Webinar zu Cookie Banner und Datenschutz:
Brauche ich jetzt wirklich einen Cookie Banner?
Datenschutzkonforme Cookie Banner gemäss Schweizer Datenschutzgesetz und der Europäischen Datenschutzgrundverordnung (DSGVO).
Seien Sie bereit für das neue Schweizer Datenschutzgesetz und erfahren Sie, ob die DSGVO auch für Ihre Webseite und damit Ihren Cookie Banner gilt. Anhand von verschiedenen aktuellen Beispielen zeigen wir Ihnen, worauf Sie bei der Erstellung und Implementierung Ihres Cookie Banners achten müssen. Die vorgestellten Use Cases umfassen aktuelle Webseiten in verschiedenen Branchen wie B2B, E-Commerce, Bildung, NPOs, usw.
Im Webinar werden die rechtlichen Datenschutzvorgaben sowie die notwendigen technischen Umsetzungen auf der Webseite aufgezeigt.
Lernen Sie aufgrund der konkreten Beispiele, was für Ihren Online-Auftritt notwendig ist.
SEO Performance Measurement - Analytics Roundtable Zurich 19.11.2014
Workshop: Brauche ich jetzt wirklich einen Cookie Banner?
1. Brauche ich jetzt wirklich einen Cookie Banner?
In Zusammenarbeit zwischen Meyerlustenberger Lachenal AG und Amazee Metrics AG
Evelyn Thar, Lukas Bühlmann, Michael Reinle
25. Februar 2021
2. 2
Agenda
1. Wieso sind Cookies ein dateschutzrechtliches Problem?
2. Was gibt das Schweizer Datenschutzgesetz vor?
3. Cookie-Banner-Beispiele für die Schweiz
4. Was gilt gemäss Europäischer Datenschutzgrundverordnung?
5. Cookie-Banner-Beispiele gemäss DSGVO
6. Wie funktioniert ein Cookie Banner?
4. 4
Bearbeitung von Personendaten durch Cookies
«Auch wenn [durch Cookies] lediglich die IP-Adresse eines Nutzers bearbeitet
wird, ist dies datenschutzrechtlich relevant, da die IP-Adresse grundsätzlich
als Personendatum zu qualifizieren ist.» (EDÖB)
Aber: Umstritten, ob IP-Adresse immer als Personendatum zu qualifizieren
ID Vergabe durch Cookies – zumindest Singularisierung des Users
Erstellung von Profilen mittels Cookies – Erstellung eines
Persönlichkeitsprofils bzw. neu Profiling?
6. 6
Bisherige Rechtslage
Datenschutzgesetz
Transparente Information über die
Beschaffung von Personendaten, über den
Zweck der Bearbeitung und die
Datenanalyse
In Datenschutzerklärung möglich – Link
auf Datenschutzerklärung in Cookie Banner
Keine Einwilligung notwendig – Ausnahme
gemäss EDÖB bei besonders
schützenswerten Personendaten und
Persönlichkeitsprofilen – selten der Fall bei
üblichen Cookies
Fernmeldegesetz
Art. 45c FMG
Über die Bearbeitung mittels Cookies und
ihren Zweck ist zu informieren
Hinweis auf Ablehnungsrecht
Information in Datenschutzerklärung
möglich – Link auf Datenschutzerklärung in
Cookie Banner
7. 7
Neues Schweizer Datenschutzgesetz ab 2022
Datenschutzgesetz
Keine Einwilligung für Cookies – allenfalls
eine Einwilligung für die nachfolgende
Bearbeitung der gesammelten Daten
Umfassende Informationspflicht über
Datenbearbeitungen (Art. 19 DSG) – Link
auf Datenschutzerklärung in Cookie
Banner
Privacy by Design und Default (Neu: Art. 7
DSG)
Pflicht, granulare Auswahl zu ermöglichen
(Funktions-, Analyse-, Marketing-Cookies)
Als Voreinstellung lediglich technisch
notwendige Cookies automatisch gesetzt
Fernmeldegesetz
Weiterhin von Art. 45c FMG geregelt:
Über die Bearbeitung mittels Cookies und
ihren Zweck ist zu informieren
Auf Ablehnungsrecht muss hingewiesen
werden
8. 8
Weitere datenschutzrechtliche
Themen bei Cookies – Schweiz
Nudging: Beeinflussung der
Cookie-Auswahl
z.B. Hervorhebung des «Alle
Cookies akzeptieren» Buttons
Keine Rechtsprechung in der
Schweiz – aber ein allgemeines
Irreführungsverbot
11. 11
Rein informativer Text, keine Nutzer-Zustimmung
Informativer Text ohne implizite Zustimmung.
Verweis auf Daten-
schutzerklärung
Button “Schliessen” ohne
Nutzer-Zustimmung
12. 12
Beispiel mit überflüssiger impliziter Zustimmung
Unzulässige implizite Zustimmung.
Nicht notwendige Nutzer-
Zustimmung
13. 13
Cookie Banner nach neuem Schweizer DSG
Möglichkeit, Cookie-Kategorie
(Funktions-, Leistungs- und
Marketing-Cookies) auszuwählen.
Verweis auf Datenschutzerklärung
Button “Schliessen” ohne
Nutzer-Zustimmung
Cookie-Einstellungen
15. 15
Checkliste für Cookie Banner gemäss neuem Schweizer DSG
Nur Information
Keine Zustimmung notwendig
“OK-” oder “Schliessen-Buttons”
Möglichkeit zur Cookie-Auswahl geben
Keine implizite Zustimmung generieren
Keine Zustimmung mit zu vielen und irreführenden
Informationen
17. 17
Datenschutzrechtliche Themen
bei Cookies – EU
Vorgängige Information der
Nutzer*Innen über Einsatz von
Cookies und Einholung einer
informierten Einwilligung
Bisher uneinheitliche Umsetzung –
Harmonisierung durch E-Privacy
Verordnung
Einzelne Länder haben sehr hohe
Anforderungen an Einwilligungen
(z.B. Spanien mit mehreren
Sanktionsentscheiden)
18. 18
Datenschutzrechtliche Themen
bei Cookies –EU
Wichtige Anforderungen
Setzung / Aktivierung von
einwilligungsbedürftigen Cookies erst nach
erfolgter Einwilligung – technische
Umsetzung wichtig
Konkrete Beschreibung der
Verarbeitungszwecke in Cookie oder Data
Privacy Policy – «Verbesserung des
Surferlebnisses», «Optimale Gestaltung der
Website» ist ungenügend
Eindeutig bestätigende Handlung – keine
irreführenden Buttons oder eine irreführende
technische Umsetzung
Unzulässig ist unnötig kompliziertes Ablehnen
Grenzen des Nudging: LG Rostock vom
15.09.2020 – grün hinterlegter,
hervorgehobener Button «Cookies zulassen»,
grau hinterlegt «nur notwendige Cookies
zulassen»
22. 22
Auswahl auf Basis der
Cookie/Tool-Kategorien
Einteilung der Tools aufgrund
von vier Kategorien:
- Unbedingt erforderliche
Cookies
- Funktions-Cookies
- Leistungs-Cookies
(Performance Cookies)
- Targeting Cookies
(Marketing-Cookies)
29. 29
Checkliste DSGVO
Einteilung der Cookies/Tools in Kategorien
Zustimmung pro Kategorie oder generell
Mindestens ein Button für “Cookie-Einstellungen” genauso
prominent anbieten wie “Alle Cookies akzeptieren”
Kein Nudging/Fischen nach Nutzer-Zustimmung
31. 31
Technisches Aufsetzen des Cookie Banners
1. Cookie Scan
2. Cookie-Identifizierung und -Kategorisierung
3. Styling und Design des Cookie Banners
4. Definition des Consent Models
5. Cookie Blocking
32. 1. Cookie Scan
Aufspüren aller aktuell gesetzten
Cookies auf der Webseite
Erstellen einer vollständigen
Cookie-Liste
32
33. 33
2. Cookie-Identifizierung und -Kategorisierung
Automatisierte Identifizierung und Kategorisierung der Cookies
aufgrund von Cookie-Listen.
Manuelle Kategorisierung der Cookies falls notwendig.
Einteilung der Cookies in Tools und Kategorien (Beispiel:
myoutube.com, youtube.com, www.youtube.com -> YouTube).
Pro Tool können mehrere Cookie-Kategorien auftreten (Beispiel:
Google Analytics, issuu.com, Slideshare usw.)
Bereinigung der Cookies und Prüfung, was zwingend gebraucht wird.
34. 3. Styling und Design des
Cookie Banners
Anpassen des Cookie Banners an
das Design der Webseite.
Anpassen und Aufsetzen der
notwendigen Übersetzungen.
34
35. 35
4. Definition des Consent Models
Soll das Consent Model für die Schweiz oder den EU-Raum gelten?
Das Consent Model kann abhängig von der IP-Adresse ausgespielt werden.
Sollen die Nutzer zwingend mit dem Cookie Banner interagieren?
Welche Cookies sind standardmässig ein- und ausgeschaltet?
Welche Cookies werden bei welcher Kategorien-Auswahl zugelassen?
36. 5. Cookie Blocking
Automatisiertes Ausblenden der
Cookies gemäss Consent Model
im Browser auf Client-Seite.
36
37. 37
Auswahl Cookie Banner Tool
Nicht das Cookie Banner Tool ist datenschutzkonform.
Wichtig ist, dass das Cookie Banner Tool korrekt und datenschutzkonform
aufgesetzt wird.
Dazu braucht es rechtliches und technisches Wissen sowie Online
Marketing Know-how.
38. Vielen Dank für Ihre Aufmerksamkeit
Lukas Bühlmann, LL.M.
Head Digital, Data Privacy & E-Commerce
Partner, Zürich
T +41 44 396 91 17
lukas.buehlmann@mll-legal.com
www.mll-legal.com | www.mll-news.com
Dr. Evelyn Thar
CEO Amazee Metrics AG
T +41 44 271 13 12
evelyn.thar@amazeemetrics.com
www.amazeemetrics.com
Dr. Michael Reinle, LL.M.
Partner, Zürich
T +41 44 396 92 33
lukas.buehlmann@mll-legal.com
www.mll-legal.com | www.mll-news.com
25.02.2021