Italienische Datenschutzbehörde kündigt neue Leitlinien an – was nun?

Für Unternehmen in Italien läuft beim Thema Datenschutz der Countdown: Am 10. Juli 2021 gab die italienische Datenschutzbehörde („Il Garante“) ihre endgültigen Leitlinien zu Cookies und anderen Tracking-Technologien bekannt. Innerhalb von sechs Monaten müssen Unternehmen nun diese Leitlinien einhalten – wobei inzwischen bereits zwei Monate verstrichen sind.

Die Leitlinien beziehen sich auf die Umsetzung der Anforderungen der ePrivacy-Richtlinie in italienisches Recht (Artikel 122 des Datenschutzgesetzes) – und sind eine Aktualisierung der Leitlinien aus dem Jahr 2014.

Wer ist von den Änderungen betroffen?

Jedes Unternehmen, das seinen Sitz in Italien hat oder sich an italienische Verbraucher wendet, muss sicherstellen, dass sein Cookie-Banner vor Ablauf der Frist mit den Cookie-Richtlinien der italienischen Datenschutzbehörde übereinstimmt.

Dieser angepasste Leitfaden folgt den Aktualisierungen der Leitlinien anderer wichtiger Datenschutzbehörden der EU. Zum Beispiel: Frankreichs CNIL, Irlands DPC, Spaniens AEPD und Dänemarks Datatilsynet. Obwohl es einige Gemeinsamkeiten zwischen diesen Leitlinien gibt, ist der wichtigste Punkt, dass diese Änderungen nicht nur das Land betreffen, in dem sie festgelegt wurden, sondern auch Organisationen, die personenbezogene Daten von Betroffenen in diesen Ländern verarbeiten. Diese Leitlinien geben den Ton an, wie eine DSGVO-konforme Einwilligung eingeholt werden muss.

Usercentrics unterstützt die neuen Richtlinien der italienischen Datenschutzbehörde und hat die Consent Management Platform (CMP) entsprechend aktualisiert. Schließt ein Nutzer die CMP auf der ersten Ebene durch Klicken auf das „X“, werden nur notwendige Cookies geladen. Die entsprechende Konfigurationsmöglichkeit wird mit dem nächsten Admin-Interface Release zur Verfügung stehen.

Folgende Liste mit den wichtigsten Informationen hilft Ihnen beim rechtskonformen Umgang mit Cookies und Tracking-Technologien in Italien und im Ausland.

Das Thema “Scrollen als Einwilligung” wurde erneut überarbeitet. Die Datenschutzbehörde folgt hier der bereits früher festgelegten Position des EDPB und erklärt, dass Scrollen keine gültige Zustimmung darstellt.

Wie in der ePrivacy Richtlinie bereits festgelegt, unterscheiden die neuen Leitlinien ebenfalls zwischen unbedingt notwendigen technischen Cookies und Trackern und sogenannten „Profiling“-Trackern – wobei letztere für Zwecke verwendet werden, die für den Betrieb der Website oder App nicht unbedingt erforderlich sind. Dies bedeutet, dass berechtigtes Interesse nicht als rechtmäßiger Grund für die Verwendung von nicht notwendigen Cookies und anderen ähnlichen Tracking-Technologien angesehen werden kann.

Laut dem “International Network of Privacy Law Professionals” (INPLP) , „darf der Inhaber einer Website im Gegensatz zur geltenden Verordnung nur technische Cookies verwenden, wenn die Nutzer nicht vorher ihre Zustimmung gegeben haben“. Dies gilt nicht im gleichen Umfang für Analyse-Cookies, bei denen die Zustimmung nur eingeholt werden muss, wenn sie mit anderen Verarbeitungen kombiniert werden oder die Daten an Dritte weitergegeben werden.

Die italienische Datenschutzbehörde betont die “Pflicht zur Aufnahme“ von bestimmten Links und Icons in die Fußzeile der Website. Webseitenbetreiber müssen dort beispielsweise einen Link bereitstellen, über den die Nutzer ihre Cookie-Präferenzen bei Bedarf jederzeit ändern können.

Klare und einfache Kommunikation ist entscheidend: In der Datenschutzrichtlinie muss auf leicht verständliche Weise angegeben werden, welche Cookies für welche Zwecke verwendet werden.

Der Einsatz eines Cookie-Banners wird empfohlen.

Laut der INPLP muss der Bannertext folgende Informationen bzw. Hinweise enthalten:

• eine Schaltfläche (in der Regel ein „X“ in der rechten oberen Ecke), die es dem Nutzer ermöglicht, das Banner unter Beibehaltung der Standardeinstellungen zu schließen und so die Installation anderer als technischer Cookies zu verhindern
• eine Warnung, dass das Schließen des Banners (z. B. durch Anklicken des X in der rechten oberen Ecke) dazu führt, dass die Standardeinstellungen beibehalten werden und somit das Surfen nur mit technischen Cookies fortgesetzt werden kann
• eine kurze Information, die den Nutzer darauf hinweist, dass die Website Cookies zur Profilerstellung oder andere Tracking-Technologien verwendet, vorausgesetzt die Nutzereinwilligung wurde erteilt
• einen Link zur erweiterten Datenschutzerklärung, der über die Fußzeile jeder Seite der Website aus zugänglich ist
• eine Schaltfläche, die es dem Nutzer ermöglicht, die Implementierung aller Cookies (oder anderer Tracking-Technologien) zu akzeptieren
• einen Link zu einem Bereich, in dem es möglich ist, nur die Funktionen, Third-Party Technologien und Cookies auszuwählen, für die der Nutzer seine Zustimmung gegeben hat, und in dem es auch möglich ist, zuvor getroffene Entscheidungen zu ändern

Nutzer müssen die Möglichkeit haben, ihre Zustimmung jederzeit zu widerrufen.

Wenn Sie mehr über die DSGVO oder andere globale Datenschutzgesetze erfahren möchten, sollten Sie unbedingt einen Blick in unsere umfangreiche Wissensdatenbank werfen, in der unser Expertenteam das Neueste zum Thema Datenschutz zusammengestellt hat.

Wir wollen Sie dabei unterstützen, sich den Überblick zu verschaffen, welche Arten von Daten Ihr Unternehmen sammelt. Unser kostenloses Webseiten-Audit zeigt Ihnen im Detail, welche Technologien Ihre Website einsetzt. So haben Sie den genauen Überblick ob und welche Analyse-, Tracking- oder Marketing-Cookies im Einsatz sind. Sobald Sie das wissen, kann Ihnen eine Consent Management Platform (CMP) dabei helfen, die Einwilligungen zur Verwendung von Cookies und anderen Tracking-Technologien zu sammeln, zu verwalten und zu speichern – und diese gesetzeskonform zu nutzen.

Nach Ablauf des Compliance-Zeitraums kann die italienische Datenschutzbehörde die neuen Cookie-Richtlinien mit Verwarnungen oder Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes durchsetzen.

DISCLAIMER: Diese Ausführungen stellen keine Rechtsberatung dar. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden.