Sind Ihre Cookie Website Banner DSGVO konform?

April 9, 2020

Erinnern Sie sich noch an die Zeit im Jahr 2018, als Sie ein Cookie-Banner auf Ihre Website setzen mussten? Nun, wahrscheinlich haben Sie es falsch gemacht. Jetzt sind Sie nicht konform und werden es auch nicht sein, wenn die neue ePrivacy-Verordnung (ePR) herauskommt.

Ok, navigieren Sie zu Ihrer Website, während Sie dies lesen. Woher wissen Sie jetzt, ob ich Recht habe? Schauen Sie sich an, welcher Banner angezeigt wird, wenn Ihr Bildschirm in einem frischen Browser (ohne Cookies) geladen wird. Wird ein Banner angezeigt, das zwei Optionen hat, "Annehmen" und "Ablehnen"? Ok, dann ist das ein guter Anfang. Gibt es einen Link "Zwecke anzeigen / Mehr erfahren"? Noch besser. Klicken Sie auf den Link "Show Purposes" (Zwecke zeigen).

Gibt es ein Kontrollkästchen zur Verfolgung der Zustimmung, das bereits vorausgewählt ist? Hoppla. Sie sind nicht konform. Technisch gesehen hat die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG (ja, 2002!) bereits klargestellt, dass Websites etwas tun sollten... was dieses Etwas war, war nicht eindeutig. Es gab viele Möglichkeiten, den "Buchstaben" der Richtlinie zu umgehen (und es war nur eine Richtlinie). GDPR implementierte einen neuen Satz von Vorschriften, die viel mehr als nur den kleinen Cookie regelten, aber auf Cookies werde ich mich in diesem Artikel konzentrieren.

- Zuerst einmal wollen wir einige der grundlegenden Dinge aus dem Weg räumen.Cookies gelten nach DSGVO als "Persönliche Daten". Erwägungsgrund / Recital 30, DSGVO, Definitionen.

- Cookies, die für das Funktionieren der Website "unbedingt notwendig" sind, erfordern keine informierte Zustimmung. 2009/136/EC, (66) Auch als "Cookie-Gesetz" bekannt.

- Ein Cookie, das nicht "unbedingt notwendig" ist, kann nicht auf dem System des Benutzers platziert werden, es sei denn, dieser hat "seine eindeutige Zustimmung / unambiguous consent" gegeben.Was bedeuten diese drei Dinge in Bezug auf Ihre Website?

Sehen Sie sich zunächst Ihre Cookie-Richtlinie an. Haben Sie ein Cookie auf dem System des Benutzers platziert, bevor er sich abgemeldet hat? Das ist nicht gut. Ein Benutzer muss sich unmissverständlich für dieses Cookie entschieden haben. Werden Sie ihn löschen, wenn er sich abmeldet, wollen ihn aber trotzdem dort ablegen, nur um ihn sicher aufzubewahren? Nun, Sie haben gerade die GDPR-Regel für die Verarbeitung "persönlicher Daten" ohne Zustimmung gebrochen. Es gibt keinen einfachen Weg, es zu sagen, außer, dass Sie es falsch gemacht haben und sich ändern müssen. Ist es in Ordnung, einen "Akzeptieren"-Knopf auf diesem Banner zu haben, solange ein "Zwecke zeigen" (oder ähnlich) vorhanden ist?

Wahrscheinlich, fürs Erste. Aber das könnte sich mit der neuen ePR, die sich derzeit im Entwurf befindet, ändern. Ist es in Ordnung, im Optionsfenster "Show Purposes" vorgewählte Kontrollkästchen für alles außer Cookies zu haben, was "unbedingt notwendig" ist? Nein. Fragen Sie einfach Planet49.

"Niemand wird sich dafür entscheiden, wenn wir die Auswahl nicht verschleiern", sagen Sie. Nun, Sie haben Recht. Aber die Verschleierung ist in der GDPR nicht geregelt, Sie müssen Ihre Benutzer nur in die Richtung "schubsen", in die Sie sie führen wollen. Einer Studie zufolge würde GDPR, wenn es richtig angewendet wird, "dazu führen, dass weniger als 0,1% der Benutzer aktiv der Verwendung von Cookies Dritter zustimmen". (Utz, Degeling, et. al.) Das bedeutet, dass Sie sie dazu verleiten müssen, sich für das Tracking zu entscheiden, indem Sie ihnen die Vorteile erklären.

Ein einfaches "Wir können ohne Ihre Unterstützung nicht überleben" könnte ausreichen, um Ihre eingefleischten Benutzer zu überzeugen, und nein, eine "Cookie Wall" wird Ihre Probleme auch nicht lösen. Die Niederländer haben sie bereits für illegal erklärt, aber dieser Fall wird derzeit angefochten. Ich erwarte hier keine Überraschung, wenn er für die EU vor den Europäischen Gerichtshof kommt. Selbst wenn Sie eine "Paywall" haben, können Sie immer noch nicht von einer Zustimmung ausgehen. (An dieser Stelle möchte ich eine Prognose abgeben: Nicht nur die "Cookie Wall" wird sich als nicht konform erweisen, sondern ich würde wetten, dass auch die "Email Address Wall" zum Herunterladen von Marketing-Inhalten - wie unsere eigenen Whitepapers - schon bald als nicht konform gelten wird.

Also, lassen Sie mich zu den schlechten Nachrichten kommen (ja, das war die gute Nachricht). Jegliche Einwilligung, die Sie vor der Einführung des GDPR für etwaige Cookies gesammelt haben, muss erneut eingeholt werden. Ich kann mir vorstellen, dass die meisten von Ihnen wahrscheinlich neue Cookies als Teil Ihrer Umstellung auf das "Cookie-Banner" erstellt haben. Das ist gut so. Wenn Sie das nicht getan haben, dann müssen Sie es tun. Was machen Sie mit dem alten Cookie? Das überlasse ich Ihnen. Aber was ich damit meine, geht weit über den Cookie hinaus. Haben sie der Zusendung eines Newsletters zugestimmt? Hatten Sie dort ein vorselektiertes Kontrollkästchen? Dann müssen Sie auch diese Newsletter-Einwilligungen erneut einholen - von allen, die vor dem GDPR eingewilligt haben. Und was ist mit all den Drittanbieter-Cookies, die Sie zuvor auf deren Systemen platziert haben? Sie können zwar keine neuen Cookies platzieren, aber die alten sind immer noch da. Habe ich eine Lösung für dieses Problem? Nun, das hängt davon ab, wer das hier liest.

Für uns als Firma, solange wir (derzeit) noch ein Banner im Einsatz haben, sehe ich persönlich keinen Grund, überhaupt Cookies (außer denen, die dieses Banner schließen - z.B. "unbedingt notwendig") auf unserer Website zu platzieren. Wir verkaufen Produkte und Dienstleistungen, und unsere potentiellen Kunden finden uns. Wir müssen ihre Interaktionen mit unserer Website in keiner Weise verfolgen, außer anonym (aus Leistungsgründen und um sicherzustellen, dass wir keine toten Links haben). Anonymes Tracking erfordert kein Cookie.

Wir sehen die Webanfragen, und wir müssen nicht wissen, woher sie kommen. Es gehört einfach nicht zu unserem Geschäftsmodell. Wenn Ihr Geschäftsmodell auf der Verfolgung der Benutzer beruht

Einfach ausgedrückt: Wenn Ihr Geschäftsmodell keine Werbeeinnahmen erfordert, dann brauchen Sie Ihre Nutzer nicht zu verfolgen. Ich kann den Wert in der Verlagsbranche sehen, glauben Sie mir. Eine bessere und zielgerichtetere Anzeigenschaltung kann eine Menge Einnahmen bringen. Schließlich ist zielgerichtete Werbung das einzige Geschäftsmodell, das wirklich funktioniert hat, das nur auf das Internet (nicht auf physische Produkte) ausgerichtet ist. Die Verlagsbranche befindet sich seit Jahren im Niedergang, und ich würde es nur ungern sehen, wenn die Tage der kostenlosen, qualitativ hochwertigen Informationen hinter einer Paywall vergehen würden.

Manchmal funktioniert das. Die Washington Post (die Zeitung meiner Heimatstadt) hat einen Weg gefunden. Manchmal funktioniert es nicht. Ich würde auch gerne wissen, woher unsere Website-Benutzer kommen. Aber mir wäre es lieber, sie würden sich bei uns als Unternehmen wohl fühlen. Ein Unternehmen, das GDPR und seine Auswirkungen auf die pharmazeutische Industrie wirklich versteht. Ich möchte, dass sie mir vertrauen. Ich möchte, dass sie sich mit mir in Verbindung setzen, damit ich ihnen helfen kann, sich in dieser Angelegenheit (die in der Pharmaindustrie noch komplexer wird) zurechtzufinden. Aus diesem Grund werden wir unsere Tracking-Cookies entfernen, sobald wir die Zeit dazu haben. Zumindest vor ePR.

Bildmaterial © AdobeStock

Side Hinweis: Ich streite mich immer noch mit unserer Marketingabteilung - ich möchte Google Analytics auch nicht auf unserer Website haben.

Haftungsausschluss: Ich bin weder Experte noch Jurist. Wir als Unternehmen stellen unseren Kunden lediglich Tools zur Verfügung, die ihnen helfen, diese Fallstricke zu überwinden. Sie sollten sich frei fühlen, Ihren eigenen Anwalt um Rat zu fragen. Sie wird Ihnen wahrscheinlich etwas Ähnliches sagen, wie ich gesagt habe. Ich weiß, dass meine es getan hat.

Greg Herman

Greg Herman

Senior Product and Project Manager at ysura GmbH

ysura steht für Innovation
ysura bietet pharmaspezifische Software-Lösungen für die Bereiche Vertrieb und Marketing wie beispielsweise Customer Relationship Management (CRM), Aktivitätenplanung, Einwilligungsmanagement, Multi-Channel Marketing Kampagnen, Auftragserfassung, Musterverwaltung, KOL-Management und Augmented Video Conference. Alle Module können individuell angepasst und auch als Stand-alone Lösung genutzt werden.

Das hat Sie neugierig gemacht?
Kontaktieren Sie uns