Der Zugang zu Internetseiten oder Apps, bei denen man auf ein Cookie-Banner oder eine andere Art von “Ja”-Schaltfläche klicken muss, ist mittlerweile sehr verbreitet. Wir alle waren schon mindestens einmal in der Situation, in der wir keine andere Wahl hatten als Cookies zu akzeptieren, um auf Online-Inhalte zugreifen zu können.

Die gesetzlichen Vorschriften über Cookies werden oft missverstanden: Die luxemburgische Datenschutzbehörde (Commission Nationale pour la Protection des Données nachfolgend „CNPD“) hat gerade neue Leitlinien herausgegeben!

Entspricht  Ihre Internetseite diesen Leitlinien?

Prüfen Sie die nachstehenden Leitlinien und zögern Sie nicht, sich mit uns in Verbindung zu setzen, wenn Sie weitere Hilfe benötigen. Wir helfen Ihnen gerne weiter.

Verwenden Sie:

• “notwendige Cookies”, z. B. für die Speicherung von Anzeige- oder Spracheinstellungen oder die Speicherung eines Warenkorbs, und/oder

• “nicht-notwendige Cookies”: wie z. B. Cookies, die für Tracking-Zwecke (z. B., um Nutzer beim Surfen von einem Gerät zum anderen zu verfolgen) oder für gezielte Werbung (Anzeige personalisierter Werbung auf der Grundlage des Nutzerprofils) verwendet werden?

(Vollständige Fassung auf der Internetseite).

Die vom CNPD herausgegebenen Leitlinien betreffen:

• Cookies, definiert als “eine kleine Textdatei in alphanumerischem Format, die auf dem Endgerät des Internetnutzers (Internetbrowser, Computer, mobiles Gerät usw.) vom Server des genutzten Online-Dienstes (der besuchten Website) oder von einem Drittanbieter-Server hinterlegt wird” und
• ähnliche Technologien wie Cookies, die auf die Hinterlegung oder das Auslesen von Informationen auf den Endgeräten der Nutzer angewiesen sind, welche ebenfalls von den CNPD-Leitlinien betroffen sind (z. B. Fingerprinting, Web Beacons, Shared Objects usw.)

1. Rechtlicher Rahmen

Die Verwendung von Cookies auf einer Internetseite wird durch die Richtlinie 2002/58/EG (nachfolgend die “2002 Richtlinie“) geregelt, die mit dem geänderten Gesetz vom 30. Mai 2005 über den Schutz der Privatsphäre in der elektronischen Kommunikation (nachfolgend das “2005 Gesetz“) in luxemburgisches Recht umgesetzt wurde.

Das 2005 Gesetz enthält ein allgemeines Verbot des Abhörens, Abfangens oder Speicherns von Kommunikation und etwaigen damit verbundenen Verkehrsdaten.

Das 2005 Gesetz sieht jedoch auch wichtige Ausnahmen von diesem Verbot vor, insbesondere für die Speicherung von und den Zugriff auf Cookies und ähnliche Technologien auf dem Endgerät eines Nutzers, soweit:

• die technische Speicherung oder der Zugriff auf diese Technologien ausschließlich dem Zweck dient, eine Nachricht über ein elektronisches Kommunikationsnetz zu übermitteln, oder soweit dies für einen Dienstanbieter unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich angeforderten Dienst der Informationsgesellschaft zu erbringen (sogenannte “notwendige Cookies“); oder

• der Nutzer einer solchen Speicherung oder einem solchen Zugriff zustimmt, nachdem er klare und vollständige Informationen u.a. über die Zwecke der Verarbeitung erhalten hat (sogenannte “nicht notwendige Cookies“).

In Bezug auf die zweite Ausnahme verweist der CNPD auf die Grundsätze, die der Europäische Gerichtshof in seinem Urteil vom 1. Oktober 2019 in der Rechtssache  Planet49 (C-673/17, Verbraucherzentrale Bundesverband e.V. gegen Planet49 GmbH) dargelegt hat, und insbesondere darauf, dass die Einwilligung und die Informationen in Bezug auf Cookies im Lichte der Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (nachfolgend die “DSGVO“) ausgelegt werden sollten. So muss beispielsweise die Einwilligung in Bezug auf Cookies durch eine eindeutige bestätigende Handlung erfolgen, was bei bereits angekreuzten Kästchen auf einer Website nicht der Fall ist.

2. Auslegung der Leitlinien des CNPD zu nicht-notwendigen Cookies

a. Erforderliche Informationen über die Verwendung von Cookies und ähnlichen Technologien

Nicht-notwendige Cookies dürfen nur verwendet werden, wenn der Nutzer gemäß den geltenden Rechtsvorschriften eindeutig und vollständig über ihre Speicherung und ihren Zugriff informiert wurde.

In den CNPD-Leitlinien ist genau festgelegt, wie diese Informationen erteilt werden müssen.

Da die Verwendung solcher Cookies die Verarbeitung personenbezogener Daten beinhaltet, sollten diese Informationen auch den Anforderungen der Artikel 12 und 13 der DSGVO entsprechen.

Der CNPD empfiehlt daher, auf zwei Ebenen vorzugehen:

• eine erste, vereinfachte Informationsebene, die über ein Cookie-Banner zugänglich ist. In diesem Stadium kann die Internetseite den Nutzer lediglich über Folgendes informieren:
• die Tatsache, dass Cookies verwendet werden;
• ihren Zweck;
• die Person, die für die Cookies verantwortlich ist (der Herausgeber der Website oder ein Dritter);
• die Möglichkeit, sie zu akzeptieren oder abzulehnen;
• die Möglichkeit, die Zustimmung jederzeit zu widerrufen und
• die Folgen der Ablehnung von Cookies (falls zutreffend).

• eine zweite, umfassende Informationsebene, die über einen Link im Cookie-Banner zugänglich ist. Sie sollte insbesondere Folgendes enthalten:
• eine genaue und erschöpfende Liste der Verantwortlichen für die Verarbeitung von Cookies (Lese- und Schreibvorgänge);
• die Kategorien von Daten, die mit Hilfe von Cookies gesammelt werden;
• die Empfänger, die Zugang zu den Cookies oder zu den durch die Cookies erhobenen Daten haben;
• die Betriebsdauer der verwendeten Cookies und die Dauer der Aufbewahrung der durch sie erhobenen Daten;
• etwaige Übermittlungen der über Cookies erhobenen Daten an Drittländer;
• das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Profiling, auf der Grundlage von Informationen, die durch die Verwendung von Cookies erhoben wurden; und
• Verweis auf die geltende Datenschutzpolitik der Website in Bezug auf Fragen wie die Rechte der betroffenen Personen, die für jede Datenverarbeitungstätigkeit gelten und in den Artikeln 12 und 13 der DSGVO vorgeschrieben sind.

b. Bedingungen für die Einwilligung

Nicht-notwendige Cookies dürfen nur mit der Einwilligung des Nutzers verwendet werden.

Nach der o.g. Entscheidung des EuGH in der Rechtssache Planet49 sollte die Einwilligung gemäß den Anforderungen der DSGVO ausgelegt werden:

• Die Einwilligung muss in Kenntnis der vollständigen und klaren Informationen erfolgen, die den Nutzern wie oben beschrieben zur Verfügung gestellt werden müssen;

• die Einwilligung muss vor der Hinterlegung / vor dem Zugriff auf die Cookies gegeben werden;

• die Einwilligung muss freiwillig gegeben werden, was bedeutet, dass der Zugang zur Website nicht von der Einwilligung in nicht-notwendige Cookies abhängig gemacht werden darf („Cookie Wall“). Der für die Verarbeitung Verantwortliche sollte auch von der Verwendung eines irreführenden Designs absehen (so genannte „Dark Patterns“);

• Die Einwilligung muss eindeutig sein. Es muss eine eindeutige, bestätigende Handlung des Nutzers verlangt werden. Die Einwilligung kann daher nicht durch vorgekreuzten Kästchen oder dadurch erteilt werden, dass der Nutzer auf der Website weitersurft, ohne die Cookies eindeutig zu akzeptieren;

• Die Zustimmung muss spezifisch sein. Der Nutzer sollte wählen können, welche Cookies er akzeptieren möchte, unbeschadet einer Schaltfläche “alle akzeptieren” oder “alle ablehnen”;

• der Nutzer sollte seine Einwilligung jederzeit widerrufen können. Die Einwilligung sollte ebenso leicht erteilt wie widerrufen werden können. In diesem Zusammenhang empfiehlt der CNPD, eine Schnittstelle für die Verwaltung von Cookies einzurichten, die über einen eindeutigen Link am unteren Rand jeder Seite der Website, ein schwebendes Symbol oder ein anderes schnelles und umfassendes Mittel zugänglich ist, das es dem Nutzer ermöglicht, seine Cookie-Einstellungen zu ändern und seine Einwilligung zu widerrufen.

Nach der CNPD ist die Einwilligung für eine Dauer von 12 Monaten gültig. Nach Ablauf dieses Zeitraums muss eine neue Einwilligung erteilt werden.

3. Auslegung der Leitlinien der CNPD zu notwendigen Cookies

Die Verwendung notwendiger Cookies unterliegt nach geltendem luxemburgischen Recht grundsätzlich keinen besonderen Bedingungen.

Der CNPD empfiehlt jedoch, die Nutzer zumindest darüber zu informieren, was ein Cookie ist und zu welchem Zweck es verwendet wird. Diese Informationen können durch ein Cookie-Banner bereitgestellt werden.

Wenn das Cookie nur für eine bestimmte Funktion einer App oder einer Website erforderlich ist, empfiehlt der CNPD, das betreffende Cookie nur dann zu speichern oder darauf zuzugreifen, wenn der Nutzer ausdrücklich darum bittet, die Funktion zu nutzen.

Es wird darauf hingewiesen, dass die Verwendung von notwendigen Cookies auch den Bestimmungen der DSGVO unterliegen kann, wenn diese Verwendung die Verarbeitung personenbezogener Daten beinhaltet. In diesem Fall gelten alle Bedingungen der DSGVO, wie z. B. die Verpflichtung zur Bereitstellung von Informationen über die Verarbeitung personenbezogener Daten, die sich aus der Verwendung von Cookies ergeben, gemäß den Artikeln 12 und 13 der DSGVO.

4. Cookies Management

Der CNPD sieht vor, dass der für die Verarbeitung Verantwortliche stets in der Lage sein sollte, nachzuweisen, dass er eine gültige Einwilligung des Nutzers erhalten hat. Der für die Verarbeitung Verantwortliche sollte daher Informationen über die Sitzung, in der die Einwilligung erteilt wurde, aufbewahren. Der Nachweis für die Gültigkeit der Einwilligung kann beispielsweise durch folgende Mittel erbracht werden:

• Aufbewahrung eines Nachweises über die Darstellung der Schnittstelle für die Einwilligung, die auf dem Endgerät des Nutzers angezeigt wird, wenn die Einwilligung angefordert wird, mit einem Zeitstempel für jede Version der Website oder Anwendung;
• die Aufbewahrung der verschiedenen Versionen des für die Einholung der Einwilligung verwendeten Computercodes und
• die Durchführung von Audits der Mechanismen zur Einholung der Einwilligung durch beauftragte Dritte.

Die Nutzung von Plattformen für das Einwilligungsmanagement, die von Dritten angeboten werden, ist zulässig, aber es sollte beachtet werden, dass diese Dritten, wenn sie personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeiten, als Auftragsverarbeiter betrachtet werden und über eine gültige Datenverarbeitungsvereinbarung gemäß Artikel 28 der DSGVO verfügen sollten.