GDPR-kompatibel design av innehållsbanners

Cookie-banners surrar runt oss som irriterande flugor. Vissa är helt överflödiga, andra låtsas bara vara GDPR-kompatibla och de allra flesta är inte kompatibla. Det är därför jag ska försöka belysa de viktigaste punkterna nedan.

1. GDPR är inte skulden till allt!

Det egentliga skälet till att samtycke måste inhämtas i förväg från webbplatsbesökaren för vissa tjänster på webbplatser är inte GDPR, utan artikel 5.3 i ePrivacy-direktivet:

Medlemsstaterna skall se till att lagring av information eller tillgång till information som redan lagrats i en abonnents eller användares terminalutrustning endast tillåts om den berörda abonnenten eller användaren har gett sitt samtycke på grundval av tydlig och uttömmande information som lämnats till honom, bland annat om syftet med behandlingen. .....

Eftersom ePrivacy-direktivet har företräde framför GDPR kan den rättsliga grunden för användningen av sådana tjänster inte vara artikel 6.1 f „berättigat intresse“ i GDPR, utan endast artikel 6.1 a „samtycke“ i GDPR gäller.
Den form i vilken samtycke måste erhållas finns återigen i GDPR.

2. Vad behöver du egentligen samtycke till och vad inte?

a. Samtycke krävs inte, till exempel, för

• Information om slutenheten på klientsidan (t.ex. IP-adresser, skärmupplösning, operativsystem) för att visa webbplatser/appar och för webbplatsens/appens säkerhet
• Tekniskt nödvändiga cookies för språk- och teckensnittsinställningar, för användarautentisering vid inloggning, för användarinställningar, för en varukorgsfunktion eller tillhandahållande av onlineformulär (sessionscookies)
• Integration av tjänster för att förbättra presentationen, minska laddningstiderna eller optimera webbplatsen (t.ex. leverans av innehåll via CDN, webbtypsnitt etc.)

I princip, därför Inga medgivanden nödvändiga för cookies/tjänster som säkerställer driften av webbplatsen eller som krävs för tillhandahållandet av en tjänst som användaren uttryckligen har begärt. Om du bara använder sådana funktioner på din webbplats behöver du inte alls någon cookie- eller samtyckesbanner, utan du behöver bara komplettera din integritetspolicy i enlighet med detta.

De ökända banners „Vi använder cookies bla, bla, bla... OK“ är onödiga och tjänar bara till att förvirra och dumma ner användare.

Samtycke krävs normalt inte för verktyg som används för att utföra rent statiska webbanalyser (t.ex. för att optimera webbplatsen). Till exempel Matomo faller inom denna kategori, särskilt som tjänsten även kan hostas på våra egna servrar. Användningen av sådana tjänster kan baseras på den rättsliga grunden berättigat intresse (artikel 6.1 f i GDPR). I vissa fall är det meningsfullt att genomföra och dokumentera en intresseavvägning. Detta är dock en ren dataskyddsfråga och har inget att göra med bannerdesign.

Google Analytics är ett undantag här, eftersom det är ett „riktigt“ spårningsverktyg ur tillsynsmyndigheternas synvinkel - även om webbplatsoperatören faktiskt bara är intresserad av webbplatsstatistiken. Google Analytics kräver därför medgivande.

b. Samtycke krävs för:

• Statistisk analys och mätning av räckvidd
• Beteendebaserad/platsbaserad annonsering
• Plugins för sociala medier

Ett möjligt alternativ till insticksprogram för sociala medier kan vara Heises 2-klickslösning (Shariff-knappen). Eller så kan du helt enkelt använda grafik eller ikoner med en länk i stället för insticksprogrammen. I det här fallet krävs inget samtycke och endast relevant information behöver inkluderas i integritetspolicyn. Alternativt kan du också använda en pop-up med mouseover och ett meddelande (exempelvis „Du omdirigeras till Facebook-sidan“ eller liknande). Då är du redan i framkant.

Det viktigaste när det gäller element som kräver samtycke är att samtycke alltid måste inhämtas innan någon insamling och/eller överföring av uppgifter äger rum!

3. Karttjänster, video- och streamingplattformar

Det finns för närvarande inget samförstånd om detta. Vissa dataskyddsexperter antar att förhandsgodkännande kommer att krävas även för dessa tjänster när ePrivacy-förordningen har antagits (bör faktiskt träda i kraft samtidigt som GDPR - men det kommer att ta lite tid). De aktuella domarna från EU-domstolen (hösten 2019) och den federala domstolen (maj 2020) pekar också i denna riktning.

Den bayerska delstatliga dataskyddsmyndigheten (LDA Bayern) anger för närvarande på sin webbplats att det är tillåtet att bädda in videor utan föregående samtycke om videon startar först efter att användaren aktivt har klickat på den och ingen dataöverföring har ägt rum fram till denna punkt (2-klickslösning eller Embetty). Dessutom bör YouTube-videor integreras i ett utökat dataskyddsläge (no-cookie).

LDA Bayern har en liknande syn på situationen med Google Maps. Innehållet i Google Maps bör endast laddas när användaren aktivt använder karttjänsten, t.ex. med ett extra klick (2-klickslösning).

Jag har frågat den bayerska delstatens dataskyddsmyndighet om detta. Beskrivningen ovan motsvarar för närvarande fortfarande myndighetens bedömning. Det påpekades dock att skälen för domen fortfarande måste analyseras i detalj. Detta kan mycket väl leda till en ändring av bedömningen.

Så om du vill vara förberedd inför framtiden bör du redan nu överväga att arbeta med samtycke för dessa tjänster. För mer är alltid möjligt inom dataskydd!

4. Principer för samtycke

Samtycke måste ges i förväg, informerat och frivilligt. Det betyder i klartext:

a. FÖRE:
När en webbplats öppnas för första gången måste alla skript som potentiellt samlar in användardata och vidarebefordrar dem till tredje part först avaktiveras.
b. INFORMERAD:
Användaren ska få kompakt information om de implementerade tjänsterna på ett enkelt och tydligt språk. En tydlig design är verkligen meningsfull här. Användaren ska trots allt bli informerad och inte avskräckt.
c. FRI:
Samtycke får inte vara förbestämt för någon kryssruta. Användaren måste aktivt samtycka, inte behöva välja bort.

Obs!
Allmän information som „Den här webbplatsen använder cookies för webbanalys och reklam“ eller „... för att förbättra din surfupplevelse“ räcker inte eftersom den tillhörande behandlingen inte görs transparent.

Dessutom innebär frivillighet att besökaren har ett verkligt val - dvs. att han kan använda webbplatsen även om han inte ger sitt samtycke till användningen av valfria tjänster.

5 Dokumentation och bevisskyldighet

Samtycket måste vara dokumenterat och verifierbart. Enligt många experter på dataskydd räcker det med bevis genom „abstrakt“ information (t.ex. samtyckestext med datum, skript eller kod för bannern med datumstämpel, tids- och versionsstämpel, användarens cookie-ID etc.). Insamling av ytterligare användardata för att tillhandahålla bevis är inte nödvändigt och strider mot principen om uppgiftsminimering.

6. funktion för avbeställning/opt-out

Användarna har rätt att när som helst återkalla sitt samtycke. Detta innebär att det alltid måste finnas en opt-out-lösning för de tjänster som används. Denna opt-out-funktion måste vara lätt att komma åt för webbplatsens besökare när som helst och måste naturligtvis fungera.

7. Hur kan samtyckesbannern se ut?

Följande innehåll är obligatoriskt i bannern:

• Ansvarig person (om det inte framgår tillräckligt tydligt på sidan)
• Namn på verktyget
• Ändamålet med behandlingen
• Mottagare av uppgifterna
• Hänvisning till frivillig karaktär med möjlighet till återkallelse (opt-out-lösning)
• Länk till integritetspolicyn
• Var försiktig när du placerar bannern: Tillgången till det juridiska meddelandet och sekretesspolicyn får inte täckas över!

Endast det nödvändiga innehållet anges; det står dig fritt att utforma bannern som du vill. För att inte överbelasta displayen kan informationen göras tillgänglig i olika undermenyer. Så här skulle det första lagret i en banner som täcker minimikraven kunna utformas:

Detta exempel är bara en av många möjliga utformningsvarianter av det första informationslagret och tjänar endast som en orientering.

Det finns en hel rad olika verktyg för Consent Management Provider (CMP). Du kan ta reda på mer om omfattningen av tjänster och skillnader på Internet. Några exempel på de mer kända verktygen är Cookiebot, Borlabs Cookie, Usercentrics eller Consentmanager.

De grundläggande kraven för ett innehållsverktyg bör omfatta

• Visning av samtyckesverktyget omedelbart när du besöker sidan (gäller även APP:er)
• Visa banderollen utan att täcka den obligatoriska juridiska informationen på webbplatsen, till exempel det juridiska meddelandet, villkoren eller sekretesspolicyn
• Cookies eller reklam-ID:n för mobila slutenheter får endast ställas in/behandlas om användarens samtycke aktivt ges (dvs. inget samtycke genom passivt beteende som att navigera på webbplatsen, automatisk stängning efter en tidsperiod eller klicka bort samtyckesverktyget)
• Det måste också vara möjligt att besöka webbplatsen/appen om användare avvisar cookies eller reklam-ID:n etc.
• Opt-out funktion
• Loggning och rapportering för att stödja systemets skyldighet att tillhandahålla bevis

Ytterligare information finns t.ex. i vägledningen för telemedialeverantörer från dataskyddskonferensen och en FAQ-lista om cookies och spårning från dataskyddsmyndigheten i Baden-Württemberg.

Varje webbplatsoperatör - även med råd från sin webbyrå - måste i slutändan bestämma vilken lösning som är rätt för dem. Det är värt att kontrollera och jämföra verktygen hos alla relevanta leverantörer om du vill spara dig själv ansträngningen att programmera en lösning själv.
Ur ett dataskyddsperspektiv bör urvalskriterierna också inkludera om leverantören garanterar GDPR-efterlevnad eller vilka serverplatser som används.

8 Och marknadsföringen?

Det kan inte förnekas att många webbplatsbesökare inte vill bli spårade och därför klickar på „avvisa alla“. Även om detta kan vara beklagligt ur marknadsförings- och analyssynpunkt, utövar besökarna bara sin lagstadgade rätt till informationellt självbestämmande.

Jag deltog nyligen i ett informationstillfälle där en anställd hos den svenska consent manager-leverantören Jaohawi AB höll en presentation. Presentationen innehöll några mycket intressanta siffror i detta avseende:

När vi analyserade acceptansfrekvensen konstaterade våra kollegor till exempel att i genomsnitt 40-50% av besökarna på webbplatsen väljer knappen „Acceptera alla tjänster“. Omvänt innebär detta naturligtvis att 50-60% vägrar att ge sitt samtycke.

Enligt föredragshållaren kan godkännandegraden ökas till ca 65% genom att optimera bannern. Med lojala stamkunder ökar godkännandegraden till ca 70%.

Enligt hans förklaringar kan man i genomsnitt anta att cirka hälften av marknadsföringsuppgifterna saknas i analyserna så snart en samtyckesbanner har implementerats. Dessa värden kan kompenseras statistiskt genom att de inkluderas i prognosen.

Det är möjligt att ta hänsyn till dataskydd och samtidigt, ur ett marknadsföringsperspektiv, försöka övertyga fler webbplatsbesökare om att tillåta tjänster som kräver samtycke genom att optimera bannern (t.ex. genom placering, färgsättning, ordalydelse etc.).