Wie Sie gemäß der DSGVO nach Cookie-Zustimmung gefragt werden sollten
In diesem Leitfaden zeigen wir Ihnen, wie Websites Sie um die Zustimmung zur Verwendung von Cookies bitten sollten und was Sie tun können, wenn Ihre Rechte stattdessen verletzt werden.
Vor vielen Jahren, als jemand das Internet nutzte, wurden seine Daten beim Betreten einer Website sofort erfasst. Cookies begannen so schnell wie möglich, Benutzerdaten zu sammeln. Aber das hat sich geändert.
Die Europäische Union versuchte schnell, dies durch die Verabschiedung der ePrivacy-Richtlinie in den frühen 2000er Jahren zu verhindern, die einige Male aktualisiert wurde.
Dies brachte nicht die gewünschten Ergebnisse im gewünschten Umfang, daher entschied sich die EU für eine neue Gesetzgebung – die Datenschutz-Grundverordnung (DSGVO).
Seit 2018 sind die Cookie-Gesetze strenger denn je, und die Strafen für Nichteinhaltung waren noch nie so groß. Dennoch sind viele Unternehmen noch nicht konform.
Die Datenschutzbehörde wird wahrscheinlich nicht in der Lage sein, gegen jedes nicht konforme Unternehmen vorzugehen. Daher müssen Sie sich auf sich selbst verlassen und Ihre Daten schützen.
Deshalb müssen Sie lernen, wie Sie um Zustimmung zur Verwendung von Cookies gefragt werden sollten.
Was sind Cookies?
Cookies sind kleine Textdateien, die eine Website oder eine App an Ihr Gerät (Laptop, Smartphone, Tablet) sendet, dort speichert und sie verwendet, um Daten zu sammeln. Website- oder App-Betreiber, also Datenverantwortliche, verarbeiten die Daten dann für ihre eigenen Bedürfnisse.
Warum ist das für Sie wichtig?
Cookies sammeln Ihre persönlichen Daten und übergeben sie zur Verarbeitung an jemand anderen.
Das bedeutet nicht zwangsläufig, dass Ihnen Schaden zugefügt wird oder Sie Opfer von Identitätsdiebstahl werden.
Es bedeutet einfach, dass Ihre Daten in den Händen anderer sind und für sie leicht verfügbar sind. Sie können sie gesetzeskonform verarbeiten, nichts damit tun oder sie missbrauchen. Man weiß nie.
Was müssen Unternehmen tun?
Unternehmen müssen vor dem Einsatz von Cookies auf den Geräten der Benutzer deren Zustimmung einholen.
Die Verwendung von Cookies ohne Zustimmung ist rechtswidrig und stellt einen Verstoß gegen die DSGVO dar. Darüber hinaus muss die Zustimmung rechtmäßig angefordert und eingeholt werden. Nicht alle Zustimmungen sind gleichwertig.
Unternehmen machen oft absichtlich oder unbeabsichtigt Fehler bei Zustimmungsanfragen. Die kurze Zeit der DSGVO führte zu einer bedeutenden Entscheidung des Gerichtshofs der Europäischen Union (EuGH) und detaillierten Empfehlungen des Europäischen Datenschutzausschusses (EDSA).
Die Gerichtsentscheidung ist allgemein als Planet49-Entscheidung bekannt, bei der ein deutsches Unternehmen wegen unrechtmäßiger Zustimmungserhebung bestraft wurde.
Insbesondere haben sie den Benutzern vorausgewählte Kontrollkästchen zur Verfügung gestellt, anstatt das Ankreuzen den Benutzern zu überlassen. Das ist keine bestätigende Handlung. Daher handelt es sich um einen Verstoß gegen das Gesetz.
Bestätigende Handlung ist nur eine der Anforderungen für eine rechtmäßige Zustimmung nach der DSGVO, aber das ist nicht das Einzige, worauf Sie achten sollten.
Anforderungen an die DSGVO-Cookie-Zustimmung
Die DSGVO verlangt, dass die Zustimmung:
- Freiwillig erteilt
- Informiert
- Spezifisch
- Eindeutig und
- Leicht widerrufbar ist.
Alle diese fünf Anforderungen müssen für eine rechtmäßige Zustimmung erfüllt sein.
Aber was bedeutet jede von ihnen und wie erkennen Sie, ob Sie so angefragt wurden, wie es sein sollte?
Freiwillig erteilt
Die Zustimmung ist freiwillig erteilt, wenn sie eine freiwillige Handlung des Benutzers war. Der Benutzer hat seine Zustimmung aus freiem Willen gegeben, wenn:
- Er nicht zur Zustimmung gezwungen wurde. Websites, die Benutzer zur Zustimmung zwingen möchten, bündeln die Zustimmung häufig mit den Nutzungsbedingungen. Das ist gegen die DSGVO. Eine solche Zustimmung zählt nicht, weil sie nicht freiwillig gegeben wurde.
Merke: Die Website sollte Sie immer separat um Zustimmung bitten. - Ihnen der Zugriff auf Inhalte ohne Zustimmung verwehrt wurde. Dies wird als Cookie-Wand bezeichnet und ist eine der hinterhältigen Methoden, mit denen Websites Ihre Privatsphäre verletzen. Die Website muss Ihnen den Zugang zu allen Inhalten gewähren, ohne die Zustimmung einzuholen. Dies schließt den Mitgliederbereich einer Website nicht ein, aber dafür sind Cookies auch nicht erforderlich.
Merke: Der Zugang zu Inhalten erfordert keine Cookies. Wenn jemand Ihre Zustimmung für den Zugang verlangt, verletzt er Ihre DSGVO-Rechte. - Verhindern, dass Benutzer ihre Zustimmung ohne Konsequenzen zurückziehen. Sie sind frei, die Zustimmung zu erteilen und frei, sie zurückzuziehen. Das bedeutet, dass der Datenverantwortliche keine negativen Folgen für den Widerruf auferlegen darf.
Merke: Die Zustimmung zurückzuziehen ist ein DSGVO-Recht. Wenn ein Datenverantwortlicher Sie daran hindern möchte, ist es an der Zeit, sich an die Behörden zu wenden.
Informiert
Die Zustimmung ist informiert, wenn Sie darüber informiert sind, was mit Ihren persönlichen Daten geschieht, wenn Sie die Zustimmung erteilen. Unternehmen kommunizieren diese Informationen über ihre Datenschutzrichtlinien.
Eine solche Richtlinie allein reicht jedoch nicht aus. Die Website sollte beim Erheben der Daten, d.h. beim Anfordern der Zustimmung zur Verwendung von Cookies, einen Link zur Richtlinie bereitstellen.
Darüber hinaus muss die Richtlinie klar angeben, dass die Website Cookies verwendet, warum sie diese verwenden und welche Daten sie damit sammeln. Ohne all diese Informationen ist die Zustimmungsanfrage rechtswidrig.
Das folgende Banner ist ein gutes Beispiel dafür, wie diese Anforderung erfüllt wird. Sie fragen nach der Zustimmung und stellen einen Link zur Datenschutzrichtlinie bereit. Bevor Sie Ihre Zustimmung erteilen, können Sie dort klicken und sich über deren Datenschutzpraktiken informieren.
Ob Sie die Datenschutzrichtlinie jedoch lesen oder nicht, bleibt Ihnen überlassen. Niemand zwingt Sie dazu, sie zu lesen, aber das Gesetz geht davon aus, dass Sie sie gelesen haben, wenn Ihnen ein leichter Zugang dazu gewährt wurde.
Merke: Websites müssen Ihnen Informationen darüber geben, was mit Ihren Daten passiert, wenn sie von Cookies gesammelt werden. Diese Informationen müssen in verständlicher Sprache und leicht verständlich bereitgestellt werden.
Spezifisch
Unternehmen müssen für jeden einzelnen Verarbeitungszweck eine separate Zustimmung einholen.
Ein Unternehmen, das Website-Analysen verfolgt und Werbe-Cookies verwendet, muss für jeden Zweck separat um Zustimmung bitten. Eine gebündelte Zustimmung zählt nicht.
Das folgende Cookie-Banner ist ein gutes Beispiel für eine spezifische Anfrage. Das Banner erklärt deutlich, warum die Website Cookies verwendet und erläutert die Verarbeitungszwecke. Der Benutzer kann nur für die Zwecke zustimmen, für die er seine Daten verarbeitet haben möchte. Er muss jedoch nicht auf einmal allen Zwecken zustimmen.
Merke: Jedes Cookie-Banner sollte wie das oben gezeigte aussehen. Die Anzahl der Zustimmungsanfragen muss der Anzahl der Verarbeitungszwecke entsprechen.
Eindeutig
Die Zustimmung wird eindeutig erteilt, wenn Sie sie durch eine bestätigende Handlung geben. Sie als Internetnutzer sollten klar zum Ausdruck bringen, dass Sie der Verwendung von Cookies zustimmen. Das Cookie-Banner der Website sollte dies jedoch ermöglichen.
Jedes Cookie-Banner sollte die Möglichkeit bieten, auf eine AKZEPTIEREN-Schaltfläche zu klicken, aber auch eine Schaltfläche zum Ablehnen von Cookies. In einigen Fällen bieten Unternehmen möglicherweise die Möglichkeit, Cookies im Cookie-Einstellungsbereich abzulehnen, wenn sie einen solchen haben.
Darüber hinaus müssen Sie die Kontrollkästchen ankreuzen oder die Umschalter aktivieren, um zu signalisieren, dass Sie der Verwendung von Cookies zustimmen.
Das folgende Cookie-Banner zeigt, wie man Benutzer rechtswidrig um Zustimmung bittet, weil die Umschalter standardmäßig eingeschaltet sind.
Beim nächsten sind die Schalter ausgeschaltet. Sie können sie einschalten, wenn Sie möchten. So geben Sie eindeutig Ihre Zustimmung, und so sollten Unternehmen Sie rechtmäßig fragen.
Ein häufiger Fehler, den Websites machen, besteht darin, anzunehmen, dass Benutzer der Datenerfassung zustimmen, indem sie auf der Website bleiben.
Ihre Cookie-Banner besagen: „Wenn Sie auf dieser Website weiter surfen, bedeutet das, dass Sie der Verwendung von Cookies zustimmen.“ Das entspricht nicht der DSGVO. Das ist eine klare Verletzung der Privatsphäre der Benutzer.
Merke: Sie sollten selbst die Initiative ergreifen, um Ihre Zustimmung zu geben. Das Cookie-Banner sollte Ihnen dabei nicht helfen. Es liegt an Ihnen.
Einfach zurückziehbar
Das Unternehmen muss es Ihnen ermöglichen, die Zustimmung ebenso einfach zurückzuziehen, wie Sie sie gegeben haben.
Wenn Sie auf eine AKZEPTIEREN-Schaltfläche geklickt haben, um Ihre Zustimmung zu geben, sollten Sie auch auf eine ZURÜCKZIEHEN-Schaltfläche klicken können, um sie zurückzuziehen.
Unternehmen platzieren die Möglichkeit zum Widerruf der Zustimmung in der Regel im Datenschutzzentrum. Das ist eine gute Praxis, da es einen einfachen Zugang zum Ausüben dieses Rechts bietet.
Es ist wichtig, nochmals darauf hinzuweisen, dass der Datenverantwortliche den Widerruf der Zustimmung nicht mit negativen Folgen verknüpfen darf, es sei denn, die Cookies sind für die Bereitstellung bestimmter Funktionen notwendig.
Beispielsweise können Cookies notwendig sein, um Ihre Spracheinstellungen auf der Website zu speichern, und es ist verständlich, dass Sie aufgrund des Widerrufs der Zustimmung eine schlechtere Benutzererfahrung erhalten.
Werbe-Cookies hingegen haben jedoch nichts mit den Funktionen der Website zu tun, daher dürfen sie nicht Bedingung für ein besseres Benutzererlebnis sein.
Merke: Sie sollten in der Lage sein, die Zustimmung ebenso einfach zurückzuziehen, wie Sie sie erteilt haben.