Befürworter und Enthusiasten des Datenschutzes hofften, dass die DSGVO das Datenökosystem sicherer machen und die Regeln um den Consent klar darstellen würde. Aus Sicht des Users erscheinen die Dinge jedoch nicht so rosig. Pop-ups zur Einwilligung sind in der Regel manipulativ oder irreführend, erzwingen die Einwilligung oder erschweren das Opt-out. Laut einer Studie von Forschern der Ruhr-Universität Bochum (Deutschland) und der Universität von Michigan (USA) enthalten 57 % dieser Hinweise sogenannte Dark Patterns, um den Besuchern eine Einwilligung abzuluchsen.
Aus diesem Grund haben einige EU-Mitgliedstaaten, wie Deutschland, Spanien, Großbritannien und Frankreich, Richtlinien zum Tracking und der Einwilligungserfassung veröffentlicht. Diese Dokumente erläutern und ergänzen Informationen zur Verwendung von Cookies und anderen Tracking-Technologien. Der Europäische Gerichtshof hat in diesem Bereich zwei wichtige Entscheidungen getroffen, die ein wachsames Auge auf zwielichtige Praktiken und eine Eindämmung vor Ort aufzeigen.
In Frankreich hat die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) im Juli 2019 ihre Leitlinien herausgegeben. Das Dokument verdeutlicht den Begriff “Einwilligung” gemäß Artikel 82 des französischen Datenschutzgesetzes und legt genauere Anforderungen fest, die Organisationen erfüllen sollten, bevor sie Cookies auf den Geräten der User abspeichern.
Zusätzlich erfahren Sie, wie Piwik PRO diese Standards anwendet, damit Sie Daten erhalten und nicht nur vom Analytics, sondern auch von der Personalisierung und dem Remarketing profitieren, ohne die Rechte und Freiheiten betroffener Personen zu beeinträchtigen.
Der Geltungsbereich der CNIL-Richtlinien
Erstens, die gesammelten Daten fallen unter Artikel 82 und den Richtlinien nicht unbedingt unter die Kategorie personenbezogene Daten. Dies ist von entscheidender Bedeutung, da es den von der DSGVO festgestellten Informationsumfang erweitert.
Zweitens, die Regeln gelten für Vorgänge, bei denen Technologien auf Informationen in Benutzergeräten zugreifen oder dort abspeichern, z. B.:
- Mobiltelefone
- Stationäre oder mobile Computer
- Tablets
- Videospielkonsolen
- Smart-TVs
- Vernetzte Fahrzeuge
- Sprachassistenten
- oder jedes andere Objekt, das mit einem öffentlich zugänglichen Telekommunikationsnetz verbunden ist.
Drittens, der Geltungsbereich umfasst nicht nur typische HTTP-Cookies, sondern auch andere Mechanismen des Online-Trackings wie z.B.:
- Flash-Cookies
- In HTML integrierte lokale Speicher
- Device Fingerprinting
- Betriebssystemidentifikation
- Gerätekennungen
Der Begriff “Tracking” bezieht sich laut Richtlinien auf das Sammeln von Daten genannter Geräte.
Die Regeln, um einen gültigen Consent zu erhalten
Die CNIL rückt die Einwilligung ins Rampenlicht. Daher sollten Sie diese einholen, bevor Sie ein Cookie platzieren oder andere Tracking-Techniken einsetzen. Sie sollten zuerst erklären:
- Wer sind die Datencontroller?
- Warum Sie Daten sammeln und verarbeiten möchten?
- Dass Besucher das Recht haben, ihre Einwilligung zu widerrufen.
In der DSGVO wird erklärt, dass die „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Somit ist die stillschweigende Zustimmung ungültig.
Als Websitebesitzer dürfen Sie keine vorab ausgewählten Kästchen verwenden, um eine Einwilligung zum Tracken oder Speichern von Daten zu erzwingen. Die Tatsache, dass Besucher Ihre Website oder App weiterhin nutzen, ist nicht als “aktive Handlung” zu verstehen. Darunter fällt auch das Browsen, Scrollen oder Swipen einer Seite oder einer mobilen Anwendung.
Es ist auch unzulässig persönliche Browsereinstellungen als eine Einwilligung des Users zu behandeln. Mit diesen Einstellungen kann der User nur HTTP-Cookies kontrollieren: das Tracking, Flash-Cookies oder Device Fingerprinting können nicht blockiert werden. Sobald Sie eine dieser Technologien implementieren, müssen Sie jederzeit bereit sein, nachzuweisen, dass Sie im Voraus die Zustimmung der betroffenen Person erhalten haben.
Noch ein paar Informationen zum Consent
- Ein einheitliches Opt-In für Cookies, d. h. Menschen stimmen Cookies für alle Zwecke gleichzeitig zu, gilt nur als zusätzlicher Schritt bei der spezifischen und separaten Zweckzustimmung. Die Eigentümer der Website dürfen die Einwilligung auch nicht mit den allgemeinen Geschäftsbedingungen verknüpfen.
- Websitebesitzer dürfen keine Cookie Walls erstellen. Sobald Besucher der Datenerfassung nicht zustimmen, würde eine Zugangssperre gegen das Prinzip der frei erteilten Erlaubnis verstoßen.
Consent: Die Ausnahmen
Die französische Datenschutzbehörde sieht auch Ausnahmen von den Anforderungen zur Einwilligung vor: Tracking-Technologien dürfen unter folgenden Voraussetzungen ohne Consent eingesetzt werden:
- Die Kommunikation auf elektronischem Wege soll ermöglicht oder erleichtert werden. Sowohl für das Öffnen einer Live-Chat-Sitzung im Support, als auch für die Anmeldung auf einer Website sind Cookies erforderlich. Diese ermöglichen Personen den beschränkten, aber freien Zugriff auf Inhalte kostenpflichtiger Websites innerhalb eines begrenzten Zeitraums oder auf eine vordefinierte Anzahl von Artikeln.
- Die Funktionstüchtigkeit von Websites ordnungsgemäß gewährleisten zu können und Dienstleistungen für Besucher oder auf deren Anfrage zu erbringen, darunter fallen Warenkorb-Cookies oder Authentifizierungs-Cookies.
Seien Sie transparent und stellen Sie sicher, dass Ihre potenziellen Prospekte und Kunden über die Verwendung und den Zweck von Cookies informiert werden. Als eine Möglichkeit dazu kommt die Datenschutzerklärung Ihres Unternehmens in Frage.
Und wie schaut es mit Analytics Cookies aus?
Gemäß den Richtlinien gelten beim Einrichten von Trackern für die Zielgruppenmessung einer Website oder einer Mobile App strenge Bedingungen, unter denen Sie keine Einwilligung benötigen:
- Der Messvorgang wird vom Herausgeber der Website oder dessen Subunternehmer durchgeführt
- Sie erhalten nur anonyme Statistiken
- Sie messen die Zielgruppe einer einzelnen Website oder mobilen App und tracken nicht die Navigation des Users über verschiedene Websites oder Anwendungen hinweg
- User werden über das Tracking informiert und können dies unkompliziert auf allen ihren Geräten, Betriebssystemen, Anwendungen und Browsern ablehnen
- Es ist Ihnen nicht gestattet, über die mit den gesetzten Cookies gesammelte personenbezogene Daten mit Informationen aus anderen Quellen zu verknüpfen oder an Dritte weiterzugeben. Beispielsweise dürfen Sie Ihre Web Analytics-Daten nicht mit Daten von Drittanbietern oder Daten aus Ihrem CRM kombinieren.
Dies bedeutet, dass Sie Ihre CRM-Daten nicht mit Verhaltensinformationen von Dritten verschiedener Websites mischen dürfen. Dies gilt für Unternehmen wie Affiliate-Marketing, wenn eine Person ein Produkt kauft und über einen Werbelink oder eine Anzeige von einer Website zur anderen gelangt.
Das Mischen von Informationen aus einer Customer Data Platform mit Zielgruppenstatistiken aus anderen Websites fällt dabei nicht unter diese Bestimmung.
Unterschiedliche Akteure und Verantwortungen
Ein einzelner Akteur. Sie sind alleine dafür verantwortlich Einwilligungen einzuholen, wenn Sie das einzige Unternehmen sind, das Tracking-Aktivitäten verwaltet und als Websitebesitzer Cookies auf Ihrer Website ablegen.
Mehrere Akteure. Alle, ein Publisher und eine Werbeagentur, Analytics-Dienstleister oder soziale Netzwerke, fungieren als Controller, Joint-Controller oder Datenverarbeiter, sobald alle Akteure Cookies gemeinsam verarbeiten. Alle verantwortlichen Parteien müssen ihre jeweiligen Datenschutzverpflichtungen gemäß den Artikeln 26 und 28 der DSGVO definieren.
Drittpartei. Sie sind vollständig und unabhängig für Tracking-Mechanismen verantwortlich, wenn Sie diese verwenden. Das bedeutet, dass Sie die Einwilligung der User einholen müssen. Sie müssen diese jedoch nicht unbedingt selbst erfragen: Sie können einen Publisher vertraglich dazu verpflichten, dies in ihrem Namen durchzuführen. In diesem Kontext verstößt die Behauptung von Google gegen die CNIL-Regeln, dass der Publisher für den Erwerb der Einwilligung für das AdWords-Remarketing verantwortlich ist und Google daher nicht.
Ein Datenverarbeiter oder Data Processor. Ein Akteur, der im Auftrag eines Controllers arbeitet und keine Daten für andere Zwecke verwenden darf, darunter fällt die Zielgruppenerweiterung, Look-Alike-Modelling oder andere Methoden zur Profilerstellung eines Users. Wenn diese beiden Parteien ihre Zusammenarbeit aufbauen, müssen sie rechtliche Unterlagen erstellen, in denen die Verpflichtungen jeder Partei aufgeführt sind.
Timeline für praktische Vorbereitungen
Die CNIL hat eine 12-monatige „Nachfrist“ festgelegt, sodass jede Organisation Zeit hat, die erforderlichen Mechanismen und Lösungen zu planen und einzuführen, um den am 28. Juni 2019 veröffentlichten Leitlinien zu folgen. Vor kurzem hat die französische Datenschutzbehörde nach einer Konsultation mit Experten einen weiteren praktischen Leitfaden zur Einholung gültiger Einwilligungen erstellt.
Internationale Organisationen sollten jedoch berücksichtigen, dass nicht alle Datenschutzbehörden der EU die Idee einer „Nachfrist“ teilen. Es ist ratsam Ihre Strategie, die aktuellen Datenschutzrichtlinien und die relevanten Verpflichtungen zu überprüfen und dann die erforderlichen Änderungen vorzunehmen.
Sammeln von Daten gemäß der CNIL und DSGVO
Wie Sie sehen, ist die Liste der Anforderungen und Anweisungen lang. Für Unternehmen kann es schwierig werden allen Folge zu leisten. Um Ihnen etwas unter die Arme zu greifen, zeigen wir, wie Sie mit Piwik PRO Daten konform erfassen und bearbeiten können.
Nutzen Sie die Datenanonymisierung
Gemäß den CNIL-Richtlinien benötigen Sie keine Einwilligung, wenn Sie anonyme Statistiken der Zielgruppenmessung nutzen möchten. Webmaster und Marketer können sich über diese Neuigkeiten freuen, da die Messung des Verhaltens der Websitebesucher erleichtert wird und sie den gesamten Datensatz verwenden dürfen.
Die Richtlinien heben hervor, dass diese Ausnahme den Schutz der User-Rechte und -freiheiten betroffener Personen ermöglicht und die Verwendung von Daten für andere Zwecke oder Querverweise mit anderen Datenbanken nicht zulässt.
Andererseits sagt die DSGVO, dass beim Sammeln anonymer Daten keine Erlaubnis erforderlich ist. Piwik PRO bietet Ihnen eine solche Option, die als Datenanonymisierung bezeichnet werden kann.
Diese Methode umfasst mehrere Techniken, die es unmöglich machen, eine bestimmte Person aus einer Datenbank zu identifizieren. Darüber hinaus müssen Sie keine zusätzlichen Schutzmaßnahmen für solche Informationen einrichten, und Experten behandeln diese Methode als Teil der Privacy by Design Strategie.
Profitieren Sie von 100 % Datenkontrolle
Gemäß den Empfehlungen der CNIL sind Sie als Datenverantwortlicher oder Data Controller für den Zweck und die Mittel zur Verarbeitung der von Ihnen gesammelten Informationen verantwortlich. Mit Piwik PRO erhalten Sie die uneingeschränkte Kontrolle über die Daten, unabhängig davon, ob diese personenbezogen sind oder nicht. Sie müssen sich bei der Speicherung und Nutzung Ihrer Daten nicht auf Dritte verlassen.
Integrieren Sie einen Consent Manager
Sowohl die CNIL als auch die DSGVO machen deutlich, dass die Einwilligung von entscheidender Bedeutung ist. Nur eine kleine Erinnerung: Die Einwilligung muss frei, spezifisch, informiert und eindeutig sein. Dies scheint jedoch nur die Spitze des Eisbergs zu sein, wenn Sie alle hier diskutierten Anforderungen erfüllen möchten.
Wir haben einige Ausnahmen erwähnt, bei denen Sie auf Einwilligungen verzichten dürfen. Es ist jedoch gut, zuverlässige Mechanismen zu haben, die Ihnen helfen, mit minimalem Aufwand eine gültige Einwilligung zu erhalten.
Hier finden Sie eine Zusammenfassung darüber, was Sie von Piwik PRO Consent Manager erwarten können.
1. Stellen Sie das Opt-in ohne vorher angekreuzte Kästchen bereit
Gesetzgeber auf der ganzen Welt weisen strikt auf die Forderung hin, Besuchern freie, informierte und eindeutige Wahlmöglichkeiten bei der Einwilligung zu bieten. Dies bedeutet, dass Sie keine Banner mit vorab aktivierten Kontrollkästchen anzeigen dürfen, da diese keinen Raum für eine aktive Handlung lassen oder auf die Wünsche einer betroffenen Person hinweisen.
Ihre Besucher sollten selbst ein Kästchen wählen dürfen, um Ihrer Anfrage zuzustimmen. Unser integrierter Consent Manager bietet Ihnen einen einfachen Editor, mit dem Sie Nachrichten und Pop-ups erstellen, die informierte und aktive Opt-Ins ermöglichen.
2. Erfüllen Sie die Anforderung zum Zero-Cookie-Load
Bitten Sie Ihre Website-Besucher um Einverständnis, bevor Sie mit der Datenerfassung beginnen. Sie dürfen kein Skript, keinen Tracker und kein Pixel laden, bevor Sie die Einwilligung der User erhalten haben. Diese Bedingung hat die DSGVO, die Richtlinie des europäischen Datenschutzausschusses als auch der CNIL eingeführt. Die einzige Ausnahme bilden Cookies, die das Laden der Website ermöglichen.
3. Dokumentieren Sie Einwilligungen genau
Sie sollten jederzeit bereit sein, nachzuweisen, dass Sie die Erlaubnis zum Erfassen und Verarbeiten von Daten betroffener Personen erhalten haben. Dokumentieren Sie alle relevanten Details, nämlich wann jemand zugestimmt hat und welchen Zwecken hinter der Anwendung von Cookies und ähnlichen Technologien zugestimmt wurde. Mit dieser Art der Dokumentation überprüfen Sie unkompliziert den Status von Zustimmungen.
4. Entscheiden Sie welche Seiten DSGVO-konform getrackt werden müssen
Sie sollten in der Lage sein die Einstellungen des Tracker-Auslösemechanismus für jede Seite individuell anzupassen. Sobald Sie sich entscheiden DSGVO-konform zu tracken, wird neuen Besuchern sofort ein Consentbanner angezeigt. Das Setup kann gemäß den Wünschen der betroffenen Person angepasst werden.
5. Informieren Sie Ihre User über die Lebensdauer von Cookies und einen möglichen Third-Party-Zugriff
Es ist nicht nur eine Tugend, sondern eine Verpflichtung Ihrerseits, Personen über die Lebensdauer von Cookies zu informieren. Der Generalanwalt des Europäischen Gerichtshofs stellte in seiner Stellungnahme deutlich fest, dass „die Betriebsdauer von Cookies ein Teil der Voraussetzung für die Einwilligung nach Aufklärung ist“. Laut der CNIL sollte dieser Zeitraum maximal 13 Monate dauern. Des Weiteren darf die Speicherung der Daten, die mit diesen Cookies gesammelt wurden, 25 Monate nicht überschreiten.
Stellen Sie sicher, dass Sie eine vollständige Liste aller Dritt-Parteien vorlegen, die an der Erfassung und/oder Verarbeitung von Daten beteiligt sind. Aktualisieren Sie das Register stetig und stellen Sie es den Besuchern bei ihrer Entscheidung direkt zur Verfügung.
6. Informieren Sie User über alle Zwecke zur Verwendung von Trackern
Stellen Sie sicher, dass Ihre Aufforderung zur Einwilligung jeden einzelnen Zweck des Trackings enthält, den Sie anwenden möchten. Bitten Sie klar und deutlich um den Consent Ihrer User. Mit unserem Consent Manager erstellen Sie ein Pop-up, mit dem Sie mehrere Trackingzwecke anzeigen können und somit einzelne Einwilligungen einholen für z. B. Analytics, Remarketing oder Content-Personalisierung.
7. Gestalten Sie das Opt-out genauso einfach wie das Opt-in
Die Rechte und Freiheiten Ihrer User respektieren und freie Wahl gewährleisten bedeutet Ihren Besuchern eine einfache Möglichkeit zu bieten, deren Einwilligung zu ändern oder zu entziehen. Es ist daher wichtig Usern zu jeder Zeit uneingeschränkten Zugriff auf deren Einwilligungen zu gewähren. Dabei sollten Sie dieselben Prinzipien anwenden, die wir bereits besprochen haben.
Wenn Sie sich eingehender mit Themen rund um den Consent befassen möchten, lesen Sie unsere Beiträge:
- DSGVO Consent Management: Einwilligungen effizient einholen
- Consent Manager: Standalone oder integriert?
Überprüfen Sie die Datenschutzpolitik Ihres Unternehmens
Organisationen, die den Datenschutz im Auge behalten möchten, sollten eine Prüfung der Compliance-Mechanismen in Betracht ziehen. Auf diese Weise finden und beheben Sie mögliche Fehltritte. Die Komplexität Ihrer Datenschutzstrategie wird laufend durch rechtliche Rahmenbedingungen und Technologien erhöht. Daher sollten Sie wachsam sein, sodass Ihre Unternehmenspolitik den gesetzlichen Anforderungen entspricht.
Fazit
Die Veröffentlichung von CNIL überrascht niemanden und wir können weitere Datenschutzgesetze erwarten. Es ist klar, dass die Öffentlichkeit eine strengere Kontrolle beim Thema Datenschutz verlangt. Unternehmen, die Informationen von Personen verwalten, sollten sich bewusst sein, dass freie Wahl und Transparenz von entscheidender Bedeutung sind.
Unternehmen müssen weiterhin um Erlaubnis bitten, Daten für andere Zwecke zu verwenden, insbesondere für weiterführende Marketing-Tools. Es gibt Ausnahmen die als strikt nötige Cookies angesehen werden und somit keinen Consent benötigen und die aufgelisteten Regeln nicht brechen.
Mit Ausnahme des Web Analytics sollen Unternehmen weiterhin um Erlaubnis bitten, Daten für andere Zwecke zu verwenden, insbesondere für solche, die mit Marketing-Tools verbunden sind. Das Navigieren in diesem rechtlichen Labyrinth und das Entwerfen einer Analytics Strategie kann lästig sein. Der Ausweg besteht darin, einen zuverlässigen Partner zu finden, der die Compliance gewährleistet und Ihnen hilft, Daten gemäß den strengen Vorschriften zu erfassen.
Wir sind uns bewusst, dass dies komplexe Probleme sind und Sie möglicherweise einige Fragen oder Bedenken haben könnten. Wenn ja, schreiben Sie uns einfach eine Nachricht und wir werden diese gerne beantworten.