Cookie-Zustimmungsgesetz in der EU, den USA, Großbritannien und anderen Ländern

Die Nichteinhaltung der verschiedenen Cookie-Zustimmungsgesetze auf der ganzen Welt kann zu kostspieligen Bußgeldern und Strafen führen. Laut der Konferenz der Vereinten Nationen für Handel und Entwicklung haben 137 von 194 Ländern Gesetze zum Schutz von Daten und Privatsphäre erlassen.

Der folgende Leitfaden erklärt die Verwendung von Cookies, die Gesetze, die sie regeln, und Möglichkeiten, Ihre Einhaltung sicherzustellen.

Es ist auch wichtig, sich daran zu erinnern, dass „Cookie-Gesetze“ nicht nur für die Verwendung von Cookies gelten. Cookie-Gesetze sind Gesetze zum Schutz von Daten und Privatsphäre und gelten für alle Arten von Technologien, die zum Speichern und Verarbeiten von Benutzerinformationen verwendet werden können.

Cookies sind nur die gebräuchlichste Technik, die derzeit verwendet wird, um Benutzerinformationen auf persönlichen Geräten zu speichern.

Verständnis der verschiedenen Arten von Cookies

Cookies sind kleine Datendateien, die im Speicher eines Geräts gespeichert werden, um Informationen über die Aktivität des Gerätebenutzers zu sammeln, wenn der Benutzer auf die Website zugreift. Wenn Cookies zum Sammeln personenbezogener Daten verwendet werden, z. B. bei der Personalisierung und Verfolgung von Anzeigen, haben sie Auswirkungen auf den Datenschutz.

Ein grundlegendes Verständnis der verschiedenen Arten von Cookies ist notwendig, um die Gesetze, die ihre Verwendung regeln, besser zu verstehen und die Einhaltung der Cookie-Zustimmungsgesetze verschiedener Länder auf der ganzen Welt sicherzustellen.

Die folgenden sind die wichtigsten Unterscheidungen bei der Entscheidung, wie die Verwendung von Cookies eingesetzt werden soll:

• Sitzungscookies im Vergleich zu dauerhaften Cookies: Sitzungscookies werden automatisch gelöscht, wenn das Gerät den Zugriff auf die Website beendet, während dauerhafte Cookies für spätere Besuche des Gerätebenutzers verbleiben.
  
  
• Notwendige vs. optionale Cookies: Notwendige Cookies sind erforderlich, damit die Website ordnungsgemäß funktioniert. Ein Paradebeispiel sind Cookies, mit denen Benutzer Artikel in einen Online-Warenkorb legen und für später speichern können. Wahl-Cookies hingegen erfüllen eine andere Aufgabe, wie z. B. die Möglichkeit für Benutzer, ihre Erfahrung anzupassen oder Marketingfachleuten die Möglichkeit zu geben, Benutzeraktivitäten zu verfolgen.
  
  
• Erstanbieter- vs. Drittanbieter-Cookies: Ob das Cookie von Ihrer Organisation oder im Auftrag eines Marketingpartners oder einer externen Organisation verwendet wird.
  
  

EU-Cookie-Zustimmungsgesetze

Die plötzliche Zunahme der Verwendung von „Cookie-Bannern“, Hinweisen, die auf Websites und Apps angezeigt werden und um die Zustimmung des Benutzers zum Besuch der Website bitten, ist größtenteils auf die strengen Anforderungen zurückzuführen, die die Europäische Union (EU) an Unternehmen stellt, die personenbezogene Daten über das Internet sammeln Benutzer in EU-Ländern.

Die EU ist weltweit führend in den Bereichen Datenschutz und Online-Datenschutzgesetzgebung.

Im Jahr 2002 verabschiedete die EU die ePrivacy-Richtlinie (geändert 2008 und trat 2011 in Kraft), die von Websites verlangt, dass sie die Zustimmung der Benutzer einholen, bevor sie die persönlichen Informationen der Benutzer speichern, verwenden oder abrufen können.

Im Jahr 2018 verabschiedete die EU die Datenschutz-Grundverordnung (DSGVO), die die Erfassung personenbezogener Daten regelt und strenge Strafen für Gesetzesverstöße vorsieht. Zusammengenommen charakterisieren die ePrivacy-Richtlinie und die DSGVO personenbezogene Daten als alle Daten, die von einer identifizierbaren Person erstellt werden, und sie erfordern die Zustimmung des Benutzers, um diese Daten zu sammeln.

Die DSGVO-Cookie-Zustimmungsgesetze gewähren Benutzern auch das Recht auf Zugriff, Löschung, Korrektur und Widerspruch gegen die Erfassung ihrer personenbezogenen Daten.

Die EU-Cookie-Gesetze gelten für jede Website, die Besucher aus der EU hat, unabhängig davon, wo sich das Unternehmen physisch befindet. Die EU-Cookie-Gesetze verlangen von Unternehmen:

• Holen Sie die Zustimmung der Benutzer ein, bevor Sie Tracker oder Cookies in den Browsern der Benutzer platzieren;
• Geben Sie detaillierte Informationen über alle Tracker und Cookies, die auf ihren Websites verwendet werden;
• Bieten Sie Benutzern die Möglichkeit, die Einwilligung einfach zu widerrufen oder abzulehnen.

Allerdings erfordern nicht alle Cookies eine Zustimmung. Die EU erkennt an, dass einige Cookies für das ordnungsgemäße Funktionieren einer Website unerlässlich sind. Daher machen sie eine Ausnahme für Cookies, die „unbedingt erforderlich“ sind, um die von Besuchern der Website angeforderten Dienste auszuführen.

Das beste Beispiel für die Verwendung von notwendigen Cookies sind Online-Händler, die es Benutzern ermöglichen, Artikel in einem Online-Warenkorb zu speichern. Während der Umfang dessen, was „unbedingt erforderlich“ ist, nicht klar definiert ist, erwarten Benutzer von Einkaufsseiten, dass die Warenkorbfunktion funktioniert, was diese Cookies erforderlich macht.

Andererseits sind Cookies, die Benutzern ein individuelles Erlebnis oder maßgeschneiderte Werbung bieten, für das ordnungsgemäße Funktionieren einer Website, einschließlich Online-Shops, nicht erforderlich. Solche Cookies fallen nicht unter die Ausnahme, und vor ihrer Verwendung ist eine Zustimmung erforderlich.

Andere Cookies, die als unbedingt erforderlich erachtet werden, umfassen solche, die Sicherheitsfunktionen für Websites bereitstellen, von denen Benutzer ein hohes Maß an Sicherheit erwarten, einschließlich Online-Banking-Websites. Jedes Cookie, das nicht unbedingt erforderlich ist, erfordert eine Zustimmung, bevor es auf dem Gerät eines Benutzers gespeichert werden kann.

Cookie-Zustimmungsgesetze in den Vereinigten Staaten

Während mehrere US-Bundesstaaten Gesetze verabschiedet haben oder erwägen, sind die föderalen Datenschutzgesetze in den Vereinigten Staaten im Vergleich zu anderen großen Ländern im Allgemeinen schwach. Grundsätzlich verlangen die USA keine Zustimmung für Cookies, mit Ausnahme des Children's Online Privacy Protection Act (COPPA), der die Aktivität von Websites und Online-Diensten regelt, die sich an Kinder unter 13 Jahren richten.

COPPA gilt ausschließlich für die Erfassung personenbezogener Daten von Kindern unter 13 Jahren. Sie müssen sich an COPPA halten, wenn einer der folgenden Punkte zutrifft:

• Der Inhalt Ihrer Website oder App richtet sich an Kinder unter 13 Jahren und Sie erfassen ihre personenbezogenen Daten;
• Der Inhalt Ihrer Website oder App richtet sich an Kinder unter 13 Jahren und Sie gestatten Dritten, ihre personenbezogenen Daten zu sammeln;
• Ihre Website oder App richtet sich an ein allgemeines Publikum, aber Sie wissen, dass Kinder unter 13 Jahren Ihre Website nutzen, und Sie erfassen personenbezogene Daten von ihnen.

Die Federal Trade Commission (FTC) definiert „Website oder Online-Dienst“ in ihrer Children's Online Privacy Protection Rule: A Six-Step Compliance Plan for Your Business und umfasst alle folgenden Punkte:

• Mobile Apps, die Informationen online senden oder empfangen
• Internetfähige Gaming-Plattformen
• Plugins
• Werbenetzwerke
• Internetfähige ortsbezogene Dienste
• Voice-over-Internet-Protocol-Dienste

Laut FTC gilt COPPA nicht für Schulen, da es nicht für Informationen gilt, die von gemeinnützigen Organisationen gesammelt werden, die Bildungszwecken dienen, oder für Informationen, die von Landesregierungen gesammelt werden.

COPPA gilt jedoch für gewerbliche Drittunternehmen, die Websites und Apps für Schulen und Schüler bereitstellen. In solchen Fällen kann der Dritte die Zustimmung direkt von der Schule und nicht von den Eltern einholen.

Cookie-Zustimmungsgesetze in Kanada

Kanadas Datenschutzgesetze sind viel strenger als in den USA, aber immer noch nicht so streng wie in der EU. Kanada regelt die Verwendung von Cookies durch seine Anti-Spam- und Datenschutzgesetze:

• Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (PIPEDA)
• Kanadas Anti-Spam-Gesetzgebung (CASL)

PIPEDA erkennt „ausdrückliche“ und „stillschweigende“ Einwilligungen an. Die ausdrückliche Einwilligung oder „Opt-in“-Zustimmung wird ausdrücklich durch eine bestimmte Aktion erteilt. Aus der Untätigkeit einer Person kann auf eine stillschweigende Einwilligung oder „Opt-out“-Zustimmung geschlossen werden.

CASL verlangt, dass Website- und App-Betreiber eine ausdrückliche Zustimmung einholen, bevor sie bestimmte Computerprogramme, einschließlich Cookies, installieren. Unter CASL können Website-Betreiber davon ausgehen, dass ein Benutzer Cookies ausdrücklich zugestimmt hat, wenn „das Verhalten der Person so ist, dass vernünftigerweise angenommen werden kann, dass sie der Installation des Programms zustimmt“.

Dies mag eher wie eine stillschweigende Zustimmung als eine ausdrückliche Zustimmung klingen. Ungeachtet dessen erfordert das kanadische Gesetz keine ausdrückliche Zustimmung des Besuchers für Cookies, solange Websites und Apps die richtigen Informationen und ein Opt-out für Benutzer bereitstellen.

CASL ähnelt dem California Online Privacy Protection Act (CalOPPA), da beide Gesetze im Wesentlichen für alle und jeden gelten. Aufgrund der globalen Natur des Internets erreicht ein Unternehmen wahrscheinlich einen Einwohner von Kalifornien oder Kanada und muss daher die Anforderungen von CalOPPA und CASL erfüllen.

Cookie-Zustimmung im Vereinigten Königreich

Im Vereinigten Königreich regelt der Data Protection Act von 2018 den Datenschutz und die Einwilligung. Das Datenschutzgesetz verlangt, dass Sie die ausdrückliche Zustimmung der Benutzer einholen, bevor Sie ihre persönlichen Daten sammeln. Das Gesetz ist die britische Umsetzung einer Richtlinie der DSGVO für alle Mitgliedsstaaten.

Vor allem aber hat die britische Regierung kürzlich eine Abkehr von den Datenschutzgesetzen der EU vorgeschlagen. Um die Flut von Cookie-Consent-Bannern zu reduzieren, erwägt das Vereinigte Königreich den Wechsel zu einem Opt-out- statt einem Opt-in-Framework.

Gesetze zur Cookie-Einwilligung in Australien und Neuseeland

Weder Australien noch Neuseeland erfordern eine Zustimmung für Cookies. Beide Länder haben Datenschutzgesetze erlassen, aber diese Gesetze beziehen sich nicht ausdrücklich auf Cookies oder implizieren, dass die von Cookies gesammelten Daten als persönliche Informationen behandelt werden sollten.

Es ist dennoch ratsam, die Verwendung von Cookies in einer Datenschutzrichtlinie offenzulegen, da die australische Regierung in ihren australischen Datenschutzgrundsätzen vorschlägt, dass durch Cookies gesammelte Informationen personenbezogene Daten darstellen, wenn eine Person dadurch „angemessen identifiziert“ werden kann.

Cookie-Zustimmungsgesetze in China

China hat 2021 das Gesetz zum Schutz personenbezogener Daten (PIPL) verabschiedet und stellt einige der strengsten Anforderungen an die Erfassung personenbezogener Daten. Unter dem PIPL sind sehr spezifische Bedingungen erforderlich, um personenbezogene Daten innerhalb der Grenzen Chinas zu entfernen.

Gesetzesverstöße können sowohl für Ihr Unternehmen als auch für einzelne Mitarbeiter zu erheblichen Bußgeldern führen.

Erfahren Sie, wie Admiral Ihnen bei der Verwaltung der Datenschutzeinwilligung helfen kann

Da neue Datenschutzgesetze verabschiedet und bereits geltende aktualisiert werden, ist es für Unternehmen zur bewährten Praxis geworden, Cookie-Management- und Consent-Management-Systeme als Teil ihrer internen Cookie-Richtlinie zu implementieren.

Die Datenschutz-Consent-Management-Plattform von Admiral wurde entwickelt, um die Cookie-Zustimmungs-DSGVO und die aktuellen Gesetze der US-Bundesstaaten einzuhalten, und sie ist einfach zu installieren und benutzerfreundlich.

Admiral bietet eine Consent Management Platform (CMP) an, die für die DSGVO und das IAB TCF-Framework funktioniert. Um mehr zu erfahren, planen Sie noch heute Zeit ein, um Ihre Compliance-Optionen zu besprechen.