Privacy

Sechs Faustregeln, die Ihr Cookie Banner erfüllen muss

Sechs Faustregeln, die Ihr Cookie Banner erfüllen muss 853 650 Ekelmans Advocaten
Kopie van Blog afbeelding (500 x 400 px) (5)
Leestijd: 5 minuten
Lesedauer: 5 Minuten
Reading time: 5 minutes
Expertise:

AVG / German Desk / Privacy / Privacy Desk /

Die Autoriteit Persoonsgegevens -AP (niederländische Datenschutzbehörde) hat in diesem Jahr ein mehrjähriges Projekt in Angriff genommen, das gegen das unerlaubte online Folgen von Nutzern vorgeht.  Die Firma Kruidvat erhielt vor Kurzem als eines der ersten Unternehmen ein Bußgeld von € 600.000 für das unrechtmäßige Sammeln von Nutzerdaten mittels Tracking Cookies auferlegt. Wollen Sie wissen, welche Anforderungen Ihr Cookie Banner erfüllen muss, um Bußgelder zu vermeiden? Lesen Sie dann den Blog unseres Kollegen, Rechtsanwalt Sjoerd Aelen.

Was sind Cookies?

Cookies sind kleine Textdateien, die auf dem Computer des Nutzers beim Besuch einer Website platziert werden. Mit Hilfe von Cookies kann man die Nutzererfahrung seiner Website verbessern, zum Beispiel indem man die Nutzerdaten oder die Produkte im Warenkorb speichert. Außerdem kann man mit Hilfe von Cookies ein Nutzerprofil erstellen und damit gezieltere Reklame senden. Die sogenannten ‘Tracking Cookies’ sind besonders beliebt.

Verarbeiten von personenbezogenen Daten

Unternehmen und Organisationen verarbeiten mit Cookies oft auch personenbezogene Daten von Website-Nutzern. Es ist darum wichtig, dass Website-Nutzer gut über die Verwendung von Cookies informiert werden. Dies geschieht im Allgemeinen mittels eines Cookie Banners. Für den Gebrauch von Tracking Cookies muss man ausdrücklich eine eindeutige Zustimmung seines Website-Nutzers einholen. Diese Pflicht ergibt sich aus dem Telecommunicatiewet (niederländisches Telekommunikationsgesetz, auch „Cookiewet“ genannt) und der Algemene Verordening Gegevensbescherming AVG (entspricht der deutschen DSGVO). 

Welche Arten von Cookies gibt es?

Es gibt verschiedene Arten von Cookies, die jeweils auf verschiedene Weise in die Privatsphäre des Website-Nutzers eindringen. Global unterscheidet man drei verschiedene Arten: funktionale Cookies, analytische Cookies und Tracking Cookies.

Art Zweck Beispiel Zustimmung
Funktionale Cookies Diese Cookies sind notwendig für die Basisfunktionen einer Website. Sie sorgen dafür, dass ein Nutzer Zugang zu den gesicherten Teilen einer Website und dass die Website gut funktioniert. Speichern von Login-Daten, Produkte in einem Warenkorb speichern, Vorlieben wie Spracheinstellungen und Schriftgröße. Weil funktionale Cookies für das Funktionieren einer Website erforderlich sind, ist hierfür keine ausdrückliche Zustimmung des Nutzers erforderlich. Allerdings muss der Nutzer über den Gebrauch dieser Cookies informiert werden.
Analytische Cookies Analytische Cookies sammeln Daten darüber, wie Nutzer die Website gebrauchen. Hierzu gehören Informationen, z.B. welche Seiten am meisten besucht wurden und wie lange Nutzer auf der Seite bleiben. Diese Daten helfen dem Website-Besitzer, die Leistungen der Seite zu verbessern und die Nutzererfahrung zu optimieren. Diese Cookies helfen z.B. zu verstehen, welcher Inhalt beliebt ist, wie Nutzer durch die Seite navigieren und wo eventuell Schwachstellen bei der Nutzererfahrung auftauchen.  Beispiele sind Google Analytics, Hotjar und   Matomo. Für analytische Cookies, die wenig Einfluss auf die Privatsphäre haben, wie anonymisierte Datensammlungen, ist keine ausdrückliche Zustimmung erforderlich.  Wenn jedoch diese Daten für Tracking benutzt oder von dritten Parteien verarbeitet werden, ist Zustimmung wohl erforderlich.
Tracking Cookies Tracking Cookies werden gebraucht, um ein detailliertes Profil des Nutzers zu erstellen. Sie folgen dem Surfverhalten über mehrere Websites und sammeln Informationen für gezielte Reklamezwecke, was dann zu personalisierten Anzeigen führen kann. Cookies von Werbenetzwerken wie Google Ads, Facebook Pixel und andere Retargeting Tools. Für Tracking Cookies ist immer eine ausdrückliche Zustimmung des Besuchers erforderlich, da sie weitgehende Informationen über persönliche Vorlieben und Verhalten sammeln.

Welche Anforderungen muss ein Cookie Banner erfüllen?

Laut Gesetz muss ein Cookie Banner auf jeden Fall folgende Anforderungen erfüllen:

  1. Deutliche und spezifische Information: teilen Sie mit, welche Cookies gebraucht und zu welchem Zweck sie verwandt werden. Gebrauchen Sie keine unklaren oder beeinflussenden Formulierungen.  Wir empfehlen, das Cookie Banner mit der Datenschutzerklärung (und anders herum) zu verlinken.
  2. Freie und eindeutige Zustimmung: der Nutzer muss seine Zustimmung zum Gebrauch von Tracking Cookies aktiv erteilen. Dies bedeutet, dass im Vorhinein angekreuzte Fächer nicht erlaubt sind. Setzen Sie die Buttons für Ablehnung / Zustimmung gleichwertig auf eine Ebene.
  3. Zustimmung für verschiedene Arten von Cookies: bieten Sie Nutzern die Möglichkeit, per Cookie Art ihre Zustimmung zu erteilen.
  4. Einfache Möglichkeit, um die Zustimmung wieder zurückzunehmen: machen Sie es dem Nutzer einfach, die Zustimmung wieder zurückzunehmen. Sorgen Sie ebenfalls dafür, dass die Dokumentation von Cookies nach Einziehung der Zustimmung stoppt.
  5. Dokumentation und Beweisführung: Sorgen Sie dafür, dass Sie nachweisen können, dass Sie eine gültige Zustimmung für das Platzieren von Cookies erhalten haben. Dies kann durch das Führen einer Datei erfolgen, in der registriert wird, welche Entscheidungen die Nutzer getroffen haben und wann.
  6. Keine nachteiligen Folgen: Die Ablehnung von Cookies darf den Zugang zur Website oder ihre Funktionen nicht unangemessen einschränken. Die Nutzer müssen die Seite weiterhin gebrauchen können, auch wenn sie bestimmte Cookies ablehnen.

Wenn Sie diese Anforderungen erfüllen, können Sie die Sanktionen der AP vermeiden. Darüber hinaus vermeiden Sie auch ein mögliches hohes Bußgeld. Möchten Sie die Anforderungen der AP selbst nachlesen? Lesen Sie hier die Faustregeln für Cookie Banner.

Was sind die möglichen Folgen, wenn ein Cookie Banner nicht den Anforderungen entspricht?

Die Nichteinhaltung der gesetzlichen Vorschriften für Cookie Banner kann ernsthafte Folgen haben. Diese können von einer Rufschädigung bis hin zu einem Bußgeld durch die AP reichen.

Bußgeld in Höhe von € 600.000 Euro für Tracking Cookies an Kruidvat.nl

Die Drogeriekette Kruidvat (genauer: der Mutterkonzern A.S. Watson) erhielt ein Bußgeld für das Platzieren von Tracking Cookies auf die Geräte von Website-Nutzern ohne ihre Zustimmung. In dem Cookie Banner von Kruidvat.nl waren die Fächer zur Zustimmung für das Platzieren von Tracking Cookies standardmäßig eingestellt. Nutzer, die diese Cookies noch ablehnen wollten, mussten viele Schritte gehen, um dieses zu erreichen. Es war daher also nicht die Rede von einer freien, spezifischen, informierten und unmissverständlichen Willensäußerung. Dies verstößt gegen die AVG.

Die AP spricht wegen ihres spezifischen Charakters bei Drogerieprodukten wie Schwangerschaftstest und Medikamenten von sensiblen Informationen. Indem diese Information an das Gerät des einzelnen Nutzers gekoppelt wird, kann ein sehr detailliertes und invasives Profil von Personen erstellt werden, die Kruidvat.nl besuchen.

Die AP hat Kruidvat nicht sofort ein Bußgeld auferlegt, sondern hat das Unternehmen 2019 zunächst in einem Brief verwarnt. Nachdem sich 2020 herausgestellt hat, dass Kruidvat sein Cookie Banner nicht angepasst hatte, hat die AP (mit einer gehörigen Verspätung) 2024 ein Bußgeld auferlegt.

Das Bußgeld entspricht der Ankündigung der AP in ihrem Jahresplan für das Jahr 2024. Darin hat sie angekündigt, dass sie ein mehrjähriges Projekt in Angriff nehmen wird, das das unerlaubte Folgen von Personen, zum Beispiel durch online Cookies, auf verschiedenen Gebieten bestreiten wird.

Kruidvat hat gegen den Bußgeldbescheid Einspruch eingelegt. Daher ist das Bußgeld noch nicht definitiv. Es kann davon ausgegangen werden, dass die AP mit diesem Bußgeldbeschluss ein Exempel statuieren will und mit einer abschreckenden Wirkung auf andere Unternehmen und Organisationen rechnet. Sollten Sie diesen Bußgeldbeschluss nachlesen wollen, finden Sie ihn hier.

Landgericht Amsterdam beanstandet bei Criteo Tracking Cookies

Criteo, ein Unternehmen, dass auf Reklametechnologie spezialisiert ist und unter anderem auch Cookies entwickelt, wurde 2023 vom Landgericht Amsterdam in einem einstweiligen Verfügungsverfahren für das unrechtmäßige Platzieren von Tracking Cookies ohne Zustimmung von Nutzern verurteilt. Criteo gebrauchte diese Cookies, um ausführliche Nutzerprofile zu erstellen und gezielte Reklame anzubieten. Das Cookie Banner, das auf den Websites von Criteos Partnern gebraucht wurde, entsprach jedoch nicht den Anforderungen der AVG und des Cookie-Gesetzes.

Criteo hat sich in dem einstweiligen Verfügungsverfahren mit der Behauptung verteidigt, dass die entsprechenden Websites von Partnern von Criteo verwaltet würden und dass daher diese Partner dafür zuständig seien, die Zustimmung zu erlangen. Criteo hätte sie hierzu vertraglich verpflichtet.  Das Landgericht Amsterdam ist jedoch der Meinung, dass Criteo sich nicht hinter seinen Partnern verstecken könne. Criteo bleibt nämlich auch trotz der vertraglich vereinbarten Verpflichtung seiner Partner selbst eine für die Verarbeitung verantwortliche Partei im Sinne der AVG. Das Landgericht Amsterdam hat daher in dem einstweiligen Verfügungsverfahren bestimmt, dass Criteo dieses Vorgehen unter Androhung eines Zwangsgeldes stoppen muss

Daraufhin hat Criteo gegen dieses Urteil Berufung eingelegt. In der Berufung trug Criteo unter anderem vor, dass Nutzer auf ihren Brouwsern neue, zu platzierende Cookies ablehnen könnten. Das Oberlandesgericht Amsterdam hat dieses Argument nicht akzeptiert, da in der AVG ein Opt-in und nicht ein Opt-out Verfahren gewählt wurde.

Schlussfolgerung: Informieren Sie Ihre Nutzer, fragen Sie ausdrücklich um Zustimmung und sorgen Sie dafür, dass Ihr Cookie Banner den gesetzlichen Anforderungen entspricht

Es ist wichtig, dass Ihr Unternehmen oder Ihre Organisation Cookies entsprechend den Anforderungen der AVG und dem „Cookiewet“ gebraucht. Informieren Sie Ihre Website-Nutzer über den Gebrauch von Cookies und sorgen Sie dafür, dass Sie für das Platzieren von Tracking Cookies ihre Zustimmung erhalten. Halten Sie sich dabei an die Faustregeln für Cookie Banner der AVG. Das bewahrt Sie vor unangenehmen Überraschungen.

Fragen?

Wenn Sie Fragen zu der Art haben, wie Ihre Organisation die Anforderungen der AVG umgesetzt hat, nehmen Sie Kontakt auf zu unserem Spezialisten auf diesem Gebiet, Rechtsanwalt Anne-Mieke Dumoulin-Siemens.

Naar overzicht
Zurück zur Übersicht
Back to main page

NIS2-Richtlinie: Tipps zur Vorbereitung Ihrer Organisation auf diese neue Verordnung

NIS2-Richtlinie: Tipps zur Vorbereitung Ihrer Organisation auf diese neue Verordnung 525 400 Ekelmans Advocaten
Blog afbeelding (500 x 400 px) (22)
Leestijd: 4 minuten
Lesedauer: 4 Minuten
Reading time: 4 minutes

Die NIS2-Richtlinie wird bald in den Niederlanden in Kraft treten. Sie ist die Nachfolgerin der NIS-Richtlinie und konzentriert sich auf Risiken, die Netzwerk- und Informationssysteme bedrohen, wie z. B. Cybersicherheitsrisiken. Organisationen, die unter die NIS2-Richtlinie fallen, müssen  dann die Sorgfalts- und Meldepflicht einhalten. In diesem Blog erörtert die Rechtsanwältin Anne-Mieke Dumoulin-Siemens, was die Richtlinie beinhaltet, was sie für Ihr Unternehmen bedeutet und welche Vorbereitungen Sie bereits treffen können.

Cybersicherheit verdient Aufmerksamkeit

Unternehmen werden mit der zunehmenden Digitalisierung und Cybervorfällen konfrontiert. Auf EU-Ebene wird den Herausforderungen der Cybersicherheit mit einer Reihe von neuen Vorschriften begegnet. So gibt es beispielsweise die NIS2-Richtlinie schon seit einiger Zeit. Die Netz- und Informationssicherheitsrichtlinie 2 (NIS2) zielt darauf ab, die Cybersicherheit und die digitale Widerstandsfähigkeit von Organisationen in den EU-Mitgliedstaaten zu verbessern. Die NIS2-Richtlinie enthält Mindestanforderungen und muss bis zum 17. Oktober 2024 in niederländisches Recht umgesetzt werden. Sobald die niederländische Gesetzgebung in Kraft tritt, müssen die in der Richtlinie genannten Sektoren die Verpflichtungen der NIS2-Richtlinie erfüllen, da diese dann in der niederländischen Gesetzgebung festgelegt werden.

Die NIS2-Richtlinie hat einen breiten Anwendungsbereich

Die NIS2-Richtlinie gilt für eine Vielzahl von Sektoren, wie z. B. das Gesundheitswesen, Verkehrsunternehmen und Energieversorger. Aber auch Supermärkte, Wasserwirtschaftsunternehmen und Digitalanbieter sollten sich auf die Verpflichtungen der NIS2-Richtlinie vorbereiten. In der NIS2-Richtlinie ist die Rede von  Sektoren „mit hoher Kritikalität“ und  „sonstigen kritischen“ Sektoren. Es gibt 11 Sektoren mit hoher Kritikalität: Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, Regierung und Raumfahrt. Darüber hinaus gibt es in der NIS2-Richtlinie sieben sonstige kritische Sektoren: Post- und Kurierdienste, Abfallwirtschaft, chemische Industrie, Lebensmittelindustrie, verarbeitende Industrie, digitale Anbieter und Forschung. Organisationen, die unter einen dieser Sektoren fallen, müssen Maßnahmen zum Risikomanagement ergreifen und die Anforderungen an die Berichterstattung zur Cybersicherheit erfüllen.

 Wie können Sie feststellen, ob Ihre Organisation unter die NIS2-Richtlinie fällt?

Die Organisation muss zu einem der Sektoren mit hoher Kritikalität oder sonstigen kritischen Sektoren gehören. Außerdem ist es wichtig, wie groß die Organisation ist und ob sie eine Schlüsselrolle in der Gesellschaft spielt. Wenn sich herausstellt, dass die NIS2-Richtlinie anwendbar ist, müssen Sie prüfen, ob Ihre Organisation eine „wesentliche Organisation“ oder eine „wichtige Organisation“ ist. Die Regierung hat eine Selbsteinschätzung NIS 2 Self-assessment NL (regelhulpenvoorbedrijven.nl) vorbereitet. Mit dieser Selbsteinschätzung können Sie feststellen, ob die NIS2-Richtlinie auf Ihre Organisation zutrifft.

Um welche Maßnahmen geht es?

Kurz gesagt: Organisationen sollten geeignete technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Cybersicherheit und digitale Widerstandsfähigkeit ihrer Organisation zu verbessern. Unternehmen sollten Cyberrisiken ermitteln und das Sicherheitsniveau ihrer Netze und Informationssysteme entsprechend anpassen. So sollte beispielsweise ein großes Unternehmen, das hohen Risiken ausgesetzt ist, mehr Maßnahmen ergreifen als ein kleines Unternehmen, bei dem die Wahrscheinlichkeit eines Vorfalls mit großen sozialen und wirtschaftlichen Auswirkungen gering ist. Zu den Maßnahmen für die Cybersicherheit sollten der Umgang mit Zwischenfällen, das Back-up-Management, die Sicherheit der Lieferkette, die Cyber-Hygiene, die Schulung des Personals, sowie Zugangsrichtlinien und Maßnahmen zur Messung der Wirksamkeit dieser Maßnahmen gehören.

Welche weiteren Verpflichtungen ergeben sich aus der NIS2-Richtlinie?

Governance

Die NIS2-Richtlinie überträgt die Verantwortung für Cyber-Maßnahmen auf die Geschäftsleitung. Die Leitungsorgane von wesentlichen und wichtigen Organisationen müssen die Sicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen. Die Mitglieder der Geschäftsleitung können bei Verstößen gegen die Sicherheitspflichten persönlich haftbar gemacht werden. Die Mitglieder der Geschäftsleitung müssen geschult werden, damit sie ausreichende Kenntnisse erwerben, um Cyber-Risiken zu erkennen und deren Folgen abzuschätzen.

Meldepflichten/Meldepflicht

Wesentliche und wichtige Organisationen müssen jeden Vorfall, der erhebliche Auswirkungen auf die Erbringung ihrer Dienstleistungen hat, unverzüglich melden. Dazu zählen Vorfälle, die zu einer erheblichen Störung des Betriebs der Dienste oder zu finanziellen Verlusten für die betroffene Organisation führen oder führen können. Oder ein Vorfall, der anderen (juristischen) Personen erheblichen materiellen oder finanziellen Schaden zufügt oder zufügen kann. Eine erste Meldung muss innerhalb von 24 Stunden an die zuständigen Behörden erfolgen, gefolgt von einer Aktualisierung innerhalb von 48 Stunden nach der ersten Meldung. Beachten Sie, dass eine Meldung auch erforderlich ist, wenn ein Vorfall erhebliche Folgen haben kann.

Welche Vorbereitungen können Organisationen im Vorfeld treffen?

Die Regierung ist dabei, die NIS2-Richtlinie in niederländisches Recht zu übertragen. Ein Gesetzentwurf ist noch nicht veröffentlicht worden. Im Moment ist nur klar, welche Mindestanforderungen erfüllt werden müssen, da diese aus der NIS2-Richtlinie hervorgehen.

Bis zur Verankerung in den nationalen Rechtsvorschriften könnten Sie bereits Folgendes tun:

  • Bestimmen Sie anhand der NIS2-Selbstbewertung, ob Ihre Organisation unter die NIS2-Richtlinie fällt;
  • Erfassen Sie, inwieweit der Vorstand seinen Governance-Pflichten nachkommt;
  • Überprüfen Sie die Qualität der bestehenden technischen, betrieblichen und organisatorischen Sicherheitsmaßnahmen, einschließlich der Überwachungsmechanismen;
  • Überprüfen Sie, ob Ihre Organisation die Melde- und Mitteilungspflichten erfüllen kann.

Fragen oder Ratschläge zur NIS2-Richtlinie und ihrer Umsetzung?

Wenn Sie weitere Erläuterungen zu den Governance-Verpflichtungen benötigen oder Fragen zu den Meldepflichten und Meldeanforderungen haben, wenden Sie sich bitte an Anne-Mieke Dumoulin-Siemens.

Möchten Sie mehr über Cybersicherheit erfahren?

Organisationen verfügen über eine Vielzahl vertraulicher Informationen. Die Verarbeitung von (speziellen) personenbezogenen Daten nimmt zu. Mehr und mehr Geschäftsinformationen sind auch digital verfügbar. Alle diese Daten Gold wert. Gelangen die Daten in die Hände der falschen Personen, kann dies zu kostspieligen Geschäfts- und Rufschädigungen führen. Vertrauliche Informationen innerhalb eines Unternehmens werfen manchmal heikle Fragen auf. Unsere Experten für Cybersicherheit beraten zu den Auswirkungen der Cybersicherheit auf den Geschäftsbetrieb.

Lees meer over onze Privacy Desk en het team van specialisten

Der Autor

Anne-Mieke Dumoulin-Siemens-Ekelmans Advocaten
Anne-Mieke Dumoulin-Siemens-Ekelmans Advocaten

Anne-Mieke Dumoulin-Siemens

+31 70 374 64 34

Anne-Mieke Dumoulin-Siemens hat sich auf Wirtschafts- und Datenschutzrecht spezialisiert. Sie ist eine fachkundige Gesprächspartnerin für (internationale) Wirtschaftsunternehmen und Non-Profit Organisationen. Ihre Mandanten schätzen ihre praktische, wirtschaftlich gediegene juristische Beratung.

Naar overzicht
Zurück zur Übersicht
Back to main page
Klicken Sie hier, um ein Suchwort einzugeben
Ekelmans Advocaten N.V. gebraucht nur notwendige und analytische Cookies, um dafür zu sorgen, dass unsere Website bestmöglich funktioniert und um den Gebrauch unserer Website analysieren und verbessern zu können. Wir gebrauchen keine Cookies für Marketingzwecke. Lesen Sie hier mehr hierüber in unserem privacy statement and cookiestatement.