Was ist Cookie Compliance? Leitfaden für Unternehmen

von: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Aktualisiert am: März 30, 2022

Scannen Sie Ihre Website auf Cookie-Konformität
Leitfaden zur Einhaltung von Cookie-Richtlinien für Unternehmen-01

Cookies sind kleine Dateien, die Websites auf den Computern ihrer Besucher speichern. Diese Dateien können vielen Zwecken dienen, z. B. um Nutzer auf einer Website angemeldet zu halten und ihr Verhalten im Internet zu verfolgen.

Obwohl Internet-Cookies in der Regel harmlos sind, können sie es Websites auch ermöglichen, in die Privatsphäre ihrer Besucher einzudringen. Verständlicherweise haben viele Regierungen weltweit neue Gesetze erlassen, um die Verwendung von Cookies im Internet zu regeln.

Die Europäische Union und der Bundesstaat Kalifornien haben beispielsweise Vorschriften erlassen, nach denen Websites klar erklären müssen, wie sie Cookies verwenden, und den Nutzern die Möglichkeit geben müssen, sich dagegen zu entscheiden. Wenn Ihre Organisation eine Website hat, sind Sie wahrscheinlich verpflichtet, diese Gesetze einzuhalten.

In diesem Leitfaden erfahren Sie, was die Einhaltung von Cookies bedeutet, welche Gesetze dies vorschreiben, welche Folgen die Nichteinhaltung hat und welche Techniken und Tools Sie einsetzen können, um Ihre Website vollständig Cookie-konform zu halten.

Inhaltsübersicht
  1. Was ist Cookie Compliance?
  2. Welche Gesetze verlangen die Einhaltung von Cookies?
  3. Arten der Cookie-Einhaltung
  4. Was sind die Folgen der Nichteinhaltung?
  5. So erreichen Sie die Cookie-Konformität
  6. Automatisierte Tools zur Einhaltung von Cookies
  7. Infografik zur Cookie-Einhaltung
  8. Zusammenfassung

Was ist die Einhaltung von Cookies?

Bei der Einhaltung der Cookie-Richtlinie geht es darum, sicherzustellen, dass Sie Cookies nur so verwenden, wie es die ePrivacy-Richtlinie(EU-Cookie-Gesetz), die EU-Datenschutzgrundverordnung (DSGVO), dem California Consumer Privacy Act(CCPA) und anderen geltenden Datenschutzgesetzen zulässig ist.

Um die Cookie-Richtlinien einzuhalten, müssen Sie sorgfältig überwachen, wie Ihre Website Cookies verwendet, und die Besucher deutlich darüber informieren, welche Cookies die Website zu verwenden beabsichtigt.

Die oben erwähnten Verordnungen bieten allgemeine Best Practices, die erklären, wie man Cookies auf eine datenschutzkonforme Weise verwendet. Allerdings haben Sie im Rahmen dieser Gesetze einen gewissen Spielraum, um zu entscheiden, wie Sie Ihre Website datenschutzkonform gestalten - und genau da kann es kompliziert werden.

Gesetze, die die Einhaltung von Cookies vorschreiben

Die wichtigsten Gesetze und Vorschriften, die die Einhaltung von Cookies vorschreiben, sind die DSGVO, die Datenschutzrichtlinie für elektronische Kommunikation und die CCPA. Die Anforderungen sind jedoch nicht identisch, und Sie müssen möglicherweise Ihre Cookie-Praktiken anpassen, um sie zu erfüllen. Im Folgenden erfahren Sie, was die einzelnen Vorschriften verlangen und was Sie dafür tun müssen.

DSGVO und der Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy)

Die Allgemeine Datenschutzverordnung (DSGVO) ist die umfassendste Datenschutzvorschrift, die bisher von einem Gremium verabschiedet wurde. Allerdings werden Cookies darin nur einmal direkt erwähnt, nämlich in Erwägungsgrund 30.

Die Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy Directive, EPD) wurde 2009 geändert und ist seitdem als "Cookie-Gesetz" bekannt.

Die bemerkenswerteste Auswirkung des Cookie-Gesetzes war die Verbreitung von cookie consent Popups. Darüber hinaus ergänzt es das DSGVO(und setzt es in einigen Fällen außer Kraft), indem es wesentliche Merkmale der Vertraulichkeit der elektronischen Kommunikation und der umfassenden Verfolgung von Internetnutzern behandelt.

In Kombination decken die DSGVO und die Datenschutzrichtlinie für elektronische Kommunikation mehr als nur Cookies ab. Für den durchschnittlichen Internetnutzer ist die offensichtlichste Auswirkung der Verordnungen jedoch, wie sie sich auf Unternehmen auswirken, die Cookies verwenden.

Zunächst unterteilen sie die Kekse in mehrere Kategorien:

  • Streng notwendige Cookies, d. h. solche, die dafür sorgen, dass der Nutzer auf der Website angemeldet bleibt oder dass der Inhalt des Warenkorbs des Nutzers erhalten bleibt
  • Präferenz- oder Funktionscookies, z. B. solche, die bevorzugte Sprachen über verschiedene Browsing-Sitzungen hinweg verfolgen
  • Statistik-Cookies, die verfolgen, wie Besucher eine Website nutzen, um deren Leistung zu verbessern
  • Marketing-Cookies, die es Werbetreibenden ermöglichen, gezielte Werbung anzuzeigen

Darüber hinaus schreiben die Vorschriften vor, dass Websites Folgendes tun müssen:

  • nur die unbedingt notwendigen Cookies zu verwenden, bis die Website die ausdrückliche Zustimmung des Nutzers zu einer anderen Vorgehensweise erhält
  • den Zweck und die Verwendung jedes Cookies klar zu erläutern, bevor der Nutzer seine Zustimmung geben kann
  • Führen Sie genaue Aufzeichnungen über Benutzer cookie consent
  • Erlauben Sie den Zugang zu Inhalten unabhängig von cookie consent
  • Einfache Abhebung cookie consent für alle Nutzer

Wenn Sie eine dieser Aufgaben nicht erfüllen, bedeutet dies, dass Sie die EU-Vorschriften nicht einhalten, unabhängig davon, ob Sie tatsächlich eine in der EU ansässige Organisation sind oder nicht.

Die DSGVO und die ePrivacy-Richtlinie gelten für Unternehmen innerhalb und außerhalb der EU, des Vereinigten Königreichs, Norwegens, Islands, Lichtensteins und der Schweiz. Gemäß Artikel 3 der DSGVO gilt die DSGVO für alle Unternehmen in der EU, die personenbezogene Daten verarbeiten.

Sie gilt auch für Unternehmen außerhalb der EU, die entweder:

  • Waren oder Dienstleistungen jeglicher Art an Personen in der EU anzubieten
  • Überwachung des Verhaltens von Personen in der EU

Wenn Sie eines dieser Kriterien erfüllen, müssen Sie alle strengen Richtlinien für die Einhaltung der EU-Cookie-Richtlinien befolgen, sonst drohen Strafen.

CCPA

Der California Consumer Privacy Act trat 2020 in Kraft und wurde 2021 durch den California Privacy Rights Act erheblich erweitert.

Wie die DSGVO decken diese Gesetze mehr als nur Cookies ab. Sie enthalten jedoch wichtige Bestimmungen, die regeln , wie Unternehmen Cookies verwenden können, um Einwohner Kaliforniens zu verfolgen.

Die Anforderungen der CCPA sind denen der DSGVO relativ ähnlich - Websites müssen:

  • Bereitstellung detaillierter Informationen darüber, was und warum Cookies verwendet werden und was mit den Cookie-Daten geschieht
  • Machen Sie es den Nutzern leicht, Cookies abzulehnen
  • Bereitstellung einer einfachen Möglichkeit für minderjährige Nutzer, ihre Zustimmung zu bestimmten Cookies zu widerrufen

Es gibt eine zusätzliche Anforderung, die von der DSGVO abweicht:

Websites müssen eine klare Schaltfläche "Meine persönlichen Daten nicht verkaufen" und "Meine persönlichen Daten nicht weitergeben" anbieten, damit der Nutzer den Verkauf oder die Weitergabe seiner persönlichen Daten verhindern kann.

Daher muss die Website eine Möglichkeit schaffen, um nachzuvollziehen, welche Nutzer dem Datenverkauf und der Datenweitergabe widersprochen haben.

Und schließlich müssen Websites nach dem CCPA den Nutzern eine ebenso bequeme Möglichkeit bieten, ihre Einwilligung zu widerrufen, wenn sie ihre Meinung ändern.

Dies bedeutet, dass ein zusätzlicher Opt-out-Service eingerichtet werden muss, der leicht zu finden ist, oft durch einen Link am Ende der Seite. Er sollte es den Nutzern ermöglichen, dem Verkauf - oder der Weitergabe - ihrer Daten durch Cookies zu widersprechen, indem sie bestimmte Cookie-Kategorien, z. B. Werbe- oder Analyse-Cookies, ablehnen, damit sie nicht auf den Geräten der Nutzer gesetzt werden.

Wie die DSGVOgilt auch die CCPA in ihrer jetzigen Fassung für alle Unternehmen, die sich an Einwohner des Bundesstaates wenden und bestimmte Schwellenwerte erfüllen. Selbst wenn Ihr Unternehmen nicht in Kalifornien ansässig ist, muss es daher möglicherweise CCPA-konform sein, wenn es Datenverkehr aus diesem Bundesstaat hat.

Was ist die Einhaltung von Cookies?

Wenn Sie die Cookie-Richtlinien einhalten müssen, stehen Ihnen drei Methoden zur Verfügung. Diese Lösungen zur Einhaltung von Cookies eignen sich für unterschiedliche Anwendungsfälle, je nachdem, um welche Cookies es sich handelt.

Einhaltung der Opt-out-Regelung

Bei der Opt-out-Compliance informieren Sie die Nutzer darüber, dass Sie Cookies verwenden werden, und bieten ihnen die Möglichkeit, mehr über diesen Prozess zu erfahren. Wenn sie sich dafür entscheiden, mehr zu erfahren, können sie die Cookies auswählen, die sie behalten möchten, und den Rest ablehnen.

Diese Methode ist mit Vorsicht zu genießen, da sie zwar mit dem CCPA, aber nicht unbedingt mit der DSGVO vereinbarist, da sie Cookies auf dem Gerät des Nutzers ohne dessen vorherige Zustimmung platziert.

Opt-in-Einhaltung

Die Einhaltung von Opt-in-Cookies ist etwas anders.

Ein Opt-in-Hinweis bietet den Nutzern zwei Schaltflächen: eine, die alle Cookies akzeptiert, und eine, die sie ablehnt. Die Nutzer müssen aktiv ein Kästchen ankreuzen, um zu bestätigen, dass sie die Cookies akzeptieren.

Darüber hinaus erlaubt die Opt-in-Cookie-Compliance nicht, dass Websites Cookies ablegen oder Daten von Nutzern sammeln, bevor diese nicht ausdrücklich ihr Einverständnis dazu gegeben haben.

Diese Methode steht im Einklang mit dem DSGVO und dem CCPA (wenn eine Website Daten von Minderjährigen sammelt).

Cookie-Hinweis ohne Opt-in oder Opt-out Optionen

Bei dieser Methode erklären Sie klar und deutlich, welche Cookies Ihre Website verwendet, und informieren den Besucher darüber, dass er durch die Nutzung der Website diese Cookies akzeptiert.

Der Nutzer hat nicht die Möglichkeit, diese Cookies abzulehnen. Daher ist diese Methode nicht mit der DSGVO oder der CCPA vereinbar.

Was sind die Folgen der Nichteinhaltung?

Strafen und Bußgelder bei Nichteinhaltung der Cookie-Gesetze

Die Nichteinhaltung der oben genannten Datenschutzgesetze hat unterschiedliche Konsequenzen, je nachdem, wo Sie leben. Wenn Sie sich beispielsweise nicht in der EU oder in Kalifornien befinden, fallen Sie nicht direkt unter die Rechtsprechung dieser Gesetze.

Die Nichteinhaltung der CCPA und DSGVO betrifft Sie nur, wenn Sie Kunden in diesen Bereichen ansprechen oder bestimmte Schwellenwerte erreichen.

Hier sind zwei Beispiele, um das Bild zu verdeutlichen:

Angenommen, Sie betreiben ein Restaurant in Idaho. Ihre Website richtet sich an Einheimische, um sie zu ermutigen, eine Bestellung aufzugeben oder eine Reservierung vorzunehmen. In diesem Fall müssen Sie wahrscheinlich weder das CCPA noch die DSGVO einhalten, da Sie sich nicht an Nutzer in der EU oder in Kalifornien wenden oder deren Daten verfolgen.

Stellen Sie sich dagegen vor, Sie betreiben eine Nachrichtenseite mit Sitz in New York und veröffentlichen Artikel, die auf Besucher aus der EU oder Kalifornien abzielen könnten.

In diesem Fall haben Sie zwei Möglichkeiten:

Sie können entweder den Datenverkehr von diesen Standorten blockieren, um sicherzustellen, dass Sie nicht versehentlich deren Daten verarbeiten , oder die einschlägigen Gesetze einhalten.

DSGVO Konsequenzen

Wenn diese Vorschriften auf Sie zutreffen, können die Konsequenzen bei Nichteinhaltung sehr hoch sein. Die Website DSGVO sieht erhebliche Geldbußen vor, die je nach Art des Verstoßes auf Sie zukommen können:

  • Geldbußen von bis zu 20 Millionen Euro
  • Geldbußen in Höhe von 2 bis 4 % des weltweiten Jahresumsatzes Ihres Unternehmens aus dem vorangegangenen Geschäftsjahr

Die Verordnung besagt, dass Sie mit einer Geldstrafe belegt werden, je nachdem, welcher Betrag höher ist, wobei schwerwiegendere Vorwürfe zu höheren Geldstrafen führen.

Selbst geringfügige Verstöße können zu Geldbußen in Höhe von Tausenden von Euro und Reputationsrisiken führen.

CCPA-Folgen

Das CCPA sieht auch drastische Geldstrafen vor.

Bei unbeabsichtigten Verstößen können Bußgelder in Höhe von 2.500 Dollar pro Verstoß verhängt werden.

Vorsätzliche Verstöße können zu Geldbußen in Höhe von 7.500 $ pro Vorfall führen. Das bedeutet, dass jeder Kunde, dessen Daten unter Verstoß gegen den CCPA verarbeitet oder gespeichert werden, mindestens 2.500 $ zur Gesamtstrafe beiträgt.

Wenn Sie außerdem gegen das CCPA verstoßen und Ihre Besucher einer Datenschutzverletzung aussetzen, kann jede betroffene Person Ihr Unternehmen auf bis zu 750 US-Dollar oder den tatsächlichen Schaden verklagen, je nachdem, welcher Betrag höher ist.

Wenn Sie Zweifel haben, ob Sie die Cookie-Vorschriften einhalten können, ist es sicherer, Maßnahmen zu ergreifen, um die Gesetze zu befolgen, als dies zu riskieren.

Tipps zur Einhaltung der Cookie-Richtlinien

Sobald Sie die Art der Cookie-Compliance bestimmt haben, die Ihren Anforderungen entspricht, können Sie die entsprechenden Schritte zur Umsetzung einleiten. Der grundlegende Prozess ist bei allen drei Varianten ähnlich.

Um die Cookie-Vorschriften einzuhalten, müssen Sie sicherstellen, dass Sie vor der Verwendung von Cookies die Zustimmung erhalten (DSGVO), oder Sie müssen einen einfachen Opt-out-Mechanismus einrichten (CCPA).

Die DSGVO Opt-in-Einwilligung muss sein:

  • Erworben vor der Verwendung von etwas anderem als essentiellen Cookies
  • vom Besucher frei gegeben, ohne dass er Zugang zu Diensten oder Inhalten erhalten muss
  • Eindeutig dokumentiert und für die spätere Verwendung aufbewahrt
  • Erneuert , um sicherzustellen, dass der Besucher weiterhin seine Zustimmung zu Cookies gibt

Das bedeutet, dass Sie die Zustimmung durch einen deutlich geschriebenen cookie banner einholen, bevor Sie ein einziges nicht notwendiges Cookie auf dem Computer eines Besuchers speichern.

Darüber hinaus müssen Sie drei Kriterien erfüllen, um die Bestimmungen von DSGVO in Bezug auf Cookies vollständig zu erfüllen:

  • Sie zeigen ein cookie consent Banner mit einfacher Sprache auf Ihrer Website an.
  • Sie speichern alle Informationen von cookie consent in einer sicheren Datenbank.
  • Sie machen es den Besuchern leicht, ihre Zustimmung zu widerrufen.

Überprüfen Sie Ihre Website

Wenn Sie sich nicht sicher sind, ob Sie die Cookie-Richtlinien einhalten, sollten Sie Ihre Website überprüfen.

  1. Scannen Sie zunächst Ihre Website, um jedes Cookie zu finden, das sie auf einem Computer zu speichern versucht. Lesen Sie unseren Leitfaden zur Überprüfung von Cookies, um mehr darüber zu erfahren.
  2. Sobald Sie alle Cookies identifiziert haben, die Ihre Website verwendet, müssen Sie ein cookie consent Banner und einen Cookie-Blocker einrichten. Sie können Ihr eigenes Banner programmieren oder mit einem Banner-Tool arbeiten, das die Zustimmung in Ihrem Namen einholt.
  3. Schließlich müssen Sie Ihre Cookie-Richtlinie verfassen, veröffentlichen und regelmäßig aktualisieren.

Sie müssen sich nicht allein um die Einhaltung der Cookie-Richtlinien kümmern. Sie können Tools zur Einhaltung von Cookie-Richtlinien verwenden, um den Prozess zu rationalisieren und Ihre Cookies mit weniger Aufwand zu überwachen. Eine gute Lösung zur Einhaltung von Cookie-Richtlinien wird Ihnen dabei helfen:

  • Erstellen Sie eine Cookie-Richtlinie
  • Anzeige eines personalisierten cookie banner , der zum Design Ihrer Website passt
  • Passen Sie sowohl die Richtlinie als auch das Banner so an, dass sie in den bevorzugten Sprachen der Besucher angezeigt werden
  • Aufzeichnung und Speicherung von Benutzerpräferenzen für die Zukunft
  • Kategorisieren Sie die von Ihrer Website angebotenen Cookies automatisch in die Typen DSGVO
  • Blockieren Sie Cookies auf Ihrer Website je nach den Präferenzen Ihrer Nutzer

Mit all diesen Funktionen müssen Sie sich keine Gedanken mehr über Ihre Cookies machen. Stattdessen können Sie sich darauf verlassen, dass Ihr Cookie-Manager alles für Sie erledigt.

Mit unserem cookie consent Manager können Sie alle Ihre Cookies an einem Ort verfolgen und Ihren Cookie-Hinweis immer auf dem neuesten Stand halten.

Sicherstellen der Cookie-Konformität mit Termly

Schritt 1: Geben Sie die URL Ihrer Website in den Scanner unten ein

Schritt 2: Wir scannen Ihre Website und kategorisieren die meisten Ihrer Cookies

Schritt 3: Wir erstellen Ihre Cookie-Richtlinie und Ihr anpassbares cookie banner

Cookie-Compliance-Leitfaden für Unternehmen - Infografik

Zusammenfassung

Die Einhaltung von Cookies ist von entscheidender Bedeutung, wenn Sie potenzielle Kunden in Kalifornien oder der EU haben. Die Einhaltung von Gesetzen wie DSGVO und CCPA schützt Ihre Nutzer vor Datenschutzverletzungen und Eingriffen in die Privatsphäre und hilft Ihnen, Geldstrafen bei Nichteinhaltung zu vermeiden.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Mehr über die Autorin

Geschrieben von Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha ist Spezialistin für Informationssicherheit und Datenschutz und zertifizierte Datenschutzbeauftragte. In den letzten sechs Jahren war sie als Datenschutzbeauftragte tätig und half kleinen und mittleren Unternehmen bei der Einhaltung von Rechtsvorschriften. Außerdem war sie Mentorin für die Einhaltung von Datenschutzbestimmungen bei vielen internationalen Business Accelerators. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzvorschriften (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD). Masha hat an der Universität Belgrad Jura studiert und 2016 die Anwaltsprüfung abgelegt. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen

Geben Sie Ihre Website-URL ein

Um Ihnen bei der Erstellung einer Cookie-Lösung helfen zu können, die DSGVO und dem Cookie-Gesetz entspricht, müssen wir zunächst Ihre Website auf Cookies untersuchen.