TDDDG + Behördenschreiben
Unsere Roadmap hatte für diesen Monat eigentlich ein anderes Thema vorgesehen, aufgrund der Vielzahl an Feedback von Kunden, haben wir uns jedoch kurzfristig umentschieden und den Fokus diesen Monat auf die kommenden Änderungen und Klarstellungen des deutschen TDDDG (ursprünglich TTDSG) gesetzt. Ferner haben diverse Kunden Fragebögen von Datenschutz-Behörden bekommen, sodass wir auch hier verstärkt Features implementiert haben, die es unseren Kunden helfen werden, leichter den Anforderungen der Behörden zu entsprechen (Details siehe unten).
TDDDG: Start am 01.12.2021
Das TDDDG (ursprünglich TTDSG) ist Deutschlands Antwort auf die ePrivacy Verordnung, die hier nun endlich in deutsches Recht umgesetzt wurde. Damit ist nun auch in Deutschland klar geregelt, dass nicht-essentielle Cookies immer einer Zustimmung bedürfen und Cookie-Banner damit Pflicht sind. Da das TDDDG bereits am 01.12.2021 in Kraft treten wird, und die Behörden bereits auf Basis der ePrivacy-Verordnung erste Prüfungen durchführen (siehe unten), ist es ratsam den bestehenden Cookie-Banner noch einmal zu hinterfragen und ggf. Design- bzw. Logik-Anpassungen vorzunehmen.
Behördenprüfung
Bereits im Mai gab es von den Datenschutzbehörden mehrerer Länder eine koordinierte Prüfung von großen Webseiten. Die betreffenden Webseiten mussten umfangreiche Fragebögen ausfüllen und Erklärungen zum Datenschutz abgeben. Auch diverse Kunden von consentmanager waren darunter. Die Behörden haben nun mehrheitlich die Antworten ausgewertet und an die betroffenen Webseiten diverse Kritikpunkte gerichtet. Wir haben diese Punkte als Anlass genommen und verschiedene Features im consentmanager eingebaut, um es unseren Kunden zu erleichtern, den gesetzlichen Anforderungen zu entsprechen.
Aus den Behördenschreiben ergibt sich ein relativ klares Bild „was geht“ und „was nicht geht“. Wir haben hier die wichtigsten Punkte für Sie zusammengefasst:
- Einfaches Ablehnen
Die Behörden haben nochmals klar gestellt, dass Ablehnen so einfach wie Zustimmen sein muss. Es muss daher einen gleichwertigen Ablehnen-Button auf dem ersten Layer geben. Das Ablehnen im Text zu verstecken oder lediglich ein Einstellen-Button ist nicht konform.
Empfehlung: Stellen Sie sicher, dass Ihr Design zwei gleichwertige Akzeptieren- und Ablehnen-Buttons hat. - Berechtigte Interessen
Ebenfalls wurde unterstrichen, dass die Rechtsgrundlage „Berechtigtes Interesse“ nur für wirklich essentielle Funktionen verwendet werden darf. Nicht essentiell ist in jedem Fall Marketing, Analyse und Social Media. Das gilt aber etwa auch für externe Schriftarten, Tagmanager oder Chat-Tools.
Empfehlung: Weisen Sie nur Anbieter als „funktional“ / „essentiell“ aus, ohne die Ihre Webseite nicht funktioniert. Alle anderen Anbieter sollten immer per Default blockiert sein und erst nach Zustimmung aktiviert werden. - Beschreibungen
In vielen Fällen haben die Behörden die Beschreibungen der Webseiten kritisiert. Etwa wird gefordert, dass Zwecke klar und deutlich erklärt werden (nur „Marketing“ reicht nicht aus). Ferner muss auf dem ersten Layer die Menge der Anbieter genannt werden.
Empfehlung: Hinterlegen Sie zu allen Zwecken und Anbietern einen Beschreibungstext und verwenden Sie das Macro [vendorcount] im Text um die Anbieterzahl einzufügen. - Nicht-EU Datentransfer
Ebenfalls als wichtig erachten die Behörden den Hinweis auf einen Datentransfer ausserhalb der EU. Sitzt oder verarbeitet ein Anbieter Daten im nicht-EU Ausland, sollte ein entsprechender Hinweis angebracht werden.
Empfehlung: Überprüfen Sie Ihre Anbieterliste und erweitern Sie ggf. den Text auf dem ersten Layer. Wir haben ferner unter Menü > CMPs > Bearbeiten > Aussehen die Möglichkeit geschaffen im zweiten Layer (Erweiterte Einstellungen) die Liste der Anbieter anzuzeigen, für die ein Datentransfer angekreuzt ist. Unter Menü > Anbieter > Bearbeiten können Sie für jeden Anbieter hinterlegen ob dieser einen Datentransfer ins Ausland umsetzt. - Kurze Anbieterliste
In vielen Fällen gab es Behördenkritik an zu langen Anbieterlisten. Als Hintergrund steht hier insbesondere die Frage, ob eine Einwilligung rechtens sein kann, wenn der Besucher die Anbieterliste nicht mehr sinnvoll überschauen kann.
Empfehlung: Sortieren Sie Anbieter aus und kürzen Sie die Anbieterliste auf das Notwendigste. Eine Anbieterliste mit mehr als 50 oder gar mehr als 100 Anbietern wird mit hoher Wahrscheinlichkeit als nicht konform angesehen werden. - IAB TCF Standard
Als Kritisch hat sich der IAB TCF Standard bei den Behörden gezeigt. Diverse Behörden haben hier Teile des Standards als möglicherweise nicht rechtskonform eingeschätzt und diverse Bedenken geäußert. So wurden etwa die Zwecke als zu grobkörnig oder das Zusammenspiel zwischen Zwecken, Spezial-Zwecken, Features und Spezial-Features als zu unverständlich kritisiert.
Empfehlung: Sofern Sie keine Onlinewerbung auf Ihrerer Webseite einsetzen, sollten Sie auf den Einsatz des IAB TCF verzichten und stattdessen eigene Zwecke definieren.
Weitere neue Features und Änderungen
- Verbesserungen bei WCAG / Behindertengerechter Anzeige
- Cookie-Gruppen
- Zweckbeschreibungen auf dem ersten Layer
- Verbesserte Crawler-Reports
- … und vieles mehr.
