Die sogenannte EU-Cookie-Richtlinie ist noch immer nicht in deutsches Recht umgesetzt worden. Die EU-Richtlinie sieht für Cookies eine grundsätzliche Einwilligungspflicht vor. Ein Beratungsgremium der EU-Kommission, die Artikel 29-Datenschutzgruppe, veröffentlichte nun ein Dokument mit Empfehlungen zu den Ausnahmen von der Einwilligungspflicht.
Lesen Sie, welche Cookies demnach ohne Einwilligung auskommen
Hintergründe
Durch eine bereits im November 2009 vom EU-Parlament beschlossene Richtlinie soll in den EU-Mitgliedstaaten unter anderem eine Stärkung des Schutzes der Privatsphäre von Internetnutzern durch mehr Kontrollmöglichkeiten beim Einsatz von Cookies erreicht werden. Die Richtlinie erhielt deshalb schnell den Beinamen ”Cookie-Richtlinie”. Sie sieht eine grundsätzliche Einwilligungspflicht für Cookies vor und nur wenige Ausnahmen.
Trotz Fristablauf vor über einem Jahr wurde die Richtlinie bislang erst in wenigen EU-Staaten in nationales Recht umgesetzt. Der letzte Gesetzesentwurf zur Umsetzung in Deutschland ist im Februar dieses Jahres gescheitert.
Dokument der Artikel 29-Datenschutzgruppe
Die Artikel 29-Datenschutzgruppe veröffentlichte nun ein Dokument, das bei der Auslegung der innerhalb der Richtlinie vorgesehenen Ausnahmen von der Einwilligungspflicht für Cookies helfen soll. Die Art. 29-Datenschutzgruppe wurde im Rahmen der Datenschutzrichtlinie 95/46/EG geschaffen und ist eine unabhängige, beratende Instanz auf EU-Ebene und berät die Kommission in Datenschutzfragen.
Ausnahmen von der Einwilligungspflicht
Die Richtlinie sieht zwei Ausnahmen von der Einwilligungspflicht vor, nämlich
1. „wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist“ und
2. “wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann”
Voraussetzung für die erste Ausnahme ist, dass eine Kommunikation ohne Nutzung eines Cookies nicht möglich ist, eine bloße Erleichterung der Kommunikation genügt nicht. Für Shopbetreiber relevant ist daher vor allem die zweite Ausnahme, auf die im folgenden auch näher eingegangen wird.
First und Third Party Cookies
Die Art. 29-Datenschutzgruppe unterscheidet in ihrem Papier zunächst zwischen Cookies, die von dem für die Datenverarbeitung Verantwortlichen („data controller“) gesetzt werden, und solchen, die von Dritten gesetzt werden. Third Party Cookies seien regelmäßig nicht „unbedingt erforderlich“ um eine Website zu besuchen, First Party Cookies würden daher eher unter die genannten Ausnahmen fallen.
Diese bloße Unterscheidung genüge aber nicht, um entscheiden zu können, ob ein Cookie unter Ausnahme 1 oder 2 falle. Neben der Unterscheidung nach Sitzungs-Cookies und dauerhaften Cookies käme es insbesondere auf den Zweck und die spezifische Implementierung an.
Unbedingt erforderliche Cookies
Unter die 2. vorgesehene Ausnahme (unbedingt erforderliche Cookies) könnten etwa „User input“ Cookies gefasst werden, also solche, die benötigt werden, um die Eingaben eines Benutzers in mehrseitigen Online-Formularen nachzuhalten oder das Einlegen verschiedener Produkte in den Warenkorb eines Onlineshops zu ermöglichen. Hierbei handele es sich regelmäßig um First Party Session-Cookies, die unter das zweite Kriterium fielen.
Auch Session-Cookies, die einen Nutzer nach dem Login identifizieren sollen, seien unter diese Ausnahme zu fassen, da ansonsten ein Login für den Aufruf jeder einzelnen Unterseite notwendig würde. Dies gelte jedoch nicht für dauerhafte Session-Cookies. Für diese könne aber durch eine Checkbox mit einer Formulierung wie „remember me (uses cookies)“ Genüge getan werden.
Unter die Ausnahme der unbedingten Erforderlichkeit fallen nach der Art. 29-Datenschutzgruppe auch Cookies, die zur Wiedergabe von Multimedia-Content zwingend notwendig sind („flash cookies“). Dies gelte auch für Cookies, die die Präferenzen eines Nutzers auf einer Internetseite speicherten (z.B. gewählte Sprache, Anzahl der angezeigten Resultate pro Seite), solange es keine dauerhaften Cookies seien.
Cookies von Social Plug-Ins
Auch viele Plug-Ins von sozialen Netzwerken auf Websites Dritter (wie z.B. der Facebook Like-Button) nutzen Cookies. Hier differenziert die Datenschutzgruppe: Ist der Nutzer in dem sozialen Netzwerk eingeloggt, so rechne er damit, die einschlägigen Plug-Ins auch nutzen zu können. In diesem Fall ist das Cookie unbedingt erforderlich, um den Dienst zur Verfügung zu stellen, so dass die zweite Ausnahme Anwendung findet. Die Lebensspanne des Cookies solle aber enden, wenn der Nutzer sich von dem sozialen Netzwerk auslogge oder den Browser schließe.
Bei Nicht-Mitgliedern seien die Cookies hingegen von keinem Nutzen, so dass die Ausnahme in diesem Fall keine Anwendung finde. Dies gelte ebenfalls für Mitglieder, die sich ausgeloggt haben, da sie dann nicht mehr damit rechnen, noch mit dem sozialen Netzwerk verbunden zu sein.
Tracking-Cookies von Social Plug-Ins
Ebenfalls nicht ausgenommen seien Tracking-Cookies der Plug-Ins – und zwar sowohl bei Mitgliedern, als auch bei Nicht-Mitgliedern. Da diese Cookies nur personenbezogenem Marketing und der Marktforschung dienten, sei eine rechtliche Grundlage für deren Zulässigkeit nicht erkennbar:
„Without consent, it seems unlikely that there is any legal basis for social networks to collect data through social plug-ins about non-members of their network. By default, social plug-ins should thus not set a third party cookie in pages displayed to non-members. On the other hand, as previously noted, social networks have ample opportunity to collect consent from their members directly on their platform if they wish to conduct such tracking activities, having provided their users with clear and comprehensive information about this activity.”
Für solche Cookies wäre demnach eine Einwilligung einzuholen.
Cookies von Werbenetzwerken
Bei Third Party Advertising Cookies (wie z.B. zum Affiliate Marketing) sei ebenfalls grundsätzlich eine Einwilligung einzuholen, da diese unter keine der Ausnahmen fallen.
Cookies von Analyse-Tools
Analyse-Tools zur Messung des Besucherverhaltens sind inzwischen auf fast jeder Website im Einsatz. Auch hier sieht die Datenschutzgruppe keine Ausnahme für das Einwilligungserfordernis bei der Nutzung von Cookies.
Diese Tools würden zwar von vielen Website-Betreibern als erforderlich angesehen werden, aus Sicht des Nutzers seien sie aber gerade nicht erforderlich um eine bestimmte Funktion nutzen zu können. Im Gegenteil, der Nutzer könne auch dann noch sämtliche Funktionen der Website wahrnehmen, wenn das Setzen von Cookies verhindert wird.
Diese Auffassung ist – auch wenn sie nicht überraschend ist – für Shopbetreiber alles andere als erfreulich. Ein kleiner Lichtblick: Die Datenschutzgruppe sieht das Problem und regt an, bei einer erneuten Überarbeitung von Art. 5 Abs. 3 eine Ausnahme für anonymisierte First Party Cookies zu schaffen, die ausschließlich zu statistischen Zwecken gesetzt werden. Hierbei sei kein großes Risiko für die Privatsphäre zu erwarten, wenn der Nutzer klar darüber informiert werde und ihm entsprechende Sicherheitsmaßnahmen wie etwa eine Opt out-Möglichkeit, zur Verfügung gestellt werden würden.
Guideline
1) When applying CRITERION B [Ausnahme 2], it is important to examine what is strictly necessary from the point of view of the user, not the service provider.
2) If a cookie is used for several purposes, it can only benefit from an exemption to informed consent if each distinct purpose individually benefits from such an exemption.
3) First party session cookies are far more likely to be exempted from consent than third party persistent cookies. However the purpose of the cookie should always be the basis for evaluating if the exemption can be successfully applied rather than a technical feature of the cookie.
Das vollständige Dokument der Art. 29-Datenschutzgruppe ist hier abrufbar (Auf Englisch): Opinion 04/2012 on Cookie Consent Exemption
Lesen Sie mehr zum Datenschutz
- Gesetzentwurf zur Umsetzung der Cookie-Richtlinie abgelehnt
- Lesetipp: Die Umsetzung der Cookie-Richtlinie in Großbritannien
- Umsetzung der Einwilligungspflicht aus der Cookie-Richtlinie in Frankreich
- NRW-Datenschützer prüfen Websites auf Einsatz von Google Analytics
- Lesetipp: Social Media Marketing & Recht
- Bayerische Datenschützer prüfen Websites auf Datenschutzverstöße
- EU-Kommission strebt europaweit einheitliches Datenschutzrecht an
- Oberste Datenschutzbehörden beziehen Position zu Social Plugins
Die Cookie Richtlinie ist auch für Nutzer wenig erfreulich. Wer in letzter Zeit auf britischen Webseiten gesurft hat wird das gemerkt haben.
Ich habe meinen Browser so konfiguriert daß Cookies nach jeder Sitzung gelöscht werden. Die Folge: Bei jedem Besuch einer Webseite wie z.B. bbc.co.uk werde ich gefragt ob ich Cookies akzeptieren will oder nicht. Die einzige Möglichkeit dem zu entgehen wäre: Cookies dauerhaft zu akzeptieren und nicht mehr zu löschen und ein Cookie zu aktzeptieren das die Information enthält das ich keine Cookies aktzeptiere. D.h. diese Richtlinie ist für den Nutzer völlig Kontraproduktiv.
Wie ist es eigentlich mit Affiliate Shops? Gelten da die gleichen rechtigen Bestimmungen wie für Online Händler die ihre Produkte selber verkaufen?
Ein Artikel für Affiliate Shops wäre für manche Internet Selbständige und Unternehmer vielleicht interessant.
@llamaz: Ohje, ich bin auch so jemand der Regelmäßig seinen Browsercache leert. Also wenn diese Richtlinie bei uns durchgesetzt wird muss ich mich entweder um gewöhnen oder das Surfen im Netz wird nerviger. Bestimmt wird es den ein oder anderen Plugin-Dev geben, der mir vllt. die Arbeit abnimmt und so eine Art “Auto-Cookie-Accept” für Trusted-Domains macht, wo man selber pflegen kann, bei welchen Seiten das Plugin aktiv wird. Wäre sicher was feines. Mal schauen was die Zukunft bringen wird. Generell halte ich von dieser Richtlinie nichts.
@llamaz
Aus meiner Sicht ist das Bestreben der Kommission, die Verwendung von Tracking-Cookies gesetzlich zu regulieren, grundsätzlich zu begrüßen. Ich kenne kommerzielle Websites auf denen dem Seitenbesucher mehr als 60 verschiedene Cookies auf die Platte gespeichert werden, von denen die meisten Tracking-Cookies sind oder sich zumindest zum Tracken eignen. Und es wird dort weder in der Datenschutzerklärung darüber informiert, wie viele und wer dort alles Cookies setzt und zu welchem Zweck dies geschieht, geschweige denn wird eine technische Opt-Out-Möglichkeit für die verschiedenen Tracking-Dienste angeboten. Sie und ich mögen noch wissen, wie man in seinem Browser die Cookie-Behandlung einstellt oder das Setzen von Cookies durch Script-Blocking generell verhindern kann. Viele Internetnutzer wissen das jedoch nicht und es kann ihnen m.E. auch nicht abverlangt werden, sich dieses Spezialwissen aneignen zu müssen, nur um sich dem Tracking zu entziehen.
Ob eine grundsätzliche Einwilligungspflicht, wie sie die Richtlinie vorsieht, allerdings der richtige Weg ist, darüber kann man sicher streiten, ebenso wie über die Schwierigkeiten der praktischen Umsetzung einer solchen Regelung.
@Lars Klatte: Meiner Meinung nach sollte jedoch sowas nicht über die Webseiten geregelt werden, sondern direkt im Browser. z.B. hätte man durch die Pflicht einer Kennzeichnung von Session-Cookies eine Unterscheidungsmöglichkeit für den Browser geschaffen. Dann könnte man eine einheitliche Oberfläche für alle Webseiten machen, welche dem Nutzer dann die Entscheidungsmöglichkeiten bietet, Non-Session-Cookie zu zulasssen oder nicht, was am Ende Anwenderfreundlicher wäre.
Andersrum bin ich auch der Meinung, das der Nutzer selbst schuld ist, wenn er es nicht möchte aber nix dagegen tut. Gut, Unwissenheit spielt natürlich auch eine große Rolle.
Generell sollte gewisses technisches Verständnis eigentlich heutzutage schon in der Schule vermittelt werden, meiner Meinung nach.
@Oink
Die Möglichkeit, erforderliche Einwilligungen über Browsereinstellungen einzuholen, ist sogar ausdrücklich in den Erwägungsgründen zur Richtlinie vorgesehen und z.B. der französische Gesetzgeber hat das bei der Umsetzung der Richtlinie in Frankreich auch so ins Gesetz übernommen, siehe http://www.shopbetreiber-blog.de/2012/01/02/umsetzung-der-einwilligungspflicht-aus-der-cookie-richtlinie-in-frankreich/ Die französische Datenschutzbehörde hält Browsereinstellungen jedoch dennoch für nicht ausreichend, um eine rechtskonforme Einwilligung einzuholen.
Hinzu kommt, dass einem Browserhersteller nur schwer zu vermitteln sein dürfte, wieso gerade er für die Lösung eines Problems zuständig sein soll, das die Websitebetreiber durch eine rechtswidrige Gestaltung ihres Webauftritts verursachen. Es sind ja letztlich die Seitenbetreiber, die diese Dienste einbinden.
Klasse Beitrag, Danke für die ausführliche Einschätzung. Einige der Aspekte sind nicht ganz neu, bieten sich aber im Sinne einer vollständigen Auflistung sehr gut an.
Ich finde diese Richtlinie für mich als Webdesigner total unsinnig. Ich frage mich immer wo kann ich so einen Hinweis reinhauen damit es die Seite nicht kaputt macht. Immer mehr Seiten sehe ich mit diesen “Cookie-Hinweisen” Die einen hauen es ganz oben rein, die anderen ganz unten, manche zeigen es direkt in der Mitte, erst muss man die Richtlinie annehmen dann darf man weiter surfen…. traurig sowas!
Ich bin für eine andere Lösung: Und zwar sollten die Browser Hersteller eine Option haben die “bösen” Cookies zu erkennen und eventuell so eine Nachricht von selber anzuzeigen oder je nach Wunsch wird die Seite dann nicht geladen. Von Seiten der Seitenbetreiber ist das nur eine Zumutung und ein gefundenes Fressen für Abmahnanwälte. -.- Es gibt doch schließlich nur etwa 4 Browser und Millionen von Internetseiten, warum müssen diese millionen von Menschen sich die Mühe machen wenn man die ensprechende Option im Browser einbauen könnte?