Am 25. Mai lief die Frist zur Umsetzung der sogenannten “Cookie-Richtlinie” der EU aus. Deutschland hat diese Richtlinie bislang noch nicht umgesetzt. Großbritannien hat am 26. Mai 2011 die neuen Privacy and Electronic Communications Regulations erlassen. Betroffene haben nun noch ein Jahr Zeit, ihre Internetseiten den neuen Regelungen entsprechend anzupassen.

Wie hat Großbritannien die Cookie-Richtlinie umgesetzt?

Zur Zeit haben lediglich acht der 27 Mitgliedstaaten der Europäischen Union die Cookie-Richtlinie umgesetzt, obwohl die Frist hierfür bereits seit 25. Mai 2011 ablief. Diese Länder sind Dänemark, Estland, Finnland, Frankreich, Irland, Malta, Schweden und Großbritannien.

Umsetzung in Großbritannien

In der Zeitschrift für Datenschutz (ZD) 2012, 24 hat Andreas Thürauf den lesenswerten Aufsatz „Cookie Opt-in in Großbritannien – Zukunft der Cookies? Überblick über die Änderungen und Auswirkungen“ veröffentlicht.

Der Beitrag beschäftigt sich mit der Umsetzung der Richtlinie 2009/136/EG in britisches Recht, den Lösungsansätzen des Information Commissioner’s Officer (ICO) sowie den möglichen Auswirkungen des neuen Gesetzes auf das Behavioral Advertising.

Zunächst stellt der Autor die bis zum 26. Mai 2011 bestehende britische Regelung dar:

„Bis zum 26.5.2011 war in Großbritannien in Art.?6 der Privacy and Electronic Communications (EC-Directive) Regulations 2003 (PECR 2003) vorgesehen, dass der Nutzer einer Internetseite klare und umfassende Informationen über Zweck, Art und Umfang der Verwendung von Cookies erhält und ihm die Möglichkeit gegeben wird, das Speichern von Cookies auf seinem Endgerät abzulehnen. In der Praxis waren diese Informationen häufig im Impressum der Internetseite zu finden.“

Artikel 6 der PECR 2003 wurde durch die Umsetzung der Cookie-Richtlinie geändert. Hierbei wurde zum größten Teil der Wortlaut der Richtlinie übernommen.

Einwilligung zur Setzung von Cookies

Hiernach muss der Nutzer grundsätzlich seine Einwilligung zum Setzen von Cookies erteilen, es sei denn diese sind unbedingt erforderlich,

„damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Das Erfordernis der klaren und umfassenden Information aus der bereits bisher bestehenden Regelung wurde beibehalten.

Wann ist ein Cookie unbedingt erforderlich?

Der Information Commissioner’s Officer (ICO) – der vom König ernannte und von der Regierung unabhängige Datenschutzbeauftragte im UK – hat Lösungen zum Einholen von wirksamen Einwilligungen vorgeschlagen.

Diese könnten, so Thürauf, auch Bedeutung für die anderen Mitgliedstaaten haben, denn Großbritannien möchte in der Frage der Cookie-Einwilligung eine Vorreiterrolle einnehmen.

Das ICO führt als Beispiel für nicht einwilligungsbedürftige Cookies die sog. Warenkorb-Cookies an:

„Als Anwendungsfall sieht hier das ICO den Einsatz eines Cookies in einem Onlineshop, in dem der Kunde Artikel markiert, die er dem Warenkorb hinzufügen möchte; hier ermöglicht das zustimmmungsfreie Cookie, dass auch Artikel, die auf einer vorherigen Seite markiert wurden, „im Gedächtnis” der Seite bleiben und bei einem erneuten Aufrufen immer noch als ausgewählt erscheinen.“

Thürauf sieht auch Cookies, die gesetzt werden, damit der Betreiber der Seite erkennt, dass der Nutzer nicht in das Platzieren von Cookies eingewilligt hat, als solche nicht dem Erfordernis der Einwilligung unterliegenden Cookies an.

Zeitpunkt der Einwilligung

Anschließend behandelt Thürauf das Thema des Zeitpunktes der Einwilligung und stellt die verschiedenen Ansichten dar, z.B. vom Departments for Culture Media and Sport (DCMS) und der Artikel 29-Datenschutzgruppe.

Das ICO hat sich aber noch nicht zum Zeitpunkt der Einwilligung geäußert.

Browser-Einstellung als Einwilligung?

In Deutschland wird oft diskutiert, dass bestimmte Browser-Einstellungen zum Verhindern von Cookies ausreichen sollen. Das ICO sieht das in Großbritannien etwas anders. Thürauf schreibt dazu:

„Da laut ICO die Browsereinstellungen nicht oder nur in bestimmten Fällen als Zustimmung zum Platzieren von Cookies gesehen werden können, hält das ICO einen Maßnahmenkatalog zum Erlangen einer wirksamen Einwilligung der Nutzer bereit.“

Anschließend stellt Thürauf mehrere Lösungsmöglichkeiten vor.

  1. Einwilligung mittels PopUp einholen
    Diese Möglichkeit sei nach ICO zwar die eindeutigste, jedoch nicht die eleganteste
  2. Zustimmung zu Nutzungsbedingungen
  3. individuelle Einstellung der Website
  4. Setzen analytischer Cookies
    In der Kopf oder Fußzeile der Website wird über den Cookie-Einsatz informiert und der Nutzer muss dort einwilligen. Diese Lösung verwendet das ICO selbst auf seiner Website und sieht es als Musterbeispiel an.

Fazit

Im Fazit seines Aufsatzes hält Thürauf die Konzeption des ICO für die „bislang weitestgehende Initiative der Europäischen Union zur Lösung des Problems des Cookie Opt-In.“

Außerdem sieht er die Hinweise zur Umsetzung der Einwilligungspflicht, die das ICO gibt, zur Übertragung in andere Mitgliedstaaten für geeignet. Man müsse jedoch abwarten, wie die anderen Staaten die Richtlinie umsetzen.

„Folgt man der Auffassung des britischen Gesetzgebers, wird die Umsetzung und Zulässigkeit der Einwilligung mittels Browsereinstellungen von der technischen Entwicklung der Browser abhängen.“

Lesen Sie mehr zum Thema Cookie-Richtlinie: