Letzte Woche haben wir über Cookies und ihre Regulierung durch das EU-Recht gesprochen und erwähnt, dass nicht wesentliche Cookies eine Zustimmung erfordern. Dies sind die Art von Cookies, die Cookie-basierte Webanalysedienste wie Google Analytics und Adobe Analytics betreiben. Heute werden wir uns näher mit dem Thema Einwilligung befassen und was dies speziell für Webanalysen bedeutet.
- Wie sieht eine Cookie-Einwilligung aus?
- Die Zustimmung ist spezifisch
- Was sind die häufigsten Probleme mit der Einwilligung?
- Schlussfolgerungen
Tauchen wir ein!
Kurz und bündig zu Einwilligung und Cookies
Bevor wir einsteigen, sollten wir uns einen allgemeinen Überblick über die Themen Einwilligung und Cookies verschaffen:
- Webanalyse-Cookies benötigen immer eine Einwilligung, da sie nicht essenziell sind.
- Die GDPR-Einwilligung ist nur dann gültig, wenn sie bestimmte Kriterien erfüllt: Sie muss freiwillig erteilt werden, spezifisch, in Kenntnis der Sachlage, unmissverständlich und widerrufbar sein.
Analyse-Cookies erfordern also eine Einwilligung, und diese Einwilligung muss bestimmten Standards entsprechen. Das bedeutet, dass Ihr Cookie-Banner auf eine bestimmte Weise gestaltet sein muss. Aber das ist noch nicht alles, und während die meisten Regeln unumstritten sind, werden einige in der Rechtsgemeinschaft heiß diskutiert.
Lassen Sie uns eintauchen!
Wie sieht eine Cookie-Einwilligung aus?
Die Zustimmung ist unzweideutig
Kurz gesagt bedeutet die Forderung der Datenschutz-Grundverordnung nach einer eindeutigen Einwilligung, dass nur eine aktive Einwilligung gültig ist , für die man sich entschieden hat. Eine implizite oder Opt-out-Einwilligung gibt es nach der DSGVO nicht.
Die Regel der Einwilligung hat wichtige Konsequenzen für Cookie-Banner. Ein gut gestalteter Cookie-Banner verwendet eine bestätigende Formulierung wie "Ich akzeptiere Cookies" oder "Ich stimme der Verwendung von Cookies zu". Dies unterscheidet sich von der bloßen Kenntnisnahme oder dem Verständnis, dass Cookies verwendet werden.
Darüber hinaus schreibt eine gut gestaltete Website keine Cookies, bis die Benutzer eine Entscheidung getroffen haben. Das Ignorieren eines Banners oder das Klicken auf die Schaltfläche "Schließen", um es zu ignorieren, stellt niemals eine Zustimmung dar oder impliziert eine solche.
Die Zustimmung ist spezifisch
Eine Einwilligung ist nur gültig, wenn sie für einen bestimmten Zweck erteilt wird. Dies bedeutet, dass die Zustimmung granular sein muss: Wenn dieselben Cookies für mehrere Zwecke verwendet werden, sind mehrere Zustimmungen erforderlich - eine für jeden Zweck.
In der Praxis ist es am besten, wenn Sie Ihre Webanalyse-Cookies nur für die Webanalyse verwenden, um eine granulare Einwilligung zu erhalten. Auf diese Weise können Sie eine separate Einwilligung für andere Cookies, wie z. B. Cookies zur Benutzerauthentifizierung, einholen und wichtige Cookies ohne die Einwilligung der Benutzer schreiben (was rechtlich absolut in Ordnung ist).
Die Einwilligung ist informiert
Diese Anforderung ist intuitiv: Wenn ich nicht weiß, wozu ich zustimme, dann stimme ich nicht wirklich sinnvoll zu. Ich muss nicht unbedingt all die kleinen technischen Details Ihrer Webanalyse verstehen, aber ich muss die Fakten verstehen , die für meine Entscheidung wirklich wichtig sind: Wer nimmt meine Daten, welche Daten werden genommen, zu welchem Zweck und mit welchen möglichen Folgen.
In der Praxis bedeutet dies, dass ein Cookie-Banner Folgendes enthalten sollte
- Dem Nutzer mitteilen, wozu die Cookies dienen.
- Eine klare, verständliche und präzise Sprache verwenden.
- Dem Nutzer mitteilen, mit wem seine persönlichen Daten geteilt werden. Bei Google Analytics schließt dies Google und seine Werbepartner ein.
Diese Informationen müssen prägnant und in einfachem Englisch sein. In der Praxis ist es in der Regel eine gute Idee, die wichtigsten Informationen über den Cookie-Banner zu übermitteln und auf eine Cookie-Richtlinie mit ausführlicheren Informationen zu verweisen.
Zustimmung kann zurückgezogen werden
Die Zustimmung ist widerrufbar. Sie sollten den Nutzern die Möglichkeit geben, ihre Cookie-Einstellungen zu überprüfen und Cookies, denen sie zugestimmt haben, einfach zu widerrufen.
Bitte beachten Sie, dass der Widerruf der Zustimmung manchmal mit einem Antrag auf Löschung einhergeht. In diesem Fall erhalten Sie eine Frist für die Löschung aller Daten des Antragstellers. Damit sind alle Webanalysedaten gemeint, die sich auf ihre Cookies und die darin enthaltene eindeutige ID beziehen.
Die meisten Unternehmen denken bei der Einrichtung ihrer Webanalyse nicht an diese Dinge und haben keine Ahnung, was zu tun ist, wenn sie einen Antrag auf Löschung erhalten. Wir können hier nicht zu sehr in die Tiefe gehen, aber eine Organisation sollte zumindest:
- ein klares Verfahren für die Bearbeitung von Anfrageneinrichten
- sicherstellen, dass sie Daten von einzelnen Nutzern problemlos abrufen und löschen kann. Für die Webanalyse bedeutet dies, dass die Datenpunkte nach eindeutigen IDs gefiltert werden können.
Die Zustimmung wird freiwillig erteilt
Die Datenschutz-Grundverordnung verlangt, dass jede Einwilligung freiwillig gegeben werden muss. Aus diesem Grund kann Ihr Krankenhaus nicht die Zustimmung zur Verwendung Ihrer Daten als Voraussetzung für die Gesundheitsversorgung einholen, und Arbeitgeber sollten davon absehen, ihre Mitarbeiter Einwilligungsformulare zur DSGVO unterschreiben zu lassen. Sie haben keine sinnvolle Wahl, wenn die Verweigerung der Einwilligung den Tod oder den Verlust Ihres Arbeitsplatzes bedeutet.
Was sind die häufigsten Probleme mit der Einwilligung?
In letzter Zeit sind zwei Probleme mit der Einhaltung von Vorschriften im Zusammenhang mit Webanalysen aufgetaucht. Täuschende Cookie-Banner sind überall im Internet zu finden und versuchen, die Nutzer dazu zu bringen, Cookies zu akzeptieren, die sie eigentlich nicht wollen, während Cookie-Walls von den Besuchern verlangen, dass sie dafür bezahlen, um Cookies loszuwerden.
Beide Themen sind in der Datenschutzgemeinde ziemlich umstritten. Schauen wir uns an, was es damit auf sich hat und was es für die Webanalyse bedeutet
Irreführende Banner
Die Annahme von Cookies ist immer kinderleicht, aber wenn man sie ablehnen will, muss man in der Regel einige Hürden nehmen. Dies ist eine bewusste Designentscheidung: Viele Banner drängen die Nutzer dazu, Cookies zu akzeptieren, indem sie den Ablehnungsprozess so lästig, verwirrend und zeitaufwändig wie möglich gestalten. Die Besucher geben oft nach, weil sie nicht die Zeit oder die Geduld haben, sich aus jedem Cookie-Banner, das sie sehen, herauszuwinden.
Täuschende Designs scheinen eine gute Lösung für Websites zu sein. Schließlich hat der Benutzer ja auf "Ich akzeptiere" geklickt, also sollte alles in Ordnung sein. Oder? Nicht ganz. Wenn die Zustimmung durch Täuschung und Erschöpfung erpresst wurde, dann ist sie weder frei noch unmissverständlich.
Glücklicherweise hat der Europäische Datenschutzausschuss gegen betrügerische Cookie-Banner Stellung bezogen. Seine Haltung ist nicht einstimmig, wird aber von der großen Mehrheit der Durchsetzungsbehörden geteilt. Auch die Durchsetzung wird langsam ernsthaft in Angriff genommen.
Fazit: Wenn Sie wirklich Cookie-basierte Analysen verwenden müssen, sollten Sie sich auf die richtige Seite des Gesetzes stellen und dafür sorgen, dass Ihre Cookies leicht zurückzuweisen sind. Stellen Sie sicher, dass die Schaltfläche "Alle ablehnen" deutlich sichtbar und klar formuliert ist und sich auf der ersten Ebene der Benutzeroberfläche des Banners befindet!
(Und ja, das bedeutet, dass viele Nutzer Ihre Cookies ablehnen werden ).
Cookie-Wände
Einige Cookie-Banner enthalten keine Schaltfläche "Alle Cookies ablehnen" und bieten stattdessen eine andere Wahl an: Die Nutzer können entweder Cookies akzeptieren oder ein kostenpflichtiges Abonnement abschließen, das es ihnen ermöglicht, die Website ohne Cookies zu besuchen. Mit anderen Worten: Zahlen Sie mit Ihrem Geld, zahlen Sie mit Ihren Daten, oder gehen Sie. Diese Banner werden als Cookie-Walls bezeichnet und in der Regel von digitalen Zeitungen verwendet.
Cookie-Walls führen zu einer Kommerzialisierung persönlicher Daten, die ein Teil der Datenschutzgemeinde bestenfalls als unerwünscht und schlimmstenfalls als rechtswidrig betrachtet. Befürworter von Cookie-Walls argumentieren, dass Verlage Inhalte nicht kostenlos anbieten können und auf Werbeeinnahmen angewiesen sind, um ihre Arbeit aufrechtzuerhalten. Kritiker von Cookie-Walls verweisen auf kontextbezogene Werbung als alternative Einnahmequelle für Verlage und merken an, dass ein Grundrecht wie der Datenschutz nicht kommerzialisiert werden kann (womit sie übrigens Recht haben).
In der Praxis kann die Reichweite von Cookie-Walls je nach Gerichtsbarkeit variieren. Beispielsweise werden Cookie-Walls von vielen deutschen Nachrichtensendern verwendet, weil die Aufsichtsbehörden in dieser Hinsicht etwas nachsichtiger sind.
Wir halten nichts von Cookie-Walls, aber wenn Sie wirklich eine einführen wollen, ist es vielleicht ratsam, noch eine Weile zu warten. Meta hat sich ein Beispiel an den Nachrichtenagenturen genommen und ein kostenpflichtiges Abonnementsystem eingeführt, um seine aggressive, auf Überwachung basierende Werbung zu rechtfertigen. Die europäischen Regulierungsbehörden werden bald zu Metas Ansatz Stellung nehmen müssen, und wenn sie das getan haben, wird wahrscheinlich auch ihre Position zu Cookie-Walls klarer werden.
(Nebenbei bemerkt: Pay-or-ok ist eine wirklich große Sache für die Zukunft der GDPR! Wenn Sie sich für dieses wichtige Datenschutzthema interessieren, lesen Sie bitte unseren Blog über Meta-Abonnements).
Schlussfolgerungen
Insgesamt sind die Zustimmungsregeln für Webanalysen in der EU ziemlich streng. Daraus ergibt sich ein Problem für Cookie-basierte Analysen: Strategien, die zu guten Opt-in-Raten für Cookies führen, verstoßen wahrscheinlich gegen das Gesetz. Websites stecken in der Zwickmühle, denn sie müssen sich zwischen niedrigen Opt-in-Raten und einem Compliance-Risiko entscheiden.
Aus diesem Grund gehen viele Unternehmen zu kochfreien Analyselösungen über. Und wir sind stolz darauf, die datenschutzfreundlichste Lösung anbieten zu können!
Simple Analytics ist die cookielose Webanalyselösung, die keine persönlichen Daten sammelt. Das macht es trivial, die GDPR und andere Datenschutzgesetze einzuhalten. Dank unserer intuitiven Benutzeroberfläche und unseres praktischen KI-Assistenten ist unser Service außerdem leicht zu erlernen und zu navigieren. Wenn sich das für Sie gut anhört, probieren Sie uns doch einfach mal aus!