Ressource zur Cookie-Einwilligung
Der Zweck dieses Leitfadens ist es, allgemeinen Kontext und Ressourcen bereitzustellen, um unsere Partner dabei zu unterstützen, die Anforderungen der Cookie-Einwilligung zu erfüllen. Gesetze und Richtlinien bezüglich der Verwendung von Cookies und der Online-Erhebung von Informationen unterscheiden sich je nach Region und entwickeln sich ständig weiter.
Facebook kann keine rechtliche Beratung zur Einhaltung von Vorschriften und Richtlinien geben. Wir empfehlen dir, deine eigene Einschätzung bezüglich der Einwilligungsanforderungen vorzunehmen und deinen Rechtsvertreter zu konsultieren, um zu erfahren, was für deine Organisation am besten ist.
Über Cookies
Cookies sind eine Art von Technologie und bestehen normalerweise aus kleinen Textstücken, die verwendet werden können, um Informationen auf dem Computer, Mobilgerät oder sonstigen elektronischen Geräten eines Nutzers zu speichern bzw. darauf zuzugreifen. Cookies lassen sich für verschiedene Zwecke verwenden, beispielsweise, um sich die Einstellungen oder Präferenzen eines Nutzers auf einer Website zu merken, die Nutzeranmeldung zu unterstützen oder den Traffic auf eine Website zu analysieren. Sonstige Technologien, einschließlich der auf Webbrowsern oder Geräten gespeicherten Daten, der mit einem Gerät verknüpften Kennungen sowie sonstiger Software, können auch für ähnliche Zwecke genutzt werden. Wir bezeichnen alle diese Technologien als Cookies. Weitere Informationen darüber, wie und wo wir Cookies in unseren Facebook-Produkten verwenden, findest du in unserer Cookie-Richtlinie.
Weiterentwicklung der Vorschriften
Die regulatorischen Erwartungen bezüglich der Anforderungen zum Erheben und Teilen personenbezogener Daten entwickeln sich kontinuierlich weiter. Zudem werden die Leitlinien der Datenschutzbehörden weiter ausgearbeitet und stellen nunmehr die Erwartungen im Zusammenhang mit dem Einsatz von Cookies und der Online-Erhebung personenbezogener Daten deutlicher dar. Dies spiegelt sich in europäischen Gesetzen wie der Datenschutz-Grundverordnung (DSGVO) und der europäischen Datenschutzrichtlinie für elektronische Kommunikation wider.
Die Datenschutzrichtlinie für elektronische Kommunikation enthält spezifische Anforderungen bezüglich der Verwendung von Cookies und ähnlichen Technologien (siehe nachstehende kurze Zusammenfassung). Wir empfehlen dir dringend, dich mit diesen Anforderungen vertraut zu machen und dich erforderlichenfalls spezifisch rechtlich beraten zu lassen.
Anforderungen
- Du musst die Einwilligung des jeweiligen Nutzers einholen, bevor du Cookies oder andere Tracker für irgendwelche anderen Zwecke setzt/ausliest, die nicht unbedingt erforderlich oder auf sonstige Weise ausgenommen sind.
- Du musst dem Nutzer klar verständliche und umfassende Informationen zur Verwendung von Cookies zur Verfügung stellen.
Die EU-Gesetzgebung wird häufig durch nationale regulatorische Leitlinien der Datenschutzbehörden unterstützt. Diese Leitlinien stellen hilfreiche Informationen bereit, u. a. dazu, wie du sicherstellen kannst, dass du Recht und Gesetz einhältst. In den nachfolgenden Abschnitten haben wir typische Erwartungen zusammengefasst und Beispiele für aktuelle nationale Leitlinien aufgelistet.
Diese Liste ist nicht vollständig. Wir empfehlen dir, dich an deine lokale Datenschutzbehörde bzw. deinen Rechtsberater zu wenden, um weitere Einzelheiten zu speziellen Richtlinien zu erhalten, die möglicherweise für dich gelten.
Einholen einer gültigen Einwilligung – Allgemeine Grundsätze
Der Standard zum Einholen einer gültigen Einwilligung gemäß EU-Gesetzgebung ist hoch.
Damit eine Einwilligung gültig ist, muss sie folgende Kriterien erfüllen:
- Freiwillig erteilt – Der Nutzer hat eine echte Wahl.
- Spezifisch und informiert – Du musst erläutern, wer die Cookies für welche Zwecke verwendet, und erklären, dass jede Person das Recht hat, die Einwilligung jederzeit auf einfache Weise zu widerrufen.
- Unmissverständlich und bestätigend – Die Einwilligung beinhaltet eine klare und positive Handlung, wie einen physischen Klick auf ein Opt-in-Kästchen, um das Einverständnis zu signalisieren.
Du solltest dir sorgfältig überlegen, wie du die Einwilligung von einem Nutzer einholst, um die Erfüllung der erforderlichen Kriterien gemäß EU-Recht sicherzustellen und um zu vermeiden, dass die Einwilligung als ungültig erachtet wird.
So holst du eine Cookie-Einwilligung ein
Cookie-Banner mit einem „Ich stimme zu“-Button
- Du musst entscheiden, welche bestätigende Handlung ein Nutzer vornehmen muss, um seine Einwilligung zu erteilen, z. B. indem er auf einem Banner oder Startbildschirm mit den unten beschriebenen spezifischen Informationen auf Ich stimme zu klickt.
Die Einwilligung sollte vor dem Setzen bzw. Verwenden von nicht unbedingt erforderlichen Cookies eingeholt.
- Du musst den Nutzern vermitteln, dass sie mit der entsprechenden Handlung ihre Einwilligung erteilen. Die Cookie-Leitlinien der EU-Aufsichtsbehörden enthalten hilfreiche Ratschläge zur Umsetzung.
Erforderliche Informationen
Websites und Apps sollten zu Beginn eine klare, präzise und umfassende Erklärung anzeigen, die einen Link zu ihren Datenschutz- bzw. Cookie-Hinweisen mit näheren Angaben enthält. Der Link sollte aus leicht lesbarem Text bestehen und nicht von anderen Features auf der Seite unterbrochen werden.
Du musst entscheiden, wie du in deinen Hinweis weitere Informationen aufnimmst, wie beispielsweise:
- Genaue, korrekte und spezifische Informationen in leicht verständlicher und nutzerfreundlicher Sprache zu den Zwecken, für die du Cookies und ähnliche Technologien verwendest, sowie zu ihrer Laufzeit.
- Jegliche zusätzlichen Informationen zu den speziellen von dir ggf. verwendeten Technologien Dritter, einschließlich Facebook, und zum Zweck dieser Technologien.
- Informationen, die erläutern, wie der Nutzer nicht erforderliche Cookies ablehnen kann, oder die zum Verständnis dazu beitragen, wie Cookies verwendet werden.
- Etwaige differenzierte Steuermöglichkeiten für nicht unbedingt erforderliche Cookies, die du bereitstellst bzw. Dritte bereitstellen.
Womöglich musst du zwischen präzisen und spezifischen Informationen abwägen: Du kannst zwei Informationsebenen berücksichtigen. Denkbar ist etwa eine Erläuterung im Banner zur Cookie-Einwilligung selbst, die auf eine ausführliche Erklärung in einem „Mehr dazu“-Bereich oder in der Cookie-Richtlinie verlinkt. Dies ist eine gängige Praxis, um Nutzern hinreichend deutliche Informationen zur Verfügung zu stellen.
Anbieten von Optionen zur Deaktivierung von Cookies
Es wird generell erwartet, dass es ebenso einfach sein muss, eine Einwilligung zu widerrufen, wie sie überhaupt erst zu erteilen.
- Stelle deine eigenen Steuermöglichkeiten zur Verfügung, die das Setzen oder Auslesen von Cookies deaktivieren, die nicht unbedingt erforderlich sind, einschließlich werbebezogener Cookies.
- Gewähre für Plugins oder Pixel von Drittanbietern Zugriff auf die Auswahlmechanismen der Drittanbieter, sofern verfügbar.
- Verwende eine Branchenressource in deiner Region, die Auswahlmöglichkeiten für Cookies anbietet, wie die Tools der Digital Advertising Alliance (DAA), der Digital Advertising Alliance of Canada (DAAC) und der European Interactive Digital Advertising Alliance (EDAA).
- Berücksichtige die Anforderung, dass die Einwilligung nachweisbar ist, und überprüfe, wie du die von Nutzer*innen erhaltenen Einwilligungen dokumentierst und speicherst.
Die oben beschriebenen Steuermöglichkeiten werden von den Aufsichtsbehörden nicht immer als ausreichend erachtet. Deshalb empfehlen wir dir, dich von deinem Rechtsteam beraten zu lassen. Zudem eignen sich nicht alle dieser Optionen für deine Bedürfnisse oder andere sind besser geeignet. Deine Lösung hängt von den Besonderheiten deiner Website/App ab sowie davon, wie du Cookies oder andere Speichertechnologien verwendest.
Hilfe bei den Einwilligungsfunktionen
Es gibt eine Reihe von Anbietern und Branchentools, die dir bei den Einwilligungsfunktionen helfen können. Überlege dir beispielsweise, mit einem Consent Management Platform (CMP) Provider wie OneTrust oder TrustArc zusammenzuarbeiten.
Die Anbieter auf dieser Liste von CMPs sind beim IAB Transparency and Consent Framework registriert.
Es handelt sich nicht um eine vollständige Liste aller verfügbaren CMPs und die Zusammenarbeit mit einem dieser CMP-Anbieter garantiert auch keine Compliance.
Sobald du die für dich geeignete Lösung ausgewählt hast, empfehlen wir dir, dich von einem erfahrenen Entwickler sowie einem Rechtsberater unterstützen zu lassen. Vergewissere dich stets davon, dass die von dir zur Verfügung gestellten Steuerelemente einwandfrei funktionieren.
Mehr dazu – Sonstige Ressourcen
Beispiele von Leitlinien zu Cookies und ähnlichen Technologien:
- Irland – IDPC-Cookie-Leitlinien
- Frankreich – CNIL-Cookie-Leitlinien
- Spanien – AEPD-Cookie-Leitlinien
- Vereinigtes Königreich – ICO-Cookie-Leitlinien
- Belgien – APD-Cookie-Leitlinien
Wir haben außerdem Ressourcen veröffentlicht, mit denen wir Unternehmen dabei unterstützen möchten, Nutzer*innen über die von ihnen erhobenen Daten zu informieren: