Cookie-Richtlinie der EU – Augenwischerei, Do-Not-Track und Praxisempfehlungen

80SHARES

Letzte Woche habe ich bei der Verbraucherzentrale Bundesverband e.V. (VZBV) an dem „Expertentreffen zur Umsetzung der E-Privacy-Richtlinie“ teilgenommen. Mit Vertretern des VZBV, der Datenschutzbeauftragten aus Schleswig-Holstein und Bayern sowie Usability-Analysten haben wir diskutiert, wie die so genannten „Cookie-Richtlinie“ umgesetzt werden soll.

Danach habe ich vor allem eine Erkenntnis gewonnen: Für einen durchschnittlichen Websiteanbieter ist …

80
SHARES
Cookie Richtlinie: Tracking (Collusion for Chrome)

Die „Cookie-Regelung“ in der E-Privacy-Richtlinie soll Internet-Nutzer vor umfassendem Tracking und dessen Missbrauch schützen. Die Werbebranche befürchtet jedoch starke Umsatzeinbußen und wehrt sich dagegen. Die Websiteanbieter sind durch die unklare Rechtslage verwirrt und wissen nicht, wie sie sich verhalten sollen. (Bild: Plugin „Collusion for Chrome„)

Letzte Woche habe ich bei der Verbraucherzentrale Bundesverband e.V. (VZBV) an dem „Expertentreffen zur Umsetzung der E-Privacy-Richtlinie“ teilgenommen. Mit Vertretern des VZBV, der Datenschutzbeauftragten aus Schleswig-Holstein und Bayern sowie Usability-Analysten haben wir diskutiert, wie die so genannten „Cookie-Richtlinie“ umgesetzt werden soll.

Danach habe ich vor allem eine Erkenntnis gewonnen: Für einen durchschnittlichen Websiteanbieter ist die „Cookie-Richtline“ weder einfach nachvollziehbar noch umsetzbar. Mit diesem Beitrag möchte ich Ihnen dieses komplexe Thema möglichst einfach erläutern und vor allem mittelständischen Unternehmen zeigen, womit sie in der Zukunft rechnen müssen.

Empfehlung: Datenschutzgrundlagen biete ich Ihnen in dem Beitrag „Social Media Monitoring, CRM, HR & Recht – Teil 3 – Datenschutz Basics“ und eine Einleitung zum Tracking in „Social Media Monitoring, CRM, HR & Recht – Teil 4 – Tracking, Targeting & Online Behavioral Marketing„.

Worum geht es? – Die E-Privacy-Richtlinie der EU

Wenn wir uns als Nutzer durchs Netz bewegen, werden die aufgesuchten Seiten, unser Verhalten und unsere Vorlieben erfasst und ausgewertet. Damit soll vor allem die Werbung gezielter, relevanter auf uns zugeschnitten werden. Das ist zuerst eine Win-Win-Situation, die jedoch auf den zweiten Blick große Gefahren birgt.

Cookie-Richtlinie: Gefahrenpotential

Bei der Cookie-Richtlinie geht es vor allem darum, die Gefahren beim Tracking & Analyse der Nutzerdaten durch permanente Cookies von Drittanbietern (rot) einzudämmen. Dagegen ist die Gefahr bei Tracking durch die Websiteanbieter selbst (z.B. per Piwik-Software) geringer.

Da die Erfassungsmethoden immer genauer werden, werden wir Nutzer immer gläserner und steuerbarer. Nicht nur konsum-, sondern auch sexuelle, politische oder religiöse Vorlieben können erfasst werden. Neben gezieltem Marketing oder politischer Beeinflussung wären solche Informationen zum Beispiel auch für die Auswahl von Berufsbewerbern interessant. Ich will nicht allzu schwarz malen, aber was sich wirtschaftlich lohnt, wird in der Regel umgesetzt.

Hinweis: In der „Cookie-Richtlinie“ geht es nicht nur um das Erfassen von Nutzerdaten durch Cookies. Auch andere Tracking-Methoden wie Fingerprints von Browsern sind gemeint.

Es liegt also ein Ungleichgewicht vor. Auf der einen Seite die Unternehmen, die immer mehr wissen und auf der anderen Seite die Nutzer, die ahnungslos ihre Daten preisgeben. Die EU hat daher  im Jahr 2009 eine Richtlinie erlassen, die u.a. Nutzer vor solchen Trackingmaßnahmen schützen soll (E-Privacy-Richtlinie 2009/136/EG vom 25.11.2009).

Das Ziel dieser, so genannten, Cookie-Richtlinie ist:

  • Nutzer müssen über die Trackingmaßnahmen informiert werden
  • Nutzer müssen einwilligen (Opt-In), bevor die Trackingmaßnahmen beginnen
  • Nutzer müssen jederzeit den Trackingmaßnahmen widersprechen können

Die Richtlinie gilt schon in Deutschland, oder?

Die Richtlinie sollte bis zum 31.05.2011 in den EU-Ländern umgesetzt werden. Das ist in den meisten EU-Ländern passiert, jedoch bisher nicht in Deutschland. Der vorgelegte Gesetzes-Entwurf wurde abgelehnt.

Hinweis: Eine EU-Richtlinie ist kein Gesetz. Sie ist eine Anweisung an die EU-Länder, selbst bestimmte Gesetze zu erlassen. Nur in äußerst seltenen Ausnahmefällen, wenn die Länder sich weigern die Richtlinie umzusetzen und sie hinreichend deutlich und bestimmt formuliert ist, wirkt sie direkt wie ein Gesetz in den Ländern (so genannte unmittelbare Wirkung).

Der aktuelle gesetzliche Stand sieht wie folgt aus (§ 15 Abs.3 Telemediengesetz):

  • Nutzer müssen über die Trackingmaßnahmen informiert werden
  • Nutzer müssen jederzeit den Trackingmaßnahmen widersprechen (Opt-Out) können

Das heißt, was bei uns im Gesetz steht (Opt-Out), widerspricht den EU-Vorgaben (Opt-In).

Der Bundesdatenschutzbeauftragte Peter Schaar vertritt jedoch die Ansicht, dass die Richtlinie auch ohne Umsetzung in Deutschland gilt. Er begründet dies damit, dass die Richtlinie hinreichend bestimmt ist, also eins zu eins in unser Gesetz übernommen werden könnte. Das ist nicht von der Hand zu weisen, vor allem weil die Richtlinie in den meisten EU-Staaten tatsächlich fast eins zu eins übernommen wurde.

Weil auch andere Datenschutzbehörden diese Ansicht teilen, stellt sich die Frage, wie die Richtlinie praktisch umzusetzen ist.

Cookie-Richtlinie: Änderungen

Bisher war eine Einwilligung beim Tracking nur dann notwendig, wenn personenbezogene Daten der Nutzer erfasst wurden (z.B. der Name). Beim pseudonymen Tracking (d.h. Bildung eines Nutzerprofils ohne identifizierende Angaben) reichte es aus, den Nutzer über das Tracking und eine Opt-Out-Möglichkeit in der Datenschutzerklärung zu informieren. Die „Cookie-Richtlinie“ setzt für beide Fälle eine vorhergehende Einwilligung voraus.

Einwilligung in Großbritannien – Best Practice oder Augenwischerei?

Die Cookie-Richtlinie wurde in Großbritannien bereits umgesetzt. Dabei beschritten die Briten bei der Einwilligung einen Weg, den auch ich favorisiere. Eine „Einwilligung“ soll nicht nur per Anhaken eines Kontrollkästchens möglich sein, sondern auch per schlichte Weiternutzung der Seite. Das jedoch nur, wenn der Nutzer explizit und eindeutig darüber belehrt wird. Das heißt nicht in der Datenschutzerklärung, sondern prominent auf der Website.

Meines Erachtens deckt sich das auch mit den EU-Definitionen der Einwilligung:

„… unambiguous consent which encompasses explicit consent but also consent resulting from unambiguous actions should remain the required standard.“
Art 29. Datenschutzgruppe – Opinion 15/2011 v. 13.07.2011, S.37

Dies funktioniert jedoch nur, wenn beim ersten Aufruf der Seite tatsächlich kein Tracking stattfindet. Und genau das war auf den meisten Seiten nicht der Fall, wie die Beispiel der BBC und von „The Register“ zeigen. Genau genommen, handelt es sich weiterhin um ein Opt-Out-Model, nur mit besseren Informationen.

Cookie-Richtlinie: Beispiel BBC

Die BBC informiert die Nutzer sehr prominent darüber, dass jede weitere Nutzung der Seite (z.B. Aufrufen von Artikeln) dazu führt, dass Tracking-Cookies gesetzt werden. So formuliert, ist das jedoch schlicht gelogen, da bereits beim Aufruf der Seite Tracking-Cookies gesetzt werden (Auszug aus dem Plugin Ghostery).

Cookie-Richtlinie: Beispiel The Register

Auch bei dem Magazin „The Register“ werden die Tracking-Cookies bereits beim Aufruf der Seite gesetzt.

Cookie-Richtlinie: Beispiel ICO

Im Gegensatz zu den obigen Beispielen, entspricht die Website des britischen Datenschutzbeauftragten den Vorgaben den EU-Vorgaben. Hier werden die Tracking-Cookies erst dann gesetzt, nachdem der Nutzer seine Einwilligung gegegeben hat. Diese erfolgt dazu noch ausdrücklich durch ein Kontrollkästchen

Einwilligung per „Do Not Track“ im Browser?

Die obigen Beispiele zeigen ein großes Problem. Die Websites müssen beim ersten Aufruf frei vom Trackingmaßnahmen sein. Und das kostet Geld:

  • Kosten der technischen Umsetzung – Die Trackingmaßnahmen müssten so implementiert werden, dass sie entweder dynamisch oder bei weiteren Seitenaufrufen nachgeladen werden. Das stellt vor allem KMUs vor große technische und finanzielle Herausforderungen.
  • Verluste aus Werbegeschäften – Onlineangebote finanzieren sich größtenteils durch Werbung. Diese wird durch Werbenetzwerke ausgeliefert und in die Webseiten eingebunden. Jedoch gibt es immer das ganze Paket „Werbung + Tracking“. Wenn beim ersten Aufruf auf Tracking verzichtet wird, wird auch auf die Werbung verzichtet. Und wenn man bedenkt, wie viele Nutzer eine Website nur einmalig aufrufen, um z.B. einen Artikel zu lesen und dann nie wieder zu kommen, ist der Verlust immens.

Vor diesem Hintergrund, klingt die Idee eine Steuerung des Trackings per Browser gut. Stellen Sie sich vor, Sie aktivieren eine Funktion „Do Not Track“ und beim Aufruf von Websites wird zwar Werbung ausgeliefert, aber Sie werden nicht verfolgt. Klingt gut, ist sogar in Gesetzen mancher Länder vorgesehen, funktioniert aber nicht und es ist zweifelhaft, ob es funktionieren wird.

Cookie-Richtlinie: Do Not Track Chrome

In den Datenschutz-Einstellungen des Chrome Browsers (ab Build 23) findet sich bereits die „Do Not Track“-Option. Bisher ist sie jedoch eher ein Platzhalter.

Do Not Track setzt voraus, dass der Server des Anbieters auf diese Einstellung hört. Derzeit ist das nicht der Fall, weil es keinen technischen Standard gibt. Alleine schon die Frage was Tracking bedeutet, spaltet die Gemüter. So hat die Werbeindustrie mehrheitlich ganz andere Vorstellungen als die Datenschützer:

„Marketing … sei so amerikanisch wie Apfelkuchen … Do Not Track sollte verhaltensbezogene Werbung als‚ einen der wichtigsten Werte der  Zivilgesellschaft‘ daher unterstützen.
Eingabe der Direct Marketing Association (DMA) beim W3C

Cookie-Richtlinie: DO NOT TRACK

Die Option Do-Not-Track im Browser ist gut gemeint, wird jedoch nur dann funktionieren, wenn es einen verbindlichen Standard gibt, an den sich alle halten. Davon ist derzeit nicht auszugehen.

Fazit und Praxisempfehlung

Ich verstehe die Position der Werbeindustrie und der Anbieter, die von den Werbeeinnahmen leben. Gleichzeitig halte die Bestrebungen der Datenschützer zum Schutz der Nutzer für richtig und unterstützenswert. Doch deren Weg ist steinig, solange die Werbeindustrie international agieren kann, die Datenschützer jedoch an den nationalen Grenzen halt machen müssen und ein „Do Not Track“-Standard nicht gefunden wird.

Für die deutschen Anbieter ist ohnehin primär wichtig, wie und wann sie die gesetzlichen Anforderungen umsetzen müssen. Ich gehe davon aus, dass im Jahr 2013 mit weiteren Informationen der Datenschutzbehörden zu rechnen ist. Ob es mit Kontrollen oder zuerst mit Fragebögen (wie bei Google-Analytics) passiert, bleibt abzuwarten. Bis dahin sind keine negativen Folgen bei Nichtbeachtung zu erwarten.

Falls die Werbeindustrie und die Datenschützern weiterhin keine andere Lösung finden, müssen wir mit Umsetzungsvorgaben, ähnlich denen im obigen Beispiel auf der Website des britischen Datenschutzbeauftragten, rechnen.

Update 04.02.2013 – Großbritannien widersetzt sich der Cookie-Richtlinie

Was ich oben über die Seite des britischen Datenschutzbeauftragten schrieb, gilt nun nicht mehr. Auch er setzt Cookies schon beim Aufruf der Seite ein. Mehr dazu erfahren Sie in meinem Beitrag „Ist die “Cookie Richtlinie” tot? – In Deutschland nicht angekommen, in UK auf dem Rückzug„.

Falls Sie Beratung zum Datenschutzrecht oder ein Update Ihrer Datenschutzerklärung wünschen, stehen wir gerne zu Ihrer Verfügung. Bitte beachten Sie, dass wir auf Unternehmen ausgerichtet sind, nicht auf die Beratung von Privatpersonen. Gerne können Sie auch den Datenschutzgenerator zu meinem Buch "Social Media Marketing und Recht" verwenden.

Weitere Informationen

Update 28.07.2015

Ich empfehle nunmehr den Cookie-Hinweis zu führen: Google macht Cookie-Hinweise zur Pflicht – Handlungsempfehlung für Website- und Appanbieter.

80
SHARES

Kommentare

  1. Mittlerweile gibt es mehrere Plugins für WordPress, die der Cookie-Richtlinie entsprechen sollen. Ich habe einige davon auf das Setzen eines Cookies beim erstmaligen Aufruf einer Site überprüft. Es ist tatsächlich so, das Ghostery einen Cookie bestätigt, bevor man einen der beiden Buttons zur Ablehnung oder zur Zustimmung angeklickt hat. Man muss übrigens nicht unbedingt Ghostery einsetzen. Es reicht aus, wenn man im Firefox unter „Bearbeiten“ -> „Einstellungen“ -> „Datenschutz“ -> „einzelne Cookies löschen“ nachschaut. Es gibt einige Plugins, wie etwa Cookie warning, welches bei wordpress.org erhältlich ist, die wenigestens verhindern, dass der Besucher weitere Seiten der Site aufruft, solange er seine Zustimmung nicht erklärt hat. Bei Ablehnung wird der Besucher auf eine andere Seite, z. B. zur Suchmaschine Ixquick, die ja bekanntlich nichts speichert, weitergeleitet. Bisher gibt es scheinbar nichts Besseres.
    Schön wäre ein Plugin, welches auch das Setzen eines Cookies bei erstmaligem Aufruf einer Site verhindert.
    Interessant wäre auch zu erfahren, wie der britische Datenschutzbeauftragte die Vorgaben technisch umgesetzt hat.

  2. jan

    warum führt man nicht generell nur ein 24h Cokkie ein, so wie zb bei amazon verwendet? Wer hat schon jeden Tag die gleichen Interessen, mich nervt es manchmal ungemein wenn ich meinen Browserverlauf löschen muss weil Google immer noch denkt ich habe nur Interesse an den vor Tagen besuchten Webseiten

  3. Eine schwierige Situation mit den Cookies.
    Ich würde abwarten, welche Gesetze und Regelungen in Deutschland Gültigkeit haben werden. Aktuell befinden wir uns ja wie ich das sehe in einer Grauzone. Sobald es vernünftige Plugins und Scripte gibt, muss man sich wirklich Gedanken machen.

    VG Philipp

  4. Also irgendwie ist doch das ganze Thema wieder mal ein Werk von Bürokraten. Denn was erfährt man normalerweise aus den Logs bzw. dem Tracking, solange der Besucher nicht irgendwelche persönliche Daten hinterläßt? Nichts, ausser Person A aus möglicherweise B (Stadt, was meistens nicht stimmt) kam über Seite C mit seinem Browser D und bestimmten Monitoreinstellungen (+Plugins+Internetprovider) auf die Seite E. Von dort bewegte er sich über F, G, H und verließ bei I den Webauftritt nach X Minuten. Durch die permanenten Cokies erfahre ich noch, ob die Person schon mal dagewesen sein könnte (muss ja auch nicht sein). Also alles an sich vollkommen anonym. (Ich weiss es sind noch ein paar mehr Informationen).

    Erst wenn ich irgendwelche persönlichen Daten in Verbindung bringen kann, dann wird doch der Nutzer — für die Session — gläsern. Und wie komme ich an die Daten? Doch nur, wenn derjenige sich anmeldet, einen Bestellprozess abschließt, ein Mailformular nutzt oder einen Newsletter-Eintrag tätigt. Alle anderen „persönlichen“ Daten sind doch ohnehin mit Vorsicht zu genießen (z.B. aus einfachen Umfragen).

    Also: Übertreibt man da nicht ein wenig?

    Ich bin auch für Datenschutz. Und ich sehe selbst zu, dass ich so wenig persönliches wie nötig preisgebe. Meines Erachtens muss man auch an die Verantwortung des einzelnen appelieren? (z.B. kann man seinen Browser so einstellen, dass er beim Schließen sämtliche Cookies und Verläufe löscht! Oder man nutzt Anonymierungspluins/-tools) Warum darf ein Websitebetreiber oder Unternehmen in Europa nicht anonymes Tracking ohne Zustimmung betreiben, während die Nutzer fleißig auf Facebook und Co die persönlichsten Daten herausgeben… (Ach ja, ist ja freiwillig! Nur dass man hier bessere Profile erstellen kann als aus normalen Website-Tracking!)

    Sinnvoll sind definitiv Fallunterscheidungen: einfaches Tracking, das nur Nutzerverhalten, Herkunft und Betriebssystem, Auflösung sowie Browser/-ausstattung auswertet und keine Verbindung zu persönlichen Daten herstellt, sollte nicht so restriktiv behandelt werden. Träcking, bei dem persönliche Nutzerdaten mit den Standardinformationen in Verbindung bringt dagegen muss Restriktionen unterliegen.

    Zu dem stellt sich die Frage, was der Schwachsinn soll, denn wenn es aktive Netzwerk-Buttons auf den Seiten gibt und der BVesucher ist in diesen angemeldet, schreiben die fleißig mit, was der Nutzer macht. Ohne dass ich darauf Einfluß habe und ich die personalisierten Informationen auch nur nutzen kann.

  5. Das ist alles so paranoid! Die Cookies sind sehr wichtig egal ob für Shop oder für Counter. Das Internet wird durch solche Kleinigkeiten nur kaputtgemacht. Irgendwann werden Seiten die heute völlig legal sind nur im Darknet anzutreffen sein. -.-

  6. Ab wann können wir damit rechen, das Mitbewerber uns Abmahnen, weil wir uns im Wortlaut vertan haben, der Internet Explorer das Script nicht umsetzen kann oder Ähnliches? Am besten wäre es, sich die Erklärung unterschrieben per Post schicken zu lassen(mit Ausweiskopie), bevor man den Besucher auf die Homepage lässt :-)

Trackbacks für diesen Beitrag

  1. Gilt die EU Privacy Richtlinie auch in Deutschland? at qrios
  2. allfacebook.de | Rechtliche Voraussetzungen für den Einsatz des “Besucheraktions-Pixels” von Facebook (inkl. Einwilligungsmuster)
  3. Affiliate-Betrug und Datenschutz beim Nutzer-Tracking – Zwischen Mediendemokratie und Social-Media-Kultur
  4. Das VG Schleswig hat in der Causa “Facebook” entschieden – Und nun? Ein datenschutzrechtliches Dilemma. | Social Media Recht Blog
Kommentare für diesen Artikel sind geschlossen.