DSGVO- und Cookie-Vorschriften

gavel Die DSGVO und Cookies

Die Datenschutz-Grundverordnung (DSGVO - EU-Verordnung 2016/679) ist die europäische Verordnung zur Regelung der Verarbeitung personenbezogener Daten. Seit dem 25. Mai 2018 in Kraft, hat die DSGVO die Art und Weise revolutioniert, wie Unternehmen Online-Nutzerdaten verwalten müssen.

In Bezug auf Cookies und Tracking-Technologien legt die DSGVO fest, dass die Einwilligung des Nutzers frei, spezifisch, informiert und unmissverständlich sein muss. Dies bedeutet, dass jede Website, die nicht wesentliche Cookies verwendet, vor deren Installation eine ausdrückliche Einwilligung einholen muss.

Wichtig: Die DSGVO gilt für alle Websites, die Daten von Nutzern verarbeiten, die in der Europäischen Union ansässig sind, unabhängig davon, wo das Unternehmen seinen Sitz hat.

Für wen gilt die DSGVO?

Websites und E-Commerce-Plattformen, die EU-Nutzerdaten erfassen
Web- und Mobile-Anwendungen, die Cookies oder Tracking-Technologien verwenden
Plattformen, die Dienste für Nutzer in der Europäischen Union anbieten
Jede Online-Aktivität, die personenbezogene Daten europäischer Bürger verarbeitet

cookie Cookie-Banner: Pflichten und Anforderungen

Das Cookie-Banner ist das Hauptinstrument, mit dem eine Website die Nutzer über die Cookie-Nutzung informiert und deren Einwilligung einholt. Nach geltendem Recht muss das Banner beim ersten Besuch des Nutzers erscheinen und spezifische technische und rechtliche Anforderungen erfüllen.

Pflichtbestandteile des Cookie-Banners

Klare Information: Einfache und verständliche Erklärung, welche Cookies verwendet werden und zu welchem Zweck
Akzeptieren-Schaltfläche: Eine deutliche Schaltfläche zum Akzeptieren aller Cookies
Ablehnen-Schaltfläche: Eine ebenso sichtbare Schaltfläche zum Ablehnen nicht wesentlicher Cookies
Granulare Verwaltung: Die Möglichkeit zu wählen, welche Cookie-Kategorien akzeptiert werden

Achtung: Das Fortsetzen des Browsens oder Scrollen der Seite KANN NICHT als gültige Einwilligung betrachtet werden. Die Datenschutzbehörde hat klargestellt, dass die Einwilligung eine explizite und positive Handlung sein muss.

policy Richtlinien der Datenschutzbehörde 2022

Mit der Verfügung vom 10. Juni 2021 (in Kraft seit 9. Januar 2022) hat die Datenschutzbehörde die neuen „Richtlinien zu Cookies und anderen Tracking-Tools" veröffentlicht. Diese Richtlinien haben wichtige Änderungen eingeführt, die jede Website einhalten muss.

Die wichtigsten Neuerungen

block Präventive Blockierung

Nicht wesentliche Cookies müssen blockiert werden, bis der Nutzer seine ausdrückliche Einwilligung erteilt.

close Ablehnen-Schaltfläche

Das Banner muss eine Ablehnen-Schaltfläche mit der gleichen Sichtbarkeit wie die Akzeptieren-Schaltfläche haben.

tune Granulare Einwilligung

Der Nutzer muss einzeln wählen können, welche Cookie-Kategorien er akzeptiert.

no_encryption Kein Cookie-Wall

Es ist nicht gestattet, den Zugang zur Website von der Cookie-Akzeptanz abhängig zu machen (mit einigen Ausnahmen).

swipe_down Kein Scrollen als Einwilligung

Das Scrollen der Seite kann nicht mehr als gültige Form der Einwilligung betrachtet werden.

settings_backup_restore Widerruf der Einwilligung

Der Nutzer muss seine Einwilligung jederzeit auf einfache und schnelle Weise widerrufen können.

Gültigkeit der Einwilligung

Die Cookie-Einwilligung hat eine maximale Gültigkeit von 6 Monaten, nach deren Ablauf das Banner dem Nutzer erneut angezeigt werden muss. Darüber hinaus muss die Einwilligung dokumentiert und aufbewahrt werden, um die Konformität bei Kontrollen nachweisen zu können.

checklist Technische Anforderungen für die Konformität

Um den Vorschriften zu entsprechen, muss Ihre Website eine Reihe spezifischer technischer Anforderungen erfüllen. Hier ist eine vollständige Liste dessen, was implementiert werden muss:

Cookie Banner

Muss beim ersten Besuch des Nutzers erscheinen
Muss eine klare und verständliche Kurzinformation enthalten
Muss eine Akzeptieren- und eine Ablehnen-Schaltfläche mit gleicher Sichtbarkeit haben
Muss die granulare Verwaltung von Cookie-Kategorien ermöglichen
Muss jederzeit zugänglich sein, um Präferenzen zu ändern
Darf keine irreführenden Praktiken (Dark Patterns) verwenden

Präventive Skriptblockierung

Alle nicht wesentlichen Cookies müssen vor der Einwilligung blockiert werden
Drittanbieter-Skripte (Google Analytics, Facebook Pixel usw.) dürfen erst nach der Einwilligung geladen werden
Die Blockierung muss serverseitig oder über einen Tag Manager implementiert werden
Technische Cookies, die für den Betrieb der Website erforderlich sind, sind von der Blockierung ausgenommen

Einwilligungsregister

Jede Einwilligung muss mit Zeitstempel registriert werden
Es muss möglich sein, den Nutzer zu identifizieren, der die Einwilligung erteilt hat
Die geäußerten Präferenzen müssen aufbewahrt werden
Das Register muss für eventuelle Prüfungen durch die Behörde zugänglich sein

Erforderliche Dokumentation

Aktualisierte und detaillierte Datenschutzerklärung
Cookie-Richtlinie mit vollständiger Liste der verwendeten Cookies
Verzeichnis der Verarbeitungstätigkeiten (für Unternehmen mit mehr als 250 Mitarbeitern)

history Das Einwilligungsarchiv

Das Einwilligungsarchiv (oder Einwilligungsregister) ist eine durch die DSGVO eingeführte Verpflichtung, die von Verantwortlichen verlangt, nachweisen zu können, dass die Einwilligung tatsächlich eingeholt wurde. Dies gilt nicht nur für Cookies, sondern für jede Form der online gesammelten Einwilligung.

Art. 7 DSGVO: „Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat."

Was bedeutet das in der Praxis?

Jedes Mal, wenn ein Nutzer mit einem Einwilligungsmechanismus auf Ihrer Website interagiert (Cookie-Banner, Kontaktformular, Newsletter-Anmeldung usw.), müssen Sie einen Nachweis dieser Einwilligung aufbewahren. Dieser Nachweis muss umfassen, wer die Einwilligung erteilt hat, wann, wozu und wie.

Welche Einwilligungen archivieren?

Alle über Ihre Website gesammelten Einwilligungen müssen archiviert und aufbewahrt werden. Hier sind die wichtigsten:

cookie Cookie-Einwilligung

Jede Interaktion mit dem Cookie-Banner muss mit den geäußerten Präferenzen aufgezeichnet werden.

mail Kontaktformular

Die über Kontaktformulare erteilte Einwilligung zur Datenverarbeitung.

newspaper Newsletter

Die Newsletter-Anmeldung mit Einwilligungsnachweis (Double-Opt-in).

shopping_cart E-Commerce

Einwilligungen zu Nutzungsbedingungen, Marketing und Profiling.

person_add Benutzerregistrierung

Die bei der Kontoerstellung erteilte Einwilligung.

campaign Marketing & Profiling

Spezifische Einwilligungen für Direktmarketing- und Profiling-Aktivitäten.

Registerinhalt

Jeder Eintrag im Einwilligungsregister muss folgende Informationen enthalten:

Nutzerkennung: E-Mail, Benutzer-ID oder andere eindeutige Kennung
Zeitstempel: Genaues Datum und Uhrzeit der Einwilligungserteilung
Art der Einwilligung: Cookie, Datenschutzrichtlinie, Marketing usw.
Informationsversion: Welcher Version der Datenschutz-/Cookie-Richtlinie der Nutzer zugestimmt hat
Methode: Wie die Einwilligung eingeholt wurde (Banner, Formular, Kontrollkästchen usw.)

Achtung: Die fehlende Aufbewahrung von Einwilligungen kann zu erheblichen Sanktionen führen. Bei einer Inspektion müssen Sie nachweisen können, dass jede Einwilligung rechtmäßig eingeholt wurde.

Consentio automatisiert die Erfassung und Archivierung aller Einwilligungen und erstellt ein vollständiges, prüfungssicheres Register, das jederzeit für Inspektionen verfügbar ist.

warning Sanktionen bei Nichteinhaltung

Die Nichteinhaltung der DSGVO-Vorschriften und der Richtlinien der Datenschutzbehörde kann zu sehr schweren Verwaltungsstrafen führen. Die Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes des Unternehmens oder bis zu 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist.

Höchststrafe: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Beispiele für Sanktionen in Italien

Fehlendes Cookie-Banner: Strafen von 10.000 € bis 120.000 €
Cookies ohne Einwilligung installiert: Strafen von 6.000 € bis 36.000 € pro Verstoß
Unzureichende Datenschutzerklärung: Strafen von 6.000 € bis 36.000 €
Fehlende Einwilligungsregistrierung: Strafen bis zu 20.000.000 € oder 4 % des Umsatzes
Nicht konforme Datenübertragung außerhalb der EU: Strafen bis zu 20.000.000 € oder 4 % des Umsatzes

Riskieren Sie keine Sanktionen, die Ihr Unternehmen in die Knie zwingen könnten. DSGVO-Konformität ist keine Option, sondern eine gesetzliche Pflicht. Consentio hilft Ihnen, in wenigen Minuten konform zu werden.

analytics Google Consent Mode v2

Ab März 2024 verlangt Google, dass alle Websites, die Google-Dienste (Analytics, Ads, Tag Manager) nutzen, den Consent Mode v2 implementieren. Ohne diese Implementierung könnten Konversions- und Analysedaten verloren gehen.

Was ist der Consent Mode?

Google Consent Mode ist eine API, die es ermöglicht, Google den Einwilligungsstatus der Nutzer mitzuteilen. Basierend auf der erhaltenen Einwilligung passt Google das Verhalten seiner Tags und Dienste an und gewährleistet so den Schutz der Privatsphäre der Nutzer.

Ab März 2024: Google verlangt die Implementierung des Consent Mode v2, um weiterhin Konversions- und Remarketing-Daten im Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich zu erfassen.

Parameter des Consent Mode v2

ad_storage: Steuert die Verwendung von Cookies für Werbung
analytics_storage: Steuert die Verwendung von Cookies für Analysen
ad_user_data: Steuert das Senden von Nutzerdaten an Google für Werbung
ad_personalization: Steuert die Personalisierung von Anzeigen

Consentio ist zertifiziert als CMP (Consent Management Platform) kompatibel mit Google Consent Mode v2. Die Integration ist automatisch und erfordert keine zusätzliche Konfiguration.