Cookies als personenbezogene Daten
Das Problem der strengeren Anforderungen für die Verwendung von Cookies hat seit dem Inkrafttreten der Europäischen Datenschutzverordnung ( im Folgende BIPR) sowie die Veröffentlichung der Änderungsentwürfe der diskutierte Richtlinie für elektronische Kommunikation (am besten bekannt als „Privatsphäre und elektronische Kommunikation Statement“). Es sind diese Dokumente, die Cookies offiziell als personenbezogene Daten definieren und eine extraterritoriale Haftung sowie die Verhängung kolossaler Geldstrafen gegen Websitebesitzer für die illegale Verwendung solcher Dateien vorsehen. Wir haben bereits durchgeführteine Übersicht über die Strafen für Verstöße gegen die Grundprinzipien der DSGVO, jedoch enthielt keiner von ihnen Verstöße im Zusammenhang mit dem Umgang mit Cookies. In Ermangelung von Rechtspraxis und wirklichen Strafen haben Unternehmensvertreter oft ein Gefühl der Sicherheit, mit anderen Worten: "Bis der Donner ausbricht, wird sich der Mann nicht bekreuzen." Aber Donnerschläge sind schon lange zu hören - eine der größten Strafen für Verstöße gegen Cookies ist eine Geldstrafe von 30.000 €, die im Oktober 2019 von der spanischen Datenschutzbehörde Vueling verhängt wurde, weil Cookies von Drittanbietern nicht deaktiviert werden konnten.
Aufgrund der Besonderheiten des Berufsstandes analysieren Sie beim Besuch verschiedener Websites unfreiwillig die Einhaltung bekannter gesetzlicher Vorschriften im Bereich des Schutzes personenbezogener Daten. Als Ergebnis einer weiteren solchen Analyse wurde deutlich, dass sich viele Unternehmen bei der Umsetzung der DSGVO-Anforderungen mit dem Thema „Ordnung in ihren Webressourcen“ beschäftigt haben. Aufgrund eines Mangels an Verständnis für die Anforderungen oder des Fehlens eines Wunsches, die Benutzeroberfläche der Website zu "verderben", scheint es jedoch, dass jede zweite Organisation die Richtlinie zur Verwendung von Cookies auf ihren Ressourcen falsch umsetzt.
Bestimmungen zur Umsetzung der Richtlinien zur Verwendung von Cookie- Dateien
Aus Sicht der DSGVO und von ePrivacy unterscheiden sich die Regeln für die Verwendung von Cookies nicht von den Regeln für die Verarbeitung aller anderen personenbezogenen Daten und müssen befolgt werden, wenn die Website Cookies verwendet, die die Bildung eines Benutzerprofils im Netzwerk ermöglichen. Dies gilt jedoch nicht für:
- Cookies, die für den ordnungsgemäßen Betrieb der Website unbedingt erforderlich sind;
- Cookies, die unbedingt erforderlich sind, um dem Benutzer einen Onlinedienst bereitzustellen, z. B. wenn der Benutzer ein Online-Formular ausfüllt, einen Warenkorb verwendet oder sich auf der Website authentifiziert, um in das System zur Bereitstellung des Onlinedienstes einzutreten
Zurück zu den Regeln, ihre Essenz ist wie folgt:
- Die Installation eines Cookies sollte nur mit vorheriger Zustimmung des Benutzers erfolgen.
- , , , , /, .
- cookie, , , , .
- .
- – cookie- , , , .
Schwerwiegende Fehler bei der Implementierung der Cookie- Richtlinie oder bei der Nichtbeachtung
Schauen wir uns drei Beispiele für die fehlerhafte Implementierung der Cookie-Richtlinie an, die auf den Websites von Controllern und Verarbeitern personenbezogener Daten am häufigsten vorkommen.
Beispiel 1. Eine Bannerwarnung, dass Sie durch die weitere Nutzung der Website der Verwendung von Cookies zustimmen.
Diese Praxis ist sowohl unter russischen als auch unter europäischen Webressourcen weit verbreitet. Betrachten Sie als Beispiel die Website des italienischen Kosmetikgeschäfts. Gemäß der auf der Website präsentierten Cookie-Richtlinie werden dem Benutzer technische Cookies, funktionale Cookies und Cookies aus Marketingkampagnen von Drittanbietern gesetzt.
Die wörtliche Übersetzung der Warnung auf dem Banner am Ende der Seite lautet jedoch: „Diese Website verwendet technische, analytische und Profiling-Cookies von Drittanbietern. Wenn Sie "Weiter" wählen oder auf Inhalte auf unserer Website zugreifen, ohne Ihre Wahl zu treffen, stimmen Sie der Verwendung von Cookies zu. Um mehr zu erfahren und die Zustimmung zur Installation von Cookies zu verweigern, klicken Sie hier. "
In diesem Fall werden alle zuvor genannten Regeln verletzt:
- Cookies werden sofort installiert, wenn der Benutzer die Site öffnet.
- Die weitere Nutzung der Website oder das Klicken auf die Schaltfläche "Weiter" ist keine eindeutige Bestätigungsaktion, da der Benutzer keine Auswahl hat und die Installation eines Cookies nicht ablehnen kann.
- , cookie, cookie.
- cookie , cookie .
- , , , , .
Beispiel 2. Banner mit dem richtigen Einverständnisformular, das NICHT auf allen Seiten der Website funktioniert.
Betrachten Sie als Beispiel die französische Version von huppe.com.
Das auf der Website angezeigte Zustimmungsbanner entspricht den von uns in Betracht gezogenen Regeln, und das im Text genannte Datenschutzhandbuch beschreibt die Unternehmensrichtlinien in Bezug auf Cookies ausreichend detailliert. In der russischen Version sieht das Zustimmungsbanner folgendermaßen aus:
Wenn Sie jedoch tiefer graben und versuchen, nicht die Hauptseite der Site zu öffnen, sondern sich zum Beispiel als magisch herausstellt.
Die Magie liegt in der Tatsache, dass das Banner, das alle Anforderungen zu erfüllen scheint, tatsächlich nicht funktioniert. Die Installation von anderen als den unbedingt erforderlichen Cookies wird erst blockiert, wenn die zulässigen Maßnahmen ergriffen wurden. Dies bedeutet, dass die Website definitiv kein "ausgezeichneter Schüler" mehr ist. In diesem Fall können wir von 5 Regeln sagen, dass nur die Regeln 2 und 3 eingehalten werden.
Beispiel 3. Unzureichend transparente Richtlinien für die Verwendung von Cookies
Es kommt auch vor, dass ein Unternehmen über einen Arbeitsmechanismus für die Einholung der Zustimmung besorgt ist, aber ein wichtiges Detail übersehen hat - transparent bereitgestellte Informationen über den Zweck bestimmter Cookies und Bedingungen ihrer Lagerung. Diese Situation tritt auf der Website castrol.com auf.
Die Website verfügt über ein Zustimmungsbanner mit der Option, einzelne Cookies zu verwalten.
Und vor allem funktioniert der Verriegelungsmechanismus:
Vor Einholung der Einwilligung
Nach Erhalt der Einwilligung enthalten
die Informationen zur Verwendung von Cookies jedoch zu wenig Spezifität - weder eine Liste von Personen, deren Cookies von Drittanbietern von der Website installiert werden, noch die Speicherzeiten von mindestens einzelnen Gruppen von Cookies auf der Website werden angegeben. In solchen Fällen wird eines der Hauptprinzipien der DSGVO - Transparenz der Verarbeitung - verletzt, weshalb Regel 3 nicht eingehalten wird. Ein Beispiel für eine vollständig transparente Cookie-Richtlinie ist die auf der Website der Europäischen Kommission veröffentlichte Richtlinie .
Die überprüften Beispiele weisen nicht nur auf häufige Fehler bei der Umsetzung der europäischen Datenschutz- und Datenschutzanforderungen hin, sondern zeigen auch, dass die Arbeit der europäischen Regulierungsbehörden viele Controller und Prozessoren dazu zwingt, sich mit Compliance-Fragen zu befassen. Und wenn vor zwei Jahren auf der überwiegenden Mehrheit der Websites das Thema der Verwendung von Cookies überhaupt nicht angesprochen wurde, ändert sich die Situation jetzt dramatisch, was den Nutzern, die daran interessiert sind, die Kontrolle über ihre Daten zu erlangen, nur gefallen kann - laut der Europäischen Datenschutzkommission ist dies genau das wurde von der DSGVO entwickelt.
Die Praxis zeigt, dass Site-Eigentümer, die Controller oder Prozessoren sind, in der gegenwärtigen Realität zwei Möglichkeiten haben:
- ;
- - cookie-, , , .
,