Am 9. August 2021 schickte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BInBDI) förmliche Warnschreiben an Betreibende von 50 Webseiten, deren Cookie-Banner (Einverständniserklärungen) und Tracking noch nicht datenschutzkonform waren.
Was genau gerügt wurde, warum datenschutzkonforme Einwilligungen unabdinglich sind und wie sich Unternehmen am besten vor Mahnungen und Bußgeldern schützen können, fassen wir in diesem Artikel für Sie zusammen.
Zusammenfassung:
- Was genau setzte die BInBDI an den betroffenen Webseiten aus?
- Wie Unternehmen richtig tracken sollten
- Wie eine CMP klare und datenschutzkonforme Einwilligungen leichter macht
Was genau setzte die BInBDI an den betroffenen Webseiten aus?
Obwohl die Datenschutz-Grundverordnung (DSGVO) schon einige Jahre alt ist, gibt es leider noch viele Unternehmen, deren Webseiten nicht datenschutzkonform sind.
Hier geht es vor allem um Cookies, die eingesetzt werden, um personenbezogene Daten von Webseiten-Nutzern zu analysieren und oft auch an Drittanbieter weiterzuleiten. Dies sollte im Sinne der DSGVO aber nur mit der vollen und freiwilligen Einwilligung dieser Nutzer geschehen.
Mangelhafte Cookie-Banner
Häufig fehlen Cookie-Banner entweder komplett oder sie werden sehr mangelhaft eingesetzt, so dass Webseitenbesucher weiterhin ohne deren Einwilligung getrackt werden. Oft werden ihre Daten auch ohne ihr Wissen an Drittanbieter weitergeleitet.
Um diese Situation in Berlin zu verbessern, schickte Maja Smoltczyk, die seit 2016 die Stelle der BInBDI innehat, 50 Unternehmen schriftliche Aufforderungen, “das Tracking auf ihren Webseiten in Einklang mit den geltenden Datenschutzregeln zu bringen”.
Aktuelle Pressemitteilung der #Datenschutz-sicht Berlin: "BlnBDI konfrontiert Webseiten-Betreibende mit rechtswidrigem Tracking" - https://t.co/Izqo8r1xlw #DSGVO #Enforcement #TeamDatenschutz. Unsere Empfehlungen zu #Cookies: https://t.co/vAKWBL7UtD. pic.twitter.com/rg9vQQEaBt
— Stefan Hessel (@stefan_hessel) August 9, 2021
Denn: Die BInBDI hat den Auftrag, “die Einhaltung der datenschutzrechtlichen Vorschriften im Bundesland Berlin zu kontrollieren, in Fragen des Datenschutzes zu informieren, zu beraten und so das Grundrecht auf informationelle Selbstbestimmung zu sichern.”
Frau Smoltczyk betonte, dass die Rechtslage eindeutig sei: “Wenn Webseiten-Betreibende das Verhalten ihrer Nutzer*innen mit Hilfe von Cookies und anderen Technologien verfolgen wollen, benötigen sie dafür eine Rechtsgrundlage“.
Wie schon das Gerichtsurteil zum Rechtsfall Planet49 und das Urteil des Landgerichts Rostock zeigten, muss es für Webseitenbesucher zudem ebenso einfach sein, Cookies abzulehnen wie ihnen zuzustimmen. Cookie-Banner, die z.B. so konzipiert sind, dass sie Nutzer zum Annehmen aller Cookies drängen, sind deshalb nicht im Sinne der DSGVO.
“‘Die Ablehnung darf nicht aufwendiger oder gar versteckt sein“, erklärte die Datenschutzbeauftragte. „Zudem werden die Einwilligungsabfragen gerne eingebettet in unvollständige oder missverständliche Angaben und Beschriftungen. Wie die Webseitenbetreibenden bei solch einer Gestaltung nachweisen wollen, dass die Nutzer*innen freiwillig und informiert zugestimmt haben, ist mir ein Rätsel.“‘
Ernste Datenschutzverstöße
Die BInBDI erhält viele Beschwerden von Bürgern, die sie auf mangelhafte Webseiten aufmerksam machen. Diese Aktion macht also nicht nur deutlich, dass Datenschutz von immer mehr deutschen Bürgern ernst genommen wird, sondern dass sich viele Unternehmen oft einfach noch nicht gut genug mit den DSGVO-Vorschriften bzw. mit Cookie-Banner-Software auskennen, um wirklich datenschutzkonform zu werden.
Die 50 Unternehmen, die nun ermahnt wurden, fielen in mindestens eine dieser drei Kategorien:
- Die Cookie-Banner waren besonders mangelhaft konzipiert.
- Ihre Webseiten hatten sehr viele Nutzer und somit viel Datenverkehr.
- Sie verarbeiteten oft extrem sensible Daten.
Die betroffenen Unternehmensbranchen waren z.B. “Online-Handel, Immobilien, Finanzen, Soziale Netzwerke, Recht-Dienstleistungen, Software, Gesundheit, Bildung und Vergleichsportale”.
Mahnbriefe forderten diese Unternehmen nun auf, ihre Datenverarbeitung den datenschutzrechtlichen Vorgaben anzugleichen.
Geschehe das nicht, müssen die Webseitenbetreiber mit Prüfverfahren und möglicherweise hohen Bußgeldern rechnen.
Strafen können bei schwerwiegenden Datenschutzverstößen tatsächlich bis in den achtstelligen Bereich gehen und sollten somit sehr ernst genommen werden.
Wie Unternehmen richtig tracken sollten
Was genau ist eigentlich Tracking? Und warum tracken Unternehmen ihre Webseitenbesucher überhaupt?
Ganz einfach: Das Wort Tracking (auf deutsch: "Verfolgen") bezeichnet die Nutzerverfolgung im Internet. Durch den Einsatz von Tracking und Drittanbietern, die personenbezogene Daten wie z.B. IP-Adressen verarbeiten, können sich Webseitenbetreiber ein viel genaueres Bild von ihren Besuchern machen.
Dieses Tracking geschieht allerdings nicht nur auf der eigenen Webseite: “Auf ihrem Weg durch das Internet werden die Klicks der Nutzer durchgängig gesammelt und analysiert, um daraus Personenprofile zu erstellen. Die so gewonnenen Informationen gehen regelmäßig an Werbenetzwerke in aller Welt, die ihre Anzeigen noch besser auf die Bedürfnisse der Konsumenten zuschneiden wollen.”
Dies kann also sowohl für Unternehmen als auch für Webseitenbesucher durchaus positiv sein, allerdings nur, wenn letztere vorher transparent über die Verarbeitung und Weiterleitung ihrer Daten aufgeklärt wurden und ihnen zugestimmt hatten.
Webseitenbetreiber können dies mit einer verlässlichen Consent Management Plattform (CMP), wie Didomi sie anbietet, aber problemlos - und datenschutzkonform - tun.
Es ist also wichtig, die richtige Software zu nutzen und sie korrekt einzustellen, um rechtskonform zu bleiben.
{{discover-didomi-for-compliance}}
Vorab angekreuzte Einwilligungskästchen oder die Bündelung von Datenerfassungszwecken sind z.B. nicht im Sinne der DSGVO.
Nutzer sollten außerdem vor der Einwilligung über das Ablaufdatum aller Cookies und über involvierte Drittanbieter informiert werden.
Auch darf die visuelle Gestaltung des Cookie-Banners Webseitenbesucher nicht zum Annehmen aller Cookies drängen (“Nudging”).
Wie eine CMP klare und datenschutzkonforme Einwilligungen leichter macht
Mit einer verlässlichen CMP wie der Lösung von Didomi können alle Einwilligungen einfach und zentral online eingeholt werden. Sie werden erfasst, gespeichert, abgerufen und dann gegebenenfalls an verschiedene Partner bzw. Drittanbieter weitergeleitet.
{{discover-our-cmp}}
CMPs sind glücklicherweise einfach zu implementieren und zu verwalten. Unternehmen müssen nur einen Code auf ihrer Webseite oder ihrem Mobilgerät einbetten. Daraufhin kann die CMP sofort mit Benutzern und Anbietern interagieren.
Das Gute daran: Nutzer können ganz genau bestimmen, welchen Verwendungszwecken und/oder Partnern sie ihre Zustimmung erteilen.
Somit wird Ihr Unternehmen nicht nur datenschutzkonform, sondern kann sogar das Kundenvertrauen fördern.
Didomi hilft Ihnen aber auch dabei, Ihre Online-Marketing-Kampagnen zu optimieren und die Einwilligungsrate Ihrer Nutzer zu erhöhen. Unser Whitepaper “Kundeneinwilligung im Einzelhandel und E-Commerce” enthält dazu viele wertvolle Informationen.
{{download-our-whitepaper}}
Fazit: Guter Datenschutz ist also nicht nur ein Grundrecht Ihrer Kunden, sondern eine wirkliche Chance für Ihr Unternehmen.
Viele Webseitenbetreiber wissen oft nicht, wie sie komplett datenschutzkonform bleiben können. Ihnen fehlt meistens einfach das Know-how, die richtige Software, aber auch verlässliche Informationen zu den neuesten Veränderungen in der Gesetzgebung.
In all diesen Bereichen stehen wir Ihnen zur Seite. Mehr als 160.000 Webseiten und Apps vertrauen uns schon.
Buchen Sie einfach einen Kennenlerntermin und wir erklären Ihnen genau und unverbindlich, welche Didomi-Lösungen am besten für Ihr Unternehmen geeignet sind. Wir freuen uns auf Sie!
{{request-a-demo}}