Wie andere EU-Mitgliedsstaaten auch hat Frankreich ein Anpassungsgesetz zur Anwendung der Datenschutzgrundverordnung (DSGVO) verabschiedet. EU-Verordnungen gelten zwar unmittelbar und bedürfen keiner Umsetzung in nationales Recht. Dank der zahlreichen Öffnungsklauseln der DSGVO hat der nationale Gesetzgeber jedoch einen erheblichen Spielraum, nationale Sonderregeln zu schaffen.
Wichtig für den Online-Händler sind praktische Fragen: Gibt es im französischen Datenschutzrecht neue Regeln, die für ihn wichtig sind. In welchen Fragen unterscheiden sich deutsches und französisches Datenschutzrecht auch nach Geltung der DSGVO und in welchen Fällen ist er französischem Datenschutzrecht unterworfen?
Wenn Sie mehr zu diesen Fragen wissen wollen, dann lesen Sie den folgenden Beitrag der IT-Recht Kanzlei.
FÜR WELCHEN ONLINE-HÄNDLER GELTEN DIE FRANZÖSISCHEN BESTIMMUNGEN ZUR DS-GVO?
Grundsätzlich ist nach europäischem Datenschutzrecht das Recht des Geschäftssitzes des Online-Händlers maßgebend. Demnach gelten französische Sonderbestimmungen zur DSGVO (Dispositions communes au règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril et la directive (UE) 2016/679 du parlement européen et du conseil, im Folgenden „Anpassungsgesetz“) nur für den Online-Händler mit Geschäftssitz in Frankreich sowie für den Online-Händler, der über eine Niederlassung in Frankreich Waren oder Dienstleistungen in Frankreich vertreibt.
Ausnahme:
Allerdings hat der französische Gesetzesgeber in seinem Anpassungsgesetz zur DSGVO eine Bestimmung eingefügt, demnach sich der Verbraucher in Frankreich auf französisches Sonderrecht zur DSGVO berufen kann, wenn dieses französische Sonderrecht von DSGVO-Sonderrecht in anderen EU-Mitgliedsstaaten abweicht (Art. 8 französisches Anpassungsgesetz).
Soweit bisher zu sehen, spielt diese Bestimmung für den Online-Händler im Verhältnis zu deutschem Sonderrecht in der Praxis allenfalls eine Rolle bei der Frage des Mindesteinwilligungsalters und der Benennung eines Datenschutzbeauftragten (Nach deutschem Sonderrecht ist ein Datenschutzbeauftragter immer zu benennen, wenn der Datenverantwortliche mehr als 9 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftig, § 38 deutsches Anpassungsgesetz. Eine solche Sonderbestimmung fehlt im französischen Anpassungsgesetz).
WAS MUSS DER ONLINE-HÄNDLER AUF GRUND DER FRANZÖSISCHEN BESTIMMUNGEN ZUR DS-GVO BEACHTEN?
- Im Unterschied zur Rechtslage in Deutschland gibt es in Frankreich nur eine zentrale Datenschutzkommission (Commission Nationale de l’Informatique et des Libertés, CNIL)
- Es ist nicht mehr notwendig, dass Online-Händler ihre Dateien (personenbezogene Daten) vor Erhebung bei der CNIL registrieren lassen müssen. Dies ist eine beträchtliche administrative Erleichterung. Ausnahmen bestehen für Dateien, die sensible Daten umfassen.
- Die Kompetenzen der CNIL sind verstärkt worden. Die CNIL kann aus eigenem Recht gegen Online-Händler, die Bestimmungen der DSGVO missachten, Zwangs- und Bußgelder in beträchtlicher Höhe verhängen.
- Im Unterschied zur deutschen Rechtslage ist in Frankreich das Mindesteinwilligungsalter für eine rechtmäßige Einwilligung eines Kindes auf 15 Jahre (DGSVO 16 Jahre, so auch Rechtslage in Deutschland) abgesenkt worden.
- Es besteht die Möglichkeit von Sammelklagen (Schadensersatz) gegen Online-Händler, die Vorgaben der DSGVO missachten.
- Verbraucherverbände können im Namen eines Betroffenen Beschwerden bei der CNIL gegen Online-Händler einreichen. Eine solche Beschwerde ist kürzlich von dem Verband „La Quadrature du Net“ gegen Google, Apple, Facebook, Amazon und Microsoft zur Frage der informierten und freiwilligen Einwilligung eingereicht worden.
SONDERPROBLEM DER COOKIE-REGELUNG
Frankreich hat wie viele andere EU-Mitgliedsstaaten die „Cookie-Richtlinie“ (Richtlinie Nr. 2009/136/EG) im Wortsinn in nationales Recht umgesetzt (Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par l’ordonnance n°2011-1012 du 24 août 2011). Demnach muss der Nutzer einer Webseite zur Verwendung von Cookies seine vorherige Einwilligung geben, es sei denn der Einsatz von Cookies ist für die Funktionsfähigkeit der Webseite technisch notwendig. Nach deutscher Rechtslage reicht auch nach Geltung der DSGVO die nachträgliche Einwilligung des Nutzers in die Verwendung von Cookies gem. § 13 Abs. 3 TMG aus.
Die Cookie-Richtlinie gilt in ihrer jeweiligen nationalstaatlichen Umsetzung auch nach Geltung der DSGVO fort.
1. Gilt die Cookie-Richtlinie in französischer nationalstaatlicher Umsetzung auch für deutsche Online-Händler?
Nach den Regeln des EU-Datenschutzrechts gilt französisches Datenschutzrecht für Online-Händler, die in Frankreich ihren Geschäftssitz oder Wohnsitz haben oder die über eine in Frankreich ansässige Niederlassung Waren oder Dienstleistungen in Frankreich vertreiben. Ein Onlinehändler mit Wohnsitz oder Geschäftssitz in Deutschland, der direkt (ohne Niederlassung in Frankreich) Waren oder Dienstleistungen in Frankreich vertreibt, kann sich auf deutsches Datenschutzrecht und die deutsche Umsetzung der Cookie-Richtlinie berufen.
Die Regelung des französischen Anpassungsgesetzes, wonach bei Divergenzen zwischen verschiedenen nationalstaatlichen Anpassungsgesetzen das französische Anpassungsgesetz gilt, hat hier keine Bedeutung. Denn hier geht es nicht um eine nationalstaatliche Sonderregelungen zur DSGVO sondern um die Anwendung einer Richtlinie.
2. Reicht es nach französischem Datenschutzrecht aus, auf die Verwendung von Cookies mit Hilfe eines Banners hinzuweisen?
Nein
Die gängige Praxis, über einen Banner darauf hinzuweisen, dass bei weiterem Besuch der Webseite von Einwilligung des Nutzers in die Verwendung von Cookies ausgegangen wird, reicht nicht aus.
– Der Nutzer muss über sämtliche eingesetzten Cookies und ihren Zweck informiert werden. Dies setzt eine detaillierte Übersicht über alle eingesetzten Cookies und ihre Zweckbestimmung voraus. Diese Information kann im Rahmen der Datenschutzerklärung oder einer eigenen „Cookie-Policy“ vorgenommen werden.
– Die Gültigkeit der eingesetzten Cookies erlischt nach 13 Monaten. Eine gegebene Einwilligung muss nach diesem Zeitraum erneut eingeholt werden.
(Zu den Einzelheiten und einem Einwilligungsmuster s. die Ausführungen der französischen Datenschutzkommission „CNIL“: https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi).
3. Praktische Auswirkungen auf den Online-Händler
Vorerst fällt französisches und deutsches Datenschutzrecht in der Frage der Einwilligung zur Verwendung von Cookies auseinander. Die IT-Recht Kanzlei weist daher in ihren neuen Datenschutzerklärungen auf der Grundlage der DSGVO darauf hin, dass diese Erklärungen nicht von Online-Händlern genutzt werden sollten, die französischem Datenschutzrecht unterliegen.
AUSBLICK
Die geplante ePrivacy-Verordnung soll unter anderem die Frage der Einwilligung des Nutzers in die Verwendung von Cookies EU-einheitlich regeln. Die EU-Kommission hatte einen entsprechenden Verordnungsentwurf vorgelegt, der zurzeit das EU-Gesetzgebungsverfahren durchläuft. Die Frage der Einwilligung des Nutzers in die Verwendung von Cookies wird dabei äußerst kontrovers diskutiert. Der bisherige Verordnungsentwurf unterstellt die Verwendung von Cookies einem kompletten Einwilligungsregime. Es ist noch nicht abzusehen, wann eine Einigung zu dieser Verordnung hergestellt sein wird. Die IT-Recht Kanzlei wird hierzu berichten.