Bei der Gewährleistung der Konformität Ihrer analytischen Daten mit der DSGVO gehört die Einholung der Einwilligung des Internetnutzers zur Hinterlegung von Cookies zu den zentralen Themen. Zahlen aus einer im Mai von unserem Partner Empirik veröffentlichten Studie zeigen, dass, obwohl 93 % der Websites ein Cookie-Banner anzeigen, 78 % von ihnen bereits vor der Einwilligung des Internetnutzers eine Tracking-Analyse auslösen und 42 % das Tracking fortsetzen, obwohl der Internetnutzer seine Zustimmung verweigert hat!
Was in der DSGVO-Saga bisher geschah…
Die CNIL hat bereits eine Reihe von Rekordstrafen wegen Nichteinhaltung verhängt. Google wurde von der französischen Behörde wegen mangelnder Transparenz mit einer Strafe von 50 Millionen Euro belegt, da die Informationen unklar und für die Nutzer schwer zugänglich waren (manchmal bis zu 5 Klicks, um an die entsprechenden Informationen zu gelangen). Insbesondere wurde dem Technikgiganten die Verletzung der Einwilligungsregeln vorgeworfen. Ein weiteres Beispiel war eine Immobiliengesellschaft, die wegen Nichteinhaltung der Speicherfrist für Cookies zu einer Geldstrafe von 400.000 Euro verurteilt wurde.
Beschwerden und Sanktionen nehmen zu und machen deutlich, dass viele Unternehmen noch weit von der Konformität mit den Vorschriften entfernt sind. Dennoch wurde die CNIL von verschiedenen Verbänden kritisiert, die die Internetnutzer verteidigen (insbesondere ‚Quadrature du net‘ – die französische Interessenvertretung, die sich für die digitalen Rechte und Freiheiten der Bürger einsetzt) und ihr vorwerfen, zu lasch zu handeln (bei der Verurteilung von Google kam nicht die im DSGVO festgelegte Geldbuße von 4 % ihres Umsatzes zum Tragen), aber auch von anderen Gruppen von Verlegern/Werbetreibenden wie der GESTE, die die CNIL aufgefordert haben, den Unternehmen mehr Zeit für die Anpassung und Einhaltung der Vorschriften zu geben…… Ein wahres Minenfeld!
Die CNIL schlägt zurück
Der französische Datenschutz-Gendarm hat im Juli letzten Jahres neue Richtlinien angekündigt. Dieser neue Text soll das anwendbare Recht vereinfachen, damit es besser verstanden und eingehalten wird. Der Gesetzesrahmen (z.B.: was ist die genaue Definition eines „Trackers“) und die Verfahren zur Einholung der Einwilligung werden erläutert.
Einige wichtige Neuerungen sind zu beachten:
- Ein Ende des Scrollens – die Fortsetzung der Navigation (Scroll) wird nicht mehr als gültige Einwilligungserklärung angesehen.
- Nachweis der Einwilligung – Betreiber, die Tracker verwenden, müssen beweisen können, dass sie die Einwilligung erhalten haben.
- Keine Querverweise mehr auf Browsereinstellungen – dies hört auf, eine Methode zur Einwilligungsverwaltung zu sein. Das Erscheinungsbild des Cookie-Banners und die Methoden der Sammlung werden in der angekündigten Empfehlung klar definiert werden.
Digital Analytics Compliance – die 2 möglichen Szenarien
Hintergrund: Sie verwalten Ihre Website(s) mit Ihrer Analytics-Lösung und als Controller müssen Sie wählen (Tagging-Methode, Aktivierung von Optionen usw.), wie Sie Ihre Verfahren mit den Vorschriften in Einklang bringen. Verschiedene Szenarien sind möglich:
Szenario 1: Einwilligung. Sie müssen die Einwilligung des Internetnutzers einholen: Sie verwenden z.B. eine Marktlösung vom Typ CMP (oder eine maßgeschneiderte Lösung), die auf der Kategorisierung von Cookies oder einem IAB-Framework basiert.
Konsequenzen in Bezug auf die analytischen Messungen:
- Das Cookie darf erst nach der Einwilligungsaktion (in diesem Fall durch Klicken auf die Schaltfläche „Akzeptieren“) hinterlegt werden.
- Eine Nichtmessung des Pre-Click-Traffics kann Ihre Analyse möglicherweise ändern: falsche Volumen und Absprungraten, abgebrochene Navigationsrouten oder eine Unterbrechung der Quellenidentifizierung. Es sei denn Sie nutzen eine Datenabgleichmethode nach der Einwilligung des Internetnutzers (1. Cookie)
Zusammengefasst: Sie führen tiefergehende Webanalysen bei den Nutzern aus, die in die Verarbeitung ihrer personenbezogenen Daten eingewilligt haben.
Szenario 2: Die Ausnahme. Sie entscheiden sich für eine Befreiung von der Pflicht zur Einholung der Einwilligung: die CNIL gestattet Ausnahmen unter bestimmten Bedingungen (Artikel 5 der CNIL-Beratungen vom 4. Juli 2019).
Die Folgen für die analytischen Messungen:
- Die Messung wird ab der ersten Seite des Besuchs durchgeführt. Sie verfügen über umfassende Daten, die die Realität der User Journey widerspiegeln.
- Dafür müssen Sie mehrere von der CNIL auferlegte Bedingungen erfüllen, die von der Unmöglichkeit einer Gegenprüfung mit externen Daten bis zur Einhaltung der Speicherfrist reichen. Weitere Infos hier.
Zusammengefasst: Sie verfügen über umfassende Analysen über alle Ihre Nutzer, die Ihre nicht-intrusive Web-Analytics-Praxis sicherstellen, so dass Sie keine Einwilligung einholen müssen.
AT Internet Compliance-Tools:
- Eine Option für die Einstellung der Speicherfrist von analytischen Cookies
- Ein Opt-out-Mechanismus
- Eine Tagging-Methode zum Blockieren der Cookie-Hinterlegung, bevor die Nutzereinwilligung erfolgt ist
- Eine Methode der Datenabgleich nach der Einwilligung des Internetnutzers (in Cookie 1)
- Eine Option zum Ausschluss eines Traffics mit Cookies, wenn Ihre Analytics-Lösung eine Besuchererkennung mit Fingerprinting ausführt (wie es AT Internet macht).
- Die Migration des 3. Cookies in den 1. Cookie für ein weniger intrusives Cookie-Management für Ihre Nutzer.
Die Welt der Analytics ist daher in 2 Kategorien unterteilt. Diejenigen, die sich für die Einholung der Einwilligung entscheiden und andere, die die Ausnahme bevorzugen. Die CNIL hat für beide Fälle Regeln aufgestellt, und es liegt in Ihrer Verantwortung, einige dieser Optionen zu aktivieren, um sich an den gesetzlichen Rahmen zu halten. Sprechen Sie mit Ihrer Rechtsabteilung, um herauszufinden, welche Option Sie wählen müssen. AT Internet bietet Methoden und Tools für die Compliance in beiden Fällen an. Für eine noch klarere Perspektive sehen Sie sich unser neuestes Webinar zum Thema Datenschutz an:
Comments are closed.