Frankreich E-Commerce (AGB)
Französische Vorschriften zum Datenschutzrecht
Französische Vorschriften zum Datenschutzrecht
Frage: Unterliegen deutsche Onlinehändler, die ihren Onlinehandel mit Frankreich direkt von Deutschland aus betreiben, den Vorschriften des französischen Datenschutzrecht?
Nein, Art. 17 des französischen Gesetzes über das Vertrauen in die digitale Wirtschaft (Loi n° 2004 pour la confiance dans l'économie numérique), stellt klar, dass die Anforderungen dieses Gesetzes nur für Personen gelten, die im Geltungsbereich des Gesetzes ihren Wohnsitz haben.
Article 17 (1)
L'activité définie à l'article 14 est soumise à la loi de l'Etat membre sur le territoire duquel la personne qui l'exerce est établie, sous réserve de la commune intention de cette personne et de celle à qui sont destinés les biens ou services.
Art. 5 des französischen Datenschutzgesetzes Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) besagt, dass der Verantwortliche für die Bearbeitung der Daten in Frankreich niedergelassen sein muss. Die französische Datenschutzkommssion CNIL stellt dies auf ihrer Webseite klar (https://www.cnil.fr/fr/informatique-et-libertes-suis-je-concerne).
Ergebnis: Der deutsche Onlinehändler, der seine Waren direkt von Deutschland aus in Frankreich vertreibt, kann seine Datenschutzerklärung nach deutschem Recht einsetzen.
Frage: Unterliegen deutsche Onlinehändler, die ihren Onlinehandel mit Frankreich über eine Niederlassung in Frankreich abwickeln, dem französischen Datenschutzrecht?
Ja, der hier einschlägige Artikel 5 zum französischen Datenschutzrecht (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) besagt, dass sich das Gesetz auf den Verantwortlichen für die Datenverarbeitung mit Niederlassung in Frankreich wendet. Als Verantwortlicher für die Datenverarbeitung wird die Person angesehen, die als Verantwortlicher für die Webseite „directeur de la publication“ (im Regelfall der Geschäftsführer der Niederlassung in Frankreich) ausgewiesen ist.
Art.5
I. - Sont soumis à la présente loi les traitements de données à caractère personnel :
1° Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi ;Art. 3
I. - Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens.
Frage: Muss sich der deutsche Onlinehändler, der seinen Onlinehandel in Frankreich über eine Niederlassung in Frankreich abwickelt, bei der französischen Datenschutzbehörde registrieren lassen?
Ja, der Onlinehändler, der Kundendateien mit personenbezogenen Daten betreibt, muss sich bei der französischen Datenschutzbehörde CNIL registrieren und eine entsprechende Genehmigung einholen. Bei Kundendateien reicht normalerweise eine einfache Registrierungserklärung. Die CNIL-Webseite enthält weiterführende Angaben zur Registrierungspflicht und zu den verschiedenen Registrierungserklärungen. Die Registrierungserklärung muss von der Person abgegeben werden, die für die Dateien verantwortlich ist. Bei einem privaten Unternehmen (Unternehmen eines Onlinehändlers) ist im Regelfall der rechtliche Vertreter für die Verarbeitung der Dateien verantwortlich. Dies ist im Regelfall der Geschäftsführer. Er kann diese Aufgabe an einen Auftragnehmer delegieren.
Frage: Wer ist Ansprechpartner der französischen Datenschutzkommission?
Art. 32 ff des französischen Datenschutzgesetzes (Loi n. 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) sehen vor, dass der Ansprechpartner eines in Frankreich niedergelassenen Unternehmens der Datenschutzbeauftragte (Correspondant Informatique et Libertés „CIL“) ist.
Das Unternehmen hat die Person des Datenschutzbeauftragten der Datenschutzkommission mitzuteilen. Der Datenschutzbeauftragte muss über die notwendige Qualifikation für seine Aufgabe verfügen „Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions“ (Artikel 22 III, französisches Datenschutzgesetz). Die französische Datenschutzbehörde schreibt dazu in ihrem Führer für den Datenschutzbeauftragten, es sollte sich hier um den im Unternehmen Verantwortlichen für die Datenverarbeitung und –Archivierung handeln. Der Datenschutzbeauftragte muss für seine Aufgabe qualifiziert sein. Wenn die Datenschutzbehörde nicht von der Qualifikation des Datenschutzbeauftragten überzeugt ist, kann sie ihn anhalten, Weiterbildungskurse der Datenschutzbehörde für Datenschutzbeauftragte zu besuchen.
Frage: Kann der deutsche Onlinehändler, der seinen Onlinehandel in Frankreich über eine Niederlassung in Frankreich abwickelt, sich für die Zwecke der Registrierung bei der französischen Datenschutzbehörde eines externen Datenschutzbeauftragten bedienen?
Dies hängt von der Größe der Niederlassung ab.
Entsprechend dem genannten Führer für den Datenschutzbeauftragen, ist es Betrieben bis zu 50 Beschäftigten freigestellt, einen externen Datenschutzbeauftragten zu ernennen. Betriebe über 50 Beschäftigten sind gehalten, einen Datenschutzbeauftragten aus dem eigenen Unternehmen ernennen. Für die Mehrheit der deutschen Onlinehändler mit Niederlassung in Frankreich gilt daher, dass Sie einen externen Datenschutzbeauftragten ernennen können.
Leider gibt es in Frankreich keine Verbandsorganisation für externe Datenschutzbeauftragte. Die meisten Regionalverwaltungen oder Handelskammern in Frankreich veröffentlichen keine entsprechenden Adressenlisten. Die Suche nach einem geeigneten externen Datenschutzbeauftragten kann sich daher als aufwändig herausstellen.
Frage: Welchen Sanktionen setzt sich der deutsche Onlinehändler mit Niederlassung in Frankreich aus, der sich pflichtwidrig nicht bei der französischen Datenschutzbehörde registriert`?
Die Nichtregistrierung kann mit bis zu 5 Jahren Freiheitsstrafe und bis zu 300.000 Euro Geldstrafe geahndet werden (Article 226-24 Code pénal, Article 45-47, Loi no. 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés). Zusätzlich kann die Niederlassung zwangsweise geschlossen oder konfisziert werden (Article 131-21 Code pénal).
Frage: Welchen Informationspflichten muss der Onlinehändler mit Niederlassung in Frankreich im Rahmen des Datenschutzes nachkommen?
Der Onlinehändler muss den Nutzer in seiner Datenschutzerklärung über folgende Punkte informieren
- Identität der Person, die für die personenbezogenen Daten verantwortlich ist
- Zweck der Datenverarbeitung
- Sind Angaben des Nutzers freiwillige oder obligatorisch
- Recht auf Einsicht, Verbesserung, Annullierung und Widerspruch
- Weitergabe von Daten
Frage: Wie ist der Einsatz von Cookies nach französischem Recht geregelt?
Hier geht es vor allem um die Frage, ob eine vorherige Einwilligung des Nutzer zum Einsatz von Cookies vorliegen muss und in welchem Umfang Informationen zum Einsatz von Cookies gegeben werden müssen.
Einholung der Einwilligung des Nutzers zum Einsatz von Cookies nach französischem Recht
Die französische Datenschutzbehörde CNIL hat in ihren Merkblättern folgendes klar geregelt:
- Die Einwilligung des Nutzers muss grundsätzlich vor Einsatz von Cookies erfolgen. Der Einsatz bestimmter Cookies ist allerdings von dieser Einwilligungspflicht ausgenommen. Hierbei handelt es sich um den Einsatz von Cookies, die bei Erfassung und Verarbeitung von Kundendaten typisch sind.
- Die Einwilligung ist nur maximal 13 Monate gültig und muss dann neu eingeholt werden
Bei welchen Cookies muss die vorherige Einwilligung des Nutzers erfolgen?
Die CNIL nennt hier beispielsweise Cookies für zielgruppengerichtete Werbung, bestimmte Cookies zu Analyseverfahren bei Werbebotschaften Messung der Aufnahme von Werbebotschaften, etc.
Parmi les cookies nécessitant une information préalable et une demande de consentement, on peut notamment citer :
- les cookies liés aux opérations relatives à la publicité ciblée ;
- certains cookies de mesure d'audience (voir les exemptions ci-dessous) ;
- les cookies des réseaux sociaux générés notamment par leurs boutons de partage lorsqu'ils collectent des données personnelles sans consentement des personnes concernées.
Cette liste n'est pas exhaustive.
Ausnahmen von der vorherigen Einwilligungspflicht
• Die CNIL nennt hier bestimmte Cookies zur Feststellung der Besucherzahl, stellt aber den Einsatz solcher Cookies unter strenge Vorbedingungen wie
o Der Kunde muss die Möglichkeit haben, einen solchen Einsatz abzulehnen
o Die gesammelten Daten dürfen nicht mit anderen Daten vermischt werden
o Es dürfen nur anonymisierte Statistiken erstellt werden
• Ebenfalls von der vorherigen Einwilligung ausgenommen ist der Einsatz von Cookies, die für die Durchführung einer vom Kunden gewünschten Dienstleistung unentbehrlich sind http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/) Hierzu zählen zum Beispiel:
o Cookies für den Gebrauch des Online-Warenkorbes
o Cookies, die nur für den Besuchszeitraum der Webseite gelten
o Cookies zur Identifizierung des Kunden
Sont exemptés du recueil du consentement les traceurs strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur. Ainsi, par exemple, les traceurs suivants ne requièrent pas de consentement :
• les cookies de " panier d'achat " pour un site marchand ;
• les cookies " identifiants de session ", pour la durée d'une session, ou les cookies persistants limités à quelques heures dans certains cas ;
• les cookies d'authentification ;
• les cookies de session créés par un lecteur multimédia ;
• les cookies de session d'équilibrage de charge (" load balancing ") ;
• certaines solutions d'analyse de mesure d'audience (analytics) ;
• les cookies persistants de personnalisation de l'interface utilisateur.
Gültigkeit der Einwilligung auf 13 Monate beschränkt.
Die CNIL führt dazu aus, dass eingesetzte Cookies nur eine Lebensdauer von 13 Monaten haben dürfen und dann eine neue Einwilligung des Nutzers eingeholt werden muss
Konkrete Anweisungen der CNIL zur rechtssicheren Einholung der Einwilligung des Nutzers bei Einsatz von Cookies
Die CNIL statuiert nicht nur die gesetzlichen Regeln zur Einwilligungspflicht, sondern sie schreibt dem Onlinehändler sehr konkret vor, wie er dieser Pflicht nachkommen soll und gibt hier konkrete Mustervorschläge, die im Einzelnen unter dem Link: https://www.cnil.fr/tag/Cookies+et+traceurs konsultiert werden können.
Frage: Wie ist der Versand von Newsletter an Kunden geregelt?
Im Prinzip können Newsletter nur bei ausdrücklicher, vorheriger Zustimmung des Kunden versandt werden. Es gibt allerdings vom Prinzip der vorherigen Zustimmung folgende Ausnahme (Article 34-5 du code des postes et télécommunications):
Wenn bereits eine Geschäftsbeziehung zum Kunden besteht, dann können Newsletter versandt werden, die ähnliche Produkte wie die bereits an den Kunden verkauften Produkte beinhalten. Die E-Mail-Adresse des Kunden muss aber ausschließlich im Rahmen des Verkaufs eines Produktes erhoben worden sein.
Der Kunde muss die Möglichkeit der Annullierung eines derartigen Newsletter-Dienstes haben.
Article L34-5
Est interdite la prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen.
Pour l'application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe.Constitue une prospection directe l'envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services.
Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, à l'occasion d'une vente ou d'une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d'ambiguïté, la possibilité de s'opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l'utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu'un courrier électronique de prospection lui est adressé.
Empfehlung der IT-Recht Kanzlei
Da das französische Datenschutzrecht in Sachen Versand von Newslettern strenger als das deutsche Datenschutzrecht ist, empfiehlt die IT-Recht Kanzlei die ausdrückliche Zustimmung zum Versand von Newslettern durch einen Hinweis auf der Webseite des Onlinehändlers sicherzustellen, der wie folgt aussehen könnte:
„Ihre übermittelten personenbezogenen Dateien werden nur in Form eines Newsletters zu Werbezwecken verwendet. Sie erhalten von uns nur Newsletter, wenn Sie dem wie folgt ausdrücklich zugestimmt haben: Ja, ich möchte einen Newsletter empfangen.
Der Newsletter kann jederzeit über den vorgesehenen Link gekündigt werden oder durch eine an uns gerichtete E-Mail. Nach Kündigung des Newsletters wird Ihre E-Mail-Adresse sofort gelöscht“.
Was die Verwendung von Cookies angeht, so verlangt die französische Datenschutzkommission sehr weitgehende Informationen zum Einsatz von Cookies und der Deaktivierung von Cookies je nach verwendeten Browser und regelt die Fälle, in den der Besucher der Webseite seine vorherige Zustimmung zum Einsatz von bestimmten Cookies geben muss. Die Datenschutzkommission wird im Übrigen die Datenschutzerklärung des Onlinehändlers bei der Registrierung des Onlineshops überprüfen.