Contact us directly via email, phone or facsimile. If you have a specific legal issue to discuss, please give us a call and our attorneys will be available to assist you.
Der Zugang zu Internetseiten oder Apps, bei denen man auf ein Cookie-Banner oder eine andere Art von “Ja”-Schaltfläche klicken muss, ist mittlerweile sehr verbreitet. Wir alle waren schon mindestens einmal in der Situation, in der wir keine andere Wahl hatten als Cookies zu akzeptieren, um auf Online-Inhalte zugreifen zu können.
Die gesetzlichen Vorschriften über Cookies werden oft missverstanden: Die luxemburgische Datenschutzbehörde (Commission Nationale pour la Protection des Données nachfolgend „CNPD“) hat gerade neue Leitlinien herausgegeben!
Entspricht Ihre Internetseite diesen Leitlinien?
Prüfen Sie die nachstehenden Leitlinien und zögern Sie nicht, sich mit uns in Verbindung zu setzen, wenn Sie weitere Hilfe benötigen. Wir helfen Ihnen gerne weiter.
Verwenden Sie:
(Vollständige Fassung auf der Internetseite).
Die vom CNPD herausgegebenen Leitlinien betreffen:
1. Rechtlicher Rahmen
Die Verwendung von Cookies auf einer Internetseite wird durch die Richtlinie 2002/58/EG (nachfolgend die “2002 Richtlinie“) geregelt, die mit dem geänderten Gesetz vom 30. Mai 2005 über den Schutz der Privatsphäre in der elektronischen Kommunikation (nachfolgend das “2005 Gesetz“) in luxemburgisches Recht umgesetzt wurde.
Das 2005 Gesetz enthält ein allgemeines Verbot des Abhörens, Abfangens oder Speicherns von Kommunikation und etwaigen damit verbundenen Verkehrsdaten.
Das 2005 Gesetz sieht jedoch auch wichtige Ausnahmen von diesem Verbot vor, insbesondere für die Speicherung von und den Zugriff auf Cookies und ähnliche Technologien auf dem Endgerät eines Nutzers, soweit:
In Bezug auf die zweite Ausnahme verweist der CNPD auf die Grundsätze, die der Europäische Gerichtshof in seinem Urteil vom 1. Oktober 2019 in der Rechtssache Planet49 (C-673/17, Verbraucherzentrale Bundesverband e.V. gegen Planet49 GmbH) dargelegt hat, und insbesondere darauf, dass die Einwilligung und die Informationen in Bezug auf Cookies im Lichte der Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (nachfolgend die “DSGVO“) ausgelegt werden sollten. So muss beispielsweise die Einwilligung in Bezug auf Cookies durch eine eindeutige bestätigende Handlung erfolgen, was bei bereits angekreuzten Kästchen auf einer Website nicht der Fall ist.
2. Auslegung der Leitlinien des CNPD zu nicht-notwendigen Cookies
a. Erforderliche Informationen über die Verwendung von Cookies und ähnlichen Technologien
Nicht-notwendige Cookies dürfen nur verwendet werden, wenn der Nutzer gemäß den geltenden Rechtsvorschriften eindeutig und vollständig über ihre Speicherung und ihren Zugriff informiert wurde.
In den CNPD-Leitlinien ist genau festgelegt, wie diese Informationen erteilt werden müssen.
Da die Verwendung solcher Cookies die Verarbeitung personenbezogener Daten beinhaltet, sollten diese Informationen auch den Anforderungen der Artikel 12 und 13 der DSGVO entsprechen.
Der CNPD empfiehlt daher, auf zwei Ebenen vorzugehen:
b. Bedingungen für die Einwilligung
Nicht-notwendige Cookies dürfen nur mit der Einwilligung des Nutzers verwendet werden.
Nach der o.g. Entscheidung des EuGH in der Rechtssache Planet49 sollte die Einwilligung gemäß den Anforderungen der DSGVO ausgelegt werden:
Nach der CNPD ist die Einwilligung für eine Dauer von 12 Monaten gültig. Nach Ablauf dieses Zeitraums muss eine neue Einwilligung erteilt werden.
3. Auslegung der Leitlinien der CNPD zu notwendigen Cookies
Die Verwendung notwendiger Cookies unterliegt nach geltendem luxemburgischen Recht grundsätzlich keinen besonderen Bedingungen.
Der CNPD empfiehlt jedoch, die Nutzer zumindest darüber zu informieren, was ein Cookie ist und zu welchem Zweck es verwendet wird. Diese Informationen können durch ein Cookie-Banner bereitgestellt werden.
Wenn das Cookie nur für eine bestimmte Funktion einer App oder einer Website erforderlich ist, empfiehlt der CNPD, das betreffende Cookie nur dann zu speichern oder darauf zuzugreifen, wenn der Nutzer ausdrücklich darum bittet, die Funktion zu nutzen.
Es wird darauf hingewiesen, dass die Verwendung von notwendigen Cookies auch den Bestimmungen der DSGVO unterliegen kann, wenn diese Verwendung die Verarbeitung personenbezogener Daten beinhaltet. In diesem Fall gelten alle Bedingungen der DSGVO, wie z. B. die Verpflichtung zur Bereitstellung von Informationen über die Verarbeitung personenbezogener Daten, die sich aus der Verwendung von Cookies ergeben, gemäß den Artikeln 12 und 13 der DSGVO.
4. Cookies Management
Der CNPD sieht vor, dass der für die Verarbeitung Verantwortliche stets in der Lage sein sollte, nachzuweisen, dass er eine gültige Einwilligung des Nutzers erhalten hat. Der für die Verarbeitung Verantwortliche sollte daher Informationen über die Sitzung, in der die Einwilligung erteilt wurde, aufbewahren. Der Nachweis für die Gültigkeit der Einwilligung kann beispielsweise durch folgende Mittel erbracht werden:
Die Nutzung von Plattformen für das Einwilligungsmanagement, die von Dritten angeboten werden, ist zulässig, aber es sollte beachtet werden, dass diese Dritten, wenn sie personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeiten, als Auftragsverarbeiter betrachtet werden und über eine gültige Datenverarbeitungsvereinbarung gemäß Artikel 28 der DSGVO verfügen sollten.