Update für Mai 2020 : Das „European Data Protection Board“ (EDPB) hat seine Richtlinien speziell in Bezug auf die empfohlenen Verfahren zur Einwilligung aktualisiert. Hier erfahren Sie alles Wissenswerte über das Update.
Beim Thema Datenschutzrecht- und Gesetzgebung fallen einem schnell Cookie-Richtlinien ein. Schließlich stehen sie in direktem Zusammenhang mit beiden Themen. Dies führt häufig zu dem weitverbreiteten Missverständnis, dass die EU-Cookie-Richtlinie (ePrivacy-Richtlinie) durch die allgemeine Datenschutzverordnung (DSGVO) aufgehoben wurde, was jedoch in Wirklichkeit nicht der Fall ist. Betrachten Sie stattdessen die ePrivacy-Richtlinie (EU-Cookie-Richtlinie) und die DSGVO zum Cookie-Thema als zusammenwirkend und sich gegenseitig ergänzend.
Die ePrivacy-Richtlinie (EU-Cookie-Richtlinie) 2002/58/EC wurde eingeführt, um Richtlinien für den Schutz der elektronischen Privatsphäre zu schaffen, einschließlich E-Mail-Marketing und Cookie-Nutzung. Sie gilt auch heute noch. Wie oben erwähnt, können Sie sich vorstellen, dass die ePrivacy-Richtlinie derzeit in gewisser Weise die DSGVO „ergänzt“, anstatt durch sie aufgehoben zu werden.
Streng genommen müssen Sie, wenn Sie Cookies verwenden, die Einhaltung der EU-Cookie-Richtlinie in Betracht ziehen, bevor Sie sich mit der DSGVO befassen. Das liegt daran, dass die EU-Cookie-Richtlinie im juristischen Fachjargon als “lex specialis” bezeichnet wird, was bedeutet, dass sie Vorrang vor der DSGVO hat.
Im Allgemeinen legen Richtlinien bestimmte vereinbarte Ziele und Leitlinien fest, wobei die Mitgliedsstaaten beauftragt sind, diese Richtlinien in nationales Recht umzusetzen. Vorschriften hingegen sind, ab dem Zeitpunkt ihrer Inkraftsetzung, in allen Mitgliedstaaten rechtsbindend und werden, gemäß den unionsweit festgelegten Regeln, durchgesetzt.
💡 Um mehr darüber zu erfahren, welche EU-Cookie-Einwilligungsregeln für die einzelnen Länder gelten, lesen Sie hier unser Cheatsheet zur Einwilligung in Cookies.
Davon abgesehen wird die ePrivacy-Richtlinie (EU-Cookie-Richtlinie) in der Tat bald durch die ePrivacy-Richtlinie (EU-Cookie-Richtlinie) aufgehoben werden. Es wird erwartet, dass diese in naher Zukunft fertiggestellt wird und zusammen mit der DSGVO die Anforderungen für die Verwendung von Cookies, elektronische Kommunikation und den damit verbundenen Daten-/Privatsphärenschutz regelt.
Die EU-Cookie-Richtlinie gilt nicht nur für Cookies, sondern im weiteren Sinne für jede andere Art von Technologie, die Informationen auf dem Gerät eines Nutzers speichert oder darauf zugreift (z. B. Pixel-Tags, Geräte-Fingerprinting, eindeutige Identifikatoren, etc.). Der Einfachheit halber werden all diese Technologien, einschließlich Cookies, gemeinhin als Tracker* definiert.
Darüber hinaus ist die EU-Cookie-Richtlinie sozusagen technologieneutral, was bedeutet, dass sie nicht nur die Website- und Browser-Umgebung abdeckt, sondern auch andere Arten von Technologie, einschließlich Apps auf Smartphones, Tablets, Smart-TVs oder anderen Geräten.
*In dieser Anleitung werden jedoch die Begriffe Cookie(s) und Tracker(s) austauschbar verwendet.
Die EU-Cookie-Richtlinie erfordert eine Einwilligung des Nutzers, bevor Cookies auf dem Gerät des Nutzers gespeichert und/oder verfolgt werden.
Das heißt, wenn Sie Cookies verwenden, müssen Sie:
In der praktischen Anwendung müssen Sie beim ersten Besuch des Nutzers ein Cookie-Banner (auch Cookie-Hinweis genannt) einblenden, die Cookie-Richtlinie integrieren und dem Nutzer die Möglichkeit geben, eine Einwilligung abzugeben – es sei denn, Ihre Website verwendet ausschließlich technisch notwendige, nicht einwilligungspflichtige Cookies (was höchst unwahrscheinlich ist).
Vor der Einwilligung können keine Cookies laufen oder installiert werden – mit Ausnahme von technisch notwendigen, nicht einwilligungspflichtigen Cookies.
Sie müssen beim ersten Besuch des Nutzers ein Cookie-Banner anzeigen, eine Cookie-Richtlinie implementieren und dem Nutzer die Möglichkeit geben, seine Einwilligung zu geben. Vor der Einwilligung sollten keine Cookies – mit Ausnahme technisch nicht notwendiger Cookies – ausgeführt oder installiert werden.
Laut DSGVO zum Cookies muss das Cookie-Banner:
Beachten Sie, dass es sich bei den oben genannten Anforderungen um grundlegende Mindestanforderungen handelt. Die Anforderungen an den Inhalt von Cookie-Bannern können von Land zu Land variieren, abhängig von den Ansichten der jeweiligen Datenschutzbehörde.
Die Cookie-Richtlinien müssen:
Erstanbieter-Cookies werden direkt von Ihnen, dem Anbieter der Website/App, verwaltet, während Drittanbieter-Cookies von Dritten verwaltet werden und von diesen bereitgestellte Dienste ermöglichen. Typischerweise sind Cookies von Drittanbietern vorhanden, wenn Ihre Website/App Dienste von Drittanbietern nutzt, um z. B. Bilder, Social-Media-Plugins oder Werbung einzubinden.
In Übereinstimmung mit den allgemeinen Grundsätzen der Datenschutzgesetzgebung, die eine Verarbeitung vor der Einwilligung verhindern, erlaubt die EU-Cookie-Richtlinie nicht die Speicherung von Informationen oder den Zugriff auf Informationen, die auf den Geräten der Nutzer gespeichert sind, bevor die Einwilligung der Nutzer eingeholt wurde. In der Praxis bedeutet dies, dass Sie möglicherweise eine Form der Skript-Blockierung vor der Einwilligung des Nutzers anwenden müssen.
Eine Einwilligung in Cookies muss freiwillig, spezifisch, informiert und explizit gegeben werden, was bedeutet, dass sie durch eine eindeutige bestätigende Handlung (Opt-in) erfolgen muss. Wenn Sie also Mechanismen wie Kontrollkästchen verwenden, dürfen diese nicht vorab angekreuzt werden.
Im „Working Party“ –Dokument über die ePrivacy-Richtlinie wird Folgendes festgelegt:
Um sicherzustellen, dass ein Einwilligungs-Mechanismus für Cookies die Bedingungen in jedem Mitgliedstaat erfüllt, sollte dieser Einwilligungs-Mechanismus alle wesentlichen Kriterien beinhalten: spezifische Informationen, vorherige Zustimmung, Angabe der durch das aktive Verhalten des Nutzers geäußerten Wünsche und Entscheidungsfreiheit.
Viele EU-Datenschutzbehörden haben Leitlinien zu Cookies und ähnlichen Technologien herausgegeben, die Ratschläge und Empfehlungen zu gültigen Methoden zur Einholung der Einwilligung enthalten.
Die italienische Datenschutzbehörde hat die Richtlinien für die Verwendung von Cookies und anderen Trackern aktualisiert. Die Richtlinien wurden bereits im Juni 2021 angenommen. Sie können die Zusammenfassung hier lesen..
Das European Data Protection Board (EDPB) hat seine Richtlinien zur Einwilligung aktualisiert: Guidelines 05/2020 on consent under Regulation 2016/679 (auf Englisch). Diese Aktualisierung ist insofern von Bedeutung, als dass sie jegliche Zweideutigkeit, der offiziellen Haltung, in Bezug auf verschiedene Aspekte der Cookie-Verwendung beseitigen soll. Am bedeutendsten ist vielleicht, dass in diesen neuesten Richtlinien klar festgelegt ist, dass Cookie Walls verboten sind und dass der EDPB die Einwilligung durch Scrollen oder weiter Surfen für ungültig erachtet .
📌Um mehr darüber zu erfahren, welche EU-Cookie-Einwilligungsregeln für die einzelnen Länder gelten, lesen Sie unser Cheatsheet zur Einwilligung in Cookies hier.
In Bezug auf die Verweigerung der Einwilligung oder das Opting-out nach Erteilung der Einwilligung, sieht das geltende Recht vor, dass Nutzern „die Möglichkeit“ gegeben werden muss, ihre Einwilligung zu verweigern oder zurückzuziehen. Das Dokument der „Working Party“ erläutert diesen Punkt weiter, indem es besagt, dass Sie bei einem Widerruf oder der Verweigerung der Einwilligung Folgendes angeben müssen:
Dieses Verfahren oder dieser Mechanismus muss nicht unbedingt direkt von Ihnen bereitgestellt werden. In einigen Fällen werden Browser-Einstellungen (auf Englisch), nach dem Recht der Mitgliedsstaaten, als ein akzeptables Mittel zur Rücknahme von Einwilligung angesehen.
Die einzelnen Verfahren zur Einwilligung, die als gültig angesehen werden, können je nach Mitgliedstaat unterschiedlich sein.
Im Allgemeinen verlangen die Vorschriften nicht ausdrücklich, dass Sie Cookies einzeln auflisten. Stattdessen wird ausdrücklich verlangt, dass Sie ihre Art und ihren Zweck klar angeben. Wenn es sich um Cookies von Dritten handelt, müssen Sie auch den Drittanbieter angeben, der sie verwaltet, und auf die entsprechende Datenschutzerklärung/Cookie-Richtlinie des Dritten verlinken.
Diese Entscheidung der Behörde ist wahrscheinlich beabsichtigt, da die Forderung, Cookies einzeln aufzulisten, bedeuten würde, dass einzelne Website-/App-Besitzer die Last tragen würden, ständig jedes einzelne Drittanbieter-Cookie zu überwachen und nach Änderungen zu suchen, die außerhalb ihrer Kontrolle liegen. Dies wäre weitgehend unvernünftig, ineffizient und wahrscheinlich nicht hilfreich für Nutzer.
Zur weiteren Erläuterung dieses Punktes haben wir hier einen Auszug des Cookie-Guide der ICO (aus dem Englischen übersetzt).
Es wäre eine Option, umfangreiche Listen aller implementierten Cookies zur Verfügung zu stellen. Jedoch ist für die meisten Nutzer eine umfassendere Erklärung der Funktionsweise von Cookies und der verwendeten Kategorien von Cookies nützlicher. Eine Beschreibung der Verwendungszwecke von analytischen Cookies auf der Website wird den Anforderungen eher gerecht, als eine einfache Auflistung aller von Ihnen verwendeten Cookies, mit grundlegenden Hinweisen auf ihre Funktion.
Die italienische Datenschutzbehörde (Garante Privacy) führt diesen Gedanken sogar noch weiter aus und erklärt ausdrücklich (aus dem Englischen übersetzt):
Es gibt mehrere Gründe, warum es unmöglich erscheint, von einem Anbieter zu verlangen, Informationen und Einwilligung für die Installation von Cookies auf seiner eigenen Website auch im Hinblick auf die von „Dritten“ installierten Cookies zu verlangen.
Dies ist eine anspruchsvolle Aufgabe, denn ein Anbieter hat oft weder direkte Kontakte zu sämtlichen Dritten, die über seine Website Cookies installieren, noch erkennt er jede Verarbeitung der Daten. Darüber hinaus ist es nicht selten der Fall, dass Lizenzinhaber zwischen Anbieter und Dritte treten. Den Überblick, über sämtliche Aktivitäten aller Beteiligten, zu behalten gestaltet sich deswegen für den Anbieter als sehr schwierig. Zum anderen könnten die Cookies Dritter im Laufe der Zeit von diesen verändert werden, und es würde sich als problematisch erweisen, von den Anbietern zu verlangen, auch spätere Änderungen zu verfolgen.
Es ist nicht selten der Fall, dass Nutzer zwischen einen Anbieter und die genannten Dritten treten, was es für den Anbieter letztlich sehr schwierig macht, den Überblick über die Aktivitäten aller Beteiligten zu behalten.
Zusätzlich, könnten die Cookies von Dritten mit der Zeit geändert werden, und es würde sich als ziemlich unpraktisch erweisen, von den Verlagen zu verlangen, auch diese nachträglichen Änderungen im Auge zu behalten.
Außerdem sollte man bedenken, dass Anbieter – eine Kategorie, die natürliche Personen und KMUs umfasst – in diesem Zusammenhang oft die „schwächere“ Partei sind. Umgekehrt sind Dritte in der Regel große Unternehmen von erheblicher wirtschaftlicher Bedeutung, die in der Regel mit mehreren Anbietern zusammenarbeiten, so dass ein Anbieter oft mit einer beträchtlichen Anzahl von Dritten zu tun haben kann.Aus den oben genannten Gründen ist die DPA der Meinung, dass von den Anbietern nicht verlangt werden darf, auf der Homepage ihrer Websites auch Hinweise von Cookies, die von Dritten installiert wurden, aufzunehmen.
Mehr dazu können Sie hier lesen.
Das Gesetz schreibt vor, dass die erhaltene Einwilligung vom Nutzer freiwillig erfolgen muss, damit sie als gültig betrachtet werden kann. Die Verwendung von Zwangsmethoden zur Erlangung der Einwilligung zur Ungültigkeit der eingeholten Einwilligung führen.
Das Gesetz macht einige Zugeständnisse (in angemessenem Rahmen) in Fällen, in denen die tatsächliche Fähigkeit, bestimmte Dienste auf der Website bereitzustellen, direkt von der Einwilligung oder deren Fehlen betroffen ist.
Das „Working Party” –Dokument besagt (aus dem Englischen übersetzt):
Websites sollten den „allgemeinen Zugang“ zur Seite nicht von der Annahme aller Cookies abhängig machen, sondern können nur bestimmte Inhalte einschränken, im Falle das der Nutzer keine Einwilligung zu Cookies abgegeben hat.
Während also bestimmte Inhalte (innerhalb legitimer Gründe) auf der Grundlage von Cookie-Präferenzen eingeschränkt werden können, darf die Möglichkeit der Nutzer, generell auf Ihre Website zuzugreifen, nicht erzwungen oder von ihrer Einwilligung abhängig gemacht werden.
Beachten Sie in diesem Zusammenhang, dass der EDPB sowie mehrere europäische Datenschutzbehörden in ihren Richtlinien und Empfehlungen die Verwendung von so genannten “Cookie-Walls” ausdrücklich untersagt haben. Diese basieren auf einem “Nimm-es-oder-lass-es-Ansatz”, der von den Nutzern zwingend eine Einwilligung zum Zugriff auf die Inhalte eines Online-Dienstes verlangt. Cookie-Walls werden als ungültig angesehen, da der Nutzer keine echte Wahl hat.
Update Die italienische Datenschutzbehörde (Garante Privacy) hat in ihren neuesten Richtlinien zu Cookies und anderen Tracking-Tools erklärt, dass sie derzeit die Verwendung der Cookie-Wall verbietet, es sei denn die Website bietet dem Nutzer eine gleichwertige Alternative, um auf den Inhalt oder die Dienste zuzugreifen, ohne die Einwilligung zu Cookies oder anderen Tracking-Mechanismen zu erteilen, was von Fall zu Fall überprüft werden muss.
Wir verfolgen die Entwicklungen dieser Angelegenheit, seit die Garante eine Pressemitteilung veröffentlicht hat in der steht, dass sie diese Lösung, die von einigen italienischen Publishern angewendet wird, analysiert.
iubenda wird diese Entwicklung wie immer verfolgen und Sie über alle neuen Entscheidungen auf dem Laufenden halten.
Das Cookie-Gesetz sieht zwei Ausnahmen von dieser Anforderung vor, nämlich:
Beispiel: Sie verwenden ein Lastausgleichs-Cookie, um den Netzwerkverkehr auf verschiedene Server zu verteilen. Der einzige Zweck des Cookies ist die Identifizierung eines der Server (d. h. eines Kommunikationsendpunkts), und als solcher fällt er unter die Kommunikationsausnahme.
Beispiel: Ihre E-Commerce-Website verwendet ein Sitzungs-Cookie, das es Nutzern ermöglicht, Artikel in ihrem Warenkorb zu „halten“, während sie die Website nutzen oder für die Dauer einer Sitzung. In diesem Fall ist das Cookie für das Funktionieren des Einkaufsservices notwendig, der vom Nutzer ausdrücklich angefordert wurde, als er angab, dass er den Artikel in den Warenkorb legen möchte. In ähnlicher Weise können Cookies, die verwendet werden, um die Sprachpräferenzen eines Nutzers zu speichern, unter die notwendige Ausnahme fallen.
Es ist wichtig zu beachten, dass Sie auch in den Fällen, in denen diese Ausnahmen von der Einwilligungspflicht gelten, den Nutzer über die Verwendung von Cookies und ähnlichen Technologien mittels einer Cookie-Richtlinie informieren müssen. Das Banner ist in diesen speziellen Fällen nicht unbedingt erforderlich, wenn die Cookie-Richtlinie leicht zugänglich und von jeder Seite der Website aus sichtbar ist.
Können Cookies und andere Tracker, die zu Analysezwecken verwendet werden, eine Ausnahme darstellen?
Eine eindeutige Antwort gibt es nicht. In der Tat haben die EU-Datenschutzbehörden unterschiedliche Auslegungen dazu. Nach den Richtlinien des britischen ICO fallen die Analyse-Cookies beispielsweise nicht unter die Ausnahmeregelung „technisch notwendig“ und erfordern daher immer eine Einwilligung. Die belgische und die irische Datenschutzbehörde haben ähnliche Ansichten.
Im Gegensatz dazu können Analyse-Cookies nach Ansicht der französischen, deutschen, niederländischen und italienischen Datenschutzbehörden unter die strikt notwendige Ausnahmeregelung fallen, sofern bestimmte Umstände erfüllt sind (z. B. wenn es sich um First-Party-Cookies handelt, Opt-Out-Cookies anonymisiert sind, Cross-Tracking nicht aktiviert ist). Abschließend sollten Sie sorgfältig prüfen, welche Regeln für Analyse-Cookies in Ihrem Bezugsland gelten.
Nachdem Sie das Cookie-Banner beim ersten Besuch des Nutzers angezeigt haben, müssen Sie das Banner nicht bei jedem Besuch des Nutzers erneut einblenden. Sie sollten jedoch überlegen, ob Sie den Nutzern die Möglichkeit geben, das Banner erneut anzuzeigen, wenn sie ihre Einstellungen ändern möchten.
Hat der Nutzer seine Einwilligung nicht oder nur für die Verwendung bestimmter Cookies gegeben, wird der Banner nur in den folgenden Fällen erneut eingeblendet:
Es gibt viele Gründe, warum Sie den Nutzern die Möglichkeit geben müssen, ihre Einwilligung zu widerrufen. Einige Datenschutzbehörden verlangen, dass die Nutzer einfachen Zugang zur Aktualisierung ihrer Präferenzen haben. Die italienische Datenschutzbehörde (Garante) schlägt beispielsweise vor, ein Symbol bereitzustellen, das während der Navigation immer sichtbar ist und die Wahlmöglichkeiten des Nutzers zusammenfasst.
Weitere Informationen hierzu und zu den Anforderungen anderer Datenschutzbehörden finden Sie in unsere DSGVO Cookie Consent (Einwilligung) Cheatsheet. Es lohnt sich, darauf hinzuweisen, dass dies auch ein Schwerpunkt für Datenschutz-NGOs wie Noyb ist, die verlangen, dass die Nutzer die Möglichkeit haben, ihre Einwilligung zu widerrufen.
Stellen Sie sicher, dass Sie Ihren Nutzern die Möglichkeit geben, Ihr Cookie-Banner erneut zu öffnen, indem Sie in Ihrer Privacy Controls and Cookie Solution das Datenschutzwidget aktivieren.
Sie sollten auch berücksichtigen, dass es eine Reihe von Gründen und Umständen gibt, die dazu führen können, dass die Besucher aufgefordert werden müssen, erneut ihre Einwilligung zu geben und das Banner erneut zu zeigen.
Ein praktisches Beispiel ist die Verwendung eines neuen, nicht freigestellten Drittanbieter-Cookies. In einem solchen Fall müssen Sie eine neue Einwilligung einholen, da die zuvor vom Nutzer eingeholte Einwilligung nur für die Dritten gilt, die Sie zum ursprünglichen Zeitpunkt der Erfassung angegeben haben.
Um Ihnen bei dieser Anforderung zu helfen, geben wir Ihnen die Möglichkeit, die Einholung der Einwilligung bei jeder Aktualisierung der Cookie-Richtlinie einfach zu aktualisieren.
Beachten Sie, dass einige EU-DPAs festgelegt haben, was als angemessener Zeitraum für die Gültigkeit der Cookie-Einwilligung angesehen werden kann (z. B. gelten laut der französischen DPA 6 Monate als angemessener Zeitraum). Mit unserer Privacy Controls and Cookie Solution können Sie diese Zeitspanne einfach festlegen. Um mehr über die Gültigkeitsdauer von Cookies zu erfahren, lesen Sie unser Cheatsheet zur Einwilligung in Cookies.
Während die EU-Cookie-Richtlinie nicht explizit vorschreibt, dass Aufzeichnungen über die Einwilligung aufbewahrt werden müssen (nur Nachweise), verarbeiten Cookies in den meisten Fällen personenbezogene Daten. Deshalb können die Aufzeichnungsanforderungen aus der DSGVO für Cookies gelten. Viele Datenschutzbehörden in der EU haben daher ihre Cookie- und Tracker-Regeln an die Anforderungen der DSGVO bezüglich Cookies angepasst.
Das Cookie- und Einwilligungs-Präferenz-Register ist jetzt in unserer Privacy Controls and Cookie Solution verfügbar. Integrieren Sie diese Funktion einfach mit einem Klick, und Sie können DSGVO-Cookie-Nachweise für die Einwilligung Ihrer Nutzer problemlos speichern und verwalten.
Ein DSGVO-konformer Cookie-Banner informiert die Besucher klar und deutlich über die Verwendung von Cookies und holt ihre Einwilligung ein, bevor Cookies auf ihrem Gerät gespeichert werden.
Es enthält in der Regel einen klaren und verständlichen Hinweis auf die Verwendung von Cookies, eine Möglichkeit zur aktiven Einwilligung, granulare Auswahlmöglichkeiten für verschiedene Cookie-Kategorien und eine Opt-Out-Option. Darüber hinaus einen Link zu einer Datenschutzerklärung und einer Cookie-Richtlinie sowie zu den Cookie-Einstellungen.
Das Design des Cookie-Banners sollte unaufdringlich sein und die Benutzerfreundlichkeit der Website nicht beeinträchtigen.
Unsere umfassende Cookie-Verwaltungslösung vereinfacht die Einhaltung der Bestimmungen der europäischen EU-Cookie-Richtlinie (Gesetz) und der DSGVO-Cookie-Konformität. Als eine IAB verifizierte Consent Management Platform (CMP) ermöglicht Ihnen unsere Privacy Controls and Cookie Solution, die branchenübliche Standards zu erfüllen und Einwilligungen konform an Werbetreibende weiterzugeben.
Dies erlaubt es Ihnen:
Unsere Privacy Controls and Cookie Solution informiert den Nutzer angemessen über:
Unsere Privacy Controls and Cookie Solution ermöglicht die Einholung einer aktiven Einwilligung über:
Weitere Optionen:
