Leitfaden zum Cookie-Recht für Unternehmen: EU, US und UK

Abgedeckt durch Termly

von: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Aktualisiert am: Februar 21, 2022

Verwenden Sie Termly für ePrivacy
Cookie-Law-Guide-für-Unternehmen-EU-US-und-das-UK-01

Die Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie), auch bekannt als Cookie-Gesetz der Europäischen Union (EU), ist eine Rechtsvorschrift zum Schutz der Privatsphäre, die vorschreibt, dass Websites die Zustimmung der Besucher einholen müssen, bevor sie deren persönliche Daten abrufen oder speichern.

Sie soll die Rechte auf Privatsphäre schützen, indem sie den Verbrauchern das Recht einräumt, "Nein" zu sagen, wenn ein Unternehmen ihre Daten sammeln, speichern und verwenden will.

Lesen Sie weiter, um mehr über das Cookie-Gesetz zu erfahren und wie Sie die Einhaltung der Cookie-Anforderungen sicherstellen können. Zunächst gehen wir auf das EU-Cookie-Gesetz ein - und darauf, wer es einhalten muss - und dann auf ähnliche Cookie-Gesetze in den USA und Großbritannien.

Inhaltsübersicht
  1. Was ist das EU-Cookie-Gesetz?
  2. Wie man das Cookie-Gesetz einhält
  3. Strafen für die Nichteinhaltung des Cookie-Gesetzes
  4. Gibt es in den USA ein Cookie-Gesetz?
  5. Gibt es ein britisches Cookie-Gesetz?
  6. FAQs zum Cookie-Gesetz
  7. Zusammenfassung

Das europäische Cookie-Gesetz oder EU-Cookie-Gesetz ist ein Spitzname für die ePrivacy-Richtlinie der EU: eine Rechtsvorschrift, die vorschreibt, dass Websites die Zustimmung der Nutzer einholen müssen, bevor sie deren persönliche Daten speichern, verwenden oder abrufen.

Die Datenschutzrichtlinie für elektronische Kommunikation war das erste Gesetz, das Websites dazu verpflichtete, die vorherige Zustimmung von Nutzern in der EU einzuholen, bevor sie Tracker und Cookies zur Verarbeitung ihrer Daten aktivieren. Zusammen mit der Allgemeinen Datenschutzverordnung (DSGVO) bildet die Datenschutzrichtlinie für elektronische Kommunikation eine der strengsten Datenschutzregelungen der Welt.

Was sind die Anforderungen des EU-Cookie-Gesetzes?

Das EU-Cookie-Gesetz verpflichtet Sie dazu:

  • Verzichten Sie darauf, Tracker und Cookies auf den Browsern der Nutzer zu platzieren, bis diese ihre Zustimmung dazu gegeben haben.
  • Fragen Sie die Nutzer nach ihrer Zustimmung zu allen Trackern und Cookies auf Ihrer Website
  • Geben Sie den Nutzern detaillierte Informationen über alle Tracker und Cookies auf Ihrer Website
  • Den Nutzern die Möglichkeit geben, ihre Zustimmung genauso einfach zu widerrufen oder zu verweigern, wie sie ihre Zustimmung erteilen können

Das Cookie-Gesetz verlangt dies nur für nicht wesentliche Cookies wie Werbe-Cookies und Cookies für soziale Medien. Sie müssen diese Regeln nicht für wesentliche Cookies befolgen , d. h. die Arten von Website-Cookies, die entweder:

  • Erforderlich für die Bereitstellung eines Online-Dienstes, z. B. Ihrer Website oder eines Dienstes auf Ihrer Website
  • Ausschließlich zur Erleichterung oder Durchführung der Übertragung von Nachrichten über ein Netz verwendet

Sie sollten auch bedenken, dass das Cookie-Gesetz nicht nur für Cookies gilt. Trotz ihres Spitznamens soll die Datenschutzrichtlinie für elektronische Kommunikation für jede Art von Technologie gelten, die Sie zum Speichern und Verarbeiten von Nutzerdaten verwenden können. Aus diesem Grund wird keine Technologie ausdrücklich genannt - sie soll alle Technologien umfassen, auch solche, die noch nicht entwickelt wurden.

Es wird nur deshalb als EU-Cookie-Gesetz bezeichnet, weil Cookies derzeit die gebräuchlichste Technologie zur Speicherung von Nutzerdaten auf persönlichen Geräten sind.

Wer muss sich an das Cookie-Gesetz halten?

Das EU-Cookie-Gesetz gilt für jede Website mit Besuchern aus der EU, unabhängig davon, wo Ihr Unternehmen ansässig ist. Das bedeutet, dass Sie das EU-Cookie-Gesetz einhalten müssen, wenn:

  • Ihre Website verwendet Cookies
  • Sie verarbeiten und speichern die Daten von EU-Bürgern

Um sich abzusichern, sollten Sie die EU-Cookie-Vorschriften auch dann befolgen, wenn Sie keine Besucher aus der EU haben, da Sie in Zukunft möglicherweise Datenverkehr aus der EU erhalten werden.

Es gibt drei Möglichkeiten, wie Sie das EU-Cookie-Gesetz einhalten können:

Verwenden Sie eine verwaltete Lösung

Dies ist die einfachste Methode, da es viele Tools und Anwendungen gibt, mit denen Sie die EU-Cookie-Vorschriften automatisch einhalten können.

Zum Beispiel hilft Ihnen unser Cookie Consent Manager:

  • Sicherstellen, dass die Nutzer nur Cookies auf ihren Browsern haben, denen sie zugestimmt haben
  • Erkennen, kategorisieren und blockieren Sie die Ausführung von Skripten auf der Grundlage der individuellen Cookie-Einstellungen der Benutzer
  • Erstellen Sie eine auf Ihr Unternehmen zugeschnittene Cookie-Richtlinie
  • Einholung der Zustimmung der Nutzer durch vollständig angepasste Cookie-Banner in der Sprache, die dem Standort des jeweiligen Nutzers entspricht

Unser Tool hilft Ihnen nicht nur bei der Einhaltung des EU-Cookie-Gesetzes, sondern auch bei der Einhaltung anderer Datenschutzgesetze wie dem DSGVO und dem CCPA.

Manuelle Option

Wenn Sie keine verwaltete Lösung verwenden möchten, können Sie alle oben genannten Funktionen unseres Cookie-Managers auch manuell ausführen. Dieser Weg ist jedoch sehr viel zeitaufwändiger und sollte nur ausprobiert werden, wenn Sie sich mit dem Datenschutzrecht gut auskennen und über die technischen Möglichkeiten verfügen. Sie können unsere Website cookie scanner nutzen, um sich zumindest etwas zu entlasten.

Verwenden Sie überhaupt keine Cookies

Schließlich können Sie sich dafür entscheiden, überhaupt keine Cookies zu verwenden. Wenn Ihre Website jedoch mehr als nur statisches HTML verwendet, kann es schwierig sein, keine Cookies zu verwenden. Möglicherweise müssen Sie auf bestimmte Funktionen wie Kommentare oder eingebettete Videos verzichten.

Das EU-Cookie-Gesetz überlässt es den lokalen Regierungen, über Sanktionen zu entscheiden. Die Strafen für die Nichteinhaltung des Cookie-Gesetzes variieren daher je nach Ihrem Standort.

Im Allgemeinen ergreifen die meisten lokalen Regulierungsbehörden die folgenden Maßnahmen, wenn Sie das Cookie-Gesetz nicht einhalten:

Anforderung von Informationen

Ihre örtliche Aufsichtsbehörde wird Sie um zusätzliche Informationen bitten, u. a:

  • Links zu Ihren Cookie-Informationen in Ihren Allgemeinen Geschäftsbedingungen und Ihrer Cookie-Richtlinie
  • Arten von Cookies, die Ihre Website verwendet
  • Alles, was ihnen helfen kann, festzustellen, ob Sie die Vorschriften einhalten

Antrag auf Änderungen

Wenn Ihre Aufsichtsbehörde feststellt, dass Ihre Website nicht konform ist, wird sie Sie wahrscheinlich auffordern, sie konform zu machen. Verwenden Sie dazu eine der oben beschriebenen Methoden.

Vollstreckung

Wenn Sie das EU-Cookie-Gesetz nach der Aufforderung zur Änderung nicht einhalten, wird Ihre lokale Aufsichtsbehörde spezifische Maßnahmen auflisten, die Sie innerhalb eines bestimmten Zeitrahmens durchführen müssen. Wenn Sie dem nicht nachkommen, drohen Ihnen möglicherweise Strafanzeigen und Geldbußen.

Die Bußgelder variieren je nach Gerichtsbarkeit und Schwere der Verstöße, können aber in die Hunderte von Millionen gehen. So verhängte Frankreich kürzlich eine Geldstrafe in Höhe von 169 Millionen Dollar gegen Google und 67 Millionen Dollar gegen Facebook, weil die Nutzer zu viele Klicks benötigten, um sich von den Cookies abzumelden.

Nein, in den USA gibt es kein Cookie-Gesetz. Einige Bundesstaaten haben jedoch Gesetze, die die Verwendung von Cookies in Bezug auf ihre Einwohner regeln, wie z. B. das kalifornische Verbraucherschutzgesetz(CCPA).

Erfüllen Sie die US-Cookie-Bestimmungen kostenlos mit Termly

Schritt 1: Geben Sie die URL Ihrer Website in den Scanner unten ein

Schritt 2: Wir scannen Ihre Website und kategorisieren die meisten Ihrer Cookies

Schritt 3: Wir erstellen Ihre Cookie-Richtlinie & anpassbar cookie banner

Das CCPA oder "kalifornische Cookie-Gesetz"

Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act, CCPA ) ist eines der strengsten Gesetze, die in den USA für Website-Cookies gelten. Wie das EU-Cookie-Gesetz regelt es, wie Sie Cookies verwenden, um auf die persönlichen Daten der Verbraucher zuzugreifen und diese zu sammeln.

Ziel des CCPA ist es, den kalifornischen Verbrauchern die folgenden Rechte zu geben:

  1. Zu wissen, welche Informationen Unternehmen über sie sammeln
  2. zu wissen, ob und an wen Unternehmen ihre Daten verkaufen oder weitergeben
  3. Abmeldung oder Ablehnung des Verkaufs ihrer persönlichen Daten (oder Zustimmung, wenn sie zwischen 13 und 16 Jahre alt sind)
  4. Gleicher Preis und gleicher Service, auch wenn sie von ihrem Recht auf Privatsphäre Gebrauch machen
  5. Löschen und Zugreifen auf persönliche Informationen

Daher müssen Sie Cookies auf eine bestimmte Art und Weise verwenden und regulieren, um dem CCPA zu entsprechen.

Insbesondere verlangt der CCPA ausdrücklich, dass Sie dies bestätigen:

  • Wenn die Daten, die Sie von Cookies erhalten, verkauft oder an Dritte weitergegeben werden
  • dass die Verbraucher das Recht haben, nicht benötigte Cookies abzulehnen

Sie müssen auch eine leicht verständliche Cookie-Richtlinie erstellen, die die Benutzer verwenden können, wenn sie sich für oder gegen Cookies entscheiden.

Darüber hinaus müssen Sie Kundenanfragen zu den folgenden Punkten innerhalb von 45 Tagen auf "nachprüfbare Anfrage" beantworten :

  • Welche Informationen Sie durch Cookies und Tracker sammeln
  • Welche Teile Ihrer Website Cookies verwenden
  • ob Sie die durch Cookies gesammelten Informationen verkaufen und zu welchem Zweck
  • ob es Dritte gibt, die die von Ihnen gesammelten Informationen erhalten haben

Ähnlich wie das EU-Cookie-Gesetz gilt das CCPA für alle Cookies mit Ausnahme der wesentlichen Cookies.

Für wen gilt das CCPA?

Gemäß Abschnitt 9 des CCPA unterliegt jedes "Unternehmen", das kalifornische Verbraucherdaten sammelt, der Einhaltung des CCPA. Der CCPA definiert "Unternehmen" als jede gewinnorientierte Einrichtung, die Daten kalifornischer Verbraucher sammelt und mindestens eine der folgenden Bedingungen erfüllt:

  • Das Unternehmen erwirtschaftet 50 % oder mehr seines Jahresumsatzes mit dem Verkauf persönlicher Daten kalifornischer Verbraucher.
  • Die jährlichen Bruttoeinnahmen belaufen sich auf über 25 Millionen Dollar.
  • Es kauft, verkauft, erhält oder teilt jährlich die persönlichen Daten von 50.000 oder mehr kalifornischen Verbrauchern, Geräten oder Haushalten zu kommerziellen Zwecken.

Vorbereitung auf den California Privacy Rights Act (CPRA)

Der CCPA wird am 1. Januar 2023 durch den California Privacy Rights Act (CPRA ) ersetzt. Dieses neue Gesetz erweitert die Arten von geschützten Daten und gibt den Verbrauchern neue Rechte, darunter:

  • Das Recht auf Berichtigung, das es den Verbrauchern ermöglicht, unrichtige Informationen zu korrigieren, die Unternehmen über sie gesammelt haben.
  • Die Verbraucher werden auch das Recht auf Einschränkung haben, was ihnen die Möglichkeit gibt, die Verwendung und Weitergabe sensibler persönlicher Daten zu begrenzen.

Da es strenger ist als das CCPA und schon bald in Kraft treten wird, müssen Sie sich auf die Einhaltung des CPRA vorbereiten.

So sollten Sie beispielsweise damit beginnen, in Ihren Cookie-Benachrichtigungen "Verkauf von Informationen" in "Weitergabe und Verkauf von Informationen" zu ändern, da das CPRA die Weitergabe und den Verkauf von Informationen abdeckt.

Mögliches Cookie-Gesetz von Wisconsin

In Wisconsin gibt es derzeit kein Gesetz über Kekse und kein Gesetz über cookie consent , aber vielleicht bald.

Am 10. Februar 2020 wurde in Wisconsin ein Trio von Datenschutzgesetzen nach dem Vorbild des DSGVO eingeführt. Diese neuen Gesetzesentwürfe - Assembly Bills (AB) 870, 871 und 872 - werden das Wisconsin Data Privacy Act bilden.

Das Datenschutz- und Cookie-Gesetz von Wisconsin wird den Unternehmen erhebliche Verpflichtungen auferlegen. Der Generalstaatsanwalt von Wisconsin wird dieses neue Gesetz durchsetzen, und es kann zu Strafen von bis zu 4 % des gesamten Jahresumsatzes des zuwiderhandelnden Unternehmens oder 20.000.000 $ führen, je nachdem, welcher Betrag höher ist.

Wie das CCPA gilt auch dieses Gesetz für alle Unternehmen, die mit den personenbezogenen Daten von Personen, die in Wisconsin leben, umgehen. Im Gegensatz zum CCPA gilt es jedoch für einen viel größeren Kreis von Personen und Unternehmen.

So gilt sie beispielsweise für alle "für die Verarbeitung Verantwortlichen", d. h. für Personen, die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheiden.

Dieses potenzielle Cookie-Gesetz von Wisconsin hat eine weit gefasste Definition von "personenbezogenen Daten", die als alle Informationen über einen Verbraucher definiert werden, die eine indirekte oder direkte Identifizierung des Verbrauchers ermöglichen, einschließlich durch Bezugnahme auf Identifikatoren wie Standort, Online-Kennungen und Standortdaten.

Dies bedeutet, dass Cookies und Tracker unter diese Definition fallen.

Außerdem enthält es strenge, DSGVO-ähnliche Anforderungen, die kein anderes US-Cookie-Gesetz hat. So muss nach AB 872 jeder für die Verarbeitung Verantwortliche die folgenden Kriterien erfüllen, bevor er Cookies und Tracker zur Verarbeitung personenbezogener Daten von Verbrauchern einsetzt:

  • die Datenverarbeitung zu einem Zweck durchführen, dem der Verbraucher durch ausdrückliche Zustimmung oder eine Erklärung zustimmt
  • Einholung einer freiwilligen (d. h. nicht erzwungenen), eindeutigen und informierten Zustimmung
  • dem Verbraucher die Möglichkeit geben, seine Zustimmung so einfach zu widerrufen, wie er sie geben kann
  • Unterscheidung zwischen der Zustimmung zur Verarbeitung personenbezogener Daten und anderen Fragen
  • Sie müssen nachweisen können, dass der Verbraucher zugestimmt hat (z. B. durch eine elektronische Spur wie Clickwrap).
  • Lassen Sie den Verbraucher Ihren Dienst nutzen, ohne der Datenverarbeitung zuzustimmen

Ja, es gibt ein britisches Cookie-Gesetz: den Data Protection Act 2018.

Es handelt sich um die britische Version der EU-Richtlinie DSGVO und der Datenschutzrichtlinie für elektronische Kommunikation, die sich darauf auswirkt, wie Sie die Zustimmung von Besuchern aus dem Vereinigten Königreich und der EU zu Cookies einholen, speichern und verwenden können.

Das Datenschutzgesetz 2018 umfasst vier Abschnitte, von denen jeder eine andere Datenschutzregelung vorsieht:

  1. Der erste Teil stützt sich auf die Website DSGVO. Er überträgt die Website DSGVO auf das nationale Recht des Vereinigten Königreichs.
  2. Der zweite Teil erweitert die DSGVO und passt sie an das britische Recht an.
  3. Teil drei schafft eine neue Datenschutzregelung für die Strafverfolgung.
  4. Teil vier schafft eine neue Regelung für die britischen Nachrichtendienste.

Die meisten Bestimmungen des Data Protection Act über Cookies ähneln denen des DSGVO und der EU-Cookie-Verordnung. Wie die DSGVO und das EU-Cookie-Gesetz verlangt auch der britische Data Protection Act, dass Sie die ausdrückliche Zustimmung der Verbraucher einholen, bevor Sie deren personenbezogene Daten verarbeiten.

Die Verbraucher haben auch das Recht, unrichtige Informationen über sie zu korrigieren.

Gilt das EU-Cookie-Recht für US-Websites?

Nicht-US-Cookie-Vorschriften können auch für US-Websites gelten. So gilt zum Beispiel die Allgemeine Datenschutzverordnung (DSGVO) gilt für alle Unternehmen, die an Verbraucher im EWR verkaufen. US-Websites, die Besucher aus anderen Ländern als den USA haben, müssen möglicherweise prüfen, wo ihre Nutzer ansässig sind, um zu verstehen, welche Cookie-Gesetze sie befolgen müssen.

Gibt es in Kanada ein Cookie-Gesetz?

Nein, in Kanada gibt es kein spezielles Cookie-Gesetz. Die Verwendung von Cookies wird jedoch durch Anti-Spam- und Datenschutzgesetze wie PIPEDA geregelt.

Termly_Ikone

Testen Sie Termly kostenlos!

Termly ist eine benutzerfreundliche Lösung für die Verwaltung von cookie consent und die Einhaltung des Datenschutzes.

cookie-banner-settings-dashboard-screenshot

Wir wissen, dass es verwirrend und zeitaufwändig sein kann, mit den komplexen Datenschutzgesetzen Schritt zu halten; deshalb nehmen wir Ihnen die harte Arbeit ab!

Testen Sie KOSTENLOS unsere cookie consent Verwaltungslösungen und Generatoren für Rechtsrichtlinien!

Zusammenfassung

Das EU-Cookie-Gesetz, auch bekannt als Datenschutzrichtlinie für elektronische Kommunikation, schreibt vor, dass Websites die Zustimmung ihrer Besucher einholen müssen, bevor sie Cookies auf ihren Geräten speichern.

Zusammen mit der Website DSGVO stellt das EU-Cookie-Gesetz strenge Anforderungen an Websites, die mit den persönlichen Daten von EU-Bürgern umgehen. Die Nichteinhaltung des EU-Cookie-Gesetzes kann zu Geldbußen und Strafanzeigen führen.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Mehr über die Autorin

Geschrieben von Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha ist Spezialistin für Informationssicherheit und Datenschutz und zertifizierte Datenschutzbeauftragte. In den letzten sechs Jahren war sie als Datenschutzbeauftragte tätig und half kleinen und mittleren Unternehmen bei der Einhaltung von Rechtsvorschriften. Außerdem war sie Mentorin für die Einhaltung von Datenschutzbestimmungen bei vielen internationalen Business Accelerators. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzvorschriften (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD). Masha hat an der Universität Belgrad Jura studiert und 2016 die Anwaltsprüfung abgelegt. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen

Geben Sie Ihre Website-URL ein

Um Ihnen bei der Erstellung einer Cookie-Lösung helfen zu können, die DSGVO und dem Cookie-Gesetz entspricht, müssen wir zunächst Ihre Website auf Cookies untersuchen.