Fragen |
🇬🇧 Vereinigtes Königreich |
🇮🇹 Italien |
🇩🇪 Deutschland |
🇫🇷 Frankreich |
🇪🇸 Spanien |
🇩🇰 Dänemark |
🇬🇷 Griechenland |
🇧🇪 Belgien |
🇮🇪 Irland |
🇪🇺 EDPB |
---|---|---|---|---|---|---|---|---|---|---|
Kann durch Scrollen wirksam eingewilligt werden? |
NEIN |
NEIN |
NEIN |
NEIN |
NEIN |
NEIN |
NEIN |
NEIN |
NEIN |
NEIN |
Kann durch Fortsetzen der Nutzung wirksam eingewilligt werden? |
NEIN |
Wahrscheinlich nein, aber nicht eindeutig |
NEIN |
NEIN |
NEIN |
NEIN |
NEIN |
NEIN |
NEIN |
NEIN |
Müssen die Buttons „Zustimmen“, UND „Ablehnen“ im Banner ausdrücklich angegeben werden? |
JA |
JA |
JA |
JA |
JA |
JA |
Keine Angabe |
Keine Angabe |
JA |
|
Müssen die Buttons “Zustimmen” und “Ablehnen” gleich stark hervorgehoben sein? |
JA |
JA |
Keine Angabe |
JA |
Best practice |
JA |
Keine Angabe |
Keine Angabe |
JA |
JA |
Ist die vorherige Blockierung von Cookies notwendig, wenn eine Einwilligung erforderlich ist? |
JA |
JA |
JA |
JA |
JA |
JA Ohne die Einwilligung des Nutzers dürfen keine Cookies gesetzt werden, außer denen, die für das Funktionieren der Website unbedingt erforderlich sind (z. B. Einkaufswagen-Cookie). |
JA |
JA |
JA |
JA |
Sind sog. Cookie-Walls zulässig? |
Unwahrscheinlich Es wurde keine endgültige Aussage getroffen, allerdings besagen die ICO-Richtlinien, dass Cookie-Walls (auf Englisch) „wahrscheinlich nicht gültig sind”. |
NEIN Es sei denn, der Anbieter der Website bietet eine alternative Möglichkeit an, auf den Dienst zuzugreifen, ohne einwilligungspflichtige Cookies akzeptieren zu müssen (möglicherweise gegen Bezahlung, nicht angegeben). |
NEIN |
Möglicherweise Grundsätzlich ja, muss aber im Einzelfall geprüft werden – allerdings müssen die Nutzer eindeutig auf die Folgen der Ablehnung der Cookies hingewiesen werden. |
NEIN Cookie-Walls sind nur dann zulässig, wenn der Nutzer eine Alternative hat, um auf den Dienst zuzugreifen, ohne Cookies zu akzeptieren. Worin eine solche Alternative besteht, wird nicht erklärt. Vermutlich wird implizit auf eine Bezahlung verwiesen. |
NEIN |
NEIN |
NEIN |
Wahrscheinlich nein |
NEIN |
Müssen Cookies einzeln aufgeführt werden? |
NEIN Das ICO stellt fest, dass die bloße Auflistung zahlreicher Cookies für den Nutzer verwirrend sein könnte und die beste Praxis daher wäre, auch eine Beschreibung der Cookies anzugeben. Gemäß der PECR ist die Klarheit und Ausführlichkeit von Cookies entscheidend (siehe Abschnitt 6 (2)) |
Keine Angabe Erscheint unwahrscheinlich |
NEIN |
NEIN |
NEIN Eine zweckbezogene Auflistung ist gültig und ausreichend. |
NEIN |
Unklar Es sind widersprüchliche Stellungnahmen veröffentlich worden. In einer aktuellen Pressemitteilung heißt es, dass der Zweck „jedes einzelnen Trackers“ erläutert werden muss (Punkt 3), während es im nächsten Punkt (4) heißt, dass Informationen über die Lebensdauer, den Verantwortlichen und die Datenempfänger jedes Trackers oder jeder Kategorie von Trackern mit demselben Zweck offengelegt werden müssen |
Unklar Einerseits stellt die DSB ausdrücklich fest, dass “die DSGVO keine Einwilligung pro Cookie verlangt”. Andererseits heißt es jedoch, dass auf einer ersten Ebene (technisch betrachtet zweite Ebene, a.n.) die Einwilligung nur auf einer zweckbezogenen Basis eingeholt werden muss, während den betroffenen Personen auf einer zweiten Ebene die Möglichkeit gegeben werden kann, Cookies granular (= auf einer Pro-Cookie-Basis) zu akzeptieren. |
Wahrscheinlich nein, aber nicht eindeutig In der Anleitung heißt es: „Die Verantwortlichen müssen sicherstellen, dass für jeden Verarbeitungszweck, für den Cookies gesetzt werden, eine Einwilligung eingeholt wird. Dies bedeutet, dass die Einwilligung nicht für jedes Cookie einzeln eingeholt werden muss, sondern lediglich für den Verarbeitungszweck, für den Cookies eingesetzt werden.“ (Übersetzt) |
|
Müssen die Zwecke in der ersten Ebene aufgeführt werden? |
Nicht angegeben, aber unwahrscheinlich. |
Best practice |
Keine Angabe |
JA |
JA |
JA |
Keine Angabe |
JA |
Keine Angabe |
|
Muss für jeden Verarbeitungszweck eine gesonderte Einwilligung eingeholt werden? |
Für jeden Dienst, aber nicht unbedingt für jeden Verarbeitungszweck Sie muss alle Verarbeitungszwecke abdecken. Dies kann durch eine globale oder spezifische Einwilligung geschehen. Die ICO erklärt Folgendes: “Lange Tabellen oder detaillierte Listen aller Cookies, die auf der Website verwendet werden, können die Art von Informationen sein, die Ihre Nutzer in Betracht ziehen wollen. Einige Websites verwenden möglicherweise Dutzende oder sogar Hunderte von Cookies, und daher kann es auch hilfreich sein, eine umfassendere Erklärung der Funktionsweise von Cookies und der Kategorien der verwendeten Cookies zu geben. Zum Beispiel wird eine Beschreibung der Arten von Vorgängen, für die Sie Analytics-Cookies auf der Website verwenden, die Anforderungen eher erfüllen als eine bloße Auflistung aller von Ihnen verwendeten Cookies mit grundlegenden Hinweisen auf ihre Funktion.” |
JA Sie muss granular sein, aber die Kriterien der Granularität werden dem Anbieter des Dienstes zur Umsetzung überlassen. In Bezug auf die Kategorisierung der Kriterien verweist der Garante auf “Funktionalität”, “Dritte” und “Cookie-Kategorie”. |
JA Hier gilt Folgendes:
In der Praxis sind keine Beispiele für auf den einzelnen Cookie bezogenes Einholen von Einwilligungen bekannt. In der Literatur oder Rechtsprechung wird dieser Ansatz auch nicht thematisiert. Da eine übertrieben feinteilige Auswahlmöglichkeit tatsächlich verwirren und die Transparenz für die Nutzer verringern kann, ist davon auszugehen, dass eine Gruppierung nach Verarbeitungszwecken ausreicht. |
JA Die Einwilligung in Website-/App-übergreifende Tracker muss auf jeder der betroffenen Website/App neu eingeholt werden. |
JA Nicht ausdrücklich festgelegt, wohl aber vorausgesetzt. |
JA Nutzer sollten die Möglichkeit haben, Cookies für jeden einzelnen Zweck zu akzeptieren (im Leitfaden heißt es eigentlich “Kategorien von Zwecken”). Ein Cookie-für-Cookie-Ansatz wird ausdrücklich als nicht erforderlich erklärt. |
JA |
JA Die von der Datenschutzbehörde veröffentlichten FAQ besagen, dass sich die Einwilligung „zumindest“ auf den einzelnen Verarbeitungszweck beziehen muss. Dieselbe FAQ besagt auch, dass ein Cookie-für-Cookie-Ansatz nach der DSGVO nicht erforderlich ist. |
JA |
JA |
Ist die Einwilligung nach Maßgabe der DSGVO nachzuweisen? |
JA |
JA |
JA |
JA Gemäß Nr. 29 der CNIL-Leitlinien aus 2020 ist ein Nachweis der Einwilligung gemäß den Anforderungen der DSGVO erforderlich. Die für das Einholen der Einwilligung verantwortliche Stelle muss auch in der Lage sein, den Nachweis der Einwilligung solchen Dritten zu übermitteln, die bei der Verarbeitung der Nutzerdaten auf jene Einwilligung abstellen. |
Nicht ausdrücklich festgelegt (wird aber vorausgesetzt) |
JA |
Nicht angegeben |
JA |
JA |
Wahrscheinlich ja |
Muss das Widerrufen der Einwilligung genauso einfach sein wie das Einwilligen? |
JA Laut ICO muss „Auch der Widerruf der Einwilligung so leicht sein wie das Einwilligen. Der Widerruf der Einwilligung muss also als einfacher, einstufiger Prozess ausgestaltet werden. Wenn möglich, sollten Nutzer in der Lage sein, ihre Einwilligung auf die gleiche Weise zu widerrufen, wie sie diese gegeben haben.“ (Übersetzt) |
JA Idealerweise über einen Link in der Fußzeile der Website. Der Garante empfiehlt auch, ein Symbol bereitzustellen, das während der Navigation immer sichtbar ist und die Auswahlmöglichkeiten des Nutzers zusammenfasst. |
JA |
JA Die Nutzer müssen unmissverständlich über ihr Recht, die Einwilligung zu widerrufen, informiert werden, bevor sie einwilligen. Ein Link/Symbol oder ein anderes statisches Element, das es den Nutzern ermöglicht, die Einwilligung zu einem späteren Zeitpunkt zu widerrufen, sollte auf der Website/App immer deutlich sichtbar und zugänglich sein. |
JA Die technische Umsetzung hängt weitgehend davon ab, wie die Einwilligung eingeholt wird. Wird die Einwilligung z.B. durch Herunterscrollen eingeholt, muss ein „Alle ablehnen“ -Button auf dem Banner vorhanden sein, um den Widerruf ebenso einfach zu ermöglichen. |
JA |
JA |
JA |
JA |
JA |
Wird der Einsatz eines Einwilligungs-Banners empfohlen? |
JA |
JA |
Best Practice Gängigste Methode bei der Einholung der Einwilligung für Cookies, für die eine Einwilligung erforderlich ist. Cookies, für die keine Einwilligung erforderlich ist (siehe erste Zeile oben), müssen nicht auf dem Banner angegeben werden. |
Keine Angabe Ein Banner wird nicht explizit als „erforderlich“ erwähnt. Ein statisches, deutlich sichtbares Symbol oder ein Link zu den vollständigen Cookie-Informationen wird jedoch „empfohlen“. |
JA Es wird als eine der Möglichkeiten zum Einholen der Einwilligung erwähnt. |
Nicht explizit angegeben Es wird als Standardlösung erwähnt, jedoch nicht ausdrücklich empfohlen |
JA |
Nicht ausdrücklich erwähnt Die Richtlinien besagen lediglich, dass der Cookie-Hinweis „nicht verschwinden darf, solange der Nutzer keine aktive Wahl getroffen hat.“ |
Nicht ausdrücklich erwähnt Wird aber als die gängigste Lösung genannt. |
|
Sind unbedingt notwendige Cookies von der Einwilligungspflicht ausgenommen? |
JA Cookies und Tracker, die unbedingt erforderlich sind:
Beispiel für von der Einwilligung ausgenommene Cookies:
|
JA |
JA Cookies und Tracker, die unbedingt erforderlich sind:
|
JA *Nach den aktualisierten Leitlinien der CNIL (Sept. 2020) sind einige Beispiele für unbedingt notwendige Cookies:
|
JA Cookies und Tracker, die unbedingt erforderlich sind:
Beispiel für von der Einwilligung ausgenommene Cookies:
|
JA Cookies und Tracker, die unbedingt erforderlich sind:
|
JA Laut der jüngsten Pressemitteilung der griechischen Datenschutzbehörde ist eine Einwilligung generell erforderlich, auch für Analytics-Cookies. Ausgenommen von dieser Regelung sind Cookies, die notwendig sind:
|
JA Cookies und Tracker, die unbedingt erforderlich sind:
Beispiele für von der Einwilligung ausgenommene Cookies:
|
JA Cookies und Tracker, die unbedingt erforderlich sind:
Beispiel für von der Einwilligung ausgenommene Cookies:
|
JA |
Können andere Rechtsgrundlagen der DSGVO als die Einwilligung (z. B. berechtigtes Interesse) gelten? |
NEIN Laut ICO scheint die Einwilligung die einzige praktikable Lösung zu sein, mit Ausnahme von Cookies, die unter die Ausnahmeregelung “unbedingt erforderlich” (strictly necessary) fallen. Weitere Informationen finden Sie in der offiziellen Stellungnahme des ICO. |
NEIN Der Garante weist ausdrücklich darauf hin, dass andere Rechtsgrundlagen gemäß Art. 6 DSGVO nicht anwendbar sind. |
JA Ein berechtigtes Interesse ist eine akzeptable Rechtsgrundlage für die Verarbeitung von Daten, die für den Betrieb der Website/App und die Bereitstellung des Dienstes unbedingt erforderlich sind. Beispiele: Cookies für den Einkaufswagen. |
NEIN Mit Ausnahme der unbedingt erforderlichen Cookies (siehe oben) wird die Einwilligung als Rechtsgrundlage für andere Cookies genannt. Kein Hinweis auf andere Rechtsgrundlagen. |
NEIN Außer für unbedingt notwendige Cookies wird die Einwilligung als Rechtsgrundlage für andere Cookies genannt. Kein Hinweis auf andere Rechtsgrundlagen. |
JA In jedem Fall ist die Einwilligung in der Regel die sicherste Option. |
NEIN Abgesehen von unbedingt notwendigen Cookies wird die Einwilligung als Rechtsgrundlage für andere Cookies genannt. Kein Hinweis auf andere Rechtsgrundlagen. |
NEIN Abgesehen von unbedingt notwendigen Cookies wird die Einwilligung als Rechtsgrundlage für andere Cookies genannt. Kein Hinweis auf andere Rechtsgrundlagen. |
NEIN Abgesehen von unbedingt notwendigen Cookies wird die Einwilligung als Rechtsgrundlage für andere Cookies genannt. Kein Hinweis auf andere Rechtsgrundlagen. |
|
Müssen Dritte, die Cookies setzen, namentlich genannt werden? |
JA In den ICO-Richtlinien heißt es: „Wenn Sie Cookies Dritter verwenden, müssen Sie klar und deutlich angeben, wer die Dritten sind, und erklären, wie solche Dritten mit die erhobenen Informationen verarbeiten“. |
JA |
Nicht ausdrücklich erwähnt Das hängt von der Rechtsgrundlage der Datenverarbeitung ab. Wenn die Grundlage die Einwilligung ist, dann sollten die Dritten genannt werden, damit die Einwilligung als „informiert“ gilt. In anderen Fällen ist es immer noch die beste und gängigste Praxis, die Dritten anzugeben. |
JA Sie müssen alle Drittparteien angeben, die einwilligungspflichtige Cookies setzen. Außerdem müssen Sie einen Link zu den jeweiligen Datenschutzhinweisen und Unternehmensangaben bereitstellen. |
JA und NEIN Dritte müssen durch ihre allgemein bekannte Marke identifiziert werden, die Angabe der spezifischen juristischen Person ist jedoch nicht erforderlich. |
JA |
JA Dies scheint unabhängig davon erforderlich zu sein, ob Dritte als gemeinsam für die Datenverarbeitung Verantwortliche oder als Auftragsverarbeiter tätig werden. |
Nicht definiert Laut den FAQ der Aufsichtsbehörde gehört die Nennung von Dritten nicht in die Liste der Mindestanforderungen an Cookie-Richtlinien. |
Nicht vollständig eindeutig Laut Angaben der Datenschutzbehörde müssen stets ein Link zu den Datenschutzerklärungen jedes Dritten, sowie “die nach DSGVO erforderlichen Informationen” bereitgestellt werden – was an und für sich nicht unbedingt die Auflistung aller Dritten bedeutet. Allerdings scheint die Aufsichtsbehörde tatsächlich von einer solchen Auflistung auszugehen. |
|
Ist die Gültigkeit von Cookie-Einwilligungen zeitlich festgelegt? |
NEIN Sie muss jedoch in Bezug auf den Verarbeitungszweck des Cookies verhältnismäßig sein. Sie müssen Nutzer auch über die Lebensdauer der von Ihnen verwendeten Cookies informieren. |
JA Nutzer können nur dann aufgefordert werden, ihre Einwilligung erneut zu erteilen, wenn:
|
NEIN |
JA Die Entscheidungen der Nutzer (sowohl die Zustimmung als auch die Ablehnung) müssen für einen angemessenen Zeitraum (d. h. 6 Monate) gespeichert werden, damit die Nutzer nicht unter Druck gesetzt werden, indem sie immer wieder zur Einwilligung aufgefordert werden. Dasselbe gilt für die Verweigerung der Einwilligung: Der für die Verarbeitung Verantwortliche kann die Nutzer erst nach 6 Monaten erneut zur Einwilligung auffordern. Analytics-Cookies dürfen nicht länger als 13 Monate aufbewahrt werden. Die durch Cookies gesammelten Informationen dürfen maximal 25 Monate lang gespeichert werden. |
Indirekt Mit Verweis auf eine Stellungnahme des Europäischen Datenschutzausschusses (vormals WP29) wird empfohlen, die Einwilligung spätestens nach 24 Monate erneut einzuholen. |
NEIN Laut den Richtlinien verfällt eine Einwilligung im Prinzip nie. Beachten Sie jedoch, dass diese Richtlinien für jede auf Einwilligung basierende Verarbeitung gedacht sind – daher sind sie nicht speziell auf Cookies oder Tracker zugeschnitten. |
NEIN Es wird jedoch dringend empfohlen, Nutzer im Falle einer Ablehnung nicht bei jedem neuen Website-Besuch neu zum Einwilligen aufzufordern. Derzeit gibt es keine Vorgabe zu der angemessenen Wartezeit, bevor eine Einwilligung erneut eingeholt werden darf. |
NEIN Derzeit heißt es, dass Cookies nicht länger gespeichert werden dürfen, als für die Erfüllung des angegebenen Verarbeitungszwecks notwendig ist. |
JA Die Aufsichtsbehörde weist darauf hin, dass eine Einwilligung niemals länger als 6 Monate gültig sein sollte – nach 6 Monaten müssen die Nutzer erneut zum Einwilligen aufgefordert werden. |
Laufzeit nicht ausdrücklich angegeben In der Stellungnahme des EDSA heißt es „Grundsätzlich reicht es aus, die Einwilligung des Betroffenen einmalig einzuholen. Die Verantwortlichen müssen jedoch eine neue ausdrückliche Einwilligung einholen, wenn die Verarbeitungszwecke nachträglich geändert oder erweitert werden.“ |
Sind vorangekreuzte Checkboxen zugelassen? |
NEIN |
NEIN |
NEIN |
NEIN |
Keine Angabe |
NEIN |
NEIN |
NEIN |
NEIN |
NEIN |