Nur wenige Menschen navigieren gerne durch Cookie-Banner. Die meisten Menschen wollen jedoch frei entscheiden können, wie Websites und Anwendungen ihre persönlichen Daten erfassen. Aber es ist möglich, die Privatsphäre der Menschen zu respektieren, ohne ihre Erfahrung mit Ihrer Website zu beeinträchtigen.
Der Europäische Datenschutzausschuss (EDPB) hat als Reaktion auf über hundert Beschwerden von Datenschutzbeauftragten bei noyb eine „Cookie Banner Taskforce“ gebildet. Der Abschlussbericht der Taskforce wirft ein Licht auf einige der häufigsten Verstöße bei der Online-Überwachung.
Hier finden Sie eine Zusammenfassung der Ergebnisse der Taskforce. Wir erläutern auch, warum bestimmte Praktiken nach EU-Recht illegal sein könnten, heben Bereiche hervor, in denen die Taskforce-Mitglieder anderer Meinung waren, und erklären, was Sie tun können, um diese häufigen Fehler beim Cookie-Banner zu vermeiden.
1. Keine Schaltfläche „Ablehnen“ auf der ersten Ebene
Auf einigen Websites wird ein Cookie-Banner mit zwei Schaltflächen angezeigt. Auf diesen Schaltflächen steht in der Regel etwas wie:
- „Alle Cookies akzeptieren“, und
- „Einstellungen“.
Das Banner enthält jedoch keine Schaltfläche „Ablehnen“. Um Cookies abzulehnen, müssen die Nutzer zunächst auf „Einstellungen“ und dann auf „Ablehnen“ klicken.
(Übrigens verwendet die Taskforce „Cookies“ als Abkürzung für alle Arten von Online-Trackern, einschließlich Pixel, Beacons und Javascript).
Die Annahme von Cookies über diese Art von Cookie-Banner erfordert nur einen Klick. Für die Ablehnung von Cookies sind mindestens zwei erforderlich.
Hier ist ein Beispiel:
Warum dies ein Problem sein könnte
Nach der Datenschutzrichtlinie für elektronische Kommunikation ist für nicht wesentliche Cookies die Zustimmung erforderlich. Die Definition des Begriffs „Einwilligung“ stammt aus der Allgemeinen Datenschutzverordnung (DSGVO).
Die „Einwilligung“ ist eine „frei gegebene, spezifische, informierte und unmissverständliche Angabe“ der Wünsche einer Person. Wenn eine Person Cookies leichter annehmen als ablehnen kann, gilt die Zustimmung möglicherweise nicht als „freiwillig erteilt“ oder „eindeutig“.
Die meisten Mitglieder der Taskforce haben Berichten zufolge
übereinstimmend
dass
das Fehlen einer „Ablehnungs“-Schaltfläche auf der ersten Ebene einen Verstoß gegen die DSGVO darstellt.
Es gab jedoch keinen Konsens in dieser Frage.
Was stattdessen zu tun ist
Während die Meinungen darüber, ob „Ablehnungsschaltflächen auf der ersten Ebene“ obligatorisch sind, offenbar auseinandergehen,
dass Sie Ihren Nutzern die Möglichkeit bieten, Cookies auf der ersten Ebene Ihres Cookie-Banners abzulehnen
abzulehnen, könnte dennoch eine gute Idee sein.
Microsoft wurde im Dezember 2022 von der französischen Aufsichtsbehörde zu einer Geldstrafe in Höhe von 60 Millionen Euro verurteilt, weil es den Nutzern auf bing.com nicht möglich war, Cookies so einfach abzulehnen wie zu akzeptieren.
Microsoft scheint seinen Weg geändert zu haben – das neue Cookie-Banner von Bing zeigt
einen guten Ansatz für die Zustimmung zu Cookies.
2. Vorgemerkte Kästchen
Einige Websites fordern die Zustimmung zu Cookies über ein Kontrollkästchen an. Die Cookie-Taskforce stellte jedoch fest, dass Einige Einwilligungskästchen waren bereits angekreuzt.
Wenn der Nutzer auf „Speichern“ oder „Schließen“ klickt, wird davon ausgegangen, dass er der Verwendung von Cookies zustimmt, nur weil er das Häkchen nicht entfernt hat.
Warum dies ein Problem ist
Die Datenschutz-Grundverordnung verlangt, dass die Einwilligung „durch eine eindeutige, bestätigende Handlung“ erteilt wird.
Ein Kästchen nicht anzukreuzen, ist keine „bestätigende Handlung“
oder „eindeutig“, was ein weiteres wichtiges Element der Einwilligung nach der Datenschutz-Grundverordnung ist.
Was stattdessen zu tun ist
Bei der Abfrage der Cookie-Zustimmung könnten Sie den Nutzern ein nicht angekreuztes Kästchen anbieten. Es besteht jedoch keine Notwendigkeit, Kästchen zu verwenden – zumindest nicht auf der ersten Ebene Ihres Cookie-Banners. Ein effizienterer und benutzerfreundlicherer Weg, um die Zustimmung einzuholen, sind Schaltflächen.
3. Täuschendes Link-Design
Die Taskforce stellte fest, dass einige Cookie-Banner eine Schaltfläche „Ablehnen“ anbieten, die in Wirklichkeit ein Link ist, der zu einer zweiten Ebene des Cookie-Banners führt.
Wenn der Nutzer also auf „ablehnen“ klickt, wird er zu einer Einstellungsseite weitergeleitet, anstatt Cookies einfach abzulehnen,
Warum dies ein Problem sein könnte
Die Taskforce war nicht einstimmig der Meinung, dass die Verwendung eines Links anstelle einer Schaltfläche zwangsläufig gegen die DSGVO verstößt. Allerdings, waren sich alle Mitglieder einig, dass die Täuschung der Nutzer zur Annahme von Cookies einen Verstoß gegen die Datenschutzgrundverordnung darstellen würde.
Was stattdessen zu tun ist
Verstecken Sie die Option „Ablehnen“ nicht an einem unübersichtlichen Ort. Wie in Tipp 1 erwähnt, sollten die Optionen „akzeptieren“ und „ablehnen“ von vornherein klar sein.
Hier ist ein weiteres gutes Beispiel, von
eBay
:
4. Täuschende Tastenfarben, 5. Irreführender Button-Kontrast
Einige Websites verwenden Farben und Kontraste, um die Nutzer zur Annahme von Cookies zu verleiten.
So kann beispielsweise die Schaltfläche „Akzeptieren“ in einer helleren Farbe als andere Optionen dargestellt werden, wie in diesem Beispiel:
Oder der Kontrast zwischen dem Text und der darunter liegenden Schaltfläche ist so gering, dass der Text schwer zu lesen ist.
Warum dies ein Problem sein könnte
Die Verwendung „trügerischer“ Schaltflächenfarben und -kontraste ist ein gängiges „dunkles Muster“
-eine Designtechnik, die darauf abzielt, den Benutzer dazu zu bringen, eine bestimmte Wahl zu treffen.
Die Mitglieder der Taskforce kamen zu dem Schluss, dass die „Täuschungswirkung“ von Tastenfarben und -kontrasten von Fall zu Fall auf ihre Konformität geprüft werden sollte.
Allerdings,
war sich die Taskforce einig, dass „offensichtlich irreführende“ Schnittstellen rechtswidrig sind
. Ein Beispiel für ein „offensichtlich irreführendes“ Design wäre, wenn der Kontrast den Text auf einer „Ablehnungs“-Schaltfläche „für die Nutzer unlesbar“ machen würde.
Was stattdessen zu tun ist
Um sicherzustellen, dass Ihre Nutzer die GDPR-konforme Zustimmung erteilen, sollten Sie Folgendes in Betracht ziehen
Verwenden Sie die gleiche Farbe für die Schaltflächen „Akzeptieren“ und „Ablehnen“ auf Ihrem Cookie-Banner.
Hier ist ein gutes Beispiel aus der
New York Times
:
6. Behauptetes berechtigtes Interesse, Liste von Zwecken
Viele Websites setzen standardmäßig Cookies, ohne um Zustimmung zu bitten, und stützen sich dabei auf ihre „berechtigten Interessen“.
Die Seite „Cookie-Einstellungen“ listet
viele verschiedene Zwecke und Anbieter
für die sich die Website auf legitime Interessen beruft.
Hier ist ein Beispiel:
Beachten Sie, dass die Kästchen bereits angekreuzt sind. Das „berechtigte Interesse“ ähnelt dem Konzept der „mutmaßlichen Zustimmung“ in einigen anderen Gesetzen. Die Nutzer können der Verarbeitung ihrer Daten „widersprechen“, aber die Verarbeitung erfolgt standardmäßig.
Warum dies ein Problem ist
Wie bereits erwähnt, bedürfen nicht-essentielle Cookies gemäß der Datenschutzrichtlinie für elektronische Kommunikation der Zustimmung. Die Richtlinie bietet keine alternative Rechtsgrundlage für das Setzen von Cookies.
Die Taskforce hat sich in diesem Punkt nachdrücklich geäußert:
Die Rechtsgrundlage für das Setzen von Cookies „können nicht die berechtigten Interessen des für die Verarbeitung Verantwortlichen sein“
.
Wenn sich der Betreiber der Website oder der App auf berechtigte Interessen beruft,
würde jede weitere Verarbeitung personenbezogener Daten, die über Cookies gewonnen wurden, ebenfalls gegen die DSGVO verstoßen
.
Was stattdessen zu tun ist
Die Taskforce hat die Debatte über Cookies und berechtigte Interessen wohl beigelegt. Aber das ist ein weit verbreitetes Problem.
Tausende von Unternehmen, die dem „Transparency and Consent Framework 2.0“ des Interactive Advertising Bureau (IAB) Europe folgen, berufen sich beim Setzen von Cookies auf berechtigte Interessen.
Die Lösung ist einfach: Holen Sie die Zustimmung für Cookies ein.
7. Ungenau definierte „wesentliche“ Cookies
Im Gegensatz zu Marketing- und Analyse-Cookies können die Nutzer „essenzielle“ Cookies nicht ablehnen, da sie für das Funktionieren der Website oder die Bereitstellung der vom Nutzer angeforderten Dienste erforderlich sind.
Die Taskforce stellte jedoch fest, dass
einige Websites nicht wesentliche Cookies als „wesentlich“ einstufen.
Snaps
Das „Cookie-Menü“ ist ein gutes Beispiel dafür, wie diese Unterscheidung zwischen „wesentlichen“ und „unwesentlichen“ Cookies den Nutzern präsentiert werden kann:
Aber einige Websites
(nicht unbedingt die von Snap)
ordnen nicht-essentielle Cookies in die Kategorie „essentiell“ ein und verbieten ihren Nutzern, sie zu deaktivieren.
Warum dies ein Problem sein könnte
Einige Cookies bedürfen gemäß der Datenschutzrichtlinie für elektronische Kommunikation keiner Zustimmung. Die Regeln sind jedoch sehr streng.
Selbst einige Cookies, die für die Sicherheit der Website verwendet werden, fallen nicht unter diese Ausnahmeregelung für die Einwilligung in Cookies. Die Platzierung nicht notwendiger Cookies auf den Geräten Ihrer Nutzer würde gegen die Datenschutzrichtlinie für elektronische Kommunikation verstoßen.
Was stattdessen zu tun ist
Die Taskforce räumt ein, dass die Bestimmung, welche Cookies „wesentlich“ sind, schwierig sein kann. Die verschiedenen Datenschutzbehörden legen die Regeln auch leicht unterschiedlich aus.
Der EDPB bietet einige
Anleitung
darüber, welche Cookies als „wesentlich“ eingestuft werden. Cookies sind nicht „wesentlich“, es sei denn, sie sind es:
- Verwendung „für den alleinigen Zweck der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz“.
- „Streng notwendig, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, den Dienst bereitstellen kann“.
Ein „nutzerzentrierter“ Ansatz für Cookies kann helfen. Cookies, die für Ihre Zwecke als Website-Administrator unerlässlich sind, sind nicht notwendigerweise „wesentlich“ im Sinne der Compliance.
8. Kein „Zurückziehen“-Symbol
Schließlich stellte die Taskforce fest, dass
einige Websites den Nutzern keine bequeme Möglichkeit bieten, ihre Einwilligung zu widerrufen.
Sobald ein Nutzer seine Zustimmung gegeben hat, verschwindet das Cookie-Banner. Wenn der Nutzer seine Meinung ändert, muss er möglicherweise eine Seite mit „Datenschutzeinstellungen“ finden und dort navigieren, um Cookies zu deaktivieren.
Warum dies ein Problem ist
Artikel 7 (3) der Datenschutz-Grundverordnung besagt: „Der Widerruf der Einwilligung muss ebenso einfach sein wie die Erteilung der Einwilligung“. Diese Regel bedeutet, dass Wenn Ihre Nutzer ihre Zustimmung zu Cookies mit einem Klick erteilen können, sollten sie auch in der Lage sein, ihre Zustimmung mit einem Klick zu widerrufen.
Was stattdessen zu tun ist
In der Realität kann es schwierig sein, eine Lösung zu implementieren, die den
Rücknahme der Zustimmung so einfach macht wie die Erteilung der Zustimmung
.
Die Taskforce empfiehlt die Bereitstellung eines kleinen, ständig sichtbaren Symbols auf allen Seiten der Website, das es den betroffenen Personen ermöglicht, zu ihren Datenschutzeinstellungen zurückzukehren, wo sie ihre Einwilligung zurückziehen können“.
Bei diesem Verfahren würde die Rücknahme der Zustimmung in der Regel immer noch mehr Aufwand bedeuten als die Erteilung der Zustimmung. Die Taskforce befürwortet dies jedoch als eine praktische Lösung.
Hier erfahren Sie, wie
die ICO
dies tut:
Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen für die Lektüre und wünschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Geschäft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen können. Testen Sie die Datenschutzpraktiken Ihres Unternehmens,
HIER KLICKEN
und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!