Cookie banner - men højre! Disse 7 ting, du bør huske på

Mario Steinberg Senest opdateret den 10. november 2020
6 Min.
cookie banner dsgvo eprivacy

Udseendet af cookie bannere har ændret sig for nylig på mange hjemmesider. Tidligere gav kun et lille pop-up-vindue en kortfattet indikation af, at nogle uspecificerede "cookies" indstilles på hjemmesiden. I mellemtiden får du ofte en liste over de enkelte cookies og et valg via afkrydsningsfelter, som accepteres eller ej. Hvorfor er det så - og hvad er lige nu?

Denne artikel kaster lys over den mørke af cookie bannere og forklarer, hvordan man designer cookie meddelelse på din hjemmeside korrekt. Før vi kommer til detaljerne, er det dog nødvendigt at forstå, hvornår og hvorfor du har brug for et cookiebanner i første omgang.

Cookies er oplysninger, der er gemt på hjemmesiden besøgendes terminal enhed (PC, smartphone, osv.). På den ene side er disse nødvendige for at præsentere en hjemmeside korrekt på alle ("teknisk nødvendige cookies"). På den anden side anvendes de også til andre formål, f.eks. Plugins . (Bemærk: Udtrykket "cookies" henviser også til lignende teknologier såsom optælling af pixels osv.) 

Lad os først se på den nuværende juridiske situation. I denne henseende gælder følgende, siden GDPR (forordning (EU) 2016/679) trådte i kraft den 25.5.2018:

Hvis opbevaring af cookies på den besøgendes terminalenhed ikke udføres for at beskytte hjemmesidens operatørs eller en tredjeparts legitime interesser, kræves samtykke fra den besøgende på webstedet i overensstemmelse med artikel 6 sek. 1 GDPR til dette formål.

cookie banner dsgvo

Da webstedsoperatørens eller tredjeparternes legitime interesser skal afvejes mod den besøgendes interesser eller grundlæggende rettigheder og grundlæggende frihedsrettigheder, er det ofte uklart i individuelle tilfælde, hvilke interesser der er fremherskende.

Selvfølgelig er en legitim interesse i at køre et websted altid, at webstedet vises korrekt. Cookies, der er nødvendige til dette formål, er derfor altid dækket af hjemmesidens operatørs legitime interesse. 

Det bliver vanskeligere, når cookies sættes for at analysere den besøgendes adfærd eller evaluere dem til reklameformål. I dette tilfælde er det ofte ikke muligt at udelukke, at besøgendes interesser vil få større vægt i tilfælde af en tvist mellem databeskyttelsestilsynsmyndighederne og/eller domstolene.

Ud over de teknisk nødvendige cookies bør indstillingen af cookies derfor altid være baseret på samtykke fra den besøgende på hjemmesiden. Dette samtykke indhentes traditionelt via et afkrydsningsfelt.

Det bør ikke skjules, at denne juridiske situation kan ændre sig med ikrafttrædelsen af forordningen om e-databeskyttelse. Men da e-privacy-forordningen stadig drøftes, vil GDPR forblive på plads for cookies &co. indtil videre – og dermed med forsigtighedsindhentning af samtykke ved hjælp af et afkrydsningsfelt. Du kan finde ud af detaljerne i min artikel "E-Privacy Regulation: What's next for you?" læse.

Det er ikke så svært at lave et cookiebanner. Det eneste vigtige er at holde et par små ting i tankerne, som jeg vil præsentere for dig nedenfor.

#1 Det rigtige tidspunkt

Det er vigtigt, at cookiebanneret vises med det samme, når der er adgang til hjemmesiden, og at der ikke sættes cookies i første omgang, og at der ikke sendes data til tredjeparter (f.eks. via en social Plugin ) kan fremsendes.

#2 Det rigtige sted

Derudover skal man sørge for, at intet andet vigtigt indhold er dækket: Cookiebanneret placeres ofte i sidefoden – og dækker linket til aftryk og/eller privatlivspolitik.

#3 frivilligt 

Det er også vigtigt, at det videre besøg på hjemmesiden ikke gøres afhængigt af, at hjemmesidens besøgende accepterer indstillingen af alle cookies. Selvom der kun gives samtykke til at indstille de teknisk nødvendige cookies, skal besøget på hjemmesiden stadig være muligt. Det er naturligvis klart, at på grund af manglende samtykke fungerer nogle funktioner på webstedet muligvis ikke korrekt.  

#4 komplet liste over alle cookies

Cookiebanneret skal indeholde en liste over de enkelte cookies eller, hvis der er for mange, i det mindste de enkelte sammenhænge (teknisk nødvendige cookies, analysecookies, cookies til reklameformål osv.); Om nødvendigt skal disse forklares mere detaljeret ved at klikke på dem i et andet vindue og de enkelte cookies, der er angivet der.    

#5 afkrydsningsfelter med tilvalg

Samtykker på hjemmesider indhentes med rimelighed ved hjælp af afkrydsningsfelter.

Det betyder, at der er et separat afkrydsningsfelt i cookiebanneret pr. cookie eller pr. cookiekontekst. 

Det er vigtigt, at der kun kan sættes en markering ved afkrydsningsfeltet for de teknisk nødvendige cookies – for alle andre skal afkrydsningsfelterne være tomme. Ved at klikke på de resterende afkrydsningsfelter, kan hjemmesiden besøgende nu selv bestemme, hvilke cookies eller sammenhænge han accepterer eller ej.

Den juridiske baggrund herfor er følgende: 

Hvis samtykke opnås ved hjælp af et afkrydsningsfelt, er der grundlæggende to muligheder: opt-in eller opt-out. Forskellen er, at afkrydsningsfeltet i første omgang er tomt ved tilvalget, og den besøgende på hjemmesiden skal aktivt give sit samtykke ved at markere feltet eller markere afkrydsningsfeltet. Når du fravælger, er markeringen allerede sat som standard – dvs. samtykke er allerede givet – og den besøgende på webstedet skal aktivt fjerne markeringen ved at klikke på afkrydsningsfeltet.

Mange webstedsoperatører bruger som standard fravalget. Sandsynligvis fordi de ved, at de fleste af deres besøgende ønsker at gå til hjemmesiden hurtigt og derfor klikke på OK-knappen på cookiebanneret - uden at læse bannerteksten eller tænke over, hvad de giver deres samtykke til.

Hvorfor fravalget ikke er nok

Selv om denne tilgang er udbredt, er den ikke juridisk korrekt. Samtykke kræver en aktiv handling fra den besøgende på webstedet. Juridisk set er det derfor kun tilvalget, der er juridisk fejlfrit, dvs. at den besøgende på webstedet aktivt giver sit samtykke – f.eks. til brug af et analyseværktøj som Google Analytics – ved at sætte kryds i flueben.

Det kan hævdes, at fravalget er baseret på klikket på OK-knappen på cookiebanneret. Men det er sådan, man kommer på tynd is. I henhold til betragtning 32 til GDPR gælder følgende for samtykker (understregningaf mig):

linjeinfoboks

»Samtykket skal gives ved en klar bekræftelse, som i det konkrete tilfælde frivilligt og utvetydigt udtrykker, at den registrerede accepterer behandlingen af personoplysningerne vedrørende ham eller hende, f.eks.

Dette kan f.eks. gøres ved at sætte kryds i et felt, når han besøger et websted,ved at vælgetekniske indstillinger for informationssamfundstjenester eller ved enhver anden forklaring eller praksis, hvorved den registrerede klart signalerer sit samtykke til den påtænkte behandling af sine personoplysninger i den relevante sammenhæng.

Tavshed, felter, der allerede er afkrydset, eller den registreredes passivitet bør derfor ikke udgøre samtykke. Samtykket bør vedrøre alle behandlinger, der udføres med samme formål eller formål. Hvis behandlingen tjener flere formål, skal der gives samtykke til alle disse behandlingsformål. Hvis den registrerede anmodes om at give samtykke elektronisk, skal anmodningen fremsættes i en klar og kortfattet form og uden unødigt at afbryde den tjeneste, for hvilken der er givet samtykke.«

linjeinfoboks

#6 tilpasning af privatlivspolitikken

Når du designer dit cookiebanner, må du ikke glemme at ændre din privatlivspolitik. Det betyder, at detaljerne i det enkelte cookies-sæt også skal forklares i privatlivspolitikken. 

#7 særligt problem Social Plugins

Der er et særligt problem med integrationen af sociale Plugins , fordi ikke kun cookies er indstillet med disse, men også automatisk sendes personlige data fra dine besøgende på hjemmesiden til det tilsvarende sociale netværk osv.

Ifølge en nylig dom fra EF-Domstolen af 29. juli 2019 den besøgendes personoplysninger må først videregives til det sociale netværk m.v., når det tilsvarende samtykke er givet. Det skal derfor sikres, at de sociale Plugin Bliver kun aktiv, hvis den besøgende på hjemmesiden tidligere har givet sit samtykke ved at markere afkrydsningsfeltet i det tilsvarende afkrydsningsfelt. (Selv om denne dom stadig henviser til "privacy directive", dvs. den tidligere forordning af GDPR, gælder resultatet også for GDPR.)

At designe et cookiebanner korrekt, dvs. i overensstemmelse med loven, er ikke et hekseri. Og det er ikke en ulempe for webstedsoperatøren. Besøgende på hans hjemmeside bør også behandles retfærdigt. Og dette inkluderer at give gennemsigtige oplysninger om, hvad der sker, når der er adgang til webstedet. Først da vil besøgende på webstedet være i stand til at træffe en velinformeret beslutning om, hvorvidt og i bekræftende fald hvilke data de ønsker at videregive. Ligesom mange webstedsudviklere og operatører er tilbageholdende med at blive udspioneret af tredjeparter, bør de også give besøgende på deres eget websted mulighed for selv at beslutte, hvilke data de vil videregive eller ej.

Post billede: Emily Wilson | Unsplash
Flere billeder: Rawpixel | pexels RAIDBOXES

Lignende artikler

Kommentarer til denne artikel

Skriv svar på en

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *.