Wir Europäer lieben Cookies. Es gibt italienische Cantuccini, deutsche Lebkuchen, französische Navette und niederländische Stroopwafels. Aber die Liebe hat ihre Grenzen. Eine Art von Keksen, die uns nicht begeistert, ist der digitale Cookie. Organisationen verwenden Cookies im Internet, um unsere Einstellungen zu speichern oder uns im World Wide Web zu tracken. Dies kann sich schwerwiegend auf den Datenschutz auswirken. Deswegen gab die Europäische Union strenge Regeln für den Gebrauch von Cookies vor. (Und es kommen noch weitere hinzu!)
Wenn Leute über Consent sprechen, denken sie meistens an Cookies. Regeln zu Cookies und deren Einwilligung in Europa liefern zwei Rechtsvorschriften: die Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Direktive. Beide Instrumente hängen (teilweise) von der nationalen Perspektive ab. Die ePrivacy, weil sie sich auf die nationale Umsetzung verlässt, und die DSGVO, weil sie den Ländern in bestimmten Bereichen Freiheiten einräumt. Dies bedeutet, dass die Vorschriften sich je nach Mitgliedstaat voreinander unterscheiden. Artikel über einige wichtige Unterschiede finden Sie in diesem Blog.
Consent unter der DSGVO
Eine Einwilligung kann nur dann als Rechtsgrundlage für die Datenverarbeitung dienen, wenn die betroffene Person ihre Auswahl freiwillig und unmissverständlich, für bestimmte, ausreichend informierende Zwecke, trifft. Die betroffene Person muss somit eine eindeutige Handlung abgeben. Dies gilt für alle Arten der Datenverarbeitung, einschließlich jene mit Cookies.
Wenn Organisationen Consent einholen, sollten sie betroffene Personen darüber informieren, welche Arten von Cookies sie verwenden und wofür sie die Daten benötigen. Weiterhin dürfen sie den Consent nicht erzwingen, da betroffene Personen freiwillig einwilligen sollen. Falls die Einwilligung verweigert wird, sollten keine negativen Folgen nachziehen.
Cookies, deren einziger Zweck darin besteht, eine Kommunikation über ein Netzwerk zu übertragen, erfordern keine Einwilligung . Sie identifizieren Endpunkte und übertragen Daten zwischen Geräten. Wenn der Nutzer einen Dienst einer Informationsgesellschaft anfordert, ist die Cookie-Einwilligung nicht erforderlich. Es geht hierbei um Cookies, ohne die eine Anbieter seinen Dienst nicht bereitstellen kann, wie etwa den Inhalt des Warenkorbs zwischenspeichern oder die bevorzugte Sprache des Nutzers anzeigen
Stillschweigende Zustimmung
Wir alle kennen Websites mit solchen Cookie Bannern: „Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu“. Dieses Konzept bezeichnen wir als „stillschweigende“ oder “implizite Einwilligung“. Die Logik, die dahinter steckt: Wenn Sie keine Cookies möchten, besuchen Sie diese Website nicht.
Die meisten Mitgliedstaaten der Europäischen Union (EU) verbieten dieses Verfahren. Einige, wie die Tschechische Republik, Italien und Slowenien, erlauben unter bestimmten Umständen eine stillschweigende Einwilligung. Die Tschechische Republik beispielsweise setzt viel Vertrauen in das technische Geschick ihrer Bürger. Wenn Sie Ihren Browser nicht so einstellen, dass er Cookies automatisch ablehnt, willigen Sie stillschweigend deren Gebrauch ein [1]. Italien setzt die stillschweigende Einwilligung auf seine eigene Weise um. Falls der Nutzer überhaupt nicht handelt oder eine Webseite einfach herunterscrollt, willigt er Cookies nicht ein.
Wenn jedoch das Herunterscrollen einer Website Teil einer komplexen Aktionenreihe ist und ein bestimmtes Muster bildet, das dem Website-Eigentümer die Wahl des Nutzers klar offenbart, kann dies als Einwilligung angesehen werden [2]. Diese Art der Einwilligung bürdet dem Website-Betreiber eine hohe Beweislast auf. Slowenien ist das dritte Land, das eine Form der stillschweigenden Einwilligung einsetzt. Diese gilt für datenschutzfreundliche, analytische Cookies.
Einwilligung für analytische Cookies
Ist für analytische Cookies eine Einwilligung erforderlich? Wir haben bereits gesehen, dass Slowenien von einer stillschweigenden Einwilligung zu datenschutzfreundlichen analytischen Cookies ausgeht. Aber wie sieht es mit anderen Mitgliedstaaten aus? Diese Frage spaltet Europa. Grundsätzlich gilt, dass für analytische Cookies eine Einwilligung erforderlich ist, da sie nicht als rein funktionale Cookies betrachtet werden. Einige Mitgliedstaaten erlauben jedoch den Gebrauch von analytischen Cookies ohne Einwilligung. Beispielsweise lassen es die Niederlande, Italien und Frankreich zu, wenn diese Cookies datenschutzfreundlich sind.
Was sind datenschutzfreundliche analytische Cookies?
Auch hier können die Leitlinien zwischen den Mitgliedstaaten ein wenig variieren. Die allgemeine Regel lautet jedoch: Sie dürfen die Statistiken nur für Ihre eigene Website verwenden und sind verpflichtet, die Datenschutzrechte der Nutzer zu schützen. In den Niederlanden beispielsweise sind analytische Cookies nur dann datenschutzfreundlich, wenn sie anonymisierte IP-Adressen anwenden und keine Nutzer-IDs erstellen. Die Weitergabe der Analysedaten an andere Parteien zu Werbezwecken sollen Sie ebenfalls unterlassen.
Deutschland und Spanien erlauben ebenso wie die Niederlande, Italien und Frankreich die Verwendung von datenschutzfreundlichen Analyse-Cookies ohne Einwilligung, jedoch nur, wenn es sich um First-Party-Cookies handelt. Dies bedeutet, dass die analytischen Cookies und die dahinterstehende Software auf Servern des Website-Betreibers gehostet werden. Für Deutschland und Spanien ist also ein On-Premise-Hosting erforderlich.
Sie machen immer einen guten Schritt, wenn Sie datenschutzfreundliche analytische Cookies nutzen. Selbst wenn ein Land immer noch eine Einwilligung verlangt, ist es wahrscheinlicher, dass Nutzer diese erteilen, wenn ihre Datenschutzrechte nicht auf dem Spiel stehen. Informieren Sie die Besucher Ihrer Website daher klar darüber, wie wichtig analytische Cookies für die Entwicklung und Pflege Ihrer Website sind und dass Sie datenschutzfreundliche analytische Cookies verwenden. Wenn Sie die Nutzer nett darum bitten, bestehen gute Chancen, dass sie zustimmen.
Wenn Sie mehr über datenschutzfreundliche Analytics erfahren möchten, lesen Sie unbedingt: Was ist datenschutzfreundliche Analytics?
Cookie Walls
Einwilligung oder raus! Ein Cookie Banner, das alle Inhalte blockiert, bis Sie Ihre Zustimmung geben, ist nicht zulässig. Die meisten europäischen Länder einigen sich auf die Regel (oder teilten ihre Meinung noch nicht). Österreich ist der einzige Mitgliedstaat mit einer begrenzten Ausnahme dieses Cookie-Wall-Verbots. Nachrichten-Websiten dürfen eine Cookie Wall anwenden, wenn sie eine alternative Option zum Kauf des Zugriffs auf den Artikel oder ein Abonnement der Website anbieten. Mehrere Mitgliedstaaten diskutieren bereits diese Ausnahme. Deshalb behalten Sie besser das Thema im Auge.
Welcome to the jungle: das Layout
Bei manchen Cookie Bannern sieht man den Wald vor lauter Bäumen nicht mehr. Besucher kämpfen sich den Weg durch einen Dschungel von Kontrollkästchen, Buttons und Schaltflächen, um anzuzeigen, dass sie keine Cookies möchten. Auch wenn eine granulare Einwilligung als eine Option bleiben muss, erlaubt die DSGVO nicht, ein Cookie Banner undurchdringlich und unverständlich zu gestalten. Die DSGVO verlangt, dass die Informationen klar und eindeutig mitgeteilt werden. Als Faustregel gilt, dass ein schwer zu navigierendes Cookie Banner für unklare Informationen sorgt.
Organisationen sollten diese langen und sehr detaillierten Cookie Banner vermeiden. Nicht nur, weil sie Kunden/Nutzer frustrieren und die Informationen unübersichtlich erscheinen lassen, sondern auch wegen des Urteils des Gerichtshofs der Europäischen Union (EuGH) im Fall Planet49.
In diesem Urteil kam der EuGH zu dem Schluss, dass die Verwendung vorab angekreuzter Kästchen keine gültige Einwilligung im Sinne der DSGVO darstellt. Organisationen dürfen ihren Nutzern nicht „helfen“, indem sie alle Kästchen vorab markieren. Die Nutzer sollten dies immer selbst durchführen.
Der Grund dafür ist, dass die Einwilligung eine bejahende Handlung sein muss. Dieses Urteil hat dem Cookie Banner Dschungel seinen Reiz genommen. Früher konnte man theoretisch einen Cookie Banner mit tausend vorangekreuzten Kästchen verwenden, und niemand würde alle abwählen. Jetzt dürfen Sie zwar tausend Kästchen hinzufügen, aber alle müssen leer bleiben. Nur echte Fans Ihres Dienstes würden tausend Kästchen ankreuzen, damit sie Ihnen ihre persönlichen Daten übergeben.
Auch wenn vorab angekreuzte Kästchen noch zulässig wären, erlaubt die DSGVO diese langen und sehr detaillierten Cookie Banner nicht. Die DSGVO fordert, dass betroffene Personen auf genauso einfache Weise Cookies einwilligen, wie auch verweigern. Und wenn Sie einen aufwendigen und komplizierten Cookie Banner mit einzelnen Ablehnen-Buttons, aber einem einzigen „Alles akzeptieren”-Button sehen, welche Aufgabe scheint schwieriger? Den Consent zu geben oder abzulehnen?
Verwenden Sie also keine komplizierten Cookie Banner und keine vorab angekreuzten Kästchen.
Best Practices für Cookie Consent Banner
Wir haben die schlechten Angewohnheiten besprochen, aber was ist mit jenen, die wir anwenden sollten? Genau wie bei anderen Themen, die wir bereits erwähnten, gibt es EU-weite und lokale Verhaltensregeln . Ein Cookie Banner sollte zumindest Informationen darüber enthalten, welche Kategorien von Cookies, von wem, und zu welchem Zweck installiert werden. Außerdem fügen Sie immer einen Link zu Ihrer Datenschutzerklärung hinzu. Einige Länder haben jedoch spezielle Regeln für das Aussehen eines Cookie Banners. Nehmen wir zum Beispiel Griechenland. In Griechenland soll das Design der Website die Auswahl der Besucher nicht beeinflussen (also geben Sie vorzugsweise den Schaltflächen zum Akzeptieren und Ablehnen die gleiche Größe und Farbe).
Lesen Sie auch: Wenn Design fehlschlägt – Wie Dark Patterns mit der DSGVO und CCPA in Konflikt stehen
Fazit
Obwohl Cookies der EU-Gesetzgebung unterliegen, gehen die Mitgliedstaaten das Thema unterschiedlich an, was eine vielfältige Landschaft schafft. Seit einigen Jahren arbeitet der EU-Gesetzgeber an der ePrivacy Verordnung. Ziel dieser Verordnung ist es, ein einheitliches Regelwerk bereitzustellen, das für alle EU-Staaten gilt. Doch, bis zum Inkrafttreten dieser Vorschrift stoßen wir auf vielfältige und sich häufig ändernde Regeln. Datenschutzbehörden veröffentlichen regelmäßig neue Richtlinien und Rechtsprechungen, die sich darauf auswirken, wie Sie Cookies verwenden.
Auch wenn sich dies ändern kann, es ist immer eine gute Idee, die folgenden Richtlinien zu befolgen:
- Verwenden Sie keine Cookie Walls
- Greifen Sie nicht auf stillschweigende Einwilligung zurück
- Nutzen Sie keine komplizierten Cookie Banner
- Setzen Sie keine vorangekreuzten Kästchen ein
- Machen Sie es Nutzern nicht schwer (oder unmöglich), Cookies abzulehnen
- Nutzen Sie datenschutzfreundliche Analytics
- Stellen Sie ein informatives und klares Cookie Banner bereit
- Fügen Sie einen Link zu Ihrer Datenschutzerklärung hinzu
Wenn Sie sicherstellen möchten, dass Sie den Regeln entsprechend handeln, wenden Sie sich an ICTRecht unter info@privacyverified.nl. Es ist immer möglich, bei einer guten Tasse Kaffee und ein paar Cookies (die Sie leicht ablehnen können) über Ihre Möglichkeiten zu sprechen.
Zusätzliches Lesematerial:
