Analyse- und A/B-Testing-Cookies – nur nach Zustimmung in Europa?

Aktualisiert am 19. Februar 2020: Ein neues Update der CNIL besagt, dass A/B-Tests und Zielgruppenmessungen jetzt von der Zustimmung ausgenommen sind.

Man könnte meinen, die DSGVO habe erst mit ihrem Inkrafttreten im Mai 2018 für eine Störung gesorgt.

Die Wahrheit ist, dass Europa das ganze Jahr 2019 über in Aufruhr war, und das sind keine guten Nachrichten.

Die französischen und britischen Datenschutzbehörden (CNIL und ICO) haben ihre im Juli 2019 herausgegebenen Leitlinien aktualisiert und hervorgehoben, dass Analyse-Cookies (einschließlich A/B-Tests und Personalisierung) eine ausdrückliche Zustimmung erfordern, bevor sie auf dem Gerät eines Besuchers platziert werden. Sie verweisen ausdrücklich auf die DSGVO, wenn sie Einwilligungen (wie Opt-Ins) erwähnen. Sie muss auf einer aktiven Benutzeraktion basieren, nicht auf Standardeinstellungen.

Im Februar 2020 änderte die CNIL ihre Haltung zu dieser Angelegenheit (danke Paul Schmitt, dass er mich darauf hingewiesen hat). Obwohl das ICO und die CNIL zuvor erklärt haben, dass Cookies für A/B-Tests und -Analysen einer Zustimmung bedürfen, sagen die neuesten Richtlinien (auf Französisch) etwas anderes:

„Profitieren Sie vom Einwilligungsausschluss, unter bestimmten Voraussetzungen sind Cookies, die zur Reichweitenmessung eingesetzt werden, von der Einwilligung ausgenommen. Diese Bedingungen, wie in den Richtlinien zu Cookies und anderen Trackern angegeben, sind (1) Benutzer über ihre Verwendung zu informieren; (2) ihnen die Macht zu geben, sich dagegen zu wehren; (3) das System nur auf die folgenden Zwecke zu beschränken: Reichweitenmessung und A/B-Tests.“

Dies bedeutet, dass Analysetools, die nur für die Datenerfassung durch eine Organisation eingerichtet sind (und in keiner Weise an Dritte weitergegeben werden), ohne Zustimmung installiert werden können. Diese Änderung könnte für Google Analytics schwierig sein. Diese spezielle Vereinbarung von Mozilla veranlasste Google Analytics dazu, seine Daten nicht mit anderen Diensten zu teilen. Derzeit ist nicht sicher, ob diese Einstellung für alle Benutzer verfügbar ist. Wenn Europa jedoch ohne Zustimmung die Tür für Analysen öffnet, gehe ich davon aus, dass Google dem Kurs folgen und diese Funktion seinem europäischen Kundenstamm zur Verfügung stellen muss.

Obwohl keine anderen europäischen nationalen Datenschutzbehörden solche Ergänzungen zu den Gesetzen der ePrivacy-Richtlinie (die vor der DSGVO galten) eingeführt haben, könnte dies zwischen Juli 2020 und dem Moment, in dem die neuen ePrivacy-Verordnungen die aktuelle Richtlinie ersetzen, ein Rechtsvakuum geschaffen haben.

Was ist passiert? Was hat sich geändert?

Eine Zusammenfassung der wichtigsten Änderungen der Datenschutzgesetze in Europa finden Sie im folgenden Video ( Haftungsausschluss : In dem Video habe ich fälschlicherweise erwähnt, dass die Änderungen 2018 implementiert wurden, obwohl sie tatsächlich 2019 durchgeführt wurden).

Die europäische ePrivacy-Richtlinie „Cookie-Gesetz“ von 2011 und die britische Version, The Privacy and Electronic Communications (EC Directive) Regulations of 2003 („PECR“), wurden kürzlich vom ICO neu interpretiert. Diese Änderung bedeutet, dass Sie um die „Einwilligung“ bitten, alle „nicht wesentlichen“ Cookies zu löschen, unabhängig davon, ob personenbezogene Daten erfasst werden oder nicht.

Im Jahr 2012 erklärte das ICO, dass eine stillschweigende Zustimmung (d. h. ein Opt-out statt eines Opt-in) zulässig sei:

Die stillschweigende Einwilligung war im Zusammenhang mit Datenschutzgesetzen und Datenschutzbestimmungen immer ein vernünftiger Vorschlag und bleibt dies auch im Zusammenhang mit der Speicherung von Informationen oder dem Zugriff auf Informationen mithilfe von Cookies und ähnlichen Geräten.

Am 18. Juli 2019 hat die französische Datenschutzbehörde (CNIL) ihre neuen Richtlinien zur Verwendung von Cookies veröffentlicht. Die für HTTP-Cookies geltenden Regeln gelten auch für viele andere Tracking-Technologien („Tracker“), darunter lokal freigegebene Objekte, Fingerabdrücke von Endgeräten, Hardwarekennungen und von Betriebssystemen generierte Kennungen. Genau wie die ICO- und DSGVO-Richtlinien gibt es auch hier keine gesonderte Entscheidung über die Verwendung von Cookies, sondern das Fingerprinting fällt jetzt unter die Einwilligung.

Aber dann macht die CNIL das Ganze ein wenig verwirrend, indem sie ihre Github-Seite aktualisiert. Die neusten Richtlinien der CNIL besagen, dass Reichweitenmessung und A/B-Tests von der Zustimmung ausgenommen sind und sofort platziert werden können (Opt-out).

Der Europäische Datenschutzausschuss (EDPB) hat im März 2019 eine schriftliche Stellungnahme zum Zusammenspiel zwischen der ePrivacy-Richtlinie und der DSGVO herausgegeben, da die DSGVO Cookies nicht erwähnt und zwischen den beiden Gesetzen eine Lücke besteht.

Einige interpretierten die Meinung des EDPB dahingehend, dass alle Verweise auf „Einwilligung“ in der Datenschutzrichtlinie für elektronische Kommunikation eine Einwilligung im Sinne der DSGVO bedeuten. Für Cookies bedeutet dies, dass Sie keine Cookies platzieren können, ohne dass Personen aktiv zustimmen.

Warum also haben die ICO und auch die CNIL ihre Leitlinien ein Jahr nach Inkrafttreten der DSGVO geändert? Warum haben sich die Informationen zum „Opt-out“ von Cookies in 13 Monaten zu „Consent Opt-in“ geändert?

Das haben wir Planet49 zu verdanken.

Am 30. November 2017 wurde Planet49, eine deutsche Website und Firma, wegen mehrerer fragwürdiger Praktiken unter Berücksichtigung der DSGVO und der ePrivacy-Richtlinie vor Gericht gebracht.

Auch wenn wir auf die Ergebnisse warten mussten (vollständig am Ende des Artikels beigefügt), gab das Urteil den Ton an, dass klarere Richtlinien für jedes Land erforderlich seien.

Aufgrund dieses Urteils begannen die CNIL und das ICO, ihre Richtlinien zu aktualisieren, um zu reflektieren, wie die aktuellen Datenschutzgesetze die Einwilligung, den Informationsaustausch und (Analyse- und Tracking-) Cookies abdecken. Wir müssen abwarten, ob die CNIL andere europäische Länder dahingehend beeinflusst, Cookies zur Reichweitenmessung und A/B-Tests zuzulassen.

Der Kampf um die „unbedingt erforderliche“ Cookie-Ausnahme

Als wir A/B-Testunternehmen die DSGVO-Praktiken anpassten, könnten Analyse- und A/B-Test-Cookies den Kunden als wesentlich für ein Unternehmen präsentiert werden. Stattdessen lag der Fokus mehr auf Ad-Trackern.

Heutzutage könnte man sich hinter der unbedingt notwendigen „Cookie-Ausnahme“ verstecken. Ich hörte sogar jemanden sagen: „Aber unsere Rechtsabteilung hat gesagt, wir können das Google Analytics-Cookie ohne Zustimmung platzieren“. Ich war auch in diesem Lager, bis ich die neuen Richtlinien des ICO las. Ihre Website gibt einige gute Beispiele dafür, welche Cookies für das Funktionieren der Website und die ordnungsgemäße Benutzerinteraktion unerlässlich sind. Da ständig neue Richtlinien herauskommen, kann es verwirrend sein, sich strikt an die eine oder andere Seite zu halten. Einige Unternehmen folgen nun den jüngsten Empfehlungen der CNIL.

In den folgenden Beispielen ist ein Cookie „unbedingt erforderlich“, um Benutzern einen Dienst bereitzustellen. In jedem Fall gelten Ausnahmen und es ist keine Zustimmung erforderlich:

• Ein Cookie, das verwendet wird, um sich die Produkte zu merken, die ein Benutzer kaufen möchte, wenn er zur Kasse geht oder Waren in seinen Einkaufskorb legt,
• Cookies, die zur Einhaltung des Sicherheitsprinzips der DSGVO für eine vom Benutzer angeforderte Aktivität erforderlich sind – beispielsweise in Verbindung mit Online-Banking-Diensten,
• Cookies, die dazu beitragen , dass der Inhalt einer Seite schnell und effektiv geladen wird, indem sie die Arbeitslast auf mehrere Computer verteilen (dies wird oft als „Load Balancing“ oder „Reverse Proxying“ bezeichnet).

Es ist wichtig, sich daran zu erinnern, dass das, was „unbedingt erforderlich“ ist, aus der Sicht des Benutzers oder Abonnenten beurteilt werden sollte, nicht aus Ihrer eigenen. Während Sie beispielsweise Werbe-Cookies als „unbedingt erforderlich“ betrachten, weil sie Einnahmen bringen, die Ihren Dienst finanzieren, sind sie aus Sicht des Benutzers nicht „unbedingt erforderlich“.

Cookies, die laut ICO die Zustimmung des Benutzers erfordern (proaktives Opt-in durch Benutzeraktion), sind zum Beispiel:

• Cookies, die für Analysen verwendet werden, z. B. um die Anzahl der einzelnen Besuche auf einer Website zu zählen (einschließlich Personalisierung und A/B-Tests),
• Werbe-Cookies von Erst- und Drittanbietern (einschließlich solcher, die für betriebliche Zwecke im Zusammenhang mit Werbung von Drittanbietern verwendet werden, wie z. B. Erkennung von Klickbetrug, Forschung, Produktverbesserung usw.),
• Cookies, die verwendet werden, um einen Benutzer zu erkennen, wenn er auf eine Website zurückkehrt, damit die Begrüßung, die er erhält, angepasst werden kann (Personalisierung wird vom ICO ausdrücklich erwähnt).

Das „Planet49“-Urteil des EuGH vom 1. Oktober 2019

Im Oktober 2019 entschied der Gerichtshof der Europäischen Union (der „EuGH“) in seinem „Planet49“-Urteil, dass die DSGVO-Standardeinwilligung auch für das Setzen von Cookies gemäß der ePrivacy-Richtlinie gilt, gemäß der Auslegung, die die CNIL und das ICO seit Juli 2019 implementiert hatte.

Daher ist eine aktive und informierte Zustimmung erforderlich, um Cookies und Profiling-Technologien (wie Fingerabdrücke) zu platzieren, einschließlich Werbe-Cookies (jedoch nicht unbedingt notwendige Cookies).

Vorab angekreuzte Kästchen, wie die, mit denen Planet49 davonkommen wollte, sind kein gültiges Mittel, um eine Einwilligung zu erhalten.

Wir als Unternehmen haben unsere gesamte Infrastruktur neu aufgebaut, um sicherzustellen, dass wir die DSGVO einhalten und keine personenbezogenen Daten in Cookies speichern.

Das Urteil des EuGH besagt, dass es keine Rolle spielt, ob personenbezogene Daten durch Cookies erhoben werden. Die Einwilligung muss auch dann eingeholt werden, wenn durch das Setzen von Cookies keine personenbezogenen Daten verarbeitet werden. Der für die Verarbeitung Verantwortliche sollte die Benutzer über die Lebensdauer jedes Cookies und den Zugriff Dritter auf die durch solche Cookies gesammelten Informationen informieren, bevor er ihre Zustimmung einholt.

Gibt es Hoffnungen ohne Zustimmung für Analytics- und A/B-Testing-Cookies?

Das ICO unterscheidet nicht zwischen Cookies, die für Analysen verwendet werden, und solchen, die für andere Zwecke verwendet werden, die CNIL jedoch schon.

Analytics-Cookies fallen nicht unter die „unbedingt erforderliche“ Ausnahme für das ICO. Das bedeutet, dass Unternehmen ihre Benutzer über Analyse-Cookies informieren und ihre Zustimmung zu ihrer Verwendung im Vereinigten Königreich einholen müssen, während die CNIL in Frankreich Analysen (mit Einschränkungen) und A/B-Tests ohne Zustimmung erlaubt.

Das ICO (UK) beschreibt Cookies, die für Online-Werbung oder Webanalyse verwendet werden, als nicht wesentlich, sodass sie einer vorherigen Zustimmung bedürfen. Dazu gehören First-Party-Cookies und First-Party-Cookies, die von Drittanbietern gesetzt werden (lesen Sie Convert oder Google Analytics). Convert erfüllt auch die Vorschriften der CNIL und teilt keine Datensätze mit Kunden und Installationen erfolgen nur pro Kunde, sodass A/B-Tests und Personalisierung mit Zurückhaltung für Tests zulässig sind.

Die ICO-Anleitung besagt eindeutig:

Für Erstanbieter-Analyse-Cookies ist eine Einwilligung erforderlich, auch wenn sie möglicherweise nicht so aufdringlich erscheinen wie andere, die einen Benutzer über mehrere Websites oder Geräte hinweg verfolgen können.

Für Erstanbieter-Analyse-Cookies ist eine Einwilligung erforderlich, auch wenn sie möglicherweise nicht so aufdringlich erscheinen wie andere, die einen Benutzer über mehrere Websites oder Geräte hinweg verfolgen können.

Obwohl das ICO die Möglichkeit förmlicher Maßnahmen in keinem Bereich ausschließen kann, ist dies möglicherweise nicht immer der Fall, wenn das Setzen eines Erstanbieter-Analyse-Cookies zu einem geringen Grad an Eingriffen und einem geringen Schadensrisiko für Einzelpersonen führt. Sie sollten jedoch auch beachten, dass dies nicht unbedingt der Fall sein wird, wenn Sie von Drittanbietern bereitgestellte Erstanbieter-Analyse-Cookies verwenden.

Sie sollten wissen, dass es eine Nachfrist gibt, um die PECR-Richtlinien des ICO bis Juli 2020 zu befolgen.

Wenn die gesammelten Informationen über die Nutzung der Website an Dritte weitergegeben werden, sollten die Benutzer darauf hingewiesen werden. Es sollte auch klar sein, was dieser Dritte mit den Informationen macht .

Abhängig von Ihrem Dienst bieten Sie Benutzern möglicherweise auch die Möglichkeit, Kontoeinstellungen zu ändern, um die Weitergabe von Informationen an Dritte, einschließlich Analyseanbieter, einzuschränken. (Ein Analysedienst kann diese Funktionalität ebenfalls bereitstellen, erwägen Sie, sie gegebenenfalls zu aktivieren.) Die dem Benutzer bereitgestellten Steuerelemente sollten gut sichtbar angezeigt und nicht verdeckt werden.

Stellen Sie den Benutzern letztendlich klare Informationen über Analyse-Cookies zur Verfügung und holen Sie ihre Zustimmung ein oder teilen Sie die Informationen (alte Cookie-Banner). Dies beinhaltet wahrscheinlich, den Benutzern zu zeigen, warum diese Cookies für sie nützlich sind – aber Sie müssen sicherstellen, dass Sie den Benutzer nicht dazu drängen, eine Option einer anderen vorzuziehen.

In bestimmten Aspekten gehen solche Leitfäden weiter als der aktuelle Entwurf der neuen ePrivacy-Verordnung (vom 4. Oktober 2019), die die bestehende ePrivacy-Richtlinie (und die aktuellen PECR- und französischen Gesetze) ersetzen wird. Im aktuellen Entwurf erlaubt es Betreibern, Cookies von Erst- oder Drittanbietern ohne Zustimmung auf den Geräten der Benutzer zu platzieren, um die Reichweite zu messen (dh um den Verkehr zu analysieren, der über ihre Websites fließt, um den Dienst zu optimieren).

Falls Sie noch Zweifel haben, hier ist ein Diagramm aus dem ICO, das die Verwendung von Cookies wirklich gut erklärt.

Gib es mir direkt

Ein Problem, das hier auftreten könnte, besteht darin, dass Unternehmen, die Cookies platzieren, versuchen, das Gesetz auf ihre eigene Weise auszulegen. Aber obwohl wir Analyse-, A/B-Test- und Personalisierungssoftware herstellen, werden wir es Ihnen direkt geben.

1. Die Datenschutzbehörden des Vereinigten Königreichs (ICO) und Frankreichs (CNIL) haben ihre Richtlinien im Juli 2019 geändert und erklärt, dass Analyse-, A/B-Test- und Personalisierungssoftware wie Convert Experiences, Optimizely, AB Tasty, VWO, Adobe Target, PageSense, OmniConvert, Google Optimize und der Rest muss sich alle mit Zustimmung anmelden, um Erst- und Drittanbieter-Cookies für ihre Bürger zu platzieren.
2. Frankreich (CNIL) hat seine Github-Seite mit Richtlinien geändert, die A/B-Tests und grundlegende Analysen von der Cookie-Zustimmung ausnehmen.
3. Deutschland und Spanien folgen entweder dem Vereinigten Königreich (ICO) oder Frankreich (CNIL) und Sie können in Kürze mit Aktualisierungen ihrer Richtlinien rechnen.
4. Der Gerichtshof der Europäischen Union (EuGH) hat in seinem „Planet49“-Urteil vom Oktober 2019 entschieden, dass die DSGVO-Standardeinwilligung auch für das Setzen von Cookies nach der ePrivacy-Richtlinie gilt. Das Urteil bekräftigt, dass die britischen und französischen Richtlinien von allen nationalen Datenschutzbehörden übernommen werden müssen.
5. Der neue Gesetzesentwurf namens ePrivacy Regulations, der die ePrivacy-Richtlinie ersetzen wird, sieht eine Cookie-Ausnahme für A/B-Tests, Personalisierung und Analysen vor.
6. Es ist unwahrscheinlich, dass das ICO oder die CNIL zu diesem Zeitpunkt aktiv Unternehmen verfolgen werden, die First-Party-Analysen, A/B-Tests und Personalisierung verwenden. Die ePrivacy-Verordnungen werden voraussichtlich (Mitte) 2021 in Kraft treten und es gibt eine Nachfrist bis Juli 2020. Der Umfang der Arbeit dieser Organisationen ist sehr breit.
7. Ziehen Sie Ihre eigenen Schlussfolgerungen auf der Grundlage dessen, was wir für eine faire Darstellung dessen halten, was seit Juli 2019 in Europa passiert ist. Sprechen Sie mit Ihrem Rechtsberater. Stützen Sie Ihren Rat nicht auf ein Tool, das Consent-Management-Plattformen verkauft (sie wollen alle Zustimmungen), aber auch nicht von Anbietern von Analyse-, A/B-Test- und Personalisierungstools … uns und ihnen.

Ich hoffe, dieser Artikel hat dazu beigetragen, etwas Licht in die Veränderungen zu bringen, die derzeit in Europa stattfinden.

Obwohl es unserem Geschäftsmodell schadet, bemühen wir uns immer, die Wahrheit zu teilen.

Wir möchten, dass unsere Optimierungstools verwendet werden, um die beste Benutzererfahrung zu bieten, damit Benutzer die beste Produktseite, das am wenigsten verwirrende Menü und das Formular erhalten, mit dem sie beim Ausfüllen Zeit sparen.

Wir betrachten die Website-Optimierung als edles Handwerk, im besten Interesse der Website-Besucher und Eigentümer (unserer zahlenden Kunden) gleichermaßen. Wir möchten, dass unsere Kunden den Datenschutz ernst nehmen und Warnungen und Datenschutz direkt in jede Ebene unserer Tools integrieren. Aus Gründen der Compliance und des Datenschutzes speichern wir nur aggregierte Daten – und keine personenbezogenen Daten – in unseren Tools.

Wir kümmern uns tatsächlich . Obwohl wir aufgrund des aktuellen ICO und der sich ständig ändernden CNIL-Richtlinien und der ePrivacy-Verordnungen möglicherweise in einer schwierigen Lage sind, wissen wir, dass wir mit voller Transparenz das Unternehmen der Wahl für Marken sein werden, die sich um den Datenschutz kümmern und denen die Verbraucher vertrauen können .

Zu diesem Zweck haben wir ein kleines Pop-up gestartet, das Website-Besuchern anzeigt, an welchen Personalisierungen und A/B-Tests sie teilnehmen.

Es handelt sich um einen optionalen Code, den Kunden ihrem globalen Javascript innerhalb des A/B-Test- und Personalisierungstools von Convert Experiences hinzufügen können (siehe Abbildung unten, um zu sehen, wie das funktioniert).

Wenn Sie über Datenschutz, die CNAME-Lösungen, an denen wir arbeiten, oder neue rechtliche Entwicklungen sprechen möchten, wenden Sie sich bitte über LinkedIn an mich.