GDPR Deep Dive: Was tun mit Cookies?

Alle Cookies scheinen mehr oder weniger gleich zu funktionieren. Winzige Webdatei, die von einem Benutzer gespeichert wird, verfolgt Aktivitäten usw. usw.

Aber einige sind „privater“ als andere.

Und jetzt, mehr denn je, wird das einen Unterschied für Ihren Marketing-Stack machen.

Der Weg zur DSGVO- und ePrivacy-Compliance ist holprig. Es erfordert, dass sich Ihre Datenverarbeiter auf „Privacy by Design“ verlassen – und um Zustimmung bitten, wenn sie IRGENDWELCHE personenbezogenen Daten verwenden. Das bedeutet alle persönlichen Kennungen. Das bedeutet Cookies oder IP-Adressen oder Postleitzahlen.

Bei Convert wollten wir sicherstellen, dass keine personenbezogenen Daten in unseren Systemen gespeichert werden und dass keine Person durch die Verwendung von Cookies identifiziert wird. Nur so konnte die Balance zwischen Geschäftswachstum, strategischem Wissen und der Privatsphäre der Website-Besucher gewahrt werden.

Denn haben Sie sich jemals gefragt, was passieren würde, wenn Sie für Ihr A/B-Testing-Tool um ausdrückliche Zustimmung bitten müssen?

Wenn Ihre Software ausgeführt werden soll, muss jeder einzelne Benutzer Ihrer Website dem A/B-Testing zustimmen.

Wie würden Sie das verständlich erklären? Überzeugend?

Und was glauben Sie, wie viele Ihrer Benutzer würden das Okay geben?

Softwareanbieter: Wenn Sie Ihr Geschäft retten wollen, ist es an der Zeit, Ihre Apps neu zu gestalten

Die EU hat uns klare Richtlinien zum Umgang mit Cookies in der DSGVO gegeben – auch ohne die neuen ePrivacy-Verordnungen.

Wir möchten unseren Webbesuchern wirklich eine klare Botschaft vermitteln: Ihre Privatsphäre ist uns wichtig.

Und um das zu tun, müssen wir wohl 20 % der 72 Software-Tools, die wir verwenden, kündigen.

NUR wegen mangelnder Klarheit zum Datenschutz. Oder das Fehlen von DSGVO-angepassten Funktionen. Oder die mangelnde Bereitschaft, die Daten unserer Kunden, Interessenten und anderen Beziehungen transparent zu verwalten.

In Erwägungsgrund 30 der DSGVO heißt es:

Natürliche Personen können mit Online-Identifikatoren verknüpft werden, die von ihren Geräten, Anwendungen, Tools und Protokollen bereitgestellt werden, wie z. B. Internetprotokolladressen, Cookie-Identifikatoren oder andere Identifikatoren, wie z.

Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen von den Servern empfangenen Informationen dazu verwendet werden können, Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

Sie wollen also keine eindeutigen Identifikatoren . Auch nicht in Cookies – und schon gar nicht in personenbezogenen Daten.

A/B-Tests vor der DSGVO mit ePrivacy-Richtlinie und den lokalisierten Versionen in Europa

Das derzeit geltende Gesetz, die ePrivacy-Richtlinie (die bald durch neue ePrivacy-Verordnungen ersetzt wird), hilft uns zu verstehen, auf welche Art von Cookies A/B-Testsoftware angewiesen ist. Sie sind Performance-Cookies:

Testen von Variationen des Designs, typischerweise unter Verwendung von A/B- oder multivariaten Tests, um sicherzustellen, dass ein konsistentes Erscheinungsbild für den Benutzer der Website in der aktuellen und nachfolgenden Sitzungen aufrechterhalten wird. Wenn sie dieser Beschreibung entsprechen, handelt es sich um Performance-Cookies.

Diese Cookies sammeln Informationen darüber, wie Besucher eine Website nutzen, beispielsweise welche Seiten Besucher am häufigsten besuchen und ob sie Fehlermeldungen von Webseiten erhalten. Diese Cookies sammeln keine Informationen, die einen Besucher identifizieren. Alle Informationen, die diese Cookies sammeln, sind aggregiert und daher anonym. Es wird nur verwendet, um die Funktionsweise einer Website zu verbessern.

Diese Cookies sollten nicht zum Re-Targeting von Werbung verwendet werden, wenn dies der Fall ist, sollten sie in die Kategorie der Targeting-Cookies und Werbe-Cookies gemäß dem Cookie-Leitfaden von ICC UK, zweite Ausgabe, November 2012 [PDF] , eingeordnet werden .

Cookies im „Performance-Segment“ sammeln nur Informationen über die Website-Nutzung zugunsten des Website-Betreibers. Sie stützen sich auf aggregierte Daten. Sie „identifizieren einen Besucher“ nicht direkt. Die Zustimmung zur Verwendung dieser Arten von Cookies kann beispielsweise in den Allgemeinen Geschäftsbedingungen der Website eingeholt werden – oder wenn der Benutzer die Website-Einstellungen ändert.

Die hier zu verwendende richtige Methode hängt von der Art der Website und der genauen Funktion der beteiligten Cookies ab. Aber in den meisten Fällen können wir eine Einwilligung mit den Worten einholen: „Durch die Nutzung unserer [Website][Onlinedienst] stimmen Sie der Verwendung dieser Arten von Cookies auf Ihrem Gerät zu.“

Obwohl das neue Gesetz (ePrivacy-Verordnungen) anders ist, hilft uns die alte/aktuelle ePrivacy-Richtlinie zu verstehen, wo A/B-Testsoftware stand, als Cookies ohne Zustimmung des Benutzers platziert werden konnten. Wir konnten unsere Arbeit ganz normal erledigen, solange wir dem Endverbraucher klare Informationen gaben.

Jedes Land mag eine etwas andere Beschreibung haben – aber im Allgemeinen war Europa mit A/B-Tests an Bord. Es hat der Leistung der Website geholfen (wenn Sie es nicht für verhaltensbezogenes Targeting und Personalisierung verwendet haben. Und Sie haben die Informationen nicht mit anderen geteilt oder über die Website verfolgt).

Benötigen wir nach der DSGVO eine Einwilligung für A/B-Tests?

Interessanterweise stellte PageFair fest, dass sich nur 21 % der Verbraucher für das First-Party-Analytics-Tracking entscheiden würden.

Dies würde bedeuten, dass ⅕ des aktuellen Datenverkehrs Analysen akzeptieren würden, wenn sie unter die Zustimmungsparameter fallen würden.

Benötigen Sie also eine Zustimmung für Ihr A/B-Testing-Tool?

Höchstwahrscheinlich ja, Sie würden eine Einwilligung benötigen, wenn Ihre A/B-Testsoftware von IP-Adressen, eindeutigen Kennungen wie Geräte-IDs, Benutzer-ID, Transaktions-ID, Cookie-ID oder pseudonymen Daten abhängt (d. h. nicht erkennbare Daten + ein an anderer Stelle gespeicherter Schlüssel, um sie lesbar zu machen wieder). Diese sind gemäß DSGVO eindeutige Kennungen und erfordern ausdrückliche Zustimmungen.

Wann müssen Sie also mit der ausdrücklichen Zustimmung beginnen? Wann wechselt die ePrivacy-Richtlinie zu ePrivacy-Verordnungen?

Achtung: Lateinische Wörter und Rechtsbegriffe.

Die ePrivacy-Verordnung ist das „principe lex specialis derogat legi generali“ oder kurz „lex specialis“ zur DSGVO.

Im Klartext bedeutet dies: Wenn DSGVO und ePrivacy im Widerspruch stehen oder die DSGVO eine Richtlinie vorgibt, die näher spezifiziert werden muss – die Regeln, die in ePrivacy festgelegt sind, sind diejenigen, die Sie befolgen müssen.

Im Moment haben wir nur einen Entwurf (Namen 1533) der ePrivacy-Verordnung in der Debatte. Es muss noch Feedback von den EU-Mitgliedsdelegierten einholen – es spiegelt also nicht genau das wider, was bald Gesetz werden wird.

Eine „optimistische“ Prognose: Gabriela Zanfir-Fortuna, Policy Counsel des Future of Privacy Forum, sagt, dass er gegen Ende 2018 mit einem ePrivacy-Genehmigungsdatum rechnet. Was das Umsetzungsdatum angeht, haben wir wirklich keine Ahnung.

Weniger optimistisch deutet er auch an, dass die ePrivacy-Verordnung „wahrscheinlich zusätzliche Compliance erfordern wird“. Und Alex Propes (Direktor des Interactive Advertising Bureau (IAB) of Public Policy) hat gesagt, „dass Unternehmen derzeit nur auf die DSGVO abzielen können“.

Daniel Felz Associate bei Alston & Bird teilt eine noch deprimierendere Ansicht: „Die Trilogverhandlungen zur ePrivacy-Verordnung wurden auf Herbst 2018 verschoben; Die endgültige ePrivacy-Verordnung wird möglicherweise erst 2020 in Kraft sein.“ Auf einer von der Bundesgesellschaft für Datenschutz geförderten Konferenz soll eine Sprecherin des Bundeswirtschaftsministeriums mitgeteilt haben, dass die Trilogverhandlungen erst im Herbst 2018 beginnen werden.

Offenbar diskutieren die EU-Mitgliedstaaten noch eine Reihe offener Fragen zu Fragen der ePrivacy-Verordnung.

In der Zwischenzeit bleibt natürlich die aktuelle Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002) in Kraft, die Gegenstand der nationalen Gesetzgebung ist.

Das war also eine Menge Recht, das du mir vorgeworfen hast. Was bedeutet das für mein Unternehmen?

Die DSGVO ist eindeutig: keine personenbezogenen Daten ohne Einwilligung. Und wenn Sie darauf warten, dass ePrivacy mit einer Lücke hereinbricht, müssen Sie möglicherweise lange warten.

Wenn Ihre A/B-Testsoftware also von personenbezogenen Daten abhängt: IP-Adresse, eindeutige Kennungen wie Geräte-IDs, Benutzer-ID, Transaktions-ID, Cookie-ID oder pseudonyme Daten (das sind nicht erkennbare Daten + Schlüssel an anderer Stelle, um sie wieder lesbar zu machen), dann sind das personenbezogene Daten Daten.

Es bleibt entscheidend, Online-Daten und Identifikatoren wie Cookies und viele andere in Ihre DSGVO-Strategie einzubeziehen. Unabhängig davon, wo und wie der Text durch zukünftige Delegiertendiskussionen angepasst wird.

Die alte ePrivacy-Richtlinie verpflichtete Sie dazu, einen „Cookie-Wall“-Hinweis zu setzen, und konzentrierte sich nur auf europäische Unternehmen.

Jetzt gilt die DSGVO für alle, die mit EU-Daten in Berührung kommen – weltweit. Und personenbezogene Daten sind so definiert, dass sie alle möglichen neuen Identifikatoren enthalten.

Aber die alte ePrivacy-Richtlinie sagt etwas anderes. Es heißt: „Für diese Art von Daten brauchen Sie nur eine Benachrichtigung und die Möglichkeit, sich abzumelden.“

Also willkommen in einem Rechtsvakuum.

Die große Frage ist: Werden Sie innerhalb dieser Grauzone mit einer Geldstrafe belegt?

Und die Antwort ist: Willst du es riskieren?

Datenschutzbehörden werden eine Menge Zeit mit der Umsetzung der DSGVO haben. Und die neuen ePrivacy-Gesetze werden möglicherweise nicht bis 2019 oder sogar 2020 in Kraft gesetzt.

Daher erwarte ich am 25. Mai keine hohen Geldstrafen, wenn Ihre grundlegende Cookie-Wall noch aktiv ist.

Aber es ist klar, dass sich endlich die Gesetze ändern. Und sie werden sich ständig ändern – während wir in eine Welt eintreten, in der Daten mehr wert sind und betroffene Personen mehr verlangen.

Fangen wir also jetzt an.