Ret

EF-domstolens dom og cookie-samtykke: løsninger til juridisk sikker databeskyttelse


Siden den generelle databeskyttelsesforordning (GDPR) trådte i kraft, har du som operatør af en ikke-privat hjemmeside været nødt til at tage vigtige databeskyttelsesaspekter i betragtning. Spørgsmålet om, hvordan man håndterer cookies, var oprindeligt kontroversielt. Med sin dom (1. oktober 2019) traf EU-Domstolen (ECJ) specifikke bestemmelser vedrørende cookies med hensyn til samtykke til behandling. Samtykke til brugen af cookies er også kendt som cookie-samtykke. Consent Management Providers (CMP’er) tilbyder forenkling i det juridisk sikre design af brugen af cookies. Sofistikerede cookieløsninger fungerer automatisk og gør det muligt for brugerne at tillade typen og omfanget af cookiebrug.

EF-Domstolens dom og cookies: juridisk betydning på et øjeblik

Baggrunden for EF-Domstolens afgørelse er det juridiske spørgsmål Planet49 . Under filnummeret: C-673/17 er der nu tydeligere information om, hvordan samtykke til brug af cookies skal struktureres. Som udgangspunkt skal den besøgende på en hjemmeside have mulighed for frivilligt og udtrykkeligt at acceptere brugen af ​​cookies. Ifølge EF-Domstolens dom om cookies er brug og behandling af visse cookies kun tilladt, efter at der er givet samtykke. Dette udelukker cookies, der er absolut nødvendige for at drive hjemmesiden.

I EF-Domstolens dom om cookies fastslår EU-Domstolen, at ePrivacy forordningen allerede kræver obligatorisk samtykke til cookies, der ikke er absolut nødvendige (se artikel 5, stk. 3 ePrivacy direktivet). I princippet er denne udtalelse fra EF-Domstolen om cookies allerede kendt fra tidligere domme.

Det bemærkes, at den velkendte § 15, stk. 3 Digital Services Act DDG (tidligere Telemedia Act, TMG) ​​skal ikke forstås som en implementering af ePrivacy direktivet. Ligeledes er hverken en fortolkning af DDG i overensstemmelse med retningslinjerne eller en direkte anvendelse af ePrivacy direktivet mulig. Derfor er brugen og indsamlingen af ​​cookies grundlæggende underlagt GDPR . Ifølge GDPR kan brug være baseret på legitim interesse eller samtykke (se (Art. 6, stk. 1 lit. a GDPR). Da dette alene ikke resulterer i et obligatorisk krav om samtykke, henviser EF-Domstolen til ePrivacy .

EF-domstolens dom om cookies og dets konsekvenser: Samtykke til brug

Effektivt samtykke er i praksis bundet til visse krav som følge af EF-Domstolens dom om cookies. EF-Domstolen har fremsat væsentlige udtalelser om cookies med hensyn til effektiviteten af samtykke til brugen af dem. Disse vedrører den gamle og den nye databeskyttelseslov i henhold til GDPR.

I princippet følger det af EF-Domstolens dom om cookies, at samtykke til brug og behandling kræver aktiv adfærd fra brugerens side . Hvis der ikke er en aktiv adfærd, er det uklart, om brugerne har tilstrækkelig viden om situationen. Det følger den allerede
tidligere markeret afkrydsningsfeltet for cookies kan ikke repræsentere effektivt samtykke . I betydningen et egentligt opt-in skal den besøgende selv blive aktiv og give sit samtykke ved at klikke, så cookies kan indsamles og behandles i henhold til EF-domstolens afgørelse.

Med hensyn til cookies kræver samtykke ifølge EF-domstolens afgørelse generelt separate og ikke-forudindstillede klikmuligheder for alle tænkelige tilfælde. Der kan ikke udledes samtykke til specifikke sager fra en ren send-knap.

Endvidere betyder EF-Domstolens dom om cookies, at det under hensyntagen til ePrivacy direktivet skal understreges, om cookieoplysningerne repræsenterer personoplysninger eller ej. Direktivet har således et reguleringsområde, der endda går ud over databeskyttelseslovgivningen. Juridiske eksperter påpeger dog, at ePrivacy -direktivet endnu ikke er fuldt implementeret i Tyskland.

Som følge af EF-Domstolens dom om cookies, bør du som operatør af et websted også give præcise oplysninger om brugen af cookies. De oplysninger, der kræves i forbindelse med cookie-samtykket, omfatter blandt andet behandlingstiden for dataene. Ligeledes skal oplysninger om tredjeparters adgang til cookies , som følge af EF-domstolens dom om cookies, formidles til besøgende. Dette omfatter også præcise oplysninger om modtagerne af dataene eller kategorierne af modtagere. Senest siden EF-Domstolens dom skal den besøgende vide, hvilke annoncører der behandler de indsamlede data.

Vigtigheden og nødvendigheden af cookie-samtykke for webstedsoperatører

Næsten alle kommercielle websteder indsamler data. Dette omfatter ikke kun operationelt nødvendige data, men i de fleste tilfælde også data, der ifølge EF-domstolens cookie-dom kræver udtrykkeligt samtykke fra dine besøgende. Selv brugen af de enkleste analyseværktøjer er forbundet med indsamling af talrige data og oprettelse af tilsvarende cookies. Et almindeligt eksempel er Google Analytics-værktøjet. Denne form for dataindsamling forekommer også, når nogen placerer en widget på sociale medier. Derfor er enhver webstedsoperatør, der betjener kunder inden for GDPR-området (EU og udenfor), afhængig af administration af cookie-samtykke . I henhold til EU-domstolens cookie-dom er lovlig drift af hjemmesiden kun mulig, hvis korrekt håndtering af cookie-samtykket er garanteret.

Cookiesamtykke i praksis: implementering som opt-in

Domstolens dom om cookies har allerede klare og konkrete virkninger. Dette resulterer i et behov for handling for webstedsoperatører. Det drejer sig om typen og udformningen af cookie-samtykket, det vil sige det udtrykkelige samtykke til dets brug. De oplysninger, der skal kommunikeres til brugerne om brugen af cookies, er også påvirket.

Samtykket skal i denne sammenhæng udformes som et reelt tilvalg i praksis . Det betyder, at en aktiv handling fra brugerens side er påkrævet for at give samtykke. Grundlæggende har EU’s retningslinjer for databeskyttelse siden 2009 givet mulighed for, at besøgende kan blive bedt om deres samtykke. Tidligere kunne webstedsoperatører dog fortolke dette krav i form af et fravalg . Det betyder, at cookies generelt blev sat uden, at brugeren skulle gøre noget. Brugeren

kunne gøre indsigelse mod brugen af cookies, men måtte tage initiativ til det. Dette ændrer sig med EF-Domstolens dom om cookies: overgangen til et opt-in forudsætter, at webstedet generelt ikke sætter cookies, medmindre brugeren vælger dem. Som følge heraf kan cookies overhovedet kun sættes, hvis den besøgende har givet sit samtykke. Derfor kan samtykke til cookies ifølge EF-Domstolen ikke opnås ved at sætte kryds i en boks, der allerede er indstillet på forhånd .

Det er derfor tilrådeligt for virksomheder og webstedsoperatører generelt at tilpasse sig EF-Domstolens dom om cookies så hurtigt som muligt og at tage passende forholdsregler for lovligt sikkert cookieindhold. Samtykkestyringsløsninger, som både informerer brugeren udførligt om brugen af cookies og også anmoder om hans udtrykkelige samtykke, gør tingene væsentligt nemmere for webstedsoperatører.

Cookie-samtykkeløsninger: standarder og funktionalitet

Der er en ramme for samtykke til indstilling og behandling af cookies, som er udviklet af IAB Europe (Interactive Advertising Bureau): det er Transparency and Consent Framework (TCF) , som har etableret sig som Standard for cookiesamtykke har. Målet med at udvikle denne ramme er at opnå en omfattende standardisering i samtykkespørgsmålet . Den første variant af rammen blev præsenteret i april 2018. Den nuværende version TCF 2.0 fulgte i maj 2020. Særligt set i lyset af EF-Domstolens cookie-dom er rammerne af stor betydning, da de gør det nemmere at indhente det nødvendige samtykke. Mere specifikt er IAB’s krav at forstå oplysningerne om en brugers samtykke til cookiebehandling præcist. Dette påvirker hele leveringskæden for brug af cookies. I de fleste tilfælde er flere tjenesteudbydere involveret i at generere flere cookies. Disse vedrører for det meste reklamebannere og andre markedsføringstiltag. Alle parter involveret i denne proces er afhængige af information om, hvorvidt der er givet samtykke til behandlingen af cookies.

På den ene side afgøres det som en del af cookie-samtykkestyringen baseret på IAB-rammerne, om en bruger overhovedet har givet sit samtykke til brugen af cookies. I et andet trin identificerer samtykkeadministratoren, hvilke specifikke samtykker brugeren har givet på samtykkebanneret. Besøgende har mulighed for at acceptere eller afvise forskellige brugs- og behandlingsformål for cookies. På baggrund af samtykkestrukturen opretter en cookie-samtykkemanager en såkaldt samtykkestreng, som igen oprettes i en cookie. Baseret på denne samtykkestreng har andre parter (f.eks. andre udbydere af samtykkestyring) også en måde at finde ud af en besøgendes samtykke.

CMP: Samtykkestyringsløsninger til websteder og deres fordele

Fordelene ved at bruge en god samtykkeadministrator er talrige for webstedsoperatører. Den juridisk sikre udformning af samtykket til cookies ifølge EF-Domstolen kan således garanteres. Enhver god hjemmeside har til formål at give den bedst mulige brugeroplevelse. De besøgendes behov bør tilfredsstilles, så de bliver på webstedet. De vigtigste aspekter af lang fastholdelse inkluderer en høj acceptrate og en lav afvisningsprocent. En god samtykkehåndteringsudbyder bidrager til at minimere afvisningsprocenten og dermed øge acceptprocenten. Det bidrager dermed til en god ydeevne af hjemmesiden. Kunder kan kun vindes og fastholdes permanent på en hjemmeside, hvis afvisningsprocenten på hjemmesiden er lav.

Med en gennemtænkt samtykkestyringsløsning sikrer du ikke kun overholdelse af kravene i ECJ-cookie-dommen, men har også et realtidsoverblik over de aktuelle accept- og afvisningsprocenter. Besøgendes, kunders og potentielle kunders adfærd på hjemmesiden kan forstås. Ud fra dette kan der drages konklusioner om mulige forbedringspotentiale.

En international orientering af samtykkebanneret er en selvfølge med moderne cookie-samtykkeløsninger. Pop op-vinduet vises automatisk på det respektive sprog i det GDPR-land, hvorfra besøgende får adgang til din hjemmeside. Udbyderen af samtykkestyring viser oplysningerne på i alt 29 sprog. Desuden tilbyder en CMP responsiv tilpasning til den slutenhed, der bruges af besøgende. Cookie-samtykkeløsningen reagerer på aspekter som skærmstørrelse og operativsystem (f.eks. iOS eller Android) og viser besøgende en optimeret visning.

Konklusion

Domstolens dom har uden tvivl kompliceret databeskyttelsespraksis for webstedsoperatører. Ud over tekniske spørgsmål skal der tages højde for designaspekter og frem for alt den juridiske dimension af gennemsigtig databehandling, når der designes et lovligt kompatibelt cookiebanner. Det, som især webstedsoperatører giver indtryk af nedladende retningslinjer og specifikationer, tjener i sidste ende brugerne som interesserede parter og kunder. I denne forstand bør online-forhandlere, udgivere eller agenturer se EF-Domstolens afgørelse som et incitament. Besøgende på webstedet ved mere og mere om omfanget af dataoverførsel og kræver maksimal klarhed og gennemsigtighed i cookiehåndtering. Ud fra dette synspunkt kan hjemmesideoperatører kun drage fordel af et smart samtykkestyringssystem i kundekontakten – gennem mere tillid i forbindelse med tydelig brugervenlighed.

Artikler om lignende emner:


flere kommentarer

Generel

Nyhedsbrev 09/2024

Nye funktioner: Data Subject Rights (DSR) værktøj GDPR foreskriver, at de berørte (såsom besøgende på webstedet, kunder eller andre personer, hvis data behandles) nyder visse rettigheder. Dette omfatter især, at de kan stille spørgsmålstegn ved deres rettigheder og modtage information om de data, der behandles. Rettighederne omfatter blandt andet: Vores nye DSR-værktøj giver dig nu […]
consentmanager logo with the text ‘consentmanager is a Google CMP Gold Partner’ on the left side. Gold medal with a ribbon next to a shield with the text ‘Certified CMP Partner’ in Google brand colours.
Ny

consentmanager opnår guldstatus som Google CMP-partner

consentmanager er blevet certificeret som Gold Tier CMP Partner i Google Consent Management Platform (CMP) Partner Program. Vi fik denne status baseret på følgende kriterier: Den seneste udvikling i Google CMP-partnerprogrammet giver betydelige fordele for vores kunder. Nu kan du integrere dit samtykkebanner med Google Ads, Google Analytics og Google Tag Manager direkte fra Google […]