Privacy-Cookie-ABC

Alles, was Ihr über Cookies, Consent & Co. wissen müsst. 

Anwalt Florian Tannen erklärt die wichtigsten Begriffe im Bereich Cookie und Data-Protection.

Die Einführung der Datenschutz-Grundverordnung (DSGVO) löste 2018 ein großes Medienecho aus. Seitdem reißen die Debatten um Consent und Cookies nicht mehr ab. Über den aktuellen Stand der juristischen Diskussionen hat sich Julia Wittich-Sauer, Director Business Development bei Criteo, mit Florian Tannen, Partner bei der Anwaltskanzlei Baker & McKenzie in München, unterhalten. Für ihn steht fest: „Es gibt keinen Platz mehr für andere Lösungen. Aktive Einwilligung ist das Credo.“ Gleichzeitig beobachtet Florian Tannen allerdings auch eine „Erosion des Datenschutzes“. Zudem erklärt er einmal kurz und knapp die wichtigsten Begriffe, die Marketer, Werbe- und Online-Business-Experten kennen müssen. Von Cookie-Walls bis hin zum legitimen Interesse. 

Herr Tannen, die DSGVO ist jetzt drei Jahre alt. Wie fällt Ihr Fazit aus?

Florian Tannen: Eigentlich ist die DSGVO schon fünf Jahre alt, wir haben uns ab 2016 zwei Jahre lang mit der Umsetzung beschäftigt. Wenn man sich mit der Einwilligung befasst, sehe ich drei große Themen im Online- und Marketing-Bereich. Erstens: Es gibt keinen Platz mehr für andere Lösungen. Aktive Einwilligung ist also das Credo. Das weiß man spätestens seit den letzten Gerichtsurteilen in diesem Bereich. Zweitens: Gerade in den letzten Wochen und Monaten konnten wir in Deutschland beobachten, dass die Datenschutz-Behörden wieder aktiver geworden sind. Sie prüfen gerade, wie Unternehmen die Einwilligung im Online-Bereich einholen, gerade wenn es um das Tracking und Monitoring geht. Das wird relativ oft durch Beschwerden ausgelöst. Daran merkt man, dass die DSGVO sich in der breiten Masse durchgesetzt hat. Das Dritte, was ich sehe, ist gewissermaßen eine „Erosion“ des Datenschutzes. Wenn ich so überlege, wie oft ich am Tag online einwillige – da höre ich irgendwann auf zu zählen. Man klickt oft auch einfach drauf. Dabei soll die Erklärung dahinter ja eigentlich als Entscheidungsgrundlage dienen, um abzuwägen, also einzuwilligen oder eben nicht. Es hat nicht mehr den Effekt, den es eigentlich haben sollte. 

Wie beurteilen Sie die Umsetzung auf Kundenseite?

Es gibt immer noch diejenigen, die an den alten Lösungen festhalten. Das ist eher bei Kunden mit kleinen Websites der Fall. Die breite Masse hat mit entsprechenden Einwilligungslösungen gut umgedacht, aber eben mit dem pragmatischen Ansatz des „Alles akzeptieren“-Buttons, der dann sehr prominent gezeigt wird. Und dann gibt es noch diejenigen, die mit einem Layover auf der Website arbeiten, wo User sehr detaillierte Auswahlmöglichkeiten bekommen.  Diese Banner haben meistens kaum negative Auswirkungen auf den Traffic. Die aktive Einwilligung hat sich durchgesetzt und gibt eine sichere Basis für den Umgang mit Daten.

Inwieweit TCF das Maß aller Dinge wird, bleibt abzuwarten.

CMPs, also Consent-Management-Plattformen, und TCF, Transparency and Consent Framework, sind auf der Publisher-Seite schon weit verbreitet. Wie sieht es auf Kundenseite aus?

Also gerade CMPs sind definitiv auf dem Vormarsch. Das hat auch gute Gründe. Zum einen kommen wir um die Einwilligung nicht mehr herum. Das heißt, ich muss mich als Kunde damit auseinandersetzen, wie ich das Einholen und Dokumentieren der Einwilligungserklärungen organisiere und wie ich auf Widerrufe reagiere. Es heißt ja in der DSGVO, ein Unternehmen muss jederzeit in der Lage sein, nachweisen zu können, dass es das Datenschutzrecht einhält. Das ist auch der Trigger für die große Dokumentationsflut, die wir in den letzten Jahren gesehen haben. Hierbei helfen die CMP-Lösungen natürlich. 

Im TCF hat die Branche sich selbst auferlegt, wie man mit den Transparenzpflichten und den Einwilligungen umgeht. Das ist so eine Art freiwillige Selbstregulierung. Da existieren Vorbehalte. Was man dem TCF nicht absprechen kann, ist eine gewisse Signalwirkung. Inwieweit es sich durchsetzen und als das Maß der Dinge gelten wird, bleibt noch abzuwarten.

Was wird in diesem Kontext Ihrer Erfahrung nach gern vergessen?

Es wird oft übersehen, dass beim erstmaligen Besuch einer Website, mitsamt Entscheidungs-Abfrage über ein Layover, auf jeden Fall die Datenschutzerklärung inklusive Cookie-Policy und Impressum schon zugänglich sein müssen. Den Zugriff auf den Rest kann ich durchaus ein Stück weit beschränken, bis die Entscheidung getroffen worden ist. Gerade im Mobile-Bereich sieht man es immer öfter, dass die Cookie-Banner einfach aus dem Bild verschwinden oder durch andere Elemente überlagert werden. Da gibt es noch Verbesserungsbedarf. 

Zudem beobachten wir, dass die besten Cookie-Lösungen über die Zeit durchlöchert werden, denn natürlich ändern sich eine Website sowie die Tools und Systeme, die ich einsetze. Das bedeutet allerdings auch, dass ich immer wieder auch meine Cookie- und Consent-Lösung mit entwickle. Sonst funktioniert sie auf einmal nicht mehr, nur weil ich an der Technik der Seite etwas ändere.

Das Privacy-Cookie-ABC

Noch mehr rechtlicher Input

Ihr wollt noch tiefer in das Thema einsteigen? Hier erklärt Florian Tannen, was Ihr bei Targeting und Datenschutz sowie beim Explicit Consent unbedingt beachten solltet.

Zum Blogbeitrag

Share article