Die sogenannte EU-Cookie-Richtlinie ist noch immer nicht in deutsches Recht umgesetzt worden. Die EU-Richtlinie sieht für Cookies eine grundsätzliche Einwilligungspflicht vor. Ein Beratungsgremium der EU-Kommission, die Artikel 29-Datenschutzgruppe, veröffentlichte nun ein Dokument mit Empfehlungen zu den Ausnahmen von der Einwilligungspflicht.

Lesen Sie, welche Cookies demnach ohne Einwilligung auskommen

Hintergründe

Durch eine bereits im November 2009 vom EU-Parlament beschlossene Richtlinie soll in den EU-Mitgliedstaaten unter anderem eine Stärkung des Schutzes der Privatsphäre von Internetnutzern durch mehr Kontrollmöglichkeiten beim Einsatz von Cookies erreicht werden. Die Richtlinie erhielt deshalb schnell den Beinamen ”Cookie-Richtlinie”. Sie sieht eine grundsätzliche Einwilligungspflicht für Cookies vor und nur wenige Ausnahmen.

Trotz Fristablauf vor über einem Jahr wurde die Richtlinie bislang erst in wenigen EU-Staaten in nationales Recht umgesetzt. Der letzte Gesetzesentwurf zur Umsetzung in Deutschland ist im Februar dieses Jahres gescheitert.

Dokument der Artikel 29-Datenschutzgruppe

Die Artikel 29-Datenschutzgruppe veröffentlichte nun ein Dokument, das bei der Auslegung der innerhalb der Richtlinie vorgesehenen Ausnahmen von der Einwilligungspflicht für Cookies helfen soll. Die Art. 29-Datenschutzgruppe wurde im Rahmen der Datenschutzrichtlinie 95/46/EG geschaffen und ist eine unabhängige, beratende Instanz auf EU-Ebene und berät die Kommission in Datenschutzfragen.

Ausnahmen von der Einwilligungspflicht

Die Richtlinie sieht zwei Ausnahmen von der Einwilligungspflicht vor, nämlich

1. „wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist“ und

2. „wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“

Voraussetzung für die erste Ausnahme ist, dass eine Kommunikation ohne Nutzung eines Cookies nicht möglich ist, eine bloße Erleichterung der Kommunikation genügt nicht. Für Shopbetreiber relevant ist daher vor allem die zweite Ausnahme, auf die im folgenden auch näher eingegangen wird.

First und Third Party Cookies

Die Art. 29-Datenschutzgruppe unterscheidet in ihrem Papier zunächst zwischen Cookies, die von dem für die Datenverarbeitung Verantwortlichen („data controller“) gesetzt werden, und solchen, die von Dritten gesetzt werden. Third Party Cookies seien regelmäßig nicht „unbedingt erforderlich“ um eine Website zu besuchen, First Party Cookies würden daher eher unter die genannten Ausnahmen fallen.

Diese bloße Unterscheidung genüge aber nicht, um entscheiden zu können, ob ein Cookie unter Ausnahme 1 oder 2 falle. Neben der Unterscheidung nach Sitzungs-Cookies und dauerhaften Cookies käme es insbesondere auf den Zweck und die spezifische Implementierung an.

Unbedingt erforderliche Cookies

Unter die 2. vorgesehene Ausnahme (unbedingt erforderliche Cookies) könnten etwa „User input“ Cookies gefasst werden, also solche, die benötigt werden, um die Eingaben eines Benutzers in mehrseitigen Online-Formularen nachzuhalten oder das Einlegen verschiedener Produkte in den Warenkorb eines Onlineshops zu ermöglichen. Hierbei handele es sich regelmäßig um First Party Session-Cookies, die unter das zweite Kriterium fielen.

Auch Session-Cookies, die einen Nutzer nach dem Login identifizieren sollen, seien unter diese Ausnahme zu fassen, da ansonsten ein Login für den Aufruf jeder einzelnen Unterseite notwendig würde. Dies gelte jedoch nicht für dauerhafte Session-Cookies. Für diese könne aber durch eine Checkbox mit einer Formulierung wie „remember me (uses cookies)“ Genüge getan werden.

Unter die Ausnahme der unbedingten Erforderlichkeit fallen nach der Art. 29-Datenschutzgruppe auch Cookies, die zur Wiedergabe von Multimedia-Content zwingend notwendig sind („flash cookies“). Dies gelte auch für Cookies, die die Präferenzen eines Nutzers auf einer Internetseite speicherten (z.B. gewählte Sprache, Anzahl der angezeigten Resultate pro Seite), solange es keine dauerhaften Cookies seien.

Cookies von Social Plug-Ins

Auch viele Plug-Ins von sozialen Netzwerken auf Websites Dritter (wie z.B. der Facebook Like-Button) nutzen Cookies. Hier differenziert die Datenschutzgruppe: Ist der Nutzer in dem sozialen Netzwerk eingeloggt, so rechne er damit, die einschlägigen Plug-Ins auch nutzen zu können. In diesem Fall ist das Cookie unbedingt erforderlich, um den Dienst zur Verfügung zu stellen, so dass die zweite Ausnahme Anwendung findet. Die Lebensspanne des Cookies solle aber enden, wenn der Nutzer sich von dem sozialen Netzwerk auslogge oder den Browser schließe.

Bei Nicht-Mitgliedern seien die Cookies hingegen von keinem Nutzen, so dass die Ausnahme in diesem Fall keine Anwendung finde. Dies gelte ebenfalls für Mitglieder, die sich ausgeloggt haben, da sie dann nicht mehr damit rechnen, noch mit dem sozialen Netzwerk verbunden zu sein.

Tracking-Cookies von Social Plug-Ins

Ebenfalls nicht ausgenommen seien Tracking-Cookies der Plug-Ins – und zwar sowohl bei Mitgliedern, als auch bei Nicht-Mitgliedern. Da diese Cookies nur personenbezogenem Marketing und der Marktforschung dienten, sei eine rechtliche Grundlage für deren Zulässigkeit nicht erkennbar:

„Without consent, it seems unlikely that there is any legal basis for social networks to collect data through social plug-ins about non-members of their network. By default, social plug-ins should thus not set a third party cookie in pages displayed to non-members. On the other hand, as previously noted, social networks have ample opportunity to collect consent from their members directly on their platform if they wish to conduct such tracking activities, having provided their users with clear and comprehensive information about this activity.”

Für solche Cookies wäre demnach eine Einwilligung einzuholen.

Cookies von Werbenetzwerken

Bei Third Party Advertising Cookies (wie z.B. zum Affiliate Marketing) sei ebenfalls grundsätzlich eine Einwilligung einzuholen, da diese unter keine der Ausnahmen fallen.

Cookies von Analyse-Tools

Analyse-Tools zur Messung des Besucherverhaltens sind inzwischen auf fast jeder Website im Einsatz. Auch hier sieht die Datenschutzgruppe keine Ausnahme für das Einwilligungserfordernis bei der Nutzung von Cookies.

Diese Tools würden zwar von vielen Website-Betreibern als erforderlich angesehen werden, aus Sicht des Nutzers seien sie aber gerade nicht erforderlich um eine bestimmte Funktion nutzen zu können. Im Gegenteil, der Nutzer könne auch dann noch sämtliche Funktionen der Website wahrnehmen, wenn das Setzen von Cookies verhindert wird.

Diese Auffassung ist – auch wenn sie nicht überraschend ist – für Shopbetreiber alles andere als erfreulich. Ein kleiner Lichtblick: Die Datenschutzgruppe sieht das Problem und regt an, bei einer erneuten Überarbeitung von Art. 5 Abs. 3 eine Ausnahme für anonymisierte First Party Cookies zu schaffen, die ausschließlich zu statistischen Zwecken gesetzt werden. Hierbei sei kein großes Risiko für die Privatsphäre zu erwarten, wenn der Nutzer klar darüber informiert werde und ihm entsprechende Sicherheitsmaßnahmen wie etwa eine Opt out-Möglichkeit, zur Verfügung gestellt werden würden.

Guideline

1) When applying CRITERION B [Ausnahme 2], it is important to examine what is strictly necessary from the point of view of the user, not the service provider.

2) If a cookie is used for several purposes, it can only benefit from an exemption to informed consent if each distinct purpose individually benefits from such an exemption.

3) First party session cookies are far more likely to be exempted from consent than third party persistent cookies. However the purpose of the cookie should always be the basis for evaluating if the exemption can be successfully applied rather than a technical feature of the cookie.

Das vollständige Dokument der Art. 29-Datenschutzgruppe ist hier abrufbar (Auf Englisch): Opinion 04/2012 on Cookie Consent Exemption

Lesen Sie mehr zum Datenschutz