500 Beschwerden wegen rechtswidriger Cookie Banner

Die Schritt-für-Schritt Anleitung zu einem konformen Consent Management

Da Zeitungen und online-Medien aktuell von mehr als 500 Beschwerden seitens noyb.eu wegen Verwendung eines rechtswidrigen Cookie-Banners berichten, möchten wir dies zum Anlass nehmen, um Ihnen aufzuzeigen, auf welche Aspekte bei einem datenschutzkonformen Einsatz von WebCare -der vollautomatischen & datenschutzkonformen Consent Management Lösung für Ihren rechtssicheren Webauftritt – zu achten sind. Details zu den Beschwerden

Aufgrund der vielfältigen Einstellungsmöglichkeiten bei WebCare ist es möglich die Flexibilität unseres Consent-Tools zu Lasten der Rechtskonformität auszunutzen. Dies möchten wir durch diese Schritt-für-Schritt Anleitung zu einem konformen Consent Management verhindern.

1 Aktive Zustimmung

Wichtig ist, dass Consent immer ein Opt-In bedeutet, das heißt eine aktive willentliche und freiwillige Handlung des Website-Besuchers, indem er den Einsatz von Technologien zu bestimmten Zwecken zustimmt. Ausgedient sollten jene Banner haben, die auf das Weitersurfen als Zustimmung verweisen, da dies keinerlei aktive Handlung eines Besuchers darstellt. Bei WebCare gibt es nur Voreinstellungen für das Bannerdesign die eine aktive Zustimmung des Nutzers erfordern, daher können Sie sich bei der Auswahl geruhsam austoben.

Während der Consent Banner auf der Website angezeigt wird, dürfen keinerlei Technologien verwendet werden, die nicht ausschließlich technisch erforderlich sind. Es sollten daher nicht nur Cookies zu Marketing oder Statistikzwecken zu diesem Zeitpunkt blockiert sein, sondern auch jegliche Requests an externe Server zum Starten von Statistik- und Marketing-Tools verhindert werden (INFO: durch das Absetzen eines Requests würde die IP Adresse des Nutzers an den jeweiligen Server gehen!). Zu diesem Zweck ist bei WebCare ein eigener Tag Manager verbaut, wo andere Consent Tools den Google Tag Manager (ein US-Tool!) zwingend benötigen würden.

Rechtskonformes Einbinden von Tools mit dem WebCare Tag Manager

Wie man den Tag Manager in WebCare korrekt konfiguriert finden Sie in unserer Hilfe: https://help.datareporter.eu/docs/webcare/tag_general

Sie können den Tag Manager auch für die Implementierung einer 2-Klick-Lösung für jedes beliebige Drittanbieter-Tool auf Ihrer Website verwenden. Der Consent hierzu würde ebenso über den Consent Banner gesteuert werden. Die Möglichkeiten zur Konfiguration einer 2-Klick-Lösung am Beispiel Google Maps finden Sie hier: https://help.datareporter.eu/docs/webcare/tag_integration_gmap

Active Cookie Banning

Zusätzlich gibt es bei WebCare die Funktion, dass Cookies welche nicht nur technisch erforderlich sind, aktiv blockiert werden (Active Cookie Banning). Diese Funktion findet sich im Expertenmodus unter dem Menü Consent Banner - Einstellungen, diese ist standardmäßig aktiv und darf nur deaktiviert werden, falls man selber bereits das Setzen von Cookies verhindert.

2 Gleichwertige Option zum „Ablehnen“

Es muss neben der aktiven Zustimmungsmöglichkeit auch eine Ablehnungsmöglichkeit für den Nutzer geben. Ablehnen bedeutet dabei, dass ohne Zustimmung des Besuchers nur jene Technologien (u.a. Cookies) zulässig sind, die lediglich technisch erforderlich sind, um die Website ordnungsgemäß funktional betreiben zu können.

DIE GRAUZONE

Hier liegt natürlich eine gewisse Grauzone vor, was genau technisch erforderlich ist und mangels konkreter Rechtsprechung ist hier sicher ein gewisser Spielraum gegeben. Sicher ist jedoch, dass Technologien die ein Tracking eines Nutzers ermöglichen, niemals technisch für den Betrieb der Website erforderlich sein können. Wir bitten auch zu bedenken, dass hier der Einsatz von Cookies zum Tracking nur eine von vielen möglichen Technologien sind.

Z.B. fallen Fingerprinting-Technologien, bei denen keine Cookies sondern technische Daten rund um den Website-Besucher genutzt werden um diesen identifizieren zu können, gleichermaßen darunter. Die Rechtsprechung des EuGHbezieht sich nicht ausschließlich nur auf Cookies, sondern es geht um den Zweck, den man mit Technologien verfolgt. Vorsicht daher vor Marketing-Tools die Datenschutzkonformität propagieren, indem sie andere Technologien zum Tracken von Website-Besuchern einsetzen.

DER PRIVACY-BY-DESIGN GRUNDSATZ DER DSGVO

Die Möglichkeit zur Ablehnung soll immer der Zustimmungsoption (optisch) gleichwertig sein. Dies ist Konsequenz des Privacy-by-Design Grundsatzes der DSGVO. Einerseits sollte sowohl die Zustimmungs- als auch Ablehnungsmöglichkeit mit einem Klick möglich sein, andererseits sollen die beiden Möglichkeiten auch nicht unterschiedlich stark hervorgehoben werden. Viele Consent Banner enthalten die Ablehnungsmöglichkeit erst bei Klick in die Details. Weiters werden diverse Dark-Patterns oder reine Links im Bannertext für die Ablehnung verwendet. Dies ist nicht datenschutzkonform!

In WebCare findet sich die Design-Option, dass alle Buttons (ausgehend vom Zustimmungsbutton) gleich aussehen, unter dem Menüpunkt Consent Banner - Design! Auch wenn es hierfür keine Einstellungsmöglichkeit bei WebCare gibt, ist zur Sicherheit auch noch zu erwähnen, dass vorausgewählte Checkboxen (indem z.B. die Kategorien Statistik und Marketing bereits mit Häkchen vorbelegt sind) nicht datenschutzkonform und zu vermeiden sind!

3 Keine irreführenden Texte/Transparente & eindeutige Texte

Sowohl die Buttons für das Zustimmen als auch das Ablehnen dürfen keine irreführenden Texte enthalten. Sofern die Beschriftung „Ablehnen“ verwendet wird, sollte klar aus dem Consent Banner Text hervorgehen, dass Ablehnen nur ein Zulassen von technisch erforderlichen Technologien bedeutet. Aus einem OK sollte klar hervorgehen, dass hiermit die Zustimmung des Nutzers zum Einsatz sämtlicher Technologien zu sämtlichen Zwecken insbesondere auch Marketing und Statistik verbunden ist.

4 Einfache Möglichkeit zum Widerruf

Im Hinblick auf die Zustimmungserfordernisse der DSGVO ist unbedingt die Möglichkeit eines Widerrufs einer Einwilligung zu implementieren. Dabei wird verlangt, dass der Widerruf der Entscheidung so einfach wie die Zustimmung selbst sein sollte. Dies sollte für den Benutzer daher per 1-Klick von jeder Seite des Webauftrittes möglich sein.

WebCare bietet hier die Möglichkeit eines Widerruf Pop-Ups, welches entweder mit einem sprechenden Icon (Cookie oder Schutzschild) oder mit einem selbst definierten Text hinterlegt (z.B. „Widerruf“ oder „Datenschutzeinstellungen“) werden kann. Wichtig wäre es, wenn ausschließlich das Pop-Up für den Widerruf verwendet wird, dass es gut im Website Bereich sichtbar ist. Auch hier gilt es zu verhindern, dass das Pop-Up auf dem Hintergrund der Website nicht erkenntlich ist (Stichwort weiß auf weiß).

Alternativ, oder besser zusätzlich, gibt es die Möglichkeit per HTML Code den Widerruf des Banners auch als eigenen Menüpunkt in den Footer der Website einzubauen. Den hierfür notwendigen HTML Code erhalten Sie in WebCare unter dem Menüpunkt Consent Banner - Einstellungen im Expertenmodus, indem sie die Option auswählen das Pop-Up nicht anzuzeigen.

Zusätzlich kann in der Datenschutzerklärung auch noch die Möglichkeit zum Aufruf des Banners für den Widerruf eingebaut werden (bzw. ist dies bei Verwendung der Standard Datenschutzerklärung bei den Betroffenenrechten bereits vorhanden).

Am Besten wäre natürlich wenn alle 3 oben angeführten Varianten zum Widerruf in Ihrem Webauftritt verbaut sind.

Conclusio

Soweit Sie sich an die oben angeführten Punkte halten, gehen wir nicht davon aus, dass Sie sich im Fokus von Beschwerden befinden werden, da gerade Interessensgruppen zugunsten des Datenschutzes wie NOYB möchten, dass sauber konfigurierte Consent-Tools verwendet werden und Website-Besucher nicht zu einer Entscheidung über ihre Daten verleitet oder darüber getäuscht werden.

Wir von DataReporter stehen Ihnen gerne für weiterführende Informationen und Unterstützung in der Umsetzung einer datenschutzkonformen Website zur Verfügung.