Verplichte cookiemelding: Informatie over de EU-cookierichtlijn
Wat websitebeheerders moeten weten over de cookie notice verplichting
Bij het herontwerpen of herzien van een website gaan de eerste vragen over de inhoud en het ontwerp. Tegelijkertijd worden websitebeheerders geconfronteerd met de vaak vervelende onderwerpen van mededelingen over gegevensbescherming, cookies, de overdracht van gegevens door derden en toestemmingsbanners. Uit onze ervaring met juridisch advies blijkt dat er veel onduidelijkheid bestaat op dit gebied. Daarnaast is sinds 1 december 2021 nieuwe regelgeving van kracht van de Wet bescherming persoonsgegevens elektronische communicatie digitale diensten (TDDG). Dit is reden genoeg om het juridische kader voor gegevensverwerking op websites onder de loep te nemen.
Inleiding - Gegevensverwerking en wettelijk kader
Wanneer een website wordt gebruikt, wordt er een schat aan gegevens over websitebezoekers verwerkt. De browser verzendt gegevens - zoals het IP-adres - naar de server door simpelweg een website te bezoeken. Als iemand bijvoorbeeld een contactformulier invult, worden de ingevulde gegevens ook doorgestuurd.
Afhankelijk van de gebruikte functies en diensten worden ook regelmatig cookies gebruikt. Cookies zijn tekstbestanden of informatie in een database die worden opgeslagen op de harde schijf van de websitebezoeker en toegewezen aan de gebruikte browser. Dit kan bijvoorbeeld worden gebruikt om ervoor te zorgen dat het winkelwagentje dat in de onlineshop is gevuld, bij het volgende bezoek nog steeds vol is of om het gedrag van bezoekers te analyseren.
De rechtmatigheid van de gegevensverwerking is voornamelijk gebaseerd op de bepalingen van de TDDG en de General Data Protection Regulation (GDPR).
TDDG - geldig vanaf 01.12.2021
Met de TDDDDG heeft de Duitse wetgever de Europese vereisten van de ePrivacy-richtlijn geïmplementeerd. De TDDDG regelt onder andere de bescherming van de privacy bij het gebruik van eindapparatuur, ongeacht of er sprake is van een persoonlijke verwijzing of niet. Artikel 25 van de TDDG is met name van belang voor exploitanten van websites.
Als informatie wordt opgeslagen in de eindapparatuur van websitebezoekers (bijv. pc of tablet), is over het algemeen toestemming van de betrokkenen vereist. Dit is met name het geval wanneer cookies worden geplaatst. Toestemming is ook vereist als toegang wordt verkregen tot informatie die al in de eindapparatuur is opgeslagen (artikel 25, lid 1, zin 1 van de TDDG).
Er zijn echter twee uitzonderingen op het beginsel van de noodzaak van toestemming gestandaardiseerd in artikel 25 (2) TDDG, waarbij nr. 2 relevant is voor websites. Volgens deze bepaling is toestemming niet vereist als opslag of toegang absoluut noodzakelijk is en gebruikers de digitale dienst (de website) uitdrukkelijk willen gebruiken.
De volgende cookies worden regelmatig beschouwd als strikt noodzakelijke cookies, waarvoor dus geen toestemming is vereist: "cookies voor winkelmandjes" en het gebruik van cookies of vergelijkbare technologieën voor authenticatie of opslag van gebruikersvoorkeuren. Cookies en technologieën die uitsluitend worden gebruikt voor marketing- en reclamedoeleinden van online aanbiedingen zijn over het algemeen niet absoluut noodzakelijk.
GDPR - geldig sinds 25/05/2018
De GDPR dient ter bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. Het verbod van art. 6 GDPR is van toepassing behoudens toestemming. Dienovereenkomstig is de verwerking van persoonsgegevens in het algemeen niet toegestaan, tenzij de bepalingen van de GDPR of andere wettelijke voorschriften dit toestaan of vereisen of de betrokkene toestemming heeft gegeven voor de verwerking.
De exacte afbakening van het toepassingsgebied van de TDDG en de GDPR is zelfs onder juristen niet definitief opgehelderd en valt buiten het bestek van dit artikel. Er zijn twee punten die we in de praktijk moeten onthouden. Ten eerste kan toestemming onder de TDDG over het algemeen op hetzelfde moment worden verkregen als toestemming onder de gegevensbeschermingswetgeving. Ten tweede is in de regel - op het gebied van cookies en soortgelijke technologieën - geen toestemming vereist onder de GDPR, tenzij een dergelijke toestemming vereist is onder de TDDG.
Huidig voorbeeld - Gebruik van Google Fonts
We hebben onlangs bericht over het gebruik van Google Fonts. Onder verwijzing naar een recente uitspraak van het Landgericht München is hier uiterste voorzichtigheid geboden.
Volgens de arrondissementsrechtbank München (vonnis van 20.01.2022, Ref.: 3 O 17493/20) kan het gebruik van Google Fonts niet worden gebaseerd op een gerechtvaardigd belang in de zin van art. 6 lid 1 zin 1 lit. f GDPR op grond van de gegevensbeschermingswetgeving als het IP-adres van websitebezoekers wordt doorgegeven aan Google in de VS.
Onderwerp van de beschikking was het gebruik van Google Fonts op de website van verweerster. Google Fonts is een interactieve gids met meer dan 1300 lettertypen die door Google LLC gratis kunnen worden gebruikt. Om ervoor te zorgen dat een lettertype correct wordt weergegeven wanneer een website wordt geopend, moet het beschikbaar zijn voor bezoekers van de website. Google Fonts biedt hiervoor een handige oplossing: wanneer de website wordt opgevraagd, wordt er een verbinding gemaakt met de servers van Google en worden de lettertypen automatisch geladen.
Verweerder had ook voor deze methode gekozen. Het probleem met deze opzet is dat het IP-adres van gebruikers wordt doorgegeven aan Google - inclusief het IP-adres van de eiser.
In haar vonnis verduidelijkte de regionale rechtbank van München eerst dat dynamische IP-adressen persoonsgegevens zijn voor websitebeheerders. Verder oordeelde het Landgericht München dat de overdracht van persoonsgegevens niet gebaseerd kon zijn op een gerechtvaardigd belang van de exploitant in de zin van art. 6 lid 1 zin 1 lit. f GDPR. Dit was niet het geval, aangezien lettertypen ook lokaal op de eigen server van de exploitant konden worden geïntegreerd en het daarom niet nodig was om de IP-adressen aan Google door te geven. In deze context verduidelijkte de regionale rechtbank van München ook dat gebruikers niet verplicht zijn om hun IP-adres te verbergen.
De rechtbank oordeelde uiteindelijk dat het recht op informatieve zelfbeschikking van de eiser was geschonden en beval de gedaagde om het IP-adres niet door te geven aan Google. De rechtbank kende de eiser ook een schadevergoeding van € 100,00 toe.
Websitebeheerders die Google Fonts gebruiken, moeten zeker controleren of er een verbinding met de servers van Google tot stand wordt gebracht wanneer de website wordt geopend. Als dit het geval is, moet deze praktijk worden gestaakt. Het goede nieuws is dat het technisch mogelijk is om lettertypen aan te bieden zonder gegevens naar Google te sturen. Als alternatief is het mogelijk om lettertypen lokaal op je eigen server te integreren. Hiervoor moeten de gebruikte Google-lettertypen lokaal worden gedownload en gehost. Toestemming is in dit geval niet vereist.
Toestemming - Toestemming/cookiebanner, maar correct
Als de toestemming van betrokkenen vereist is onder de TDDG of de GDPR, is de implementatie van een toestemmingsbeheersysteem samen met een toestemmingsbanner ("cookiebanner") over het algemeen vereist. Dit kan ervoor zorgen dat betrokkenen daadwerkelijk toestemming geven.
Volgens art. 4 nr. 11 GDPR is "toestemming" van de betrokkene een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een duidelijke, bevestigende handeling aangeeft in te stemmen met de verwerking van zijn of haar persoonsgegevens.
In de praktijk hebben cookiebanners echter vaak talrijke tekortkomingen. Als er inadequate oplossingen worden gebruikt, bestaat het risico dat de toestemming niet effectief is en de gegevensverwerking ongeautoriseerd is.
De verantwoordelijke gegevensbeschermingsautoriteit in NRW - de staatscommissaris voor gegevensbescherming en vrijheid van informatie van Noordrijn-Westfalen - ontdekte tijdens een controle van websites in 2021 dat de meeste gecontroleerde websites niet voldeden aan de wettelijke vereisten voor het gebruik van cookies en andere trackingtechnologieën. Onze ervaring is dat cookies vaak worden geplaatst voordat er toestemming is gegeven. In sommige gevallen krijgen gebruikers geen echte keuze of is het weigeren van cookies alleen mogelijk via omwegen. Daarnaast worden gebruikers gemanipuleerd door het ontwerp van de banner en zo subliminaal aangespoord om toestemming te geven (zogenaamde nudging).
Vergeet de huidige kennisgevingen over gegevensbescherming niet
Websitebeheerders moeten betrokkenen conform art. 12 e.v. van de GDPR informeren over de verwerking van persoonsgegevens. GDPR informeren over de verwerking van persoonsgegevens. Daartoe moeten berichten over gegevensbescherming beschikbaar worden gehouden die betrekking hebben op de gegevensverwerking die op de website plaatsvindt. Als er een nieuwe dienst wordt toegevoegd, moet de informatie over gegevensbescherming ook dienovereenkomstig worden aangevuld/herzien.
Wat nu? Praktisch advies van advocatenkantoor TRÖBER
Websitebeheerders moeten het volgende in acht nemen voor wettelijk conforme gegevensverwerking op hun eigen website:
1. controleer welke gegevens worden verwerkt in het kader van de werking van uw website. Functies en diensten kunnen vaak worden gedeactiveerd en de bijbehorende gegevensverwerking kan worden beëindigd, omdat functies en diensten bij nader inzien niet worden gebruikt.
2. Controleer of er toestemming is vereist voor de verdere verwerking. In dat geval moet over het algemeen een toestemmingsbeheeroplossing en -banner worden geïmplementeerd.
3. als gegevens - bijvoorbeeld bij het gebruik van Amerikaanse serviceproviders - worden doorgegeven aan derde landen buiten de EU/EER, is bijzondere voorzichtigheid geboden. Het gebruik van deze diensten moet worden gecontroleerd.
Natuurlijk is deze informatie geen vervanging voor technische ondersteuning bij het opzetten van de website en juridische controles in individuele gevallen.
Over de auteur
De heer Tröber is een advocaat gespecialiseerd in IT-recht en werkt al ongeveer 25 jaar op alle gebieden van informatietechnologie. U kunt zijn advocatenkantoor, dat gespecialiseerd is in IT-recht, intellectueel eigendomsrecht en gegevensbeschermingsrecht, hier vinden.
Heb je hulp nodig bij het aanpassen van je cookiemelding?
Wij zorgen graag voor uw website, beantwoorden uw vragen over het onderwerp "cookiemeldingen" en voeren de aanpassingen aan de cookiebanner direct en eenvoudig uit. We kijken uit naar uw aanvraag!
