Cookie-Kontrolle in der EU
In der EU wird die Verwendung von Cookies und Trackern auf Websites durch die Allgemeine Datenschutz-Grundverordnung (DSGVO) geregelt, die in allen EU-Mitgliedsstaaten gesetzlich verankert ist.
Die DSGVO regelt die Verarbeitung personenbezogener Daten von Personen innerhalb der EU, und die meisten Cookies sammeln heute personenbezogene Daten von Benutzern, wenn diese Websites besuchen.
Die DSGVO verlangt, dass Websites vor der Aktivierung von Cookies, die personenbezogene Daten verarbeiten, die Zustimmung der Benutzer einholen.
Websites dürfen Cookies und Tracker, die personenbezogene Daten verarbeiten, nur dann aktivieren, wenn der Benutzer zuvor seine Zustimmung erteilt hat, es sei denn, die Cookies können für die Grundfunktionen der Website als unbedingt notwendig erachtet werden.
Personenbezogene Daten sind alle Arten von Informationen, die direkt oder indirekt mit einer lebenden Person in Verbindung gebracht werden können und daher den Benutzer identifizieren.
Dazu gehören Namen, E-Mail-Adressen, Sozialversicherungsnummern, aber auch IP-Adressen, Browserspezifikationen, Suchverlauf und eindeutige IDs, die die meisten Cookies auf den Browsern der Benutzer nach einem Website-Besuch setzen.
Wenn Ihre Website Besucher aus der EU hat und Sie Cookies verwenden, die persönliche Daten verarbeiten, müssen Sie folgende Schritte beachten –
- Bitten Sie die Benutzer um Zustimmung, bevor Sie Cookies und Tracker aktivieren, die persönliche Daten verarbeiten,
- Ermöglichen Sie den Benutzern, eine klare und positive Zustimmung zur Verarbeitung ihrer persönlichen Daten zu geben,
- Stellen Sie sicher, dass die Zustimmung der Benutzer granular ist, d.h. Benutzer müssen in der Lage sein, bestimmten Cookies zuzustimmen, während andere abgelehnt werden können,
- Informieren Sie die Benutzer darüber, wie Sie Cookies verwenden und zu welchem Zweck Ihre Website persönliche Daten verarbeitet,
- Dokumentieren Sie alle erhaltenen Zustimmungen,
- Erneuern Sie die Einverständniserklärung mindestens jährlich.
Ist Ihre Website DSGVO-konform? Machen Sie den kostenlosen Konformitätstest von Cookiebot.
Erfahren Sie mehr über die DSGVO und die Cookie-Einwilligung.
EDSA-Guidelines zu gültiger Zustimmung in der EU
Der Europäische Datenschutzausschuss (EDSA) (dt. Europäischer Datenschutzausschuss) ist die führende Aufsichtsbehörde für die DSGVO in der EU, die regelmäßig Richtlinien verabschiedet und Entscheidungen darüber erlässt, wie die DSGVO von den nationalen Datenschutzbehörden in jedem EU-Mitgliedsland durchgesetzt werden soll.
Am 4. Mai 2020 verabschiedete das EDSA Richtlinien zur gültigen Einwilligung, die sehr deutlich machen, was eine DSGVO-konforme Einwilligung für die Verarbeitung personenbezogener Daten auf Websites darstellt… und was nicht.
Die EDSA-Richtlinien stellen folgende Anforderungen klar –
- Die Zustimmung muss eine frei gegebene, spezifische, informierte und unzweideutige Angabe der Wünsche der Nutzer sein, d.h. eine klare und bestätigende Handlung des Nutzers, bevor eine Aktivierung von Cookies auf Ihrer Website erlaubt wird.
- Vorab angekreuzte Kontrollkästchen auf Cookie-Bannern sind nicht erlaubt, d.h. Cookies müssen standardmäßig abgewählt werden, wenn Benutzer auf Ihrer Website landen.
- Das Scrollen und fortgesetzte Browsen auf Ihrer Website (implizite Zustimmung) stellt keine gültige Zustimmung dar, d.h. Benutzer müssen Cookies aktiv über einen Cookie-Banner auswählen und aktivieren, bevor Ihre Website ihre persönlichen Daten verarbeiten darf.
- Cookie-Walls (d.h. die bedingte Zustimmung des Benutzers für den Zugang zu Ihrer Domain) stellen keine gültige Zustimmung dar, d.h. die Zustimmung der Benutzer muss frei und spezifisch für jeden unterschiedlichen Verarbeitungszweck gegeben werden.
Erfahren Sie mehr über die EDSA-Richtlinien zur gültigen Zustimmung
Haben Sie Zweifel, ob Ihre Website DSGVO-konform ist? Probieren Sie den kostenlosen Compliance-Test von Cookiebot CMP.
Testen Sie Cookiebot CMP 14 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.
Cookie-Kontrolle mit Cookiebot
Cookiebot CMP by Usercentrics ist eine Consent Management-Plattform, die Ihre Website mit den Anforderungen der DSGVO, des CCPA und anderen Datenschutzgesetzen auf der ganzen Welt in Einklang bringt.
Cookiebot CMP erkennt alle Cookies und Tracker, die auf Ihrer Domain in Betrieb sind, und verwendet dazu unsere unübertroffene Scan-Technologie, die sogar die versteckten Trojaner von Drittanbietern findet.
Cookiebot CMP blockiert automatisch alle Cookies und die Verarbeitung personenbezogener Daten auf Ihrer Domain, bis die Benutzer ihre granulare Zustimmung gegeben haben, welche Tracker aktiviert werden dürfen – so wird sichergestellt, dass Ihre Website die Anforderungen der DSGVO für eine vorherige Zustimmung vollständig erfüllt.
Cookiebot CMP bietet auch vollständige CCPA-Konformität für Websites.
Testen Sie Cookiebot MP 14 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.
Erfahren Sie mehr über DSGVO und Cookie-Einwilligung
Erfahren Sie mehr über die Einhaltung des CCPA
Cookie-Kontrolle in den USA
In den USA ist die Verwendung von Cookies und die Verarbeitung persönlicher Daten nicht wie in der EU durch die DSGVO auf föderaler Ebene geregelt.
Stattdessen haben einige Bundesstaaten ihre eigenen Gesetze, die die Sammlung persönlicher Daten und die digitale Privatsphäre regeln, während andere Bundesstaaten keinen wirklichen Schutz für die Nutzer haben.
Der umfangreichste Datenschutz in den USA, der die Cookie-Kontrolle umfasst, ist der California Consumer Privacy Act (CCPA), der im Januar 2020 in Kraft trat.
Der CCPA räumt Verbrauchern das Recht ein, die Offenlegung der Kategorien und spezifischen Teile der persönlichen Daten zu verlangen, die ein Unternehmen über sie gesammelt hat. Er räumt Verbrauchern auch das Recht ein, die Löschung ihrer Daten zu verlangen, sowie das Recht, sich gegen den Verkauf ihrer Daten an Dritte zu entscheiden.
Der CCPA verlangt, dass die Benutzer darüber informiert werden, welche Cookies auf einer Website verwendet werden, welche Art von persönlichen Informationen sie sammeln und für welche Zwecke.
Der CCPA verlangt auch, dass Websites die Nutzer darüber informieren, an welche Dritten sie ihre persönlichen Daten weitergeben.
Erfahren Sie mehr über den California Consumer Privacy Act (CCPA)
Erfahren Sie mehr über die Einhaltung des CCPA mit Cookiebot CMP
Cookie-Kontrolle in Großbritannien nach Brexit
Großbritannien ist im Januar 2020 aus der EU ausgetreten und fällt somit nicht mehr unter die allgemeine Datenschutzverordnung der EU.
Das Vereinigte Königreich hat jedoch neue Datenschutzgesetze verabschiedet, die die DSGVO widerspiegeln und weiterhin ein gleichwertiges Datenschutzregime gewährleisten werden.
Erfahren Sie mehr über Brexit und Cookie-Kontrolle in Großbritannien
Das Information Commissioner’s Office (ICO) ist die führende Datenschutzbehörde Großbritanniens und für die Durchsetzung und Überwachung der Datenschutzgesetze des Landes verantwortlich.
Die Datenschutzgesetze des Vereinigten Königreichs nach Brexit sind die UK-DSGVO und der Data Protection Act 2018.
Im Sommer 2019 hat das ICO seine Richtlinien für die Verwendung von Cookies und Trackern aktualisiert und eine wesentlich strengere Cookie-Kontrolle in Großbritannien eingeführt.
Wenn es um die Cookie-Verwaltung einer Website geht, erfüllt die stillschweigende Zustimmung, wie wir sie heute kennen – das “Soft Opt-in”, das es Websites erlaubt, das weitere Surfen ihrer Benutzer als Zustimmung zu interpretieren – nicht die Anforderungen für eine gültige Zustimmung, hat das ICO entschieden.
Stattdessen müssen die Benutzer ihre Zustimmung zu allem geben, was keine notwendigen Cookies sind, und es liegt in der rechtlichen Verantwortung der Websites, einen Cookie-Manager einzusetzen, der dies für ihre Benutzer ermöglicht.
Nach den neuen ICO-Richtlinien ist die Verwendung von vorgekreuzten Kästchen (oder vergleichbaren Elementen) nur für notwendige Cookies zulässig.
Dies bedeutet, dass Präferenz-, Statistik- und Marketing-Cookies den gleichen Regeln unterliegen müssen: Sie müssen alle deaktiviert werden und erfordern nun ein positives Opt-in, um als gültige Zustimmung angesehen zu werden.
Mit anderen Worten, die Benutzer müssen nun die Kästchen für Präferenz, Statistik und Marketing-Cookies gleichermaßen ankreuzen, damit diese Kategorien von Cookies aktiviert werden können.
Die ICO-Richtlinien stellen klar, dass –
- Benutzer eine klare und positive Aktion durchführen müssen, um nicht-essentiellen Cookies zuzustimmen,
- Websites und Anwendungen die Benutzer klar darüber informieren müssen, welche Cookies gesetzt werden und was sie tun – einschließlich aller Cookies von Dritten,
- Vorgekreuzte Kästchen oder vergleichbare Elemente, wie z.B. Schieberegler, die standardmäßig auf “ein” stehen, nicht für nicht-essentielle Cookies verwendet werden können,
- Benutzer die Kontrolle über alle nicht unbedingt erforderlichen Cookies haben müssen,
- Nicht-essentielle Cookies auf Landing Pages nicht gesetzt warden dürfen, bevor Sie die Zustimmung des Benutzers erhalten haben.
Informieren Sie sich über ICO’s aktualisierte Richtlinien zu Cookies (Link auf Englisch).
Cookie-Kontrolle in Webbrowsern
Digitale Selbstverteidigung ist auch eine Option, die viele Menschen aus Verzweiflung wählen, um mehr über die unangenehme Wahrheit des trostlosen Zustandes der Privatsphäre im Internet zu erfahren.
Diese Art der digitalen Selbstverteidigung ist im Wesentlichen eine Version des Datenschutzes, bei der jeder für sich selbst sorgen muss, indem er den richtigen Browser herunterlädt, der dann Cookies automatisch blockiert.
Datenschutzfreundliche Browser wie Epic, Brave oder Firefox bieten Cookie-Kontrolle durch diskriminierungsfreie, allgemeine Cookie-Blocker, die alle Cookies stoppen, selbst notwendige und gutartige.
Der Nachteil ist, dass sie Websites oft unterbrechen, weil sie Cookies blockieren, die die Grundfunktionen einer Domain unterstützen. Dieser vollständige Cookie-Stop ist der Standardmodus von Epic und Brave, während Firefox eine Trackerliste von Disconnect verwendet, um festzustellen, welche Cookies sie blockieren.
Diese digitale Selbstverteidigung ist keine tragfähige Endlösung für die Datenschutzprobleme des Überwachungskapitalismus, da die meisten Menschen nicht die Zeit oder die technischen Fähigkeiten haben, um im riesigen Markt der Datenschutz-Tools, Browser, VPNs oder Adblocker zu navigieren.
Es gibt auch eine andere Möglichkeit, die Privatsphäre in unseren digitalen Infrastrukturen zu schützen… Eine, die keine digitale Selbstverteidigung erfordert, sondern die Verantwortung auf die Schultern von Website-Besitzern und -Betreibern legt, wie von der DSGVO vorgegeben.
Consent-Management-Plattform und Cookie-Kontrolle
Die Cookie-Kontrolle durch einen Cookie-Manager wie Cookiebot CMP ist eine Technologie, auf die wir uns – offensichtlich – fokussieren und die wir als wichtigen Bestandteil einer nachhaltigen Lösung zum Schutz der Privatsphäre betrachten.
Die Verwendung einer Zustimmungslösung, die spezifisch für jede Website ist (die über die Cloud implementiert und nahtlos in eine Domain integriert ist), verhindert nicht nur die Unterbrechung von Websites, indem sie es ihnen ermöglicht, zwischen verschiedenen Kategorien von Cookies zu unterscheiden, sondern birgt auch das Potenzial, vollständig DSGVO- und CCPA-konform zu sein.
Die Consent Management-Plattform Cookiebot sorgt dafür, dass Ihre Website vollständig mit der Allgemeinen Datenschutz-Grundverordnung (DSGVO) und dem kalifornischen Consumer Privacy Act (CCPA) übereinstimmt.
Ein Website-Besitzer, der nach Cookie-Kontrolle sucht, kann Cookiebot CMP verwenden, um –
- seine Domains nach allen Cookies und ähnlichen Trackern durchsuchen zu lassen,
- die vorherige Zustimmung der Benutzer durch einen anpassbaren Cookie-Banner zu ermöglichen,
- eine Cookie-Erklärung zu erhalten,
- einen Link “Meine persönlichen Daten nicht verkaufen” auf ihrer Website zu integrieren,
- in der Lage zu sein, die DSGVO und den CCPA vollständig einzuhalten,
- die Privatsphäre seiner Nutzer vor unerwünschter und unangemessener Verfolgung durch Dritte zu schützen.
Testen Sie Cookiebot CMP 14 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.
FAQ
Was ist Cookie-Kontrolle in der EU?
Die Verwendung von Cookies auf Websites in der EU wird durch die Allgemeine Datenschutzverordnung (DSGVO) geregelt, die bestimmt, wie Websites, Unternehmen und Organisationen personenbezogene Daten von Nutzern innerhalb der EU verarbeiten dürfen. Die DSGVO verlangt, dass Websites vor der Aktivierung von Cookies, die personenbezogene Daten verarbeiten, die klare und bestätigende Zustimmung der Nutzer einholen. Die DSGVO gibt den Benutzern auch das Recht auf Zugang zu den gesammelten Daten sowie das Recht, diese berichtigen oder löschen zu lassen.
Erfahren Sie mehr über die DSGVO und die Zustimmung zu Cookies
Was ist Cookie-Kontrolle in den USA?
Die Verwendung von Cookies auf Websites in den USA ist nicht auf Bundesebene geregelt. Das kalifornische Verbraucherschutzgesetz (California Consumer Privacy Act, CCPA) ist jedoch ein bundesstaatsweites Gesetz, das die Erfassung, Verarbeitung und Weitergabe der persönlichen Daten von Einwohnern Kaliforniens regelt. Der CCPA verlangt von Unternehmen, die Nutzer darüber zu informieren, welche Art von persönlichen Daten sie auf welche Weise und für welche Zwecke sammeln und an wen sie diese weitergeben. Die Unternehmen müssen den Benutzern auch die Möglichkeit geben, sich gegen den Verkauf ihrer Daten an Dritte zu entscheiden.
Was ist Cookie-Kontrolle in Großbritannien?
Die Verwendung von Cookies auf Websites in Großbritannien wurde durch die EU-DSGVO geregelt, als Großbritannien noch Mitglied der Europäischen Union war. Nach dem Austritt Großbritanniens aus der EU gelten jedoch seine eigenen nationalen Datenschutzgesetze für die Verarbeitung personenbezogener Daten im Land. Die UK-DSGVO und der Data Protection Act 2018 schreiben vor, dass Websites vor der Aktivierung von Cookies, die personenbezogene Daten verarbeiten, die Zustimmung des Benutzers erfragen und einholen müssen.
Erfahren Sie mehr über UK-DSGVO und den Data Protection Act 2018
Was ist eine Consent Management-Plattform?
Eine Consent Management Plattform (CMP) ist eine Technologie, die Websites verwenden, um die Zustimmung der Besucher zur Verarbeitung ihrer persönlichen Daten einzuholen. Wenn Besucher auf einer Website landen, die eine Consent Management Plattform verwendet, wird ihnen ein Einwilligungsbanner angezeigt, das es ihnen ermöglicht, ihre Zustimmung zu geben, welche Cookies aktiviert werden und welche persönlichen Daten verarbeitet werden.
Ressourcen
Allgemeine Datenschutz-Grundverordnung (DSGVO)
Kalifornisches Datenschutzgesetz (CCPA)
EDPB-Guidelines zu gültiger Zustimmung in der EU
Die neuen und aktualisierten Richtlinien von ICO für Cookies und Tracking in Großbritannien (in Englisch)
Werfen Sie einen Blick auf den Leitfaden von ICO, wie die Verwendung von Cookies für Website-Besitzer und -Betreiber aussieht (in Englisch)
Die neuen und aktualisierten Richtlinien der CNIL zu Cookies und Tracking in Frankreich (in Englisch)
UK PECR (Privacy Electronic Communications Regulations) (Datenschutzbestimmungen für elektronische Kommunikation) (in Englisch)
UK Datenschutzgesetz 2018 (in Englisch)
Rekordstrafe gegen Facebook in der FTC-Datenschutzregelung
US Federal Trade Commission (FTC) (in Englisch)
Epic, ein datenschutzfreundlicher Webbrowser
Brave, ein datenschutzfreundlicher Webbrowser