Senast sedan den allmänna dataskyddsförordningen (GDPR) trädde i kraft har du som operatör av en icke-privat webbplats varit tvungen att iaktta viktiga dataskyddsaspekter. Frågan om hur man handskas med cookies var från början kontroversiell. Med sin dom (1 oktober 2019) gjorde EU-domstolen (EG-domstolen) specifika bestämmelser om cookies med avseende på samtycke till behandling. Samtycke till användning av cookies kallas även för cookie-samtycke. Consent Management Providers (CMPs) erbjuder förenklingar i den juridiskt säkra utformningen av användningen av cookies. Sofistikerade cookie-lösningar fungerar automatiskt och gör det möjligt för användare att tillåta typen och omfattningen av cookie-användning.
EG-domstolens dom och kakorna: juridisk betydelse i ett ögonkast
Bakgrunden till EG-domstolens dom är den juridiska frågan Planet49. Under filreferens: C-673/17 finns nu tydligare information om hur samtycke till användning av cookies ska utformas. I princip måste besökaren på en webbplats frivilligt och uttryckligen kunna godkänna användningen av cookies. Enligt EG-domstolens dom om cookies är användning och bearbetning av vissa cookies endast tillåten efter att samtycke har givits. Detta gäller inte cookies som är absolut nödvändiga för driften av webbplatsen.
I EG-domstolens dom om cookies konstaterar EU-domstolen att e-integritetsförordningen redan ger ett obligatoriskt samtycke till cookies som inte är absolut nödvändiga (jämför artikel 5.3 eintegritetsdirektivet). I princip är detta uttalande från EG-domstolen om cookies redan känt från tidigare domar.
Det bör noteras att den välkända 15 § mom. 3 TMG (telemedialagen) ska inte tolkas som en implementering av e-integritetsdirektivet. På samma sätt kan varken en tolkning av TMG i enlighet med direktivet eller en direkt tillämpning av e-integritetsdirektivet övervägas. Därför är användningen och insamlingen av cookies i grunden föremål för GDPR . Enligt GDPR kan användningen baseras på ett berättigat intresse eller på samtycke (jämför (Art. 6 Para. 1 lit. a GDPR). Eftersom detta i sig inte leder till ett obligatoriskt krav på samtycke hänvisar EG-domstolen till e-integritetsdirektivet.
EG-domstolens dom om cookies och dess konsekvenser: samtycke till användning
Effektivt samtycke är i praktiken knutet till vissa krav till följd av EG-domstolens dom om cookies. EG-domstolen har gjort viktiga uttalanden om cookies när det gäller effektiviteten av samtycke till deras användning. Dessa avser den gamla och den nya dataskyddslagen i enlighet med GDPR.
I princip följer det av EG-domstolens dom om cookies att samtycke till användning och behandling kräver ett aktivt beteende från användarens sida . Om det inte finns något aktivt beteende är det oklart om användarna har tillräcklig kunskap om situationen. Det följer redan att en
tidigare markerat kryssrutan för cookies kan inte representera effektivt samtycke . I betydelsen en faktisk opt-in måste besökaren själv bli aktiv och ge sitt samtycke genom att klicka så att cookies kan samlas in och behandlas enligt EG-domstolens dom.
När det gäller cookies kräver samtycke enligt EG-domstolens dom generellt separata och icke-förinställda klickalternativ för alla tänkbara fall. Inget samtycke för specifika fall kan härledas från en ren skicka-knapp.
Vidare innebär EG-domstolens dom om cookies att det, med beaktande av ePrivacy-direktivet, måste betonas om cookieinformationen representerar personuppgifter eller inte. Direktivet har alltså ett regleringsområde som till och med går längre än dataskyddslagstiftningen. Juridiska experter påpekar dock att e-integritetsdirektivet ännu inte har implementerats fullt ut i Tyskland.
Som ett resultat av EG-domstolens dom om cookies bör du som operatör av en webbplats också ge exakt information om användningen av cookies. Den information som krävs i samband med cookie-samtycket inkluderar bland annat handläggningstiden för uppgifterna. På samma sätt, som ett resultat av EG-domstolens dom om cookies, måste information om tredje parts tillgång till cookies meddelas besökarna. Detta inkluderar också exakt information om mottagarna av uppgifterna eller kategorierna av mottagare. Senast efter EG-domstolens dom måste besökaren veta vilka annonsörer som behandlar de insamlade uppgifterna.
Vikten och nödvändigheten av cookie-samtycke för webbplatsoperatörer
Nästan varje kommersiell webbplats samlar in data. Detta inkluderar inte bara operativt nödvändiga data, utan i de flesta fall även data som, enligt EG-domstolens cookiedom, kräver ditt uttryckliga samtycke från dina besökare. Även användningen av de enklaste analysverktygen är förknippad med insamling av många data och skapandet av motsvarande cookies. Ett vanligt exempel är Google Analytics-verktyget. Denna form av datainsamling sker också när någon placerar en widget på sociala medier. Därför förlitar sig varje operatör av en webbplats som har kunder inom GDPR-området (EU och utanför) på cookie content management . Enligt EG-domstolens cookiedom är en laglig drift av webbplatsen endast möjlig om korrekt hantering av cookie-medgivandet garanteras.
Cookiesamtycke i praktiken: implementering som en opt-in
EG-domstolens dom om cookies har redan tydliga och konkreta effekter. Detta leder till ett behov av åtgärder för webbplatsoperatörer. Detta gäller typen och utformningen av cookie-samtycket, det vill säga det uttryckliga samtycket till dess användning. Den information som ska kommuniceras till användarna om användningen av cookies påverkas också.
Samtycke måste i detta sammanhang utformas som ett verkligt opt-in i praktiken . Detta innebär att en aktiv åtgärd av användaren krävs för att samtycka. I grund och botten, sedan 2009, har EU:s dataskyddsriktlinjer gjort det möjligt för besökare att bli tillfrågade om deras samtycke. Tidigare kunde dock webbplatsoperatörer tolka detta krav i form av ett opt-out . Detta innebär att cookies i allmänhet sattes utan att användaren behövde göra något. Användaren
kunde invända mot användningen av cookies, men var tvungen att ta initiativ till det. Detta ändras med EG-domstolens dom om cookies: övergången till en opt-in innebär att webbplatsen i allmänhet inte ställer in cookies om inte användaren väljer dem. Som ett resultat kan cookies endast ställas in överhuvudtaget om besökaren har gett sitt samtycke. Följaktligen kan samtycke till cookies enligt EG-domstolen inte erhållas genom att kryssa i en ruta som redan har ställts in i förväg .
Det är därför tillrådligt för företag och webbplatsoperatörer i allmänhet att anpassa sig till EG-domstolens bedömning om cookies så snabbt som möjligt och att vidta lämpliga försiktighetsåtgärder för rättssäkert kakinnehåll. Samtyckeshanteringslösningar, som både informerar användaren utförligt om användningen av cookies och även begär hans uttryckliga samtycke, underlättar avsevärt för webbplatsoperatörerna.
Cookies samtyckeslösningar: standarder och hur de fungerar
Ett ramverk utvecklat av IAB Europe (Interactive Advertising Bureau) är tillgängligt för samtycke till inställning och bearbetning av cookies: det är Transparency and Consent Framework (TCF) , som håller på att etablera sig som standarden för cookie-samtycke. Syftet med utvecklingen av detta ramverk är en omfattande standardisering av samtyckesfrågan . Den första varianten av ramverket presenterades i april 2018. Den nuvarande versionen TCF 2.0 följde i maj 2020. Särskilt med tanke på EG-domstolens cookiedom är ramverket av stor betydelse, eftersom det gör det lättare att få nödvändigt samtycke. Mer specifikt är IAB:s anspråk att exakt förstå informationen om en användares samtycke till cookiebehandling. Detta påverkar hela leveranskedjan för användning av cookies. I de flesta fall är flera tjänsteleverantörer inblandade i att generera flera cookies. Dessa avser mestadels reklambanners och andra marknadsföringsåtgärder. Alla parter som är involverade i denna process är beroende av information om huruvida samtycke har givits till behandlingen av cookies.
Å ena sidan, som en del av cookie-samtyckeshanteringen baserad på IAB-ramverket, avgörs om en användare överhuvudtaget har gett sitt samtycke till användningen av cookies. I ett andra steg identifierar samtyckshanteraren vilka specifika samtycken användaren har gett på samtyckesbannern. Besökare har möjlighet att godkänna eller avvisa olika användnings- och bearbetningsändamål för cookies. Baserat på samtyckesstrukturen skapar en samtyckeshanterare för cookies en så kallad samtyckessträng, som i sin tur skapas i en cookie. Baserat på denna samtyckessträng har andra parter (t.ex. andra leverantörer av samtyckeshantering) också ett sätt att ta reda på en besökares samtycke.
CMP: Lösningar för samtyckeshantering för webbplatser och deras fördelar
Fördelarna med att använda en bra samtyckeshanterare är många för webbplatsoperatörer. Den rättssäkra utformningen av samtycket till cookies enligt EG-domstolen kan därmed garanteras. Varje bra webbplats syftar till att ge bästa möjliga användarupplevelse. Besökarnas behov ska tillgodoses så att de stannar på sajten. De viktigaste aspekterna av lång retention inkluderar en hög acceptansgrad och en låg avvisningsfrekvens. En bra samtyckeshanteringsleverantör bidrar till att minimera avvisningsfrekvensen och därmed öka acceptansgraden. Det bidrar alltså till en bra prestanda på webbplatsen. Kunder kan bara vinnas och permanent behållas på en webbplats om avvisningsfrekvensen på webbplatsen är låg.
Med en genomtänkt lösning för samtyckeshantering säkerställer du inte bara efterlevnad av kraven i EG-domstolens cookiedom, utan har också en realtidsöversikt över aktuella acceptans- och avvisningsfrekvenser. Beteendet hos webbplatsbesökare, kunder och potentiella kunder kan förstås. Av detta kan slutsatser dras om möjlig förbättringspotential.
En internationell orientering av samtyckesbannern är en självklarhet med moderna cookie-samtyckeslösningar. Popup-fönstret visas automatiskt på språket för det GDPR-land från vilket besökarna kommer åt din webbplats. Samtyckshanteringsleverantören visar informationen på totalt 29 språk. Dessutom erbjuder en CMP responsiv anpassning till den slutenhet som används av besökarna. Cookie-samtyckeslösningen reagerar på aspekter som skärmstorlek och operativsystem (t.ex. iOS eller Android) och visar besökarna en optimerad skärm.
Slutsats
EG-domstolens dom har utan tvekan komplicerat dataskyddspraxis för webbplatsoperatörer. Utöver tekniska frågor måste designaspekter och framför allt den juridiska dimensionen av transparent databehandling beaktas när man utformar en lagligt kompatibel cookie-banner. Det som framför allt webbplatsoperatörer ger intryck av nedlåtande riktlinjer och specifikationer tjänar i slutändan användarna som intressenter och kunder. I denna mening bör onlineåterförsäljare, utgivare eller byråer se EG-domstolens avgörande som ett incitament. Webbplatsbesökare vet mer och mer om omfattningen av dataöverföring och kräver maximal tydlighet och transparens i cookiehanteringen. Ur denna synvinkel kan webbplatsoperatörer bara dra nytta av ett smart samtyckeshanteringssystem i kundkontakten – genom mer förtroende i samband med tydlig användbarhet.
