt werden, die der Bereitstellung von Online-Werbung dienen.
     
  • Ein Widerruf der Einwilligung muss jederzeit möglich sein und zwar mit den gleich einfachen Mitteln wie die Einwilligung erteilt wurde.
     

«Third-party Cookies» als besondere Herausforderung

Werden «third-party Cookies» verwendet, muss der Nutzer über die Verwendung von Cookies durch eine Drittpartei informiert werden, wobei sämtliche Drittparteien nach Ansicht beider Behörden explizit namentlich benannt werden müssen. Die blosse Nennung der Kategorien der Dritten soll demnach für eine gültige Einwilligung nicht genügen. Das ICO betont, dass die Informationen über den Einsatz der Third-Party-Cookies prominent platziert werden müssen und es bspw. nicht genüge, diese bloss über einen Link auf eine allgemeine Datenschutzerklärung zu integrieren.

Der Websitebetreiber und die Drittpartei tragen ferner nach Ansicht des ICO beide eine Verantwortung für die Einhaltung der Informationspflicht und das Einholen einer gültigen Einwilligung. Es sei daher im Interesse beider Parteien, die Einhaltung aller Pflichten sicherzustellen. Aufgrund beschränkter Handlungsmöglichkeiten auf einer fremden Website, wird es Drittparteien zu Absicherungszwecken empfohlen, die Einhaltung der jeweiligen Pflichten mit dem Websitebetreiber, auf dessen Website die Cookies der Drittpartei verwendet werden, vertraglich zu regeln. Konkrete Ausführungen dazu, inwiefern die Beteiligten in welchen spezifischen Konstellationen als (Co-)Verantwortliche oder Auftragsverarbeiter zu qualifizieren sind, machen beide Behörden nicht. Bei der Verarbeitung personenbezogener Daten verlangt die DSGVO aber jedenfalls in beiden Fällen zwingend eine vertragliche Regelung zwischen den Parteien.
 

Ausnahmen von der Informationspflicht und des Einwilligungserfordernisses

Die E-Privacy-Richtlinie enthält zwei Ausnahmefälle, bei denen die Informationspflicht und die Pflicht zur Einholung einer Einwilligung nicht gelten. Für eine umfassende Transparenz (CNIL) bzw. im Sinne einer «good practice» (ICO) fordern bzw. empfehlen jedoch beide Behörden auch in diesen Fällen eine Information der Nutzer. Dies gilt umso mehr, als die DSGVO auch in diesen Konstellationen zur Anwendung gelangen wird.

Ein Ausnahmefall sind zunächst Kommunikationsnetzwerke, bei denen eine Kommunikationsübermittlung ohne die Verwendung von Cookies nicht möglich ist. Die zweite Ausnahme betrifft «Dienste der Informationsgesellschaft», die von einem Nutzer angefragt werden und für deren Erbringung die Verwendung von Cookies unbedingt erforderlich ist. Unbedingt erforderlich bedeutet, dass ein Nutzer eine Funktion ohne diese Cookies nicht verwenden kann. Die so verwendeten Cookies dürfen folglich aber exakt nur für diese Funktion benutzt werden. Anwendungsbeispiel hierfür sind Cookies, die in Online-Shops dazu verwendet werden, dass Produkte im Warenkorb bis zum «Checkout» gemerkt werden, so dass der Nutzer vorher noch weitere Produkte anschauen oder auf der Website weitersurfen kann bevor er zur Zahlung fortschreitet. Auch Cookies, die im Zusammenhang mit Online Banking Diensten zur Einhaltung von Sicherheitsstandards verwendet werden, fallen unter die Ausnahme. Die Verwendung der Cookies muss jedenfalls für die Erbringung des Dienstes für den Nutzer zwingend erforderlich sein und nicht für den Verwender der Cookies. Nach Ansicht der CNIL können auch Cookies zur Messung von «traffic» oder zur Durchführung von sog. A/B-Tests unter diese Ausnahme fallen, wobei strenge Voraussetzungen dafür aufgestellt werden.
 

Unterschiedliche Empfehlungen zur maximalen Speicherdauer

Die Richtlinien des ICO enthalten keine Empfehlungen zu einer exakten maximalen Speicherdauer für Cookies. Eine angemessene Speicherdauer sollte gemäss ICO aber hinsichtlich des Ziels und Zwecks des jeweiligen Cookies verhältnismässig und nicht länger als für deren Erreichen erforderlich sein. Cookies, die über eine bereits voreingestellte Speicherdauer verfügen, sollten ebenfalls auf ihre Angemessenheit geprüft werden.

Anders als das ICO nennt die CNIL eine fixe Grenze für die Speicherdauer von Cookies und empfiehlt eine Lebensdauer von maximal 13 Monaten. Diese Frist beginnt mit der ersten Speicherung auf dem jeweiligen Endgerät zu laufen. Spätestens nach Ablauf dieser Frist muss eine erneute Einwilligung eingeholt werden.
 

CNIL gibt Unternehmen eine Umsetzungsfrist

Die CNIL beabsichtigt, ihre Richtlinie in Bezug auf Cookies noch weiter zu verfeinern und entsprechende Empfehlungen für gewisse Branchen in der Richtlinie zu ergänzen. Dazu können sich interessierte Kreise in einer Vernehmlassung äussern. Die ergänzten, finalen Cookie-Richtlinien sollen anfangs 2020 publiziert werden. Die betroffenen Unternehmen werden ab der Publikation der finalen Richtlinie sechs Monate Zeit haben, um diese umzusetzen. Jedoch kündigt die CNIL bereits an, dass sie auch während dieser Schonzeit weiterhin ihr Monitoring fortführen und insbesondere die Durchsetzung der allgemeinen datenschutzrechtlichen Bestimmungen vorantreiben wird.
 

Rechtslage in der Schweiz

In der Schweiz ist die Verwendung von Cookies durch Art. 45c des Fernmeldegesetzes (FMG) geregelt. Danach ist das Bearbeiten von Daten auf fremden Geräten nur erlaubt, wenn die Benutzer über die Bearbeitung, ihren Zweck und die Ablehnungsmöglichkeit informiert werden. Den Nutzern muss deshalb offengelegt werden, dass und zu welchem Zweck Cookies verwendet werden und wie das Setzen von Cookies im Browser deaktiviert werden kann. Darüber hinaus sind auch in der Schweiz parallel dazu die Vorgaben des Datenschutzgesetzes (DSG) zu beachten.

Eine Formvorschrift für die verlangten Informationen ist gesetzlich nicht vorgesehen. Die Information muss aber für die Nutzer umfassend und klar sein. Ein Hinweis in der Datenschutzerklärung wird dabei in der Schweiz in der Regel (noch) als ausreichend betrachtet. In der Praxis wird die Informationspflicht zumeist ebenfalls über einen Cookie-Banner wahrgenommen. Anders als nach den Richtlinien des ICO und der CNIL, besteht in der Schweiz keine grundsätzliche Pflicht zur Einholung einer Einwilligung und es gelten auch weniger strenge Anforderungen an diese. Darum ist bei vielen Schweizer Websites zurzeit auch noch kein entsprechender Einwilligungsmechanismus implementiert.

Da aber oft auch Schweizer Websites die Zugriffe und das Online-Verhalten von Personen in Ländern wie Frankreich, dem Vereinigten Königreich, Deutschland oder Lichtenstein beobachten, müssen die EU-Vorschriften gleichwohl beachtet werden (MLL-News vom 10.12.2018). Somit sind die detaillierten Richtlinien der beiden Aufsichtsbehörden auch für viele Schweizer Unternehmen von praktischer Relevanz und sollten die Verarbeitungsprozesse auf ihre Übereinstimmungen mit diesen geprüft werden.

 

Weiterführende Informationen: