Website-Compliance in Finnland: Cookies, DSGVO und Barrierefreiheit

Finnland wendet dieselben EU-Regeln an wie der Rest der Union — DSGVO für personenbezogene Daten, ePrivacy für Cookies und Speicher und der European Accessibility Act für Barrierefreiheit — aber die Umsetzung hat zwei Besonderheiten: Die Cookie-Aufsicht ist auf zwei Behörden aufgeteilt, und Finnland beendete früh die „Einwilligung" per Browser-Einstellung. Dieser Leitfaden ordnet die drei Rahmen so, wie sie 2026 für eine finnische Website gelten.

Die drei geltenden Rahmen

• DSGVO + Tietosuojalaki. Die DSGVO gilt direkt, ergänzt durch das finnische Datenschutzgesetz (Tietosuojalaki, 1050/2018). Behörde ist das Office of the Data Protection Ombudsman (Tietosuojavaltuutettu).
• ePrivacy über den Act on Electronic Communications Services. Die Cookie-Speicherregel ist §205 des Gesetzes 917/2014, beaufsichtigt von Traficom.
• EAA über den Act on the Provision of Digital Services. Der European Accessibility Act wurde durch Änderungen bestehender Gesetze umgesetzt, u. a. des Gesetzes 306/2019, im Anwendungsbereich ab dem 28. Juni 2025.

Cookies: §205 und aktive Einwilligung

Nach §205 des Act on Electronic Communications Services erfordert das Speichern oder Auslesen von Informationen auf dem Endgerät eine Einwilligung, sofern die Speicherung nicht strikt notwendig ist, um den angeforderten Dienst bereitzustellen. Analyse-Cookies wie _ga oder _pk_id sind nicht strikt notwendig und brauchen daher eine vorherige Opt-in-Einwilligung.

Der entscheidende Wandel kam 2021. Nachdem der stellvertretende Datenschutz-Ombudsmann im Mai 2020 entschied, dass der Verweis auf Browser-Datenschutzeinstellungen keine hinreichend aktive und ausdrückliche Einwilligung ist, gaben Traficom und das Office of the Data Protection Ombudsman gemeinsam eine überarbeitete Cookie-Leitlinie heraus. Die Kernpunkte:

• Einwilligung muss eine aktive, bestätigende Handlung sein — keine vorausgewählten Kästchen, keine konkludente Einwilligung.
• Nicht-essentielle Cookies dürfen nicht vor dieser Einwilligung gesetzt werden.
• Ablehnen muss so einfach sein wie Akzeptieren.
• „Einwilligung" per Browser-Einstellung ist nicht mehr zulässig.

Finnische Gerichte haben die Durchsetzung der Cookie-Gesetzgebung seither bekräftigt — diese Leitlinie lässt sich also nicht gefahrlos ignorieren. Sie deckt sich mit dem EU-weiten Konsens zur Reject-all-Parität und dazu, welcher Rahmen Cookies regelt.

Zwei Behörden, zwei Fragen

Finnlands geteiltes Modell ist wichtig, denn es ändert, wem Sie gegenüberstehen:

• Traficom (über ihr Cyber Security Centre) beaufsichtigt die Speicher-Regel — die §205-Frage, ob Informationen überhaupt auf dem Gerät gesetzt oder gelesen werden dürfen.
• Das Office of the Data Protection Ombudsman beaufsichtigt die Verarbeitung — die DSGVO-Frage, ob die per Cookie erhobenen Daten rechtmäßig verarbeitet werden, mit gültiger Einwilligung und den erforderlichen Informationen.

Eine finnische Site braucht beides korrekt: eine gültige Speicher-Einwilligung nach §205 und eine gültige DSGVO-Grundlage samt Hinweis für das Weitere.

Barrierefreiheit: Gesetz 306/2019 und der EAA

Der Act on the Provision of Digital Services (306/2019) verlangt seit 2019 Barrierefreiheit vom öffentlichen Sektor und bestimmten öffentlich finanzierten und wesentlichen Diensten, gemessen an EN 301 549 — praktisch WCAG 2.1 Stufe A und AA. Der European Accessibility Act weitete die Pflichten ab dem 28. Juni 2025 auf viele verbrauchergerichtete private Produkte und Dienste aus. Bemerkenswert: Finnland setzte den EAA weitgehend durch Änderung bestehender Gesetze(einschließlich des Gesetzes 306/2019) um, nicht durch ein einzelnes neues Gesetz.

Aufsicht für digitale Barrierefreiheit ist die Regional State Administrative Agency for Southern Finland (Etelä-Suomen aluehallintovirasto), die Anforderungen u. a. durch Zwangsgelder nach dem Threatened Fines Act (1113/1990) durchsetzen kann.

Praktische Checkliste für eine finnische Site

1. Kein nicht-essentielles Cookie, Pixel oder Storage-Write feuert vor der aktiven Einwilligung.
2. Einwilligung erfolgt durch bestätigende Handlung — nicht über Browser-Einstellungen, keine vorausgewählten Kästchen.
3. Ablehnen ist so einfach und prominent wie Akzeptieren.
4. Eine Datenschutzerklärung benennt die Tracker und die DSGVO-Rechtsgrundlage der Verarbeitung.
5. Die Site erfüllt WCAG 2.1 AA (EN 301 549) für verbrauchergerichtete Inhalte.

Wie Veracly eine finnische Website prüft

Veracly bewertet eine finnische URL in einem Scan gegen alle drei Rahmen. Das Cookie-Modul erfasst jede Anfrage, jedes Cookie und jeden Speichervorgang vor der Banner-Interaktion und meldet Verstöße gegen die Speicher-Einwilligung (Feuern vor Einwilligung, Verlass auf Browser-Einstellungen, kein gleichwertiger Ablehnen-Weg). Das Barrierefreiheits-Modul lässt axe-core gegen das gerenderte DOM für WCAG 2.1 AA laufen. Jeder Befund ist von Ihnen in den DevTools reproduzierbar und dem berührten Rahmen zugeordnet.

Siehe auch: Website-Compliance in den Niederlanden · Eine Site über mehrere Jurisdiktionen prüfen · Der EAA für kleine und mittlere Unternehmen