Senest siden den generelle databeskyttelsesforordning (GDPR) trådte i kraft, har du som operatør af en ikke-privat hjemmeside skullet iagttage vigtige databeskyttelsesaspekter. Spørgsmålet om, hvordan man håndterer cookies, var oprindeligt kontroversielt. Med sin dom (1. oktober 2019) traf EU-Domstolen (ECJ) specifikke bestemmelser vedrørende cookies med hensyn til samtykke til behandling. Samtykke til brugen af cookies er også kendt som cookie-samtykke. Consent Management Providers (CMP’er) tilbyder forenkling i det juridisk sikre design af brugen af cookies. Sofistikerede cookieløsninger fungerer automatisk og gør det muligt for brugerne at tillade typen og omfanget af cookiebrug.
EF-Domstolens dom og cookies: juridisk betydning på et øjeblik
Baggrunden for EF-domstolens afgørelse er det juridiske spørgsmål Planet49. Under filnummeret Az.: C- 673/17 er der nu tydeligere information om, hvordan samtykke til brug af cookies skal udformes. Som udgangspunkt skal den besøgende på en hjemmeside frivilligt og udtrykkeligt kunne acceptere brugen af cookies. Ifølge EF-domstolens dom om cookies er brug og behandling af visse cookies kun tilladt, efter at der er givet samtykke. Dette gælder ikke for cookies, der er absolut nødvendige for driften af hjemmesiden.
I EF-Domstolens dom om cookies fastslår EU-Domstolen, at ePrivacy-forordningen allerede giver et obligatorisk samtykke til cookies, der ikke er absolut nødvendige (jævnfør artikel 5, stk. 3, ePrivacy-direktivet). I princippet er denne udtalelse fra EF-Domstolen om cookies allerede kendt fra tidligere domme.
Det bemærkes, at den velkendte § 15, stk. 3 TMG (telemedieloven) skal ikke forstås som en implementering af e-databeskyttelsesdirektivet. Ligeledes kan hverken en fortolkning af TMG i overensstemmelse med direktivet eller en direkte anvendelse af ePrivacy-direktivet komme i betragtning. Derfor er brugen og indsamlingen af cookies grundlæggende underlagt GDPR . Ifølge GDPR kan brugen baseres på en legitim interesse eller på samtykke (sammenlign (art. 6, stk. 1 lit. a GDPR). Da dette alene ikke resulterer i et obligatorisk krav om samtykke, henviser EF-Domstolen til e-databeskyttelsesdirektivet.
EF-domstolens dom om cookies og dets konsekvenser: Samtykke til brug
Effektivt samtykke er i praksis bundet til visse krav som følge af EF-Domstolens dom om cookies. EF-Domstolen har fremsat væsentlige udtalelser om cookies med hensyn til effektiviteten af samtykke til brugen af dem. Disse vedrører den gamle og den nye databeskyttelseslov i overensstemmelse med GDPR.
I princippet følger det af EF-Domstolens dom om cookies, at samtykke til brug og behandling kræver aktiv adfærd fra brugerens side . Hvis der ikke er en aktiv adfærd, er det uklart, om brugerne har tilstrækkelig viden om situationen. Det følger den allerede
tidligere markeret afkrydsningsfeltet for cookies kan ikke repræsentere effektivt samtykke . I betydningen et egentligt opt-in skal den besøgende selv blive aktiv og give sit samtykke ved at klikke, så cookies kan indsamles og behandles i henhold til EF-domstolens afgørelse.
Med hensyn til cookies kræver samtykke ifølge EF-domstolens afgørelse generelt separate og ikke-forudindstillede klikmuligheder for alle tænkelige tilfælde. Der kan ikke udledes samtykke til specifikke sager fra en ren send-knap.
Endvidere betyder EF-Domstolens dom om cookies, at det under hensyntagen til ePrivacy-direktivet skal understreges, om cookieoplysningerne repræsenterer personoplysninger eller ej. Direktivet har således et reguleringsområde, der endda går ud over databeskyttelseslovgivningen. Juridiske eksperter påpeger dog, at ePrivacy-direktivet endnu ikke er fuldt implementeret i Tyskland.
Som følge af EF-Domstolens dom om cookies, bør du som operatør af et websted også give præcise oplysninger om brugen af cookies. De oplysninger, der kræves i forbindelse med cookie-samtykket, omfatter blandt andet behandlingstiden for dataene. Ligeledes skal oplysninger om tredjeparters adgang til cookies , som følge af EF-domstolens dom om cookies, formidles til besøgende. Dette omfatter også præcise oplysninger om modtagerne af dataene eller kategorierne af modtagere. Senest siden EF-Domstolens dom skal den besøgende vide, hvilke annoncører der behandler de indsamlede data.
Vigtigheden og nødvendigheden af cookie-samtykke for webstedsoperatører
Næsten alle kommercielle websteder indsamler data. Dette omfatter ikke kun operationelt nødvendige data, men i de fleste tilfælde også data, der ifølge EF-domstolens cookie-dom kræver udtrykkeligt samtykke fra dine besøgende. Selv brugen af de enkleste analyseværktøjer er forbundet med indsamling af talrige data og oprettelse af tilsvarende cookies. Et almindeligt eksempel er Google Analytics-værktøjet. Denne form for dataindsamling forekommer også, når nogen placerer en widget på sociale medier. Derfor er enhver operatør af et websted, der har kunder inden for GDPR-området (EU og udenfor), afhængig af cookie-indholdsstyring . I henhold til EU-domstolens cookie-dom er lovlig drift af hjemmesiden kun mulig, hvis korrekt håndtering af cookie-samtykket er garanteret.
Cookiesamtykke i praksis: implementering som opt-in
Domstolens dom om cookies har allerede klare og konkrete virkninger. Dette resulterer i et behov for handling for webstedsoperatører. Det drejer sig om typen og udformningen af cookie-samtykket, det vil sige det udtrykkelige samtykke til dets brug. De oplysninger, der skal kommunikeres til brugerne om brugen af cookies, er også påvirket.
Samtykket skal i denne sammenhæng udformes som et reelt tilvalg i praksis . Det betyder, at en aktiv handling fra brugerens side er påkrævet for at give samtykke. Grundlæggende har EU’s retningslinjer for databeskyttelse siden 2009 givet mulighed for, at besøgende kan blive bedt om deres samtykke. Tidligere kunne webstedsoperatører dog fortolke dette krav i form af et fravalg . Det betyder, at cookies generelt blev sat uden, at brugeren skulle gøre noget. Brugeren
kunne gøre indsigelse mod brugen af cookies, men måtte tage initiativ til det. Dette ændrer sig med EF-Domstolens dom om cookies: overgangen til et opt-in forudsætter, at webstedet generelt ikke sætter cookies, medmindre brugeren vælger dem. Som følge heraf kan cookies overhovedet kun sættes, hvis den besøgende har givet sit samtykke. Derfor kan samtykke til cookies ifølge EF-Domstolen ikke opnås ved at sætte kryds i en boks, der allerede er indstillet på forhånd .
Det er derfor tilrådeligt for virksomheder og webstedsoperatører generelt at tilpasse sig EF-Domstolens dom om cookies så hurtigt som muligt og at tage passende forholdsregler for lovligt sikkert cookieindhold. Samtykkestyringsløsninger, som både informerer brugeren udførligt om brugen af cookies og også anmoder om hans udtrykkelige samtykke, gør tingene væsentligt nemmere for webstedsoperatører.
Cookie-samtykkeløsninger: standarder og hvordan de fungerer
En ramme udviklet af IAB Europe (Interactive Advertising Bureau) er tilgængelig for samtykke til indstilling og behandling af cookies: det er Transparency and Consent Framework (TCF) , som er ved at etablere sig som standarden for cookiesamtykke har. Målet med udviklingen af denne ramme er en omfattende standardisering af samtykkespørgsmålet . Den første variant af rammen blev præsenteret i april 2018. Den nuværende version TCF 2.0 fulgte i maj 2020. Særligt set i lyset af EF-Domstolens cookie-dom er rammerne af stor betydning, da de gør det nemmere at indhente det nødvendige samtykke. Mere specifikt er IAB’s krav at forstå oplysningerne om en brugers samtykke til cookiebehandling præcist. Dette påvirker hele leveringskæden for brug af cookies. I de fleste tilfælde er flere tjenesteudbydere involveret i at generere flere cookies. Disse vedrører for det meste reklamebannere og andre markedsføringstiltag. Alle parter involveret i denne proces er afhængige af information om, hvorvidt der er givet samtykke til behandlingen af cookies.
På den ene side afgøres det som en del af cookie-samtykkestyringen baseret på IAB-rammerne, om en bruger overhovedet har givet sit samtykke til brugen af cookies. I et andet trin identificerer samtykkeadministratoren, hvilke specifikke samtykker brugeren har givet på samtykkebanneret. Besøgende har mulighed for at acceptere eller afvise forskellige brugs- og behandlingsformål for cookies. På baggrund af samtykkestrukturen opretter en cookie-samtykkemanager en såkaldt samtykkestreng, som igen oprettes i en cookie. Baseret på denne samtykkestreng har andre parter (f.eks. andre udbydere af samtykkestyring) også en måde at finde ud af en besøgendes samtykke.
CMP: Samtykkestyringsløsninger til websteder og deres fordele
Fordelene ved at bruge en god samtykkeadministrator er talrige for webstedsoperatører. Den juridisk sikre udformning af samtykket til cookies ifølge EF-Domstolen kan således garanteres. Enhver god hjemmeside har til formål at give den bedst mulige brugeroplevelse. De besøgendes behov bør tilfredsstilles, så de bliver på webstedet. De vigtigste aspekter af lang fastholdelse inkluderer en høj acceptrate og en lav afvisningsprocent. En god samtykkehåndteringsudbyder bidrager til at minimere afvisningsprocenten og dermed øge acceptprocenten. Det bidrager dermed til en god ydeevne af hjemmesiden. Kunder kan kun vindes og fastholdes permanent på en hjemmeside, hvis afvisningsprocenten på hjemmesiden er lav.
Med en gennemtænkt samtykkestyringsløsning sikrer du ikke kun overholdelse af kravene i ECJ-cookie-dommen, men har også et realtidsoverblik over de aktuelle accept- og afvisningsprocenter. Besøgendes, kunders og potentielle kunders adfærd på hjemmesiden kan forstås. Ud fra dette kan der drages konklusioner om mulige forbedringspotentiale.
En international orientering af samtykkebanneret er en selvfølge med moderne cookie-samtykkeløsninger. Pop op-vinduet vises automatisk på sproget i det GDPR-land, hvorfra besøgende får adgang til din hjemmeside. Udbyderen af samtykkestyring viser oplysningerne på i alt 29 sprog. Desuden tilbyder en CMP responsiv tilpasning til den slutenhed, der bruges af besøgende. Cookie-samtykkeløsningen reagerer på aspekter som skærmstørrelse og operativsystem (f.eks. iOS eller Android) og viser besøgende en optimeret visning.
Konklusion
Domstolens dom har uden tvivl kompliceret databeskyttelsespraksis for webstedsoperatører. Ud over tekniske spørgsmål skal der tages højde for designaspekter og frem for alt den juridiske dimension af gennemsigtig databehandling, når der designes et lovligt kompatibelt cookiebanner. Det, som især webstedsoperatører giver indtryk af nedladende retningslinjer og specifikationer, tjener i sidste ende brugerne som interesserede parter og kunder. I denne forstand bør online-forhandlere, udgivere eller agenturer se EF-Domstolens afgørelse som et incitament. Besøgende på webstedet ved mere og mere om omfanget af dataoverførsel og kræver maksimal klarhed og gennemsigtighed i cookiehåndtering. Ud fra dette synspunkt kan hjemmesideoperatører kun drage fordel af et smart samtykkestyringssystem i kundekontakten – gennem mere tillid i forbindelse med tydelig brugervenlighed.
