Logo Logo
Cookiebot

 

Die Datenschutz-Grundverordnung (DSGVO) und die Datenschutzrichtlinien für die elektronische Kommunikation (ePR) beeinflussen die Anforderungen an Ihre Cookie-Hinweise und Banner. 

 

Probieren Sie kostenlos unseren DSGVO-Konformitätstest um zu überprüfen, ob Ihr Online-Tracking Verfahren und die Cookie Nutzung auf Ihrer Webseite mit der EU-Datenschutzverordnung übereinstimmt.

GDPR cookies: Cookiebot guides to GDPR cookie consent

Aktualisiert am 18. Februar.



Das EU-Recht hinsichtlich des Umgangs personengebundener Daten, genannt die Datenschutz-Grundverordnung (DSGVO), wird mit GDPR (General Data Protection Regulation) abgekürzt.

Welche Auswirkungen hat die DSGVO auf Ihre Online-Nachverfolgung, Ihre Datenschutzerklärungen sowie Ihre Cookie-Hinweise und Cookie-Warnung? Und wie befolgen Sie die Anforderungen der DSGVO?

In diesem Artikel führen wir Sie umfassend in das Thema DSGVO ein und geben Ihnen praktische Hinweise, inwiefern sich die neuen Bestimmungen auf Sie selbst und auf Ihre Webseite auswirken und was Sie bei der Gestaltung Ihres DSGVO-konformen Cookie-Hinweises beachten sollten.


DSGVO und die alarmierenden Wahrheiten der Verfolgung


Eine Studie aus dem Jahr 2020 über Cookies und Tracking auf heutigen Websites zeigt die beunruhigende Realität, die den meisten Website-Betreibern nicht bewusst ist –

99% der Cookies auf Websites werden verwendet, um Benutzer zu verfolgen oder um gezielte Werbung zu betreiben.

72% der Cookies werden von vierten Parteien gesetzt, die heimlich von Cookies Dritter, d.h. Trojanischen Pferden, geladen werden.

18% der Cookies stammen von einer fünften oder weiteren Partei, d.h. von tieferen trojanischen Pferden.

50% der Cookies, die heimlich von Trojanischen Pferde-Cookies Dritter geladen werden, wechseln zwischen wiederholten Besuchen.

Die alarmierende Wahrheit der heutigen Nachverfolgung ist also, dass sich die Website-Besitzer im Allgemeinen nicht bewusst sind, in welchem Ausmaß ihre Domains von unbekannten Unternehmen, von denen einige in nicht geeigneten Ländern (d.h. außerhalb datengeschützter Regionen wie der EU) ansässig sind, zur illegalen Nachverfolgung und Sammlung privater und persönlicher Daten ihrer Nutzer verwendet werden.

Die Studie der Ruhr-Universität und des Instituts für Internetsicherheit hat 10.000 Websites zur versteckten Verfolgung gemessen, und die oben genannten Ergebnisse machen die Argumente für den Schutz der Privatsphäre im Internet heute vollkommen klar:

Ihre Website benötigt eine umfassende und gründliche Cookie-Kontrolle, um die vollständige Einhaltung der DSGVO und ePR zu gewährleisten.

Ohne eine Technologie zur Verwaltung der Zustimmung auf Ihrer Website sind Ihre Chancen, die Privatsphäre der Endbenutzer zu schützen, sehr gering, praktisch gleich Null.

Oder, wie die Forscher schlussfolgern, "unterstreicht die Studie die dringende Notwendigkeit von Mechanismen zum Schutz der Privatsphäre, um die Cookie-basierte Nachverfolgung einzuschränken".

Lesen Sie die vollständige Studie Beyond the Front Page hier (PDF).

Probieren Sie Cookiebot noch heute kostenlos aus.


DSGVO und Cookies


Cookies wurden 1994 eingeführt und dienen als Gedächtnis des Internets. Diese kleinen Textdateien wurden von Lou Montulli während seiner Arbeit für Netscape erfunden und dienten Websites dazu, Dinge zu erinnern.

Ihr Name wurde von dem Konzept des „magic cookie“ geprägt das ein Datenpaket beschreibt, das von frühen Unix-Programmierern empfangen und zurückgeschickt wurde.

Seitdem ist die Welt nicht mehr die Gleiche.

Heute leben wir in über-cookieten Zeiten.

Websites hüten riesige Mengen an Drittanbieter-Cookies, die das Ernten und Zusammenfügen von persönlichen Daten in ausführlichen Psychographen zu jeder Einzelperson erlauben und für verhaltensbasiertes und personengerichtetes Marketing eingesetzt werden.

Wie es kürzlich Privatsphäre-Skandale gezeigt haben, wurden solche sogar als Waffen bei demokratischen Wahlen in den USA und der UK missbraucht.

Einst waren Cookies die Möglichkeit für das Internet, zu erinnern. Heute sind sie die Möglichkeit vorherzusagen.

Mit der DSGVO hat die EU den Kampf gegen in die Privatsphäre eingreifende Praktiken aufgenommen und eine Roadmap für zukünftige, ausgeglichene und respektvolle Verarbeitung von persönlichen Informationen vorgestellt.


DSGVO zu Cookies und Trackern

Bei der DSGVO handelt es sich um ein Regelwerk der wichtigsten Initiative zum Datenschutz innerhalb von 20 Jahren.

Ziel ist es, „natürliche Personen hinsichtlich der Verarbeitung von personengebundenen Daten und der freien Bewegung solcher Daten“ zu schützen, nämlich etwa die Website-Benutzer.

Cookies werden nur ein einziges Mal in den 88 Seiten dieser Verordnung erwähnt, jedoch wirken sich diese wenigen Zeilen erheblich auf die Konformitätsvorgaben von Cookies auf Ihrer Webseite aus (30):

“Natürliche Personen sind ggf. mit Online-Identifikatoren verknüpft, […] nämlich etwa Internet-Protokoll-Adressen, Cookie-Identifikatoren oder anderen Kennzeichen […]. Auf diesen werden ggf. Spuren hinterlassen, die - insbesondere in der Kombination mit einzigartigen Identifikatoren und anderen von den Servern empfangenen Daten - zur Erstellung von Profilen der natürlichen Personen und zu deren Identifikation genutzt werden.”

Einfach gesagt: Wenn durch Cookies Personen identifiziert werden können, handelt es sich um personengebundene Daten.

Wenn Sie sich unsicher sind, ob Ihre Website mit der DSGVO konform ist, machen Sie hier den kostenlosen Test.

Möchten Sie mehr über die ePrivacy Richtlinie aka „EU Cookie Law“ wissen?


DSGVO Text


Die Datenschutz-Grundverordnung wurde im April 2016 vom Europäischen Parlament und vom Europäischen Rat verabschiedet und trat am 25. Mai 2018 in Kraft.

DSGVO-Text in voller Länge (DSGVO-Gesetztext)

Aber seine Geschichte ist viel länger. Sie begann als Vorschlag bereits 2012, und die Verhandlungen über den DSGVO-Text selbst begannen am 15. Dezember 2015 zwischen dem Europäischen Parlament, dem Rat und der Europäischen Kommission - auch bekannt als formelle Trilog-Sitzungen.

DSGVO-Text zur Einwilligung

Ein Trilog bezieht sich auf eine "Diskussion zwischen drei Parteien" und ist eine in der Europäischen Union übliche Praxis, die in den EU-Verträgen beschrieben wird. Sie werden verwendet, wenn der Rat den Vorschlägen des Parlaments nicht zustimmt. In diesem Fall beginnen die Trilogverhandlungen.

DSGVO-Text zu persönlichen Daten

Im April 2016 wurde der DSGVO-Text vom EU-Rat angenommen, wobei Österreich als einziger Mitgliedsstaat dagegen stimmte. Nach Ansicht Österreichs ging der DSGVO-Text im Vergleich zur Richtlinie von 1995 nicht weit genug.

Dennoch wurde er eine Woche später vom EU-Parlament mit Wirkung zum 25. Mai 2018 angenommen.

DSGVO-Text zu für die „Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“

Die ersten 31 Seiten stellen eine Art Kontextgrundlage für die Verordnung dar, um die anstehenden Fragen und Begriffe aufzuklären und zu vertiefen. Die Verordnung selbst besteht aus 99 Artikeln, die in 11 Kapitel auf 57 Seiten unterteilt sind.

Der DSGVO-Text erwähnt das Wort "Cookie" auf seinen 88 Seiten nur einmal. Trotzdem hat die DSGVO klare Konsequenzen für die Verwendung von Cookies, da diese in der Lage sind, eine Vielzahl von Daten zu sammeln, die nach der DSGVO als persönliche Daten definiert werden können.

Ein Grund für die DSGVO, Cookies nur einmal zu erwähnen, ist, dass die ePrivacy-Verordnung im Gange ist - eine lex speciallis zur DSGVO, d.h. eine Spezifikation und Ausarbeitung der Teile der bestehenden Verordnung, die die elektronische Kommunikation betreffen.

DSGVO-Text zu Cookies

Zu den wichtigsten Passagen, die Sie lesen sollten, wenn Sie daran interessiert sind, den DSGVO-Text vollständig zu lesen, gehören –

DSGVO-Text über die Rechte der EU-Bürger

Der DSGVO-Text selbst kann für eine Person, die nicht mit Rechtstexten und Gesetzgebung vertraut ist, etwas unzugänglich sein. Wenn Sie es also vorziehen, eine Zusammenfassung über die Anforderungen an Website-Besitzer und -Betreiber zu lesen, lesen Sie unseren eigenen Blogpost darüber, wie die DSGVO-Konformität erreicht werden kann.

Hier können Sie unseren kostenlosen DSGVO-Test ausprobieren.


Also… Was sind Cookies?


Cookies sind kleine Dateien, die beim Browsen durch das Internet automatisch an Ihren Computer versandt und dort gespeichert werden. Es handelt sich um kleine Textmengen, die ohne weiteres abgerufen und gelöscht werden können.

Jedoch sind diese hinsichtlich der Daten über Ihre Aktivitäten und Präferenzen sehr aussagekräftig da sie sich zur Identifikation von Endnutzern einsetzen lassen können.

Das verstößt erheblich gegen geltendes Recht und je weiter sich Datentechnologien entwickeln, desto deutlicher wird die Privatsphäre von Ihren Endnutzern gefährdet.

Oft gehören die Cookies nicht einmal zu Ihrer Website, sondern kommen von Drittanbietern, die Ihre Website nutzen um Ihre Endnutzer für Ihre Zwecke und Marketingziele zu tracken.

Dieser Prozess erfolgt jedoch gewissermaßen „hinter den Kulissen“.

Eine Consent Management Platform wie Cookiebot zu verwenden bedeutet die verdeckten Cookies und Tracker auf Ihrer Website zu beleuchten – zu wissen, was mit den Daten Ihrer Nutzer passiert und in der Lage zu sein, zu kontrollieren, was auf Ihrer Domain passiert.

Dies wird mittlerweile von den meisten Datenschutzgesetzen der Welt gefordert.

Probieren Sie Cookiebot heute kostenlos aus.


DSGVO Cookie-Konformität

Nicht alle, doch die meisten und für die Webseitenbetreiber nützlichsten Cookies werden mit der Möglichkeit der Benutzeridentifikation eingesetzt und sind somit Gegenstand der DSGVO.

Es handelt sich um Analyse-, Marketing- und Dienste-Cookies (letzteres ist etwa bei Umfragen und Chats der Fall).

Darauf ergeben sich Fragen zu den Themen Datenschutz (Welche Daten werden registriert?) und Transparenz (Wer verfolgt den Benutzer und warum, wo werden die Daten gespeichert und für wie lange?).



Please accept marketing cookies to view this video

Accept cookies

Ist Ihre Website mit der DSGVO konform? Probieren Sie es heute aus.

Cookie Bedingungen: Wie gewährleisten Sie die Konformität zwischen den Cookie-Hinweisen Ihrer Webseite und den Anforderungen der DSGVO?


Als Website-Betreiber handeln Sie konform, wenn Sie Ihre Datenverarbeitungsverfahren überprüfen und darauf achten, dass personengebundene Daten gemäß der neuen Bestimmungen bearbeitet werden.

Lesen Sie hier über konforme Cookie-Lösungen.

Für eine lehrreiche Einführung können Sie durch die Infografik der EU-Kommission blättern.

Die DSGVO betrifft u. a. Namen, Fotos, E-Mail-Adressen, Bankdaten, medizinische Daten oder IP-Adressen als personengebundene Daten.

Sofern Ihre Webseite oder Organisation Daten verarbeitet, die (a) direkt personengebunden sind oder (b) durch Kombination oder Isolierung eine Person identifizieren können, müssen Ihre Verfahren auf ihre Bestimmungskonformität überprüft werden.

Lokalisieren Sie sensible Daten in Ihrem Unternehmen und werten Sie diese aus, überprüfen Sie Ihre Sicherheitsrichtlinien und gewährleisten Sie die technische Sicherheit der Daten.

Achten Sie vor allem auf zwei Aspekte:

Die Anpassung Ihrer Cookie-Richtlinie und Ihrer DSGVO-Cookie-Einwilligung ist ein wichtiger Teil dieses Prozesses.

Welche Elemente muss ein konformer Cookie-Hinweis aufweisen?

Eine der greifbarsten Forderungen der DSGVO ist die Definition dazu, was eine Cookie-Einwilligung beinhalten muss. Gemäß der DSGVO muss ein Cookie Hinweis Text folgenden Merkmale haben:

Ist Ihre Website mit der DSGVO konform? Testen Sie es hier kostenlos.

Woraus besteht ein DSGVO-konformer Cookie-Hinweis?

Die o. g. Bestimmungen machen die vor der Rechtswirksamkeit der DSGVO eingesetzten Cookie-Hinweise nicht mehr notwendig.

Der europäische Gerichtshof (EuGH) hat im Oktober 2019 entschieden, dass Einwilligungsbanner in der EU keine vorausgewählten Kontrollkästchen haben dürfen (außer bei unbedingt notwendigen Cookies).

Was als implizierte Einwilligung oder Soft Opt-In bekannt war, zum Beispiel die Einwilligung durch fortgesetztes Scrollen auf einer Website, ist in der EU nicht mehr konform.

Dies betrifft auch Cookie-Pop-Ups und Cookie-Banner, die etwas wie „Durch die Nutzung dieser Seite erklären Sie sich mit dem Einsatz von Cookies einverstanden“ einblenden.

Auch ein einfacher „OK“-Button zum Einverständnis des Cookie-Hinweises ist ebenfalls nicht mehr ausreichend.

Folgendes ist z.B. nicht mehr genügend:

nicht konform illegaler Cookie Banner

Ein unter der DSGVO illegaler Einwilligungs-Banner.

Beispiel eines DSGVO-konformen Cookie-Banners

Hier ist Cookiebot's eigener DSGVO und ePrivacy konforme Banner, der um die Zustimmung zum Setzen von Cookies ohne vorher angekreuzte Kästchen bittet:

Cookie Banner konform DSGVO nicht vor angekreuzt

Ein DSGVO-konformer Cookie-Banner von Cookiebot.

It complies with the regulations, because of the following -

1)
In erster Linie werden, wenn auch für das bloße Auge unsichtbar, alle geladenen Skripte, außer die unbedingt notwendigen, angehalten, bis die Zustimmung zu den Cookies erteilt wurde.

2)
Dieses Merkmal wird als "vorherige Zustimmung" bezeichnet und ist sowohl in der DSGVO als auch in der Datenschutzrichtlinie für elektronische Kommunikation vorgeschrieben. Sie benötigen die Zustimmung des Benutzers, bevor Sie andere als die unbedingt erforderlichen Cookies setzen können.

3)
Die Informationen über die Cookies sind genau und spezifisch und werden in einer klaren und einfachen Sprache dargestellt, gemäß den Anforderungen der DSGVO. Wenn der Benutzer sich dafür entscheidet, die Details anzeigen zu lassen, faltet sich der Hinweis zu einer vollständigen Übersicht aller aktiven Cookies und der Online-Verfolgung, die auf der Website verwendet werden, aus.

4)
Die Liste basiert auf einem monatlichen Scan aller Seiten der Website, der alle Cookies und bekannten Verfolgungstechnologien, die auf der Website verwendet werden, aufspürt und identifiziert. Die Cookies werden komplett mit Herkunft, Dauer und Zweckbeschreibungen aufgelistet.

5)
Die Cookies sind in vier verständliche Kategorien eingeteilt.

6)
Notwendige Cookies können nicht deaktiviert werden, da sie auf der Whitelist stehen und für das ordnungsgemäße Funktionieren der Website erforderlich sind.

7)
Der Benutzer hat auf der Website Zugang zu seinem Zustimmungsstand und kann jederzeit seine Meinung über die Zustimmung ändern und diese zurückziehen.

8)
Alle erteilten Einwilligungen werden sicher als Dokumentation gespeichert, dass die Zustimmung erteilt wurde, was ebenfalls eine Anforderung der DSGVO ist.

9)
Alle 12 Monate, beim ersten Besuch des Nutzers auf der Website, erscheint der Banner erneut und bittet um eine Erneuerung der Einwilligung.

Lesen Sie mehr in unserem Artikel über die Zustimmung zu DSGVO-Cookies.

Beeinflusst die DSGVO meine Cookie-Richtlinien?


Aufgrund der DSGVO werden Sie verpflichtet, Ihre Cookie-Richtlinien und Cookie-Hinweise zu überprüfen bzw. zu überarbeiten, um eine entsprechende DSGVO-Konformität gewährleisten zu können.

Sowohl die Datenschutzrichtlinie als auch die DSGVO erfordern ein vorheriges und fundiertes Einverständnis des Webseitennutzers. Die DSGVO erfordert zudem eine Dokumentierung jeder einzelnen Einverständniserklärung.

Ebenso müssen Sie anzeigen können, welche Benutzerdaten Sie den Diensten Dritter auf Ihrer Webseite zur Verfügung stellen und an welchem geographischen Ort diese gespeichert werden.

DSGVO-konforme Cookie-Hinweise über Datenschutzerklärungen müssen den folgenden Vorgaben entsprechen:

Cookie-Richtlinien müssen transparent sein.

Die Cookie-Richtlinien müssen mit den Bestimmungen im Einklang stehen und dem Benutzer eindeutig über die Art und Weise der Cookie-Nutzung auf der Webseite zu jeglichem Zeitpunkt Auskunft geben.

Überblick und Rechenschaftspflicht für Cookies auf Ihrer Website.

Sie werden ggf. Kontrollen unterzogen und müssen erschöpfend Rechenschaft für die Datenverarbeitungsverfahren abgeben, die mit Ihrer Webseite verknüpft sind.

Das ist leichter gesagt als getan, weil die meisten Webseiten sehr viele Cookies Dritter über ihr System leiten.

Das Einverständnis ist durch eine zustimmende Handlung einzuholen.

Die entscheidendste Änderung für die Handhabung von Cookies, Cookie-Hinweisen und der Online-Nachverfolgung im Rahmen der DSGVO ist, dass ein Einverständnis durch eine eindeutige, zustimmende Handlung eingeholt werden muss.

Wie oben erwähnt, entschied der EuGH (Gerichtshof der Europäischen Union) im Oktober 2019, dass alle Cookies mit Ausnahme der unbedingt erforderlichen, von den Benutzern aktiv ausgewählt / angekreuzt werden müssen.

Zustimmungsbanner dürfen keine vorausgewählte Ankreuzkästchen haben. Dies stellt keine gültige Zustimmung dar, so der EuGH.

Lesen Sie mehr über die EuGH-Entscheidung zur gültigen Zustimmung.

EU-Bürger sind es nun - wenn auch widerstrebend - gewohnt, das Dialogfenster eingeblendet werden, die die Nutzung von Cookies durch einen DSGVO-konformen Cookie-Hinweis anzeigen und gelegentlich zum Klicken auf den „OK“-Button auffordern. Eine Wahl zwischen gleichrangigen Optionen wurde bisher jedoch nicht angeboten.

Mit den neuen Bestimmungen durch die DSGVO ist dies nicht mehr hinreichend. Ein Einverständnis wird hier nur rechtswirksam als zustimmende, positiv angezeigte Handlung, die gleichrangig ist mit der Ablehnung des Einsatzes von Cookies.

Das Einverständnis ist jederzeit optional zurückzuziehen.

Zudem müssen Webseiten Nutzer ihr Einverständnis jederzeit zurückziehen können.

Sie müssen jederzeit auf den Status ihrer Cookie-Einverständniserklärung zugreifen, deren Einstellung verändern und diese vollständig ablehnen können.

Erneuerung der Einverständniserklärung

Jeweils am Jahrestag der ersten Einverständniserklärung des Benutzers ist diese Einverständniserklärung zu erneuern.

Benutzerfreundlicher Dialog

Die DSGVO sieht vor, dass Cookie-Hinweise inhaltlich Sinn ergeben und verständliche für Nutzer sein müssen. Benutzer müssen entsprechende Vorgänge zur Verarbeitung ihrer Daten transparent nachvollziehen können.

Ebenso soll die Kommunikation mit den Nutzern leicht verständlich erfolgen, so dass sie zwischen verschiedenen - gleichrangigen - Optionen wählen können.

Einverständniserklärungen sind als Nachweise zu archivieren

Sämtliche Einverständniserklärungen sind betriebssicher zu speichern, so dass sie bei Überprüfungen vorgelegt werden können.

Kann ich eine Cookie-Vorlage verwenden?


Es gibt zahlreiche Dienste im Internet, die Vorlagen oder Generatoren für die Cookie-Richtlinie Ihrer Website zur Verfügung stellen. Googeln Sie einfach "Cookie-Vorlage", und Sie werden eine ganze Reihe von Vorlagen finden, aus denen Sie wählen können.

Seien Sie jedoch vorsichtig, bevor Sie sich sicher sind, dass Sie eine Cookie-Vorlage zur Einhaltung der DSGVO verwenden können!

Cookie-Richtlinie und DSGVO

Wir empfehlen, keine Vorlagen und Generatoren zu verwenden, da es eine DSGVO-Anforderung ist, dass die Informationen über die Cookies und das Tracking spezifisch und genau sein müssen.

Erstens sind alle Websites unterschiedlich, und zweitens können sich Cookies ändern, ohne dass Sie es merken, insbesondere wenn Sie Dritte wie eingebettete Inhalte, Werbung oder Analysetools verwenden.

Mit Cookiebot können Sie den Bericht über den monatlichen Scan Ihrer Website als integrierten Teil Ihrer Cookie- oder Datenschutzrichtlinie veröffentlichen.

Auf diese Weise sind die Informationen, die Sie Ihren Benutzern über die auf Ihrer Website verwendeten Cookies zur Verfügung stellen, jederzeit korrekt und präzise.

Ist Ihre Website konform mit der DSGVO? Überprüfen Sie dies noch heute kostenlos.

Stellen Sie die DSGVO-Konformität Ihres Cookie-Hinweises und Ihrer Online-Nachverfolgungsmaßnahmen her


Sie können entweder Ihre eigenen DGSVO-konformen Cookie-Hinweis erstellen oder Sie werden Kunde von Cookiebot: Cookiebot ist ein Cookie- und Online-Nachverfolgungskonzept, welches völlig mit den Anforderungen der DSGVO übereinstimmt.

Cookiebot überwacht alle Cookie-Aktivitäten auf Ihrer Webseite gemäß der DSGVO und gewährleistet kontinuierlich die Aktualisierung und Authentizität Ihres Cookie-Hinweises.

Monatlich wird ein Bericht über die Verarbeitungsverfahren bezüglich der Cookies und der Daten auf Ihrer Webseite erstellt; der Besitzer der personengebundenen Daten kann dies somit jederzeit prüfen und kontrollieren.

Die Benutzer-Einverständniserklärung wird anhand einer umfangreichen Einblendung eines Cookie-Hinweises abgefragt, wobei die Zustimmung Ihrer Wahl und die Ablehnung hinsichtlich verschiedener Cookie-Typen möglich ist. Durch einen Datenschutzerklärungs-Generator werden individuelle und benutzerspezifische DSGVO-konforme Cookie-Hinweise erzeugt.

Benutzer haben jederzeit Zugriff auf die Einstellung bezüglich der Cookie-Einverständniserklärung und können diese bearbeiten oder vollständig widerrufen.

Jeweils am Jahrestag der ersten Einverständniserklärung im Rahmen des ersten Webseitenbesuchs des Benutzers ist diese automatisch zu erneuern.

Die Kommunikation hinsichtlich der Einverständniserklärungs-Dialoge erfolgen benutzerfreundlich und sinnhaltig, nachvollziehbar und transparent und vermeiden eine Informationsüberflutung.

Die Einverständniserklärung ist im Vorfeld der Cookie-Einstellungen abzugeben, sofern es sich nicht um die gesetzlich vorgeschriebenen bzw. unbedingt erforderlichen Cookies handelt. Nur unbedingt notwendige Cookies dürfen in der EU auf Einwilligungsbannern vorangekreuzt werden.

Sämtliche Einverständniserklärungen werden automatisch über eine gesicherte Verbindung erhoben und mit einem hohen Sicherheitsgrad verschlüsselt.

Führen Sie heute unseren kostenlosen DSGVO-Konformitätstest durch.

DSGVO und Arten von Tracking-Cookies


Insgesamt gibt es vier verschiedene Arten von Cookies, je nach ihrer Dauer und ihrer Herkunft.

Die DSGVO betrifft alle vier Arten, und die Herkunft und die Dauer der Cookies müssen präsentiert werden, damit der Nutzer sie bejahen und in Kenntnis der Sachlage akzeptieren kann.

Session-Cookies und die DSGVO

Diese Cookies sind temporär und verfallen, sobald der Benutzer die Website verlässt. Session-Cookies werden hauptsächlich von Webshops verwendet, um Artikel im Warenkorb zu halten, während der Nutzer online einkauft.

Wenn Cookies persönliche Daten verfolgen, unterliegen sie im Allgemeinen der DSGVO. Session-Cookies sind in der Regel von Erstanbietern und ermöglichen das notwendige Funktionieren der Website.

Daher unterliegen sie nur selten der Datenschutz-Grundverordnung.

Permanente Cookies und die DSGVO

Permanente Cookies sind all jene Cookies, die nicht aus dem Browser des Nutzers gelöscht werden, sobald dieser seine Sitzung auf einer Website beendet hat.

Ihre Dauer hängt von dem in ihnen geschriebenen Ablaufdatum ab.

Laut Gesetz sollten sie mindestens alle 12 Monate gelöscht werden, aber ein Cookie könnte theoretisch für immer auf der Festplatte bleiben.

Permanente Cookies können von der Website selbst oder von Dritten, die auf der Website tätig sind, gesetzt werden.

Welche Daten sie speichern und ob sie somit der DSGVO unterliegen oder nicht, hängt von ihrem Zweck ab.

Ein Beispiel für permanente Cookies sind diejenigen, die Daten wie Anmeldedaten, Kontaktinformationen und Kontonummern enthalten, damit die Nutzer diese nicht bei jeder Nutzung der Website eingeben müssen.

Aber permanente Cookies können beliebig viele Zwecke erfüllen.

Wenn das Cookie Daten verfolgt, die nach der Definition der DSGVO als persönlich gelten, dann unterliegt es der Regelung, und Sie müssen vor der Verwendung des Cookies die Zustimmung des Benutzers einholen.

Erstanbieter-Cookies und die DSGVO

Erstanbieter-Cookies werden von der Website selbst ausgegeben. Diese Cookies dienen oft dazu, die Daten und Präferenzen des Benutzers auf der Website zu behalten.

Im Allgemeinen sind die meisten Cookies von Drittanbietern diejenigen, die persönliche Daten tracken. Dies führt jedoch nicht automatisch zu einer Whitelist von Erstanbieter-Cookies.

Es hängt davon ab, welche Daten das Cookie verfolgt.

Wenn die Daten - allein oder kombiniert - eine bestimmte Person identifizieren können, handelt es sich um personenbezogene Daten, und Sie benötigen die Zustimmung Ihrer Benutzer, um sie zu setzen.

Drittanbieter-Cookies und die DSGVO

Drittanbieter-Cookies sind Cookies, die von Dritten auf Ihrer Website in Betrieb gesetzt werden. Wenn Sie Analysen verwenden, Anzeigen schalten, Inhalte eingebettet haben oder Ihre Website gehostet wird, dann haben Sie Cookies von Drittanbietern auf Ihrer Website in Betrieb.

Das Problem für Website-Betreiber ist, dass es schwierig sein kann, einen vollständigen und dauerhaften Überblick über die Cookies von Drittanbietern zu haben, da sie sich häufig ändern.

Was ist ihr Zweck, woher kommen sie, welche Daten sammeln sie und wohin in der Welt werden sie gesendet?

Als Website-Eigentümer werden Sie für die Verfolgung persönlicher Daten von Ihrer Website aus verantwortlich gemacht, und Sie haben die Pflicht, Ihre Benutzer darüber zu informieren und ihre Daten entsprechend ihrem Einverständnisstand zu schützen.

Sie können eine Prüfung Ihrer Website vornehmen, um sich ein Bild von den auf Ihrer Website verwendeten Cookies zu machen.

Das kostenlose Audit scannt bis zu fünf Unterseiten Ihrer Website und sendet Ihnen einen Bericht über alle Cookies und das Tracking auf diesen Seiten.

Das Ziel von Cookies von Dritten ist es oft, bestimmte Informationen zu sammeln, um verschiedene Untersuchungen zum Verhalten, zur Demographie und nicht zuletzt für gezieltes Marketing etc. durchzuführen.

LErfahren Sie mehr in unserem Artikel Tracking cookies and the GDPR (auf Englisch).

Was ist die DSGVO?


Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-weite Gesetzgebung, die unter anderem den Umgang von Websites mit persönlichen Daten regelt.

Sie ist die bedeutendste Initiative zum Datenschutz seit 20 Jahren und hat große Auswirkungen auf jede Organisation in der Welt, die Einzelpersonen aus der Europäischen Union bedient.

Um den Menschen die Kontrolle darüber zu geben, wie ihre Daten verwendet werden, und um die "Grundrechte und -freiheiten natürlicher Personen" zu schützen, legt die Verordnung strenge Anforderungen an die Datenverarbeitungsverfahren, die Transparenz, die Dokumentation und die Zustimmung der Nutzer fest.

Als für die Datenverarbeitung Verantwortlicher muss jede Organisation über die Verarbeitung personenbezogener Daten Buch führen und diese überwachen.

Dies schließt persönliche Daten ein, die innerhalb der Organisation, aber auch von Dritten - so genannten Auftragsverarbeitern - verarbeitet werden.

Auftragsverarbeiter können alles sein, von Software-as-a-Service-Anbietern bis hin zu eingebetteten Dienstleistungen Dritter, die Besucher auf der Website der Organisation verfolgen und Profile erstellen.

Sowohl die für die Datenverarbeitung Verantwortlichen als auch die Auftragsverarbeiter müssen in der Lage sein, Rechenschaft darüber abzulegen, welche Art von Daten verarbeitet werden, zu welchem Zweck sie verarbeitet werden und in welche Länder und an welche Dritten die Daten übermittelt werden.

Daten dürfen nur an andere DSGVO-konforme Organisationen oder solche innerhalb von Gerichtsbarkeiten, die als "angemessen" erachtet werden, übermittelt werden, es sei denn, Sie haben die Zustimmung dazu.

Für alle anderen Cookies, die nicht unbedingt für die Funktion einer Website erforderlich sind, sind keine vorgefertigten Kontrollkästchen auf Einwilligungsbannern erlaubt, und die Benutzer müssen es in jeder Kategorie bestätigen, um diese Cookies zu aktivieren.

Die Einwilligung muss auf der Grundlage klarer und spezifischer Informationen über Datentypen und Zweck frei gegeben werden - und zwar immer vor jeder Verarbeitung, auch als "vorherige" Zustimmung bekannt.

Alle Einwilligungen müssen als Beweis dafür festgehalten werden, dass die Zustimmung erteilt wurde.

Einzelpersonen haben nun das "Recht auf Datenübertragbarkeit", das "Recht auf Datenzugang" sowie das "Recht, vergessen zu werden" und müssen ihre Einwilligung jederzeit zurückziehen können.

In diesem Fall muss der für die Datenverarbeitung Verantwortliche die persönlichen Daten der Person löschen, wenn sie für den Zweck, für den sie gesammelt wurden, nicht mehr erforderlich sind.

Im Falle einer Datenverletzung muss das Unternehmen in der Lage sein, die Datenschutzbehörden und die betroffenen Personen innerhalb von 72 Stunden zu benachrichtigen.

Darüber hinaus erlegt die DSGVO Behörden, Organisationen mit mehr als 250 Mitarbeitern und Unternehmen, die sensible persönliche Daten in großem Umfang verarbeiten, die Verpflichtung auf, einen Datenschutzbeauftragten (DSB) zu beschäftigen oder auszubilden.

Der DSB muss Maßnahmen ergreifen, um die Einhaltung der DSGVO in der gesamten Organisation sicherzustellen.

Was ist die DSGVO-Definition von persönlichen Daten?

In der Datenschutz-Grundverordnung werden die zu schützenden Daten wie folgt definiert:

(26): Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.

Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die mit großer Wahrscheinlichkeit eingesetzt werden, wie z.B. die Aussonderung entweder durch den für die Verarbeitung Verantwortlichen oder durch eine andere Person, um die natürliche Person direkt oder indirekt zu identifizieren.

Um festzustellen, ob Mittel zur Identifizierung der natürlichen Person mit hinreichender Wahrscheinlichkeit eingesetzt werden können, sollten alle objektiven Faktoren wie die Kosten und der Zeitaufwand für die Identifizierung berücksichtigt werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und die technologischen Entwicklungen zu berücksichtigen sind.

Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine bestimmte oder bestimmbare natürliche Person beziehen, oder für personenbezogene Daten, die in einer Weise anonymisiert wurden, dass die betroffene Person nicht oder nicht mehr identifizierbar ist.

Diese Verordnung betrifft daher nicht die Verarbeitung solcher anonymen Informationen, auch nicht für statistische oder Forschungszwecke.

Was sind sensible personenbezogene Daten in der DSGVO?

Zu den sensiblen personenbezogenen Daten gehören Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, das Sexualleben oder die sexuelle Ausrichtung einer Person, Gesundheitsdaten, genetische Daten und biometrische Daten. Eine IP-Adresse oder ein Name gelten als persönliche Daten, aber NICHT als sensible persönliche Daten. (siehe DSGVO Artikel 9.2 (a) und Erwägungsgründe 51 und 71 für weitere Informationen).

Liste persönlicher Daten vs. sensibler persönlicher Daten


Persönlich Identifizierbare Informationen (PII):

Sensible PII

Was bedeutet "Datenverarbeitung"?

Daten zu verarbeiten bedeutet, jede Art von Operation an persönlichen Daten durchzuführen, ob automatisiert oder nicht.   Beispiele für Datenoperationen, die in der DSGVO erwähnt werden, sind: Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermitteln, Verbreiten oder anderweitiges Verfügbarmachen, Ausrichten, Kombinieren, Einschränken des Löschens oder Zerstören.

Wer ist eine "betroffene Person" in der DSGVO?

Eine betroffene Person ist die Person, deren Daten verarbeitet werden.

Was ist ein "für die Datenverarbeitung Verantwortlicher" in der DSGVO?

Ein für die Datenverarbeitung Verantwortlicher ist die Partei, die den Zweck und die Mittel der Datenverarbeitung bestimmt. Im Zusammenhang mit z.B. einem Unternehmen oder einer Website und deren Kunden und Nutzern ist der für die Datenverarbeitung Verantwortliche das Unternehmen oder die Website, das/die die Daten seiner/ihrer Kunden und Nutzer verarbeitet, um seine/ihre Dienstleistungen zu optimieren oder was immer das Unternehmen/die Website mit Hilfe der Datenverarbeitung erreichen will.

Was ist ein Auftragsverarbeiter in der DSGVO?

Ein Auftragsverarbeiter ist die Partei, die die Datenverarbeitung im Auftrag des für die Verarbeitung Verantwortlichen durchführt. Wenn es um Websites geht, sind Datenverarbeiter typischerweise Werkzeuge und integrierte Dritte wie z.B. Google Analytics, Hotjar, Social Media Buttons etc.

Was ist ein "Datenempfänger" im Zusammenhang mit der DSGVO?

Der Empfänger ist die Partei, der die Daten mitgeteilt werden.

Wer wird in der DSGVO als "dritte Partei" betrachtet?

Eine dritte Partei ist eine andere Person als der für die Datenverarbeitung Verantwortliche oder der Auftragsverarbeiter, die unter der direkten Autorität des für die Verarbeitung Verantwortlichen oder des Verarbeiters befugt ist, persönliche Daten zu verarbeiten.

Im Zusammenhang mit einer Website sind Dritte typischerweise die Cookie-Setz-Agenten, die nicht die Website selbst sind, und die Berechtigung entsteht dadurch, dass sie als Werkzeuge, eingebettete Inhalte oder Dienste in die Website integriert werden.

Was ist mit Einwilligung in der DSGVO gemeint?

Die Einwilligung der Person, deren Daten verarbeitet werden, bedeutet die freie, informierte und nicht zweideutige Angabe ihres Wunsches, durch die sie durch eine Erklärung oder eine klare positive Handlung ihre Zustimmung zur Verarbeitung der sie betreffenden persönlichen Daten gibt.

Worin besteht eine Verletzung von personenbezogenen Daten im Rahmen der DSGVO?

Eine Verletzung der Sicherheit persönlicher Daten ist eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unberechtigten Zugang zu den übermittelten, gespeicherten oder anderweitig verarbeiteten persönlichen Daten führt.

Was bedeutet Datenportabilität in der DSGVO?

Datenportabilität ist das Recht, seine persönlichen Daten von einem für die Datenverarbeitung Verantwortlichen in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format zu erhalten und das Recht zu haben, diese Daten ohne Behinderung durch einen anderen Verantwortlichen zu übermitteln (siehe Artikel 20 der DSGVO).

DSGVO - Durchsetzung und Sanktionen

Eine EU-Gesetzgebung dieser Größe und Bedeutung ist das Ergebnis eines langwierigen Prozesses.

Im Januar 2012 schlug die Europäische Kommission eine umfassende Reform der Datenschutzbestimmungen aus dem Jahr 1995 vor (RICHTLINIE 95/46/EG), um Europa mit dem digitalen Zeitalter auf den neuesten Stand zu bringen.

Am 4. Mai 2016 wurden die offiziellen Texte der Verordnung und der Richtlinie im Amtsblatt der EU in allen Amtssprachen veröffentlicht.

Die Verordnung wurde am 25. Mai 2018 in Kraft gesetzt.

Seit diesem Datum riskieren Unternehmen, die die Anforderungen nicht erfüllen oder ihre Bemühungen zur Einhaltung der Vorschriften nicht dokumentieren, Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist.

Ressourcen


The GDPR

Try Cookiebot's free GDPR checker

What the EU’s General Data Protection Regulation means for website compliance

How do you make your website gdpr compliant and what is the general data protection regulation anyway?

“6 steps to GDPR compliance” in Information Age Digital Edition

Informative blogpost on GDPR-consent

How the GDPR affect cookie policies

GDPR: When do you need to seek consent

Data protection - Better rules for small business

2018 reform of EU data protection rules

Video: GDPR in 97 seconds

FAQ


Was bedeutet "Profiling" im Zusammenhang mit der DSGVO?

Unter Profiling versteht man die Verwendung von personenbezogenen Daten zur Bewertung bestimmter persönlicher Aspekte in Bezug auf eine bestimmte Person, insbesondere zur Analyse oder Vorhersage von Aspekten, die die Arbeitsleistung, die wirtschaftliche Situation, die Gesundheit, die persönlichen Präferenzen, die Interessen, die Zuverlässigkeit, das Verhalten, den Standort oder die Bewegungen dieser Person betreffen.

Was ist eine korrekte Pseudonymisierung in der DSGVO?

Pseudonymisierung bedeutet, dass persönliche Daten so verarbeitet werden, dass sie nicht mehr einer bestimmten Person zugeordnet werden können. Um eine korrekte Pseudonymisierung zu gewährleisten, ist es wichtig, darauf zu achten, dass eventuelle zusätzliche Informationen, die zur erneuten Identifizierung der betroffenen Person verwendet werden könnten, getrennt und sicher aufbewahrt werden.

Was ist ein "Archivierungssystem" im Zusammenhang mit der DSGVO?

Ein Archivierungssystem ist jede strukturierte Zusammenstellung von personenbezogenen Daten, die nach bestimmten Kriterien zugänglich ist, unabhängig davon, ob sie zentral, dezentral oder auf funktionaler oder geographischer Basis verteilt ist.

NEUE CCPA-KONFIGURATION 

Cookiebot bietet CCPA-Konformität!

 

 

Machen Sie heute die Verwendung von Cookies und Online-Tracking auf Ihrer Website konform

Jetzt kostenlos testen