Datenschutz, Tracking, ITP, Cookiebanner – wo geht es hin?

Acki-1024
Christoph Ackermann
alex-knight-B0-kMa8BgU-unsplash-scaled

Nicht nur durch immer wieder auftretende Datenlecks ist das Thema in aller Munde. Grundsätzlich steigt das Interesse an Datenschutz, was auch völlig richtig ist. Vielen Menschen wird auch erst bewusst, was ihre persönlichen Daten alles umfassen oder warum Datenschutz eigentlich wichtig ist. Gehen wir aber nach ein paar Grundsatzfragen etwas ins Detail und schauen, wie sich die Themen des Trackings, der ITP (Intelligent Tracking Prevention) und der Datenschutz im Allgemeinen (DSGVO, ePrivacy, Privacy Shield und revDSG) entwickeln. Auch werden wir auf die nach neustem Wissensstand rechtlich korrekte Umsetzung der Cookie-Banner eingehen.

Warum sammeln wir überhaupt Daten?

Daten werden aus ganz unterschiedlichen Beweggründen gesammelt. Die Grundmotivation vom Sammeln von Daten war immer, Dienste zu verbessern und genauer einzusetzen. Das ist insbesondere auch für uns Marketer spannend, weil wir die Kampagne zur Bratwurst lieber den Fleischessern zeigen und das neuste E-Bike einer Zielgruppe, die sowas auch kaufen könnte.

Diese Daten wurden aber in der Vergangenheit auch gezielt missbraucht, um zu manipulieren und Meinungen zu bilden. Auch der Datendiebstahl ist ein beständiges Thema.

Deshalb wurde zu Recht auch ein grösseres Interesse geschürt, dass jeder entscheiden kann, was über einem gesammelt wird. Ebenso, dass nur Nötiges gesammelt wird und damit möglichst kein Missbrauch stattfindet.

Ich denke, mittelfristig werden wir Techniken einsetzen müssen, die es ermöglichen, Kampagnen zielgerichtet und wirksam auszuspielen und gleichzeitig einen Nutzer nicht eindeutig identifizierbar machen.

Grundsätzlich ist das Sammeln von Daten bereits deutlich komplizierter geworden.

Wie funktioniert die gängigste Methode?

Alle Browser beherrschen seit vielen Jahren eine Technik, womit eine Website beim Besucher kleine Textinhalte zwischenspeichern kann. Umgangssprachlich (und auch im weiteren Text) nennen wir diese Technik «Cookies». Die Textinhalte werden immer einer Domain zugewiesen (z.B. cubetech.ch).

Machen wir ein kleines Beispiel. Du besuchst eine Website und diese gibt Dir eine zufällig generierte ID, welche in einem Cookie gespeichert wird. Beim nächsten Besuch hält der Browser diese ID bereit und die Website kann den Besucher als "wiederkehrend" einstufen.

Weiter kann jetzt z.B. ein Anbieter, der auf vielen Websites im Einsatz ist (looking at you, Google Analytics), dies auch nutzen und bei sich speichern, dass der Besucher mit dieser ID nach der Website zum Thema Garten dann eine Website zum Thema Bauhaus aufgerufen hat.

Jetzt kann statistisch errechnet werden, dass ein Internetnutzer, der sich zum Thema Garten informiert, dann mit z.B. 38%iger Wahrscheinlichkeit danach eine Website zum Thema Bauhaus besucht und entsprechende Werbeanzeigen einblenden.

Das Bauhaus zahlt somit nur noch für Werbung, die wahrscheinlich am richtigen Ort ankommt und der Werbeanbieter kann mehr Kunden überzeugen und mehr Umsatz machen, weil seine Werbeanzeigen durch die passende Datengrundlage für viele Kaufabschlüsse sorgen.

Cookies werden zudem auch noch für harmlose Funktionen wie Merklisten, Logins, Warenkörbe, etc. eingesetzt.

Diese Cookies sind dann auch entsprechend unbedenklich und werden für die Funktion einer Website benötigt. Wir gehen später noch kurz darauf ein.

Welche Arten von Cookies gibt es?

Man unterscheidet generell zwischen drei Arten von Cookies. Lass uns kurz darauf eingehen, damit wir verstehen, was mit ITP auf uns zu kommt.

Schematische Darstellung von Cookies
Schematische Darstellung von Cookies

Native 1st Party Cookies (grün)

Diese Art von Cookies werden direkt von der Website selber auf die Domain der Website geschrieben.

Beispielsweise sind das Cookies für Loginfunktionen, Warenkörbe in Shops, Merklisten und weitere Funktionen, die zur Grundfunktion der Website beitragen.

Diese Cookies sind im Normalfall unbedenklich.

1st Party Cookies (degradiert von ITP, blau)

1st Party Cookies werden von einem externen Dienst auf die Domain der Website geschrieben.

Dies machen zum Beispiel Statistiktools, um wiederkehrende Besucher zu erkennen. Produkte dazu sind Google Analytics, die freie Version Matomo (ehemals Piwik, OpenSource, bei unseren Wartungsverträgen ist die Nutzung von Matomo inkludiert) oder andere Werkzeuge.

Oft werden solche Werkzeuge mit einem JavaScript-Snippet eingebunden.

3rd Party Cookies (blockiert von Browsern, rot)

Diese Cookies werden von einem externen Dienst auf eine externe Domain geschrieben.

Das können Dienste wie Google Analytics, YouTube, Facebook und weitere sein.

Was ist jetzt dieses ITP (Intelligent Tracking Prevention)?

Das ITP geht auf eine Initiative von Apple aus dem Jahr 2017 zurück. Damals hat Apple die erste Version von ITP in ihrem Browser Safari eingeführt. Der Auslöser war die von Apple getätigte Annahme, dass der Erfolg von Plattformen vom Vertrauen der Nutzer abhängig sei. So würden sich gemäss Apple viele Nutzer nicht mehr sicher fühlen und das Vertrauen verlieren, sobald sie getrackt würden.

Intelligent Tracking Prevention nutzt ein Machine Learning-Modell (bekannt als Machine Learning Classifier), um festzustellen, welche privat kontrollierten Domains in der Lage sind, Besucher über verschiedene Websites zu tracken. Das Modell basiert auf Statistiken, die vom Browser gesammelt werden.

Wenn der Machine Learning Classifier feststellt, dass ein bestimmtes First Party-Cookie (z. B. ad.ads-r-us.com) für Tracking verwendet werden kann, wird das Cookie blockiert.

Das hört sich jetzt wahnsinnig technisch und kompliziert an (die Details werden von Piwik Pro erklärt), aber grundsätzlich werden einfach Cookies mit Trackingabsichten degradiert (nur für kurze Zeit zugelassen) oder geblockt. 3rd Party Cookies werden grundsätzlich blockiert. Dies betrifft nebst den Cookies auch Sessions und den Local Storage (einen Datenspeicher im Browser), einfache Umgehungslösungen sind also vom vornherein ausgeschlossen.

Was löst das aus?

Die ganzen Funktionalitäten mit Retargeting und Affiliate-Netzwerken werden massiv eingeschränkt bis unterbunden. In der Zwischenzeit haben Firefox und Edge eine ähnliche Funktionalität übernommen und Google Chrome zieht irgendwann wohl gezwungenermassen auch nach (wenn auch widerwillig, da Google's Geschäftsmodell auf Daten basiert). Aktuell geht man bei Google Chrome von 1-2 Jahren bis zur Umsetzung aus.

Zusätzlich erschwerend: Seit iOS 14 ist auch die IDFA (ID for Advertisers) in den Apps weggefallen, um Benutzer appübergreifend tracken zu können. Damit war es in der Vergangenheit möglich, Profildaten zu sammeln und in Apps personalisierte Werbung übergreifend über mehrere Apps auszuspielen. Das ist unter iOS nun nicht mehr möglich und gemäss Facebook hat das mögliche, freiwillige "Opt-In" kaum jemand genutzt.

Auch machen Ads- und Cookieblocker die Landschaft nicht einfacher, immerhin haben mehr als ein Fünftel der Internetnutzer einen Adblocker im Einsatz.

Nun gibt es Leute, die darauf hinweisen, dass das Volume von Apple und Firefox nicht wahnsinnig hoch ist und man schauen soll, wie man sich darum herum windet. Der Wunsch nach Datenschutz wird aber nicht einfach wieder verschwinden. Ich bevorzuge es, Lösungen zu suchen, die dem Wunsch nach Datenschutz und den Ansprüchen von Werbetreibenden gerecht werden können. Schliesslich betrifft es jetzt schon rund 50% des Internettraffics.

Konkret wird die Werbelandschaft aus Marketingsicht dadurch zwar komplexer und aufwändiger. Zeitgleich wird aber auch guter Content und die Entwicklung kreativer Lösungen ohne Datensammelwut gefördert. Ich sollte das wohl als Vertreter einer Digital Agentur so nicht sagen, aber mir gefällt diese Entwicklung grundsätzlich.

Jetzt kommt aber noch die rechtliche Sicht vom Datenschutz

Ja, das ist so. Nebst den technischen Hürden und den Bemühungen der Anbieter haben wir die rechtliche Seite.

Gerade in der EU hat die Einführung der DSGVO (Datenschutz-Grundverordnung) Wellen geschlagen und vieles umgekrempelt. Wir wurden mit Cookiebannern geflutet, jeder wollte sofort eine Datenschutzerklärung haben und niemand wusste so ganz, was dann wirklich galt. Auch, weil die Erfahrung und die dazu nötigen Rechtssprechungen noch gefehlt haben. Nun sind aber einige Jahre vergangen und viele unklare Themen wurden eindeutig geregelt, durch Gerichtsentscheide und Erfahrungswerte.

Schauen wir uns also an, wann Du unter die DSGVO fällst, was die ePrivacy-Verordnung ist, was mit dem EU-US und CH-US Privacy Shield passiert ist und wo wir in der Schweiz mit dem revDSG stehen.

Wann kommt denn die DSGVO zur Anwendung?

Die DSGVO (Datenschutz-Grundverordnung) kommt zur Anwendung, wenn eine der folgenden Voraussetzungen erfüllt ist:

  • Für alle in der EU niedergelassenen Unternehmen und ihre Auftragsverarbeiter (Art. 3 Abs. 1 DSGVO)
    ➡️ diese Voraussetzung ist klar, ist der Sitz in der EU, ist die DSGVO anwendbar
  • betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist (Art. 3 Abs. 2 lit. a DSGVO)
    ➡️ nicht alle sind davon betroffen, ein lokaler Handwerker oder ein Restaurant wird dies nicht betreffen, einen Softwareanbieter jedoch schon
  • das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt (Art. 3 Abs. 2 lit. b DSGVO)
    ➡️ Analytics

Trifft einer dieser Punkte auf Dich zu, bist Du zur Umsetzung der DSGVO verpflichtet.

Wie funktioniert die DSGVO?

Die DSGVO ist im Grundsatz ein Verbot mit Erlaubnisvorbehalt. Grundsätzlich ist die Verarbeitung von personenbezogenen Daten verboten. Sie ist ausnahmsweise erlaubt, wenn entweder die betroffene Person eine Einwilligung erteilt oder ein überwiegendes Interesse besteht.

Die Einwilligung des Benutzers muss informiert (klar, einfach, umfassend), aktiv, freiwillig / ungezwungen und nachweisbar erfolgen. Aus diesem Satz ergeben sich die Stolperfallen für die Umsetzung der Cookiebanner. Viele sind weder klar, noch ungezwungen, noch aktiv. Ich zeige später einige Beispiele dafür.

Personenbezogene Daten (Art. 4 Abs. 1 DSGVO) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Wichtig dabei ist, dass eine theoretische Möglichkeit zur Identifizierung bereits ausreicht (z.B. IP Adresse).

Und das mit den Bussgeldern?

Ja, Bussgelder werden sehr rege durch die EU ausgesprochen. Diese können empfindlich hoch sein, betreffen aber im Geschäftsumfeld nur die juristische Person. Hier unterscheidet sich die EU von der Schweiz, ich zeige das später noch auf.

Der Bussgeldrahmen liegt bei bis zu 20 Mio. Euro oder 4% des gesamten weltweit erzielten Jahresumsatz im vorangegangenen Geschäftsjahr, der höhere Wert gilt.

Damit Du eine Idee bekommst, wie das in der Realität aussieht, einige Beispiele aus der öffentlich einsehbaren Datenbank der Bussgelder bezüglich Verstösse gegen die DSGVO:

Bussgelder Verstosse DSGVO by cubetech
Bussgelder Verstösse DSGVO

ePrivacy Verordnung der DSGVO

Hinweis: In einer früheren Version des Artikels haben wir von der ePrivacy Richtlinie geschrieben, was nicht korrekt war. Wir haben den Absatz angepasst und ergänzt. Danke an den fachkundigen Leser für den Hinweis!

Die ePrivacy Verordnung ist die Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation. Diese soll als Erweiterung der DSGVO kommen, ist aber aufgrund der Einschränkungen sehr umstritten.

Vertreter aus der Wirtschaft versuchen derzeit alles, um die Zustimmung der EU-Kommission zu gewinnen, damit diese die ePVO wirtschaftsfreundlicher gestaltet. Die wesentlichen Inhalte der ePVO sind aber schon jetzt gesetzt. Tritt die Verordnung in Kraft, sind wahrscheinlich die nachfolgenden Punkte betreffend Cookies besonders relevant.

Opt-In Pflicht

Nur Speichermöglichkeiten, die technisch notwendig sind, dürfen ohne Einwilligung des Benutzers auf dessen Gerät gespeichert werden. Beispiele dafür sind: Session ID, Warenkorb Cookie, Cookies für Login oder ähnliches.

Die technische Notwendigkeit ergibt sich aus dem Kundenwunsch, nicht aus dem Anbieterwunsch.

Alle anderen Cookies

Weitere Cookies für Marketing und Analytics bedürfen der ausdrücklichen Zustimmung des Benutzers (Opt-In). Eine Verletzung der ePrivacy Verordnung führt dann zu einem Verstoss, der gleich wie bei der DSGVO gebüsst werden kann.

Wie ist das eigentlich mit der USA und dem Privacy Shield?

Die EU und die Schweiz haben mit den USA ein Privacy Shield ausgehandelt. Dieses sollte aufgrund der vielen Datenanbieter mit Sitz in der USA sicherstellen, dass die Daten der EU Bürger und von Schweizern dabei geschützt sind.

Nun hat der Europäische Gerichtshof bei einer Überprüfung entschieden, dass die erforderlichen Schutzbedingungen in den USA nicht gewährleistet werden können. Dies unter anderem wegen staatlichen Überwachungsmassnahmen, dem Zwangszugriff auf Daten von Behörden und wegen fehlender Klagemöglichkeiten von EU-Bürgern.

Per 16. Juli 2020 wurde das Privacy Shield von der EU ohne Übergangsfrist für ungültig erklärt. Persönliche Daten dürfen ohne Benutzer-Einverständnis nicht mehr in die USA transferiert werden, es sei denn, die Angemessenheit des Datenschutz kann über Standardvertragsklauseln zwischen den Parteien sichergestellt werden.

Dies hat auch den Schweizer Datenschützer EDÖB auf den Plan gebracht und ist zu demselben Schluss gekommen.

Somit ist per 8. September 2020 auch das CH-US Privacy Shield für ungültig erklärt.

Schweizer Datenschutzgesetz, da wird doch was revidiert?

Das aktuelle Schweizer Datenschutzgesetz DSG stammt (mit späteren Anpassungen) aus dem Jahr 1992 und kann somit die aktuellen Themen nicht mehr abdecken.

Nach über 10 Jahren (das Projekt wurde 2011 gestartet) steht das neue revDSG oder nDSG in den Startlöchern. Das Referendum im 2021 ist ungenutzt verstrichen und das Gesetz ging in die Vernehmlassung.

Das genaue Datum für das Inkrafttreten des revDSG ist noch unbekannt, wird aber auf Mitte 2022 bis Anfangs 2023 geschätzt. Die Entscheidung für das Datum trifft der Bundesrat. Ab diesem Datum gilt das neue revDSG ohne Übergangsfrist.

Was wird anders mit dem revDSG?

Das revDSG der Schweiz zeigt sich deutlich liberaler und wirtschaftsfreundlicher als die DSGVO der EU. Grundsätzlich ist das komplette Prinzip umgekehrt, was nicht explizit verboten ist, ist erlaubt. Dies gilt z.B. auch für "normales" Profiling, das Aufzeichnen des Benutzerverhaltens und dem Erstellen eines Profiles daraus. Dies ist zum Beispiel in einem Webshop der Fall, der Kaufempfehlungen vorschlägt. Schauen wir etwas genauer hin.

Informationspflicht

Neu greift eine verschärfte Informationspflicht. Demnach müssen betroffene Personen vorab über die beabsichtigte Datenbearbeitung informiert werden. Die Informationspflicht umfasst im Wesentlichen Angaben über die Bearbeitungszwecke, die verantwortliche Person der Datenbearbeitung sowie über die Empfänger bei Übermittlung von Daten und auch über eine Übermittlung ins Ausland (inkl. Information über die Rechtsgrundlage für Exporte in unsichere Länder). Zudem wird wohl über eine allfällige automatisierte Entscheidung oder andere Profiling-Massnahmen zu informieren sein. Durch Publikation einer Datenschutzerklärung kann dieses Thema abgedeckt werden.

Datenverarbeitungsverzeichnis

Ab einer Firmengrösse von 250 Mitarbeitern muss zudem ein Datenverarbeitungsverzeichnis geführt werden. Das Datenverarbeitungsverzeichnis soll einen Überblick über die wichtigsten unternehmensinternen Datenverarbeitungsprozesse beinhalten und muss regelmässig aktualisiert werden. Der Aufwand dafür darf nicht unterschätzt werden.

Datenschutzfolgeabschätzung

Wird intern ein neues Werkzeug eingeführt, müssen vorher die Folgen für den Datenschutz abgeklärt werden. Sie muss insbesondere Erwägungen über die Risiken der geplanten Datenbearbeitungen beinhalten sowie allfällige Massnahmen vorsehen, mit welchen diesen begegnet werden können. Führt die DSFA zum Ergebnis, dass die Datenbearbeitung ein hohes Risiko für die betroffenen Personen mit sich bringt, so besteht eine vorgängige Konsultationspflicht beim EDÖB oder beim internen Datenschutzbeauftragten.

«Privacy by Design» und «Privacy by Default»

Mit «Privacy by Design» ist die Pflicht zur Gewährleistung eines genügenden Datenschutzes in der Gestaltung von Systemen zu verstehen. Dies bedeutet, dass alle zumutbaren technischen und organisatorischen Möglichkeiten ausgeschöpft werden müssen, um die aufbewahrten Personendaten zu schützen.

«Privacy by Default» verpflichtet Anbieter im Weiteren, den Datenschutz durch Voreinstellungen zu gewährleisten. Sollte also ein Anbieter mehrere Möglichkeiten der Datenbearbeitung vorsehen und die Auswahl dazu den betroffenen Personen überlassen, so müssen die Voreinstellungen grundsätzlich eine möglichst geringfügige Datenbearbeitung vorzusehen. Die betroffene Person kann dann selbstverständlich auch in eine weitergehende Datenbearbeitung einwilligen.

Auftragsbearbeitung

Gemäss Art. 5 lit. k revDSG gilt als Auftragsbearbeiter, wer im Auftrag eines Anbieters Personendaten bearbeitet. Erforderlich ist, dass der Auftragszweck in der Bearbeitung von Personendaten liegt (bspw. externe Lohnbuchhaltung). Ist die Datenbearbeitung lediglich ein Mittel zur Auftragserfüllung, so liegt keine Auftragsbearbeitung vor.

Wird ein Auftragsbearbeiter eingesetzt, muss der Verantwortliche dafür sorgen, dass der Auftragsbearbeiter die Daten nur so bearbeitet, wie der Verantwortliche selbst dazu berechtigt wäre. Der Auftragsbearbeiter darf die Daten also nicht zu seinem eigenen Zweck bearbeiten. Der Verantwortliche ist nicht nur für die eigene Datenbearbeitung, sondern auch für diejenige des Auftragsbearbeiters in der Pflicht. Um sich abzusichern, ist der Abschluss einer Auftragsbearbeitungsvereinbarung ratsam. Neu ist, dass die Weitergabe der Daten an einen Subunternehmer eine vorgängige Genehmigung durch den Verantwortlichen erfordert.

Meldepflicht Datenleck

Liegt eine Datenschutzverletzung vor (bspw. Datenverluste oder wenn Daten Unbefugten offengelegt / zugänglich gemacht wurden), hat der Verantwortliche diese dem EDÖB unverzüglich zu melden, sofern diese voraussichtlich ein grosses Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen birgt. Die Verletzung der Datensicherheit muss der betroffenen Person im Übrigen nur mitgeteilt werden, sofern dies zu ihrem Schutz erforderlich ist oder vom EDÖB verlangt wird. Im Unterschied zur DSGVO sieht das revDSG keine starre 72-Stunden-Meldefrist und keine Protokollierungspflicht vor.

Berufsgeheimnis

Für geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile sieht das aktuelle Datenschutzgesetz bereits eine berufliche Schweigepflicht vor. Neuerdings gilt die berufliche Schweigepflicht für sämtliche geheimen Personendaten, von denen jemand bei der Ausübung eines Berufes Kenntnis erlangt hat, der die Kenntnis solcher Daten erfordert. Damit wurde de facto eine Schweigepflicht für alle Berufstätigen eingeführt. Der Verstoss gegen das Berufsgeheimnis kann mit Busse bis zu CHF 250 000 geahndet werden.

Kompetenzen und Sanktionen

Mit dem revidierten Datenschutzgesetz wurden die Kompetenzen des EDÖB (Eidgenössischer Daten- und Öffentlichkeitsberater) ausgebaut. Bisher konnte dieser lediglich Empfehlungen aussprechen. Neu ist er berechtigt, verbindliche Verfügungen zu erlassen und Massnahmen anzuordnen. Die Kompetenz, fehlbare Verantwortliche zu büssen, liegt allerdings bei den kantonalen Strafverfolgungsbehörden. Die Maximalbusse liegt neu bei CHF 250 000 und richtet sich gegen die verantwortliche natürliche Person (und damit nicht gegen das Unternehmen).

Website Cookie Meme

Mach Dir zuerst Gedanken, ob Du überhaupt einen Cookie Banner (auch Consent Banner genannt) benötigst.

Wir repetieren kurz: Wenn die DSGVO nicht zur Anwendung kommt oder der Besucher kein EU-Bürger ist, benötigt man keinen Cookie Banner. Ein Cookie Banner erhöht nämlich immer die Absprungrate auf der Website und stört unnötig den Besucher. Es gibt technische Methoden, um das Land eines Besuchers relativ sicher zu identifizieren. So ist es auch möglich, den Cookie Banner nur dann auszuspielen, wenn es wirklich nötig ist.

Eine weitere Möglichkeit besteht darin, den Consent Banner erst zu triggern, wenn er effektiv benötigt wird (z.B. Erstellung einer Zielgruppe anhand einer Benutzerinteraktion).

Für die korrekte Umsetzung von einem Cookie Banner gibt es folgende Grundsätze:

  • Klar kommunizieren
  • Leicht verständlich
  • Benutzer kann sich einfach entscheiden (auch Ablehnung)
  • Benutzung ist auch ohne Entscheidung möglich
  • Die Cookies werden effektiv nicht geladen ohne Entscheidung
  • Nichts vorauswählen und auch nicht farblich triggern
  • Detailseiten verlinken (Datenschutzerklärung)

Nachfolgend zeigen wir Euch ein paar Beispiele, was bezüglich der Umsetzung von Cookie Bannern richtig und falsch ist:

❌  Ungenügend

Datenschutz: korrekte Cookiebanner
  • Infobanner mit "Akzeptieren wenn Sie weitersurfen" - fehlende Wahlmöglichkeit
  • Grüner Hintergrund suggeriert eine Erfolgsmeldung
  • Kreuz spricht ebenfalls für fehlende Wahlmöglichkeit

 

❌  Ungenügend

Datenschutz: korrekte Cookiebanner
  • Vorausgewählte Checkboxen - nichts vorauswählen
  • Reine Schweizer Website - eigentlich gar nicht notwendig

 

❌  Ungenügend

Datenschutz: korrekte Cookiebanner
  • Nicht Nutzerfreundlich (fehlende UX)
  • Nicht leicht verständlich
  • Nutzer muss sich vor der Verwendung entscheiden
  • Führt zu hoher Absprungrate und genervter Grundhaltung

 

❌  Ungenügend

Datenschutz: korrekte Cookiebanner
  • Nudging / Dark Pattern - der blaue Button suggeriert, dass dies die richtige Antwort ist
  • Es ist einfach zuzustimmen, aber nicht abzulehnen
  • Verstösst gegen ein Urteil vom Landesgericht Rostok vom 15. September 2020
  • CNIL und noyb gehen aktiv gegen Firmen vor, die dies so einsetzen

 

⚠️  Umstritten

Datenschutz: korrekte Cookiebanner
  • Wahlmöglichkeiten: Cookies akzeptieren oder Bezahlen
  • Keine Möglichkeit, abzulehnen und trotzdem zu surfen
  • Die fehlende Freiwilligkeit ist umstritten, jedoch ist das Setzen von Cookies quasi die Bezahlform für die Verwendung kostenpflichtiger Inhalte

 

✅  Korrekte Umsetzung

Datenschutz: korrekte Cookiebanner
  • Der Benutzer wird korrekt informiert
  • Verlinkung zur Detailseite
  • Benutzer kann sich mit einem Klick entscheiden
  • Benutzer kann die Website ohne Entscheidung benutzen

So, das war's.

Hast Du noch Fragen? Ganz einfach, nutze die Kommentarmöglichkeit gleich unter dem Beitrag.
Ich werde diese sehr gerne zeitnah beantworten und freue mich schon jetzt über den Input.

Brauchst Du Hilfe?

Ich bin sicher, dass Du mit diesem Beitrag dem Datenschutz erfolgreich ein Stück näher kommen kannst. Nebst all den Informationen können wir Dich auf zwei weitere Arten effektiv unterstützen.

Datenschutzreferat

Gerne komme ich zu Dir in das Unternehmen und bringe das Thema Datenschutz im Rahmen von einem Referat Deinem Team näher. Gleichzeitig können wir anschauen, was für Euch die nächsten Schritte sind.

[gravityform id="20" title="false" description="true" ajax="true"]

Datenschutz-Checkup

Oder möchtest Du gleich den ersten Checkup von Deiner Datenschutz-Situation machen?
Für eine kleine Pauschale prüfen wir Deine Gesamtsituation, evaluieren die Risiken und empfehlen Dir die nächsten Schritte.

[gravityform id="22" title="false" description="true" ajax="true"]

Titelbild: Unsplash

Acki-1024

Artikel von

Christoph Ackermann

Vom Sa­ni­tärin­stal­la­teur zum Un­ter­neh­mer – das ist mein Wer­de­gang in einem Satz. Täg­lich be­strebt, Kun­den glü­ck­lich zu ma­chen und das In­ter­net auf den Kopf zu stel­len. Co­de­schnip­sel zum Früh­stück, be­rei­chern­de Mee­tings zur Mit­tags­pau­se und eine Bash zum Ein­schla­fen. Wenn mal nicht im Büro, dann ent­we­der im Se­gel­flug­zeug, in der Werk­statt unter einem Young­ti­mer oder mit Freun­den in der Stadt Bern an­zu­tref­fen.

Abonniere 
unseren Newsletter

Nur wertvolle Infos – kein Spam. Mit der Ameldung bestätigst Du, dass wir Dir einmal im Monat eine Zusammenfassung der neuesten Themen im Web-Bereich als E-Mail zusenden dürfen.

Mehr Artikel wie dieser

Die Vorteile von ISO 27001 – Und warum wir für unsere Server darauf setzen

Weisst Du, wie viel Aufwand Unternehmen eigentlich betreiben, um ihre Daten und die ihrer Kundschaft zu schützen?Stellt sich heraus: Enorm viel. Und dafür gibt es…
Weiterlesen

Ungeschützt – ein kleines Stück Software setzt das Internet in Brand

Die Sicherheitslücke macht Behörden, Firmen und auch Privatpersonen angreifbar. Die grösseren Attacken kommen wohl erst noch. Die IT-Sicherheitslücke Log4Shell (CVE-2021-44228) macht grosse Teile der digitalen…
Christoph Ackermann
Weiterlesen

Swiss Hosting – Das Gütesiegel für Schweizer Qualität in der Schweizer Softwarebranche

Hosting ist das Fundament für Weblösungen jeder Art. Denn ohne Hosting, geht im Grunde genommen gar nichts. Es ist daher sehr wichtig, sich stetig höchsten…
Christoph Ackermann
Weiterlesen

Was ist ein CDN (Content Delivery Network)?

Good news: Das Surfen im Internet wird immer schneller. Dies ist unter anderem besseren Datenleitungen wie auch der stetigen Optimierung von Content zu verdanken. Und…
Weiterlesen

Panik vor der Datenschutz-Grundverordnung 2018 (DSGVO)?

Am 25. Mai 2018 tritt in der EU die Datenschutz-Grundverordnung (DSGVO) ein. Ziel ist es, mehr Kontrolle über die Personendaten zu erhalten. Erreicht wird dies…
Weiterlesen

Alltagshelfer: SSL Zertifikate decodieren und überprüfen

Immer mal wieder kommt es vor, dass ein SSL Zertifikat rumzickt oder unerwünschte Ergebnisse produziert. Da ist es oft hilfreich, den Inhalt des Zertifikats (normalerweise zertifikatname.crt) lesbar zu machen und zu überprüfen oder das Keyfile (normalerweise zertifikatname.key) mit dem Zertifikatsfile abzugleichen.
Christoph Ackermann
Weiterlesen