Weltweit entstehen neue Datenschutzbestimmungen und Rahmenbedingungen für den Schutz der Privatsphäre.
Viele Länder haben inzwischen Vorschriften und Richtlinien für Cookies und Einwilligungen festgelegt und darüber, wie Sie die persönlichen Daten verwalten sollen, die die meisten Cookies auf Ihrer Website sammeln.
Damit Sie sich in dieser neuen Landschaft zurechtfinden, haben wir praktische Informationen über nationale und internationale Datenschutzgesetze und Cookie-Richtlinien zusammengestellt und zeigen Ihnen, wie Ihr Unternehmen diese einhalten kann.
Weitere Informationen zu länderspezifischen Vorschriften und Richtlinien finden Sie in den folgenden Abschnitten.
Die Datenschutz-Grundverordnung (DSGVO) ist ein Gesetz zum Datenschutz und zum Schutz der Privatsphäre in der Europäischen Union. Sie trat am 25. Mai 2018 in allen europäischen Mitgliedsstaaten in Kraft und soll die Datenschutzgesetze in ganz Europa harmonisieren. Ziel der DSGVO ist es, die Privatsphäre der EU-Bürgerinnen und -Bürger zu schützen und die Herangehensweise von Unternehmen an die Erhebung personenbezogener Daten neu zu gestalten.
Die Datenschutz-Grundverordnung stellt sicher, dass die Erhebung und Verarbeitung personenbezogener Daten auf einer rechtmäßigen Grundlage erfolgt. Dies gilt auch für die Verwendung von Cookies und anderen Tracking-Technologien.
Viele der Cookies – und Tracking-Technologien -, die heute auf Websites verwendet werden, sammeln persönliche Daten ihrer Besucher, die von Dritten zu Marketingzwecken verarbeitet werden.
Dabei handelt es sich in der Regel um IP-Adressen, geografische Angaben und andere Online-Kennungen, mit denen das Nutzerverhalten im Internet verfolgt werden kann.
Bei der Verwendung von Cookies, die personenbezogene Daten sammeln, müssen Sie eine gültige Einwilligung Ihrer Nutzer einholen, um die Cookies verwenden zu können. Dies gilt auch dann, wenn die Cookies von Dritten wie Google, Facebook, Amazon usw. über Ihre Website gesetzt werden.
Lesen Sie in diesem ausführlichen Artikel mehr darüber, wie Sie als Unternehmen eine gültige Einwilligung zur Verwendung von Cookies einholen.
Die Datenschutzrichtlinie für elektronische Kommunikation (Privacy and Electronic Communications Directive 2002/58/EC) ist ein europäischer Erlass aus dem Jahr 2002. Das Ziel der ePrivacy-Richtlinie ist die Vereinheitlichung der Regeln für den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation in der Europäischen Union (EU).
Die Datenschutzrichtlinie für elektronische Kommunikation regelt die Verwendung von Cookies, die Erlaubnis zum E-Mail-Marketing und andere Bereiche des Datenschutzes für EU-Bürger.
Aus diesem Grund sehen wir heute im Internet eine zunehmende Anzahl von Cookie-Bannern.
Die Richtlinie ist kein verbindliches Gesetz an sich – wie die DSGVO – sondern eine Anweisung an die Mitgliedstaaten, ihre eigenen nationalen Gesetze zu diesem Thema zu verabschieden. Viele EU-Länder haben genau das getan, weshalb es nationale Richtlinien zu Cookies gibt.
Die 2002 verabschiedete und 2009 überarbeitete Datenschutzrichtlinie für elektronische Kommunikation wird schließlich durch die ePrivacy Verordnung ersetzt werden.
Die ePrivacy-Verordnung (Verordnung über den Schutz der Privatsphäre und der elektronischen Kommunikation) soll die Datenschutzrichtlinie für elektronische Kommunikation, besser bekannt als das europäische Cookie-Gesetz, ersetzen.
Ziel der Verordnung ist die Vereinheitlichung der Gesetze zum elektronischen Datenschutz in Europa, die für alle europäischen Mitgliedstaaten gelten sollen.
Ziel ist es, den Online-Datenschutz der Verbraucher zu erweitern, um der Welt, in der wir leben, besser gerecht zu werden. Die Vorgängerrichtlinie, die Datenschutzrichtlinie für elektronische Kommunikation, wurde 2002 erlassen, als das Tracking und die personenbezogenen Daten noch im Anfangsstadium waren.
Die ePrivacy-Verordnung gilt für alle Anbieter von Kommunikationsdiensten und Unternehmen, die Daten europäischer Bürgerinnen und Bürger auf Websites oder in Apps unter Verwendung von Cookies oder anderen Tracking-Technologien (z. B. Fingerabdrücke, Beacons, Pixel) sammeln, speichern und verarbeiten.
Die ePrivacy-Verordnung sollte eigentlich zusammen mit der Datenschutz-Grundverordnung 2018 in Kraft treten, wurde aber im Europäischen Parlament mehrfach verschoben.
Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (CCPA) ist ein Datenschutzgesetz, das die Rechte auf Privatsphäre und den Verbraucherschutz für die Einwohner Kaliforniens in den Vereinigten Staaten verbessern soll.
Das CCPA, das am 1. Januar 2020 in Kraft tritt, regelt, wie Unternehmen personenbezogene Daten von Einwohnern Kaliforniens sammeln, weitergeben und verarbeiten dürfen.
Für Unternehmen bedeutet das CCPA, dass sie die im Gesetz beschriebenen Datenschutzrechte der Verbraucher respektieren müssen. Unternehmen müssen die Datenerhebung und -nutzung (Verarbeitung) bewerten und die notwendigen Vorkehrungen treffen, um die strengen Anforderungen des CCPA zu erfüllen.
Dieser Link ermöglicht es den Besuchern, Werbung und Datenerfassung durch Cookies auf Ihrer Website abzulehnen.
Die Nichteinhaltung des CCPA kann zu Strafen von bis zu 7500 Dollar für jeden Verstoß und 750 Dollar Schadenersatz für jeden betroffenen Nutzer führen.
Erfahren Sie, ob Ihr Unternehmen vom CCPA betroffen ist und wie Sie CCPA-konform werden können.
Das kalifornische Gesetz über die Rechte zur Privatsphäre (CPRA) enthält mehrere Ergänzungen zum kalifornischen Gesetz über die Privatsphäre der Verbraucher (CCPA).
Das CPRA tritt am 1. Januar 2023 in Kraft, gilt aber schon ab dem 1. Juli 2022. Unternehmen müssen es jedoch bereits ein Jahr vorher (ab 1. Januar 2022) einhalten. Das CPRA erweitert das CCPA, indem es die Verbraucherrechte stärkt und den Schutz der Privatsphäre von Verbrauchern und Arbeitnehmern verbessert.
Außerdem wird mit dem CPRA eine Vollzugsbehörde eingerichtet, um die kalifornischen Verbraucher besser zu schützen. Das CPRA verlangt von Unternehmen in Kalifornien oder Unternehmen, die personenbezogene Daten von kalifornischen Bürgern sammeln und verarbeiten, dass sie genau wissen, welche Daten sie zu welchem Zweck verarbeiten.
Das Allgemeine Datenschutzgesetz (Lei Geral de Proteção de Dados Pessoais oder LGPD) ist ein brasilianisches Datenschutzgesetz, das am 15. August 2020 in Kraft trat.
Das LGPD schafft Klarheit im brasilianischen Bezugsrahmen, da es versucht, die über 40 verschiedenen Gesetze, die den Gebrauch von persönlichen Daten regeln, zu vereinen.
In Anlehnung an die europäische Datenschutz-Grundverordnung (DSGVO) legt das LGPD Regeln fest, wie Unternehmen und Organisationen personenbezogene Daten der brasilianischen Bürgerinnen und Bürger erfassen, verarbeiten, speichern und weitergeben dürfen.
Ähnlich wie die DSGVO verlangt das LGPD von Website-Betreibern, dass sie eine gültige Einwilligung für Cookies einholen, wenn diese Cookies personenbezogene Daten der Besucher wie IP-Adresse, Geo-Standort, Benutzer-ID, Cookie-ID usw. erfassen.
In diesem ausführlichen Artikel erfahren Sie mehr darüber, wie Sie als Unternehmen eine gültige Einwilligung zur Verwendung von Cookies in Brasilien einholen.
Das thailändische Gesetz zum Schutz personenbezogener Daten (PDPA) wurde am 27. Mai 2019 im Königlichen Thailändischen Staatsanzeiger veröffentlicht und ist das erste Gesetz, das den Datenschutz in Thailand regelt.
Hauptzweck des thailändischen PDPA ist es, die Verarbeitung personenbezogener Daten zu kommerziellen Zwecken zu regeln und so die thailändischen Bürger vor der unrechtmäßigen Erhebung und Verwendung ihrer personenbezogenen Daten zu schützen.
Das PDPA gilt für alle Unternehmen oder Organisationen mit Sitz in Thailand und für alle Unternehmen, die in Thailand tätig sind.
Das thailändische Kabinett hat das Inkrafttreten des PDPA wegen der Auswirkungen von Covid-19 auf den 31. Mai 2022 verschoben.
In diesem ausführlichen Artikel erfahren Sie mehr darüber, wie Sie als Unternehmen eine gültige Einwilligung zur Verwendung von Cookies einholen.
POPIA ist das südafrikanische Gesetz zum Schutz personenbezogener Daten. POPIA definiert personenbezogene Daten im weitesten Sinne, um die Rechte der südafrikanischen Bevölkerung auf Schutz der Privatsphäre zu gewährleisten, doch ist das Gesetz an die europäische Datenschutz-Grundverordnung (DSGVO) angelehnt.
POPIA gilt für alle Organisationen oder Unternehmen, die personenbezogene Daten südafrikanischer Bürger verarbeiten möchten, unabhängig davon, ob das Unternehmen innerhalb oder außerhalb Südafrikas ansässig ist.
POPIA definiert Einwilligung als: “jede freiwillige, spezifische und in Kenntnis der Sachlage abgegebene Willensbekundung, mit der die Verarbeitung personenbezogener Daten genehmigt wird”.
Die Einholung einer gültigen Einwilligung kann mit Hilfe eines Cookie-Einwilligungs-Popups erfolgen, das über die Cookies Ihrer Website informiert und alle Einwilligungen der Nutzer sammelt und speichert.
POPIA trat am 1. Juli 2020 in Kraft, und die Durchsetzung begann am 1. Juli 2021. Die Nichteinhaltung von POPIA kann zu Geldstrafen von bis zu 10 Millionen ZAR (500.000 €) führen.
Der Personal Information Protection and Electronic Documents Act (PIPEDA) ist das kanadische Gesetz zum Schutz der Privatsphäre bei der Erfassung, Nutzung und Verarbeitung personenbezogener Daten im Rahmen kommerzieller Aktivitäten.
Wenn Sie eine Website haben und Dienste nutzen, die Cookies über Ihre Website setzen (z. B. Google Analytics, Facebook, YouTube oder andere Drittanbieter), müssen Sie eine gültige Einwilligung für Cookies einholen, bevor Cookies auf dem Computer/Smartphone Ihres Besuchers gespeichert werden.
Erhalten Sie eine gültige Einwilligung mit Hilfe eines Cookie-Einwilligungs-Popups, das die Nutzer über Ihre Website-Cookies informiert und ihre gültigen Einwilligungen sammelt und speichert.
Personenbezogene Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden. Wenn eine Organisation sie für einen anderen Zweck verwenden will, muss sie erneut die Einwilligung einholen.
PIPEDA trifft auf jedes Unternehmen oder jede Organisation innerhalb der Grenzen des kanadischen Staatsgebiets zu, aber auch auf alle Personen außerhalb, die mit kanadischen Bürgern Geschäfte machen.
Das Interactive Advertising Bureau (IAB) hat am 15. August 2020 seine aktualisierte Version des Transparency and Consent Framework (TCF 2.0) veröffentlicht.
Zweck des TCF 2.0 ist die Standardisierung der Verfahren zur Einholung der Einwilligung von Website-Besuchern in die Erhebung und Verarbeitung ihrer personenbezogenen Daten.
Das TCF 2.0 zielt darauf ab, die Transparenz darüber zu erhöhen, wie und von wem die Daten der Nutzer verarbeitet werden, so dass Unternehmen, Publisher und AdTech-Anbieter weiterhin programmatische Werbung in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) betreiben können.
Der Europäische Gerichtshof hat im Juli 2020 in der Rechtssache Schrems II entschieden und damit das Abkommen zum EU-US Privacy Shield, auf das sich viele Unternehmen bei der Übermittlung personenbezogener Daten zwischen den beiden Gebieten verlassen haben, mit sofortiger Wirkung aufgehoben.
Der Privacy Shield wurde für ungültig erklärt, weil die Europäer befürchteten, dass die Daten von EU-Bürgern vom US-Staat und von Geheimdiensten überwacht werden könnten.
Das Urteil wird umgangssprachlich als Schrems II bezeichnet, nach dem österreichischen Anwalt und Aktivisten Max Schrems, der gegen Facebook und dessen Methoden zur Weitergabe persönlicher Daten geklagt hat.
Die Europäische Kommission hat am 4. Juni 2021 den alten Privacy Shield durch Standardvertragsklauseln (Standard Contractual Clauses, SCCs) für die Übermittlung personenbezogener Daten zwischen der EU und unsicheren Drittländern (einschließlich der USA) ersetzt.
Das Schrems II-Urteil ist für Sie als für die Verarbeitung Verantwortlicher relevant, wenn Sie:
Personenbezogene Daten aus der EU/dem EWR in Länder übermitteln, die von der Europäischen Kommission nicht zu “sicheren Drittländern” erklärt wurden.
Verschaffen Sie sich zunächst einen Überblick darüber, welche Daten Ihr Unternehmen aus der EU/dem EWR übermittelt.
Als nächstes ist die Grundlage der Übertragung zu prüfen, die in diesem Fall die Standardvertragsklauseln sein könnten.
Wenn Sie eine Website haben, die Cookies verwendet, die von Diensten mit Sitz in den USA gesetzt werden oder die Daten mit US-Unternehmen austauschen, sollten Sie Folgendes beachten:
Wenn SCCs nicht möglich sind, gibt es die folgenden Ansätze:
Das Gesetz zum Schutz persönlicher Daten der Volksrepublik China (PIPL) ist das erste nationale Datenschutzgesetz, das in China verabschiedet wurde.
Das PIPL trat am 1. November 2021 in Kraft und wird die Art und Weise, wie Unternehmen und Organisationen personenbezogene Daten chinesischer Bürger sammeln, verwalten und verarbeiten, grundlegend verändern.
Das PIPL ist der europäischen Datenschutz-Grundverordnung (DSGVO) nachempfunden und legt strenge Beschränkungen für die Erhebung, Verarbeitung und Übertragung von Daten fest. Das Gesetz konzentriert sich vor allem auf die Verwendung personenbezogener Daten durch Websites und Apps, um Nutzer für Marketingzwecke anzusprechen und die Übertragung personenbezogener Daten in unsichere Länder zu verhindern.
Ziel des PIPL ist es, die Rechte und Interessen des chinesischen Volkes zu schützen und die Verarbeitung personenbezogener Daten zu regeln.
Das heißt, wenn Sie auf Ihrer Website Cookies verwenden, müssen Sie eine gültige Einwilligung einholen.
Die Besucher müssen über die von Ihnen verwendeten Cookies informiert werden und der Verwendung von Cookies zustimmen, auch wenn die Cookies von Drittanbietern wie Taobao, Tmall oder anderen Diensten innerhalb oder außerhalb Chinas gesetzt werden.
Die Einwilligung im Rahmen der PIPL ist ähnlich definiert wie die strengen Einwilligungsanforderungen in der Datenschutz-Grundverordnung. Die Einwilligung muss in Kenntnis der Sachlage, aus freien Stücken, spezifisch und unmissverständlich erteilt werden.
Google Consent Mode ist eine API, die Google im September 2020 angekündigt hat, um sein robustes Geschäft mit digitaler Werbung aufrechtzuerhalten und gleichzeitig dem wachsenden Bedürfnis der Verbraucher nach Datenschutz Rechnung zu tragen.
Die API ermöglicht es Websites, Daten für ihre Google-Dienste wie Google Analytics und Google Ads zu erhalten und gleichzeitig die DSGVO einzuhalten.
Google Consent Mode ist in die Consent Management Platform einer Website integriert, um Daten auf der Grundlage der Zustimmungsentscheidung von Website-Besuchern zu liefern.
So erhalten Sie Google Consent Mode für Ihre Unternehmenswebsite.
Die Vorschriften für die Einholung einer gültigen Einwilligung in Cookies und andere Tracking-Technologien werden weltweit immer mehr angeglichen.
Immer mehr Länder aktualisieren ihre Datenschutzgesetze oder führen sie ein, um den Unternehmen klare Richtlinien für die Erhebung und Verwendung personenbezogener Daten an die Hand zu geben.
Die Regeln für die Einholung einer gültigen Einwilligung und andere Aspekte der Datenschutzgesetze können sehr komplex sein, und es gibt viele unterschiedliche Auslegungen, wie man die Vorschriften einhalten kann.
Dieser Abschnitt hilft Ihnen, die Vorschriften zu verstehen, die für die Einholung der Einwilligung für Cookies, Website-Analysen und andere Tracking-Technologien in Ihrem Land gelten.
In Dänemark sind die Vorschriften für Cookies im dänischen Cookie-Gesetz (“Cookiebekendtgørelsen”) festgelegt, das von der dänischen Wirtschaftsbehörde (“Erhvervsstyrelsen”) verwaltet wird.
Die Verarbeitung personenbezogener Daten, die von den meisten Cookies und Tracking-Technologien erfasst werden, wird jedoch von der dänischen Datenschutzbehörde (“Datatilsynet”) verwaltet, und die Regeln sind an die Regeln für die Datenverarbeitung in der Datenschutz-Grundverordnung (DSGVO) angeglichen.
Die Richtlinien für die Einholung einer gültigen Einwilligung in Dänemark sind recht streng und wurden kürzlich von der dänischen Datenschutzbehörde aktualisiert.
In diesem Beitrag gehen wir näher auf die Richtlinien für die Einholung einer gültigen Einwilligung für Cookies in Dänemark ein.
In Norwegen sind die Regeln für Cookies im norwegischen Gesetz über die elektronische Kommunikation (Lov om Elektronisk Kommunikasjon – EKOM) zu finden.
Im Jahr 2013 wurde dem EKOM-Gesetz ein neuer Beschluss über die Verwendung von in Cookies gespeicherten Informationen hinzugefügt, der sogenannte “Cookie-Paragraph” §2-7b.
Im November 2019 erklärte die norwegische Kommunikationsbehörde (Nasjonale Kommunikasjonsmyndighet – NKOM), die das Gesetz verwaltet, ausdrücklich, dass eine Einwilligung erforderlich ist, bevor Cookies auf einer Website gesetzt werden können.
Wenn Cookies personenbezogene Daten sammeln und verarbeiten, sollten die Vorschriften für die Einwilligung der Definition der Datenschutz-Grundverordnung (DSGVO) entsprechen, fügt die norwegische Datenschutzbehörde (“Datatilsynet”) hinzu.
Im Folgenden werden die Richtlinien für die Einholung einer gültigen Einwilligung zu Cookies in Norwegen näher erläutert.
Nach dem schwedischen Gesetz über elektronische Kommunikation 2003: 389 (Lag om Elektronisk Kommunikation – LEK) müssen alle Websites, die Cookies verwenden, den Besuchern vollen Zugang zu Informationen über die verwendeten Cookies, deren Eigentümer und die von ihnen gesammelten Daten geben.
Darüber hinaus muss die Website die Einwilligung des Besuchers für die Platzierung der Cookies einholen.
In diesem Beitrag befassen wir uns eingehend mit den Richtlinien für die Einholung einer gültigen Einwilligung zu Cookies in Schweden.
Wenn Ihre Website Cookies verwendet, müssen Sie eine gültige Einwilligung einholen. Am 4. Mai 2021 veröffentlichte die finnische Verkehrs- und Kommunikationsbehörde Traficom Änderungen an den finnischen Cookie-Richtlinien.
Mit der lang erwarteten Aktualisierung wird die finnische Cookie-Saga beendet, da die Richtlinien nun mit den in der Datenschutz-Grundverordnung (DSGVO) festgelegten Vorschriften für die Einwilligung übereinstimmen.
Die Einwilligung zu Cookies kann nicht mehr über die Browsereinstellungen erteilt werden, sondern muss den Anforderungen der DSGVO entsprechen.
Die Einwilligung in die Verwendung von Cookies muss freiwillig, ausdrücklich, in Kenntnis der Sachlage und unmissverständlich erteilt werden. Die neue Entscheidung wird sich voraussichtlich auf Tausende von Unternehmenswebsites auswirken und die Praktiken für die Einholung der Einwilligung in Cookies ändern.
In diesem Beitrag befassen wir uns eingehend mit den Richtlinien für die Einholung einer gültigen Einwilligung zu Cookies in Finnland.
Die französischen Richtlinien für Cookies werden von der Commission Nationale de l’Informatique et des Libertés (CNIL) verwaltet und sind in hohem Maße an die Vorschriften für die Zustimmung in der Datenschutz-Grundverordnung (DSGVO) angeglichen.
In den neuesten französischen Cookie-Richtlinien legt die CNIL fest, dass Websites keine Cookies platzieren dürfen, um Besucher zu verfolgen, bevor der Besucher seine ausdrückliche Einwilligung gegeben hat.
Die CNIL hat ihre Cookie-Richtlinien am 1. Oktober 2020 überarbeitet und die Vorschriften für die Zustimmung in Stein gemeißelt. Vier kurze Erkenntnisse aus den CNIL-Richtlinien sind:
Die CNIL hat einige der höchsten Bußgelder nach der DSGVO gegen große Technologieunternehmen verhängt, weil diese unrechtmäßig Cookies verwendet und personenbezogene Daten von Website-Besuchern verarbeitet haben.
In diesem Beitrag befassen wir uns eingehend mit den Richtlinien für die Einholung einer gültigen Einwilligung für Cookies in Frankreich.
Die italienischen Cookie-Richtlinien werden von der italienischen Datenschutzbehörde “Il Garante” verwaltet. Am 10. Juli 2021 veröffentlichte “Il Garante” eine neue Reihe von Richtlinien für die Verwendung von Cookies auf Websites.
Die wichtigste Änderung, die durch Il Garante eingeführt wird, ist die Notwendigkeit, die ausdrückliche Einwilligung der Website-Besucher zur Verwendung von Cookies einzuholen, die personenbezogene Daten sammeln und verarbeiten, d. h. Tracking-Cookies.
Die italienische Datenschutzbehörde hebt eine Reihe von Anforderungen für die Einholung einer gültigen Einwilligung in Cookies hervor, die mit den kürzlich veröffentlichten Leitlinien der französischen CNIL, der spanischen AEPD und des dänischen Datatilsynet übereinstimmen.
Mit den überarbeiteten Richtlinien soll sichergestellt werden, dass italienische Website-Besitzer und Unternehmen klare Informationen darüber erhalten, wie sie die DSGVO und die Datenschutzrichtlinie für elektronische Kommunikation (das “europäische Cookie-Gesetz”) bei der Verwendung von Cookies und anderen Tracking-Technologien einhalten.
In diesem Beitrag befassen wir uns eingehend mit den Richtlinien für die Einholung einer gültigen Einwilligung zu Cookies in Italien.
Ressourcen
* Log into Consent Management to access your Website Consent Banner and Mobile App account. Log into Privacy & Compliance to access Data Discovery and Data Subject Request.