Irische Vorschriften für Cookies
Gesetzgebung
Die irischen “ePrivacy Regulations” (S.I. 336/2011, mit denen die EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation umgesetzt wurde) stellen ein zusätzliches Regelwerk dar, das auf bestimmte Arten der Datenverarbeitung einschließlich der Verwendung von Cookies und ähnlichen Technologien, die zusammen mit den Bestimmungen des Data Protection Act 2018 und der Datenschutz-Grundverordnung (DSGVO) gelesen werden, anwendbar ist.
Für das Setzen von Cookies und anderen ähnlichen Technologien benötigt der für die Datenverarbeitung Verantwortliche in der Regel die Zustimmung der betroffenen Person (wie in Verordnung 5 (3) der ePrivacy Regelungen vorgeschrieben), um diese Arten von Technologien verwenden zu können. Die für die Verarbeitung Verantwortlichen müssen jedoch keine Einwilligung einholen, wenn der Cookie oder ähnliche Technologien erforderlich sind, um einer betroffenen Person die gewünschte Dienstleistung erbringen zu können – zum Beispiel Cookies, die möglicherweise benötigt werden, um den Besuch einer funktionierende Website zur Verfügung stellen zu können. Die für die Datenverarbeitung Verantwortlichen müssen den betroffenen Personen auch bestimmte, leicht zugängliche, “klare und umfassende” Informationen über die von ihnen verwendete Technologie sowie den Zweck, zu dem sie diese verwenden, zur Verfügung stellen.
Neuer Leitfaden
Im April 2020 und nach einer im August bis Dezember 2019 durchgeführten Untersuchung hat die irische Datenschutzbehörde (Data Protection Commission (DPC)) einen aktualisierten Leitfaden zu Cookies und ähnlichen Technologien veröffentlicht.
Danach werden neue gesetzliche Erwartungen an die Verwendung von Webseiten-Cookies, einschließlich klarerer Anweisungen für Organisationen und außerdem die Berücksichtignung der Wechselwirkung zwischen der DSGVO und den Bestimmungen der zum Datenschutz in der ePrivacy Vorschriften gesetzt.
Im Folgenden sind die Kernthemen, die in dem neuen Leitfaden geklärt sind, aufgeführt:
Abgeleitete Einwilligung
Die abgeleitete Einwilligung eines Nutzers, der durch eine Webseite navigiert und/oder bereits angekreuzte Kästchen verwendet (siehe Urteil im Fall Planet 49), stellt keine freiwillig erteilte, spezifische, informierte und eindeutige Einwilligung gemäß den Anforerungen der DSGVO dar und ist daher als stillschweigende Einwilligung und in zuvor ankreuzten Kästchen nicht zulässig.
Plattformen zur Verwaltung der Einwilligung
Die Verwendung einer CMP (Consent Management Platforms), d.h. eine Plattform zur Verwaltung der Einwilligung, an sich gewährleistet noch keine Konformität und muss effektiv sein. Die Verantwortlichen müssen dafür sorgen, dass die Werkzeuge in der beabsichtigten Weise funktionieren, die Schaltflächen auf der Benutzeroberfläche klar sind und das tun, wozu sie bestimmt sind. Insbesondere:
- Klare Einstellungen für die Einwilligung zu den Cookies müssen hinsichtlich ihrer Zugänglichkeit und zur Vermeidung ambivalenter Rot/Grün-Entscheidungen berücksichtigt werden, die für den durchschnittlichen Benutzer unklar und ungünstig sein können.
- Wenn die Folien standardmäßig auf “angeschaltet” gesetzt sind und die Wahl des Benutzers, diese Cookies auszuschalten nicht respektiert wird, weist die DPC ausdrücklich darauf hin, dass dies eine Priorität für Ordnungsmassnahmen darstellt.
‘Notwendige’ oder ‘strengstens notwendige’ Ausnahmen
Darüber hinaus wurde festgestellt, dass die Verantwortlichen ein mangelndes Verständnis der “notwendigen” oder “streng notwendigen” Ausnahme hatten. Das DPC betonte, dass die Ausnahmeregelung äußerst eng gefasst ist und jeweils nur für einen Service gelten kann, die ausdrücklich beantragt wurde.
Cookie-Einwilligung
Für analytische Cookies ist eine Einwilligung erforderlich, aber ähnlich wie das britische ICO betrachtet die DPC analytische „First-Party“ Cookies als potenziell risikoarm und daher wahrscheinlich nicht als Priorität für formelle Ordnungmaßnahmen. Nichtsdestotrotz sind analytische Cookies nicht ausgenommen, wobei die Leitlinien zwei Arten von analytischen Cookies („First Party“ und „Third Party Analytics“) bestätigen und beide eine Einwilligung bedürfen. Organisationen sollten in jedem Fall sicherstellen, dass sie über die entsprechende Einwilligungen verfügen.
Die Einwilligung zu Cookies sollte auf eine Zeitspanne von 6 Monaten begrenzt sein, nach deren Ablauf sie aktualisiert werden sollte.
Eine Einwilligung ist nicht für jedes einzelne Cookie erforderlich, aber eine „Opt-in“ Zustimmung muss für jeden einzelnen Zweck eingeholt werden, für den Cookies gesetzt sind. Danach ist die Einwilligung zu gebündelten Cookies nicht zulässig. Einen “Alles-oder-Nichts”-Ansatz zu wählen und eine mehrdeutige Auswahl anzubieten, enweder alle Cookies zu akzeptieren oder nichts, weist keine Einhaltng der Regeln nach. Weitere zuvor angekreuzte Kästchen, Folien oder andere ähnliche Tools, die nicht-notwendige Cookies automatisch und standardmäßig auf “angeschaltet” setzen, stellen die Regelbefolgung nicht sicher.
Cookie-Walls
In Bezug auf Cookie-Walls ist das DPC der Ansicht, dass die Benutzer keinen Nachteil erleiden sollen (d.h. Sperrung des Zugangs zu einer Website), wenn sie den Cookies außer in dem Maße, das bestimmte Webseiten in ihrer Funktionen beeinträchtigt werden könnten, nicht zugestimmt haben. Dies ist ein strengerer Ansatz als der, der von anderen Aufsichtsbehörden angewandt wird, einschließlich des britischen ICO, bei der Datenschutzrechte gegenüber sonstigen Rechten, einschließlich der Meinungs- und der Handelsfreiheit, ausgeglichen sein müssen.
Gemeinsam Verantwortliche
Die Verantwortlichen sollten die Auswirkungen des Fashion ID-Urteils des Gerichtshofs der Europäischen Union vom Juli 2019 in Bezug auf mögliche Fragen der gemeinsamen Verantwortung von Daten, die von Plugins Dritter und durch sozialen “like” Schaltflächen gesammelt werden, berücksichtigen.
Besondere Datenkategorien
Es besteht das Risko, dass einige Cookies die Verarbeitung spezieller Kategoriedaten auf der Grundlage von Rückschlüssen aus der Art der Website, die ein Benutzer besucht hat (z.B. die Website einer Krankenkasse), beinhalten. Die Verwendung dieser Daten sollte nur mit der ausdrücklichen Einwilligung des Benutzers erfolgen.
Cookie-Richtlinie
Das DPC weist darauf hin, dass die für die Verarbeitung Verantwortlichen zwangsläufig zusätzliche Vorsichtsmaßnahmen treffen müssen, wenn sie Datenschutz- und Cookie-Richtlinien entwerfen und aktualisieren, für die Transparenz als Schlüssel festgelegt ist.
Sechsmonatige Schonfrist
Organisationen wird eine sechsmonatige Frist ab dem Datum der Veröffentlichung, dem 6. April 2020, eingeräumt, um ihre Cookie-Praktiken in Übereinstimmung mit dem Data Protection Act 2018 zu bringen und bevor sie sich möglichen Ordnungsmaßnahmen unterbinden. Das DPC beabsichtigt, im Laufe dieses Jahres aktiv ihre Verfolgungsbefugnisse bei solchen Webseiten und Anwendungen einzusetzen, bei denen die Prozesse zur Verwaltung der Einwilligung nicht wesentlich angepasst sind.
