Der aktuelle Inhalt zu Cookies auf der Website der CNIL ist nach eigener Aussage derzeit veraltet und wird zu Zeit aktualisiert.
Es wurden neue Richtlinien verabschiedet, um das geltende Recht zusammenzufassen und eine Grundlage für bevorstehende spezifische Empfehlungen zu bilden. Die neuen Empfehlungen zur konformen Implementierung von Cookies werden derzeit ausgearbeitet und werden voraussichtlich im ersten Quartal 2020 veröffentlicht. Nach der Veröffentlichung der neuen Empfehlungen hat die CNIL eine sechsmonatige Anpassungsperiode geplant, die es Unternehmen ermöglicht, die Nachrichtenregeln umzusetzen.
Die CNIL vertritt bereits einen sehr klaren Standpunkt in Bezug auf das Erfordernis der Zustimmung zu Cookies:
- Die Einwilligung muss eindeutig sein: Das Scrollen, Durchlesen oder Durchsuchen einer Website oder Anwendung ist nicht ausreichend, um als wirksame Einwilligung zu gelten. Ebenso wird ein angekreuztes Kästchen nicht als eindeutige proaktive Einwilligung angesehen.
- Die Einwilligung muss freiwillig sein: Die Sperrung des Zugriffs auf eine Website oder einer mobilen Anwendung, nachdem die Einwilligung verweigert wurde, ist nicht DSGVO-konform.
- Die Einwilligung muss spezifisch sein: Die betroffene Person muss in der Lage sein, unabhängig und spezifisch für jeden einzelnen Zweck eine Einwilligung zu erteilen.
- Die Einwilligung muss informiert sein: Die betroffene Person muss auf verständliche, vollständige und sichtbare Weise informiert werden. Ein genereller Verweis auf allgemeine Nutzungsbedingungen ist nicht ausreichend.
- Unternehmen müssen jederzeit nachweisen können, dass sie die Einwilligung ihrer Benutzer gültig erhalten haben.
- Es muss so einfach sein, eine Einwilligung zu verweigern oder zu widerrufen, wie sie zu erteilen ist.
Verwenden Dritte Tracker, sind diese vollständig und unabhängig für ihre Tracker verantwortlich und sind verpflichtet, die Zustimmung des Benutzers einzuholen.
Die Richtlinie legt einige Regeln für die Reichweitenmessung fest, von denen einige wie folgt lauten:
- Wenn eine Reichweitenmessung als Voraussetzung für die Bereitstellung des vom Benutzer ausdrücklich angeforderten Dienstes verwendet wird, ohne besonders aufdringlich zu sein, ist keine Zustimmung erforderlich (z. B. Verkehrsstatistik, Test zur Messung der Leistung verschiedener Website-Versionen).
- Die Verwendung von Trackern muss streng auf anonyme Daten beschränkt sein.
- Die über Tracker gesammelten Informationen dürfen maximal fünfundzwanzig Monate lang aufbewahrt werden