1. DSGVO-konforme Websites – Was ist die DSGVO?
Die Allgemeine Datenschutz-Grundverordnung (DSGVO) ist das inzwischen weithin bekannte EU-Gesetz zur Festlegung eines einheitlichen Standards des Datenschutzrechts in der Europäischen Union.
Sie bildet die rechtliche Grundlage für den Schutz natürlicher Personen und ihrer Rechte auf Privatsphäre im Hinblick auf die Verarbeitung und den Austausch personenbezogener Daten. Mit anderen Worten: Sie regelt, wie Unternehmen und Organisationen die personenbezogenen Daten europäischer Bürger verarbeiten dürfen. In gewisser Weise ist die DSGVO der erste einheitliche, rechtliche Schritt zur Entwicklung eines Verständnisses dessen, was Daten eigentlich sind. Daten allgemein und die Speicherung von Informationen insbesondere sind seither verstärkt in das Bewusstsein der Bevölkerung gerückt.
Die Daten, die wir mit unserem Online-Verhalten erzeugen, gehören letztendlich auch uns – den Nutzern im Internet. Der Einsatz von Cookies erfordert somit unsere Einwilligung als betroffene Personen.
Bei DSGVO-konformen Websites sind die Privatsphäre und Anonymität der betroffenen Personen geschützt.
Die DSGVO ist zwar ein europäisches Gesetz, aber ihr Zweck sind der Datenschutz und die Sicherung des Rechts auf Privatsphäre für alle Bürger, die in der Europäischen Union ansässig sind, und zwar egal, auf welcher Website sie surfen. Daher müssen alle Websites weltweit, die für europäische Bürger zugänglich sind und ihre personenbezogenen Daten verarbeiten, die DSGVO einhalten.
Insgesamt verleiht die DSGVO den EU-Bürgern acht individuelle Rechte, darunter das Recht, dass ihre personenbezogenen Daten nicht ohne vorherige Einwilligung gesammelt und verarbeitet werden dürfen.
EDSA-Leitlinien zum Einsatz von Cookies
Am 4. Mai 2020 verabschiedete der Europäische Datenschutzausschuss EDSA (englisch: European Data Protection Board [EDPB]) Leitlinien, die klarstellen, wie eine gültige Einwilligung zum Zugriff auf Informationen und zur Verarbeitung personenbezogener Daten in der EU aussieht.
In den EDSA-Leitlinien ist deutlich aufgeführt, dass das Scrollen oder fortgesetzte Browsen auf einer Website („implizite Einwilligung“) keine gültige Einwilligung darstellt und dass Cookie-Banner keine vorab angekreuzten Checkboxen haben dürfen.
Cookie-Walls (erzwungene Einwilligungen) werden auch als eine nicht datenschutzkonforme Methode zur Einholung der Einwilligung der Nutzer zur Verarbeitung personenbezogener Daten angesehen.
Der EDSA ist das höchste Aufsichtsorgan mit der Aufgabe, die kohärente Auslegung, Anwendung und Durchsetzung der DSGVO in der gesamten Europäischen Union sicherzustellen.
Dieser Datenschutzausschuss setzt sich aus Vertretern der Datenschutzbehörden der einzelnen EU-Länder zusammen. Seine Leitlinien und Entscheidungen bilden die rechtliche Grundlage für die Durchsetzung der DSGVO-Konformität in ganz Europa.
Google Consent Mode und Cookiebot™
Wenn Ihre Website Google-Dienste (wie z. B. Google Analytics oder Google Ads) nutzt, ist es mit dem Google Consent Mode viel einfacher geworden, DSGVO-konform zu werden, ohne wertvolle Analysen für das Marketing zu verlieren. Mit diesem Consent Mode können Sie alle Google-Dienste auf Ihrer Website auf der Grundlage des Einwilligungsstatus der Nutzer ausführen. Die Google-Tags passen sich an die vorherige Einwilligung der Nutzer an und erfassen deren Daten dementsprechend.
Falls die betroffenen Personen dem Einsatz von einzelnen Cookies – ob optionale oder notwendige Cookies – nicht zustimmen sollten, erhalten Sie dennoch wertvolle aggregierte und nicht-identifizierende Analysen über Ihre Website und Conversion Rates.
Nutzer, die diesem Einsatz von Cookies nicht zugestimmt haben, sehen keine personalisierte Werbung, sondern kontextbezogene Anzeigen.
Der Google Consent Mode und die Cookiebot CMP lassen sich nahtlos integrieren.
Durch die Verwendung der Cookiebot CMP zur Anfrage und Einholung der vorherigen Einwilligung zur Verarbeitung personenbezogener Daten und Speicherung von Informationen können Sie auf Ihrer Website mit diesem Einwilligungsstatus alle bevorzugten Google-Dienste auf einfache und optimierte Weise ausführen lassen.
Checklisten für DSGVO-konforme Websites
Wir sind uns bewusst, dass Sie als Website-Betreiber auf der Suche nach einer Consent-Management-Lösung in der Fülle von Informationen ertrinken können, und dass einfache DSGVO-Checklisten Ihnen dabei helfen können, DSGVO-Konformität zu erreichen.
Im folgenden Abschnitt stellen wir Ihnen einige DSGVO-Checklisten zum Thema Cookies und Datenschutz auf Ihrer Website vor.
DSGVO-konform werden: Checkliste für gültige Einwilligungen
Diese Checkliste bietet einen Überblick zur Einholung einer gültigen Einwilligung einer betroffenen Person für bestimmte Cookies und zur Datenverarbeitung. So wird die Cookie-Einwilligung DSGVO-konform:
- Vor der Verarbeitung personenbezogener Daten
Die Einwilligung muss vor der ersten Datenverarbeitung erfolgen. Für einzelne Cookies bedeutet dies, dass diese bestimmten Cookies erst dann ausgeführt werden dürfen, wenn eine ordnungsgemäße vorherige Einwilligung vorliegt. - Transparent und leserlich
Die Einwilligung zur Verwendung von notwendigen und optionalen Cookies muss auf Grundlage genauer und spezifischer Informationen darüber erteilt werden, wie, warum und von wo aus die Daten verarbeitet werden. Dies muss in verständlicher und zugänglicher Form sowie in einfacher Sprache erfolgen. - Freiwillige Cookie-Einwilligung
Die Einwilligung für einzelne Cookies muss freiwillig erteilt werden und darf niemals als Voraussetzung für die Inanspruchnahme einer Dienstleistung oder die Erfüllung eines Vertrags sein, für welche die verarbeiteten Daten der betroffenen Person nicht erforderlich sind. - Dokumentation
Jede erteilte Einwilligung einer betroffenen Person muss als Nachweis gespeichert sein, so dass die Einwilligung im Falle einer Kontrolle nachgewiesen werden kann. - Umkehrbar
Die betroffenen Personen müssen ihre Einwilligung für einzelne Cookies jederzeit widerrufen können. Dieses Recht auf Zurückziehen der ursprünglichen Einwilligung für bestimmte Cookies muss auf einfache Weise ausgeübt werden können. Website-Betreiber dürfen dies für die betroffenen Personen nicht unnötig kompliziert gestalten. - Erneuerbar
Die Einwilligung zum Einsatz von Cookies muss jährlich erneuert werden. Einige nationale Datenschutzvorschriften empfehlen jedoch eine Erneuerung in kürzeren Abständen, z. B. alle 6 Monate. Informieren Sie sich über die Bestimmungen Ihrer lokalen Datenschutzvorschriften.
Mehr über die Einwilligung finden Sie in Artikel 7 der DSGVO.
DSGVO-konform werden: Checkliste zu den rechtlichen Anforderungen für Websites
In dieser Checkliste zeigen wir Ihnen, was Sie auf Ihrer Website haben müssen, um die Vorschriften der DSGVO zu Cookies und Tracking einzuhalten:
- Datenschutzkonformes Banner zur Einholung von Cookie-Einwilligungen
- Aktuelle und spezifische Cookie-Erklärung
- Sichere Speicherung aller erteilten Einwilligungen
- Möglichkeit zum Widerruf der Einwilligung durch eine betroffene Person
Mit einer sofort einsetzbaren Lösung, wie z. B. der Cookiebot CMP, lässt sich der DSGVO-konforme Einsatz von notwendigen und optionalen Cookies sicherstellen. Wir statten Ihre Website mit allen oben genannten Punkten aus, damit Sie die Vorschriften der DSGVO zu Cookies einhalten können.
DSGVO-konform werden: Checkliste zum Umgang mit personenbezogenen Daten
In dieser DSGVO-Checkliste listen wir die Anforderungen an den Umgang mit den personenbezogenen Daten einer betroffenen Person auf.
Die Daten müssen:
- rechtmäßig, fair und in transparenter Weise in Bezug auf die betroffene Person verarbeitet werden.
- für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden; und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
- angemessen, sachdienlich und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt werden (auch als Datenminimierung bekannt).
- genau und, wenn nötig, auf dem neuesten Stand sein.
- in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die beabsichtigten Zwecke erforderlich ist.
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.
Mehr über den Umgang mit personenbezogenen Daten finden Sie in Artikel 5 der DSGVO.
Probieren Sie den kostenlosen DSGVO-Konformitätstest von Cookiebot aus.
DSGVO-konform werden: Checkliste mit rechtlichen Grundlagen für die Datenverarbeitung
Eine weitere nützliche Checkliste zur Einhaltung der DSGVO-Vorschriften an einzelne Cookies und die Verarbeitung personenbezogener Daten allgemein ist unsere Checkliste mit den rechtlichen Grundlagen für die Datenverarbeitung.
Für die meisten Websites ist die rechtliche Grundlage der Einwilligung relevant. Aber es gibt auch noch weitere Grundlagen für die Datenverarbeitung in der Europäischen Union.
In dieser DSGVO-Checkliste finden Sie die rechtlichen Grundlagen für die Verarbeitung von Daten, wie sie die DSGVO – und somit auch der deutsche Gesetzgeber – verlangt:
- Einwilligung: Die betroffene Person gibt ihre unmissverständliche und freie Einwilligung zur Verarbeitung ihrer Daten.
- Vertrag: Die Datenverarbeitung ist notwendig, um einen Vertrag mit der betroffenen Person auszuführen, vorzubereiten oder abzuschließen.
- Rechtliche Verpflichtung: Die Datenverarbeitung ist notwendig, um einer rechtlichen Verpflichtung nachzukommen.
- Leben retten: Die Datenverarbeitung kann notwendig sein, um das Leben eines Menschen zu retten.
- Berechtigtes Interesse: Dies ist wohl die flexibelste aller Rechtsgrundlagen zur Datenverarbeitung. Sie ist in Artikel 6 der DSGVO ausführlicher erläutert.
Bei der Verarbeitung personenbezogener Daten von EU-Bürgern muss eine der oben genannten Rechtsgrundlagen gegeben sein. Ist dies nicht der Fall, ist es Ihnen nicht gestattet, personenbezogene Daten zu verarbeiten.
2. DSGVO-Konformität: Wie lauten die Regeln für Cookies?
Wenn Ihre Website Informationen von EU-Bürgern verarbeitet, müssen Sie vor der Aktivierung von eingesetzten Cookies die Einwilligung der Nutzer einholen. So verlangt es die DSGVO.
Dies ist der Kern dessen, was die DSGVO über die Verwendung von auf Websites eingesetzten Cookies vorschreibt. Diese Einwilligung ist ein wichtiger Bestandteil des Schutzes personenbezogener Daten. Setzen Sie daher entsprechende organisatorische Maßnahmen um.
Zur Erinnerung: Was sind Cookies?
Cookies sind Textdateien, die im Browser eines Besuchers von Websites mit der Absicht gesetzt werden, ihn bzw. sein Verhalten zu tracken. Es gibt notwendige Cookies, die für das effiziente Betreiben einer Website erforderlich sind, und optionale Cookies, die beispielsweise für personalisierte Werbung eingesetzt werden.
Die Verwendung von Cookies und ähnlichen Tracking-Technologien unterliegt den Regeln und Vorschriften zum Schutz personenbezogener Daten und der Privatsphäre, die in der DSGVO festgelegt sind.
Viele Website-Betreiber haben selbst kein vollständiges Bild davon, welche Cookies auf ihrer Website in Betrieb sind. Dies liegt an der Natur von Cookies – sie können aus erster oder dritter Quelle stammen, temporär oder permanent sein und einer Vielzahl verschiedener Zwecke dienen.
Die eingesetzten Cookies ändern sich. Daher ist es wichtig, einzelne Cookie-Arten immer wieder zu überprüfen.
Wann sind Cookies also DSGVO-konform?
Cookies allein können im Grunde nicht datenschutzkonform sein. Entscheidend ist, wie Sie einzelne Cookies einsetzen. Die Cookie-Vorgaben in der DSGVO beziehen sich nicht auf die Technologie der Cookies an sich. Cookies sind nicht von sich aus illegal.
Ob Cookies DSGVO-konform sind, hängt davon ab, wie und zu welchem Zweck Sie notwendige und optionale Cookies auf Ihrer Website einsetzen.
Damit die Cookies DSGVO-konform sind, müssen die spezifischen Regeln eingehalten werden, die für die Verwendung von Cookies und ähnlichen Tracking-Technologien festgelegt sind. Auch wenn das Wort „Cookie“ im offiziellen DSGVO-Gesetzestext (unter Erwägungsgrund 30) nur einmal erwähnt wird, so wird doch sehr klar festgelegt, wie eine Website mit Nutzerdaten und den personenbezogenen Informationen ihrer Besucher umgehen muss.
Der Kern der Datenschutzkonformität im Sinne der DSGVO für Websites lässt sich in folgender Aussage zusammenfassen:
Sie müssen die freiwillig erteilte Einwilligung Ihrer Nutzer einholen und sicher speichern, bevor eine Verarbeitung ihrer Daten auf Ihrer Website erfolgen kann.
Website-Tracking, wie z. B. Analyseprogramme und Marketingschemata, müssen den DSGVO-Anforderungen entsprechen. Vorab angekreuzte Marketing-Cookies als Standard sind also nicht zulässig.
3. DSGVO-Konformität – Consent Manager und Compliance-Bot
Wenn Sie also eine Website haben, sind Sie wahrscheinlich inzwischen davon überzeugt, dass Sie Datenschutzkonformität erreichen müssen.
Die Cookiebot CMP ist die weltweit führende DSGVO-konforme Consent Management-Lösung. Unsere Scantechnologie findet alle Cookies und ähnliche Trackingverfahren auf Ihrer Website und blockiert sie dann automatisch, bis Ihre Nutzer ihre Einwilligung gegeben haben.
Die Cookiebot CMP bietet folgende Features:
- Monatlicher Website-Scan mit vollständiger Cookie- und Tracking-Erkennung
- Cookie-Bericht mit vollständiger Offenlegung aller Cookies und des Trackings, der als DSGVO-konforme Cookie-Richtlinie verwendet werden kann
- Automatisch aktualisierte Cookie-Erklärung für die DSGVO-konforme Datenschutzerklärung Ihrer Website
- Anpassbares Cookie-Banner, das alle Cookies in vier verständlichen Kategorien anzeigt, die die Nutzer direkt im Banner aktivieren und deaktivieren können
- Sichere Speicherung aller erteilten Einwilligungen einer betroffenen Person
- Jährliche Erneuerung der Einwilligung beim ersten erneuten Besuch auf der Website
- Widerrufsmöglichkeit (oder Änderung des Einwilligungsstatus) für Nutzer direkt in der Cookie-Erklärung
Die Cookiebot CMP ist einfach und schnell zu bedienen und wird aus der Cloud in den Quellcode Ihrer Website implementiert. Wir ermöglichen DSGVO-Konformität in Bezug auf Cookies und Tracking.
Ist Ihre Website DSGVO-konform? Testen Sie unsere Cookie-Consent-Lösung noch heute kostenlos.
Was ist eine DSGVO-konforme Cookie-Mitteilung?
Eine DSGVO-konforme Cookie-Mitteilung bietet vollständige Transparenz und Offenlegung über die auf der Website verwendeten Cookies. Dabei darf sie die betroffenen Personen, die ihre Einwilligung erteilen, nicht überfordern (eine tatsächliche Anforderung in der DSGVO in Artikel 7).
Ein entsprechendes Consent-Banner informiert die Nutzer darüber, welche Cookies aktuell verwendet werden, welchem Zweck sie dienen, für welchen Zeitraum sie gelten und aus welcher Quelle sie stammen sowie über die Möglichkeit, ihre Aktivierung zu verhindern.
Ein datenschutzkonformes Consent-Banner hat auch keine vorab angekreuzten Checkboxen in jeglichen Kategorien von Cookies, außer denen, die für die Grundfunktion der Website unbedingt erforderlich sind. Die Nutzer müssen, wie gesagt, auch die Möglichkeit haben, ihre Einwilligung leicht zu widerrufen, wenn sie ihre Meinung ändern.
Finden Sie heraus, welche Cookie-Texte und Cookie-Hinweise Sie in das Banner hinzufügen müssen.
Die Cookie-Mitteilung wird beim ersten Besuch auf der Website angezeigt, und dann erneut, wenn ein Nutzer den Cookies zugestimmt hat, alle 12 Monate beim ersten erneuten Besuch.
Ihre Nutzer können die verschiedenen Cookie-Kategorien direkt im Banner aktivieren und deaktivieren. Detaillierte Informationen über alle Cookies werden direkt im Banner angezeigt (durch Maximieren der jeweiligen Kategorie).
Die Cookiebot CMP ermöglicht Ihren Nutzern eine wirksame Einwilligung und Ihnen und Ihren Domains Datenschutzkonformität.
4. DSGVO-Konformität: Was sind die Konsequenzen einer Nichteinhaltung?
Die Konsequenzen, die sich aus der Nichteinhaltung der DSGVO ergeben, können schwerwiegend sein. Und zwar nicht nur für Ihre Nutzer und deren Privatsphäre, die durch Dritte und deren Datensammler verletzt werden könnte, sondern auch für Sie und Ihre Website oder Ihr Unternehmen. Strafrechtliche Verurteilungen sind durchaus möglich.
DSGVO-Geldstrafen
Die DSGVO hat eine ziemlich harte Durchsetzungskraft – mit Geldstrafen von bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro – je nachdem, welcher Betrag höher ist.
Die entscheidende Regelung in Bezug auf Strafen in der DSGVO ist die, dass der „jeweils höchste Wert“ gilt – und dieser kann in der Tat sehr hoch sein!
Die höchsten Bußgelder, die seit dem Vollstreckungstermin der DSGVO im Mai 2018 verhängt wurden, sind 50.000.000 € gegen Google in Frankreich, 35.258.708 € gegen H&M in Deutschland, 27.800.000 € gegen TIM in Italien und 22.046.000 € gegen British Airways in Großbritannien.
Aber diese hohen Bußgelder der DSGVO könnten am Ende dazu führen, dass kleinere Unternehmen und Websites ein falsches Gefühl der Sicherheit entwickeln, da sie denken, dass die Datenschutzbehörden nur darauf aus sind, die größten Fische im Datenozean zu fangen.
Tatsächlich werden in der gesamten EU fast täglich Bußgelder im Rahmen der DSGVO erhoben, und die Mehrheit der Bußgelder im Rahmen der DSGVO sind nicht empfindliche Bußgelder gegen große Unternehmen, sondern Beträge zwischen 4.000 € und 50.000 € gegen kleinere Unternehmen, Stadtverwaltungen, Webshops und mehr.
Unabhängig von der Größe Ihrer Website oder Ihres Unternehmens ist es wichtig, dass Ihre persönlichen Daten so verarbeitet werden, dass die DSGVO- und Cookie-Vorgaben vollständig eingehalten werden.
Die Verwendung von Cookies und Trackern durch Sie muss mit der Einwilligung Ihrer Nutzer erfolgen – für deren Privatsphäre und für Ihre Compliance.
Die höchsten Bußgelder, die von den verschiedenen Datenschutzbehörden in den jeweiligen Ländern verhängt wurden, beruhen alle auf unzureichenden Rechtsgrundlagen der Verantwortlichen für die Datenverarbeitung oder, wie im Fall von British Airways, auf unzureichenden technischen oder organisatorischen Maßnahmen zur Gewährleistung der Informationssicherheit.
DSGVO-Bußgelder können mit anderen Worten durch alles Mögliche verursacht werden, von grober Fahrlässigkeit bis hin zu einem allgemeinen Mangel an Aufsicht darüber, wie eine Website oder ein Unternehmen Daten, insbesondere personenbezogene Daten, über ihre Nutzer und Kunden verarbeitet.
DSGVO-Konformität: Zusammenfassung
Mit der DSGVO gelang es der Europäischen Kommission in der EU, eine neue Stufe für den Schutz der Privatsphäre zu erreichen.
DSGVO-Konformität für eine Website bedeutet, neu zu überdenken, was Daten sind. Es geht darum, Nutzer und deren Privatleben zu respektieren und ihre Einwilligung zur Nutzung jeglicher Details über sie und ihr Leben einzuholen, bevor die Datenerhebung und -verarbeitung stattfindet.
Die Verwendung einer Consent Management-Lösung wie der Cookiebot CMP ist daher besonders geeignet, um das private, anonyme Leben der Nutzer zu respektieren, ohne Ihre Statistiken und Online-Marketing-Einnahmen zu gefährden.
Wenn Sie Zweifel haben, ob Ihre Website die Datenschutzvorschriften der EU einhält, können Sie Ihre Website mit der Cookiebot CMP kostenlos auf DSGVO-Konformität überprüfen.
DSGVO-Konformität bedeutet nicht das Ende Ihres Online-Geschäftsmodells – testen Sie die Cookiebot CMP und überzeugen Sie sich selbst.
FAQ – Häufig gestellte Fragen zur DSGVO-Konformität
Die Allgemeine Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz, das die Verarbeitung personenbezogener Daten von Personen innerhalb der Europäischen Union regelt. Die DSGVO schreibt vor, dass Websites vor der Verarbeitung von personenbezogenen Daten die klare und positive Einwilligung der Nutzer einholen müssen.
Wenn Ihre Website Cookies und Tracker von Dritten verwendet, die personenbezogene Daten (wie IP-Adressen, eindeutige IDs, Such- und Browser-Verlauf) verarbeiten, sind Sie nach der DSGVO gesetzlich verpflichtet, die vorherige und ausdrückliche Einwilligung der Nutzer zu erfragen und einzuholen. Cookies (mit Ausnahme unbedingt notwendiger Cookies) müssen standardmäßig deaktiviert sein und dürfen nur mit Einwilligung des Nutzers für die Verarbeitung personenbezogener Daten aktiviert werden.
Nach der DSGVO liegt es in der Verantwortung des Website-Eigentümers oder -Betreibers, sicherzustellen, dass eine gültige Einwilligung vorliegt. Eine gültige Einwilligung ist eine klare und bejahende Handlung natürlicher Personen, die eine Verarbeitung eindeutig akzeptieren und damit die Cookies und Tracker Ihrer Website aktivieren. Eine natürliche Person muss in der Lage sein, ihre Einwilligung so einfach widerrufen zu können, wie sie sie erteilt hat.
Erfahren Sie mehr über die EDPB-Richtlinien zur gültigen Einwilligung in der EU
Ein DSGVO-konformes Cookie-Banner ist ein interaktives Modul, das Ihre Nutzer über alle auf Ihrer Website eingesetzten Cookies und Tracker, deren Zweck, Dauer und Anbieter informiert und es ihnen ermöglicht, durch das Ankreuzen von Checkboxen, die Verwendung eines Toggles und das Klicken auf einen Button ihre ausdrückliche Einwilligung zu einzelnen, keinem oder allen Cookies zu geben. Für die Einhaltung der DSGVO-Vorschriften ist es von entscheidender Bedeutung, dass Cookie-Banner keine vorab angekreuzten Checkboxen haben oder die Nutzer dazu zwingen, im Gegenzug für Dienstleistungen alle oder keine Cookies zu akzeptieren.
Die meistgenutzte Lösung für die datenschutzkonforme Nutzung von Cookies und Online-Tracking
Ressourcen
Die DSGVO (offizieller Gesetzestext)
Die ePrivacy-Richtlinie (offizieller Gesetzestext)