Banner, Pop-Up oder Tick-Box? Praxishinweise zur europaweiten Umsetzung der Cookie-Richtlinie
Die Umsetzung der Cookie-Richtlinie (Richtlinie 2009/136/EC, auch bekannt als e-Privacy-Richtlinie) hat bei europaweit agierenden Unternehmen große Rechtsunsicherheit hervorgerufen. Die meisten europäischen Länder haben die Richtlinie mittlerweile umgesetzt, unklar bleibt jedoch, welche Cookies Unternehmen einsetzen dürfen und wie sie über deren Gebrauch informieren müssen. Der folgende Beitrag soll einen Überblick über unterschiedliche Regelungsansätze und passende Reaktionsmöglichkeit liefern.
Cookies als Marketinginstrument
Cookies, kleine Dateien, die auf Datenträgern der Internetnutzer abgelegt werden, haben sich als unverzichtbares Marketinginstrument etabliert. Zunächst dienten sie nur dem Speichern von benutzerdefinierten Einstellungen oder ersparten das erneute Einloggen bei einem späteren Besuch auf einer Internetseite.
Inzwischen nutzt die Werbewirtschaft Cookies für umfangreiche Analysen des Nutzerverhaltens, um potentiellen Kunden zielgenaue Angebote unterbreiten zu können. Dabei ist es möglich, das Nutzerverhalten über mehrere Seiten hinweg zu analysieren, z. B. um Werbung für Waschmaschinen oder Hausratsversicherungen zu platzieren, wenn sich ein Nutzer zuvor in einer Suchmaschine über Waschmaschinen informiert hat oder einen entsprechenden Artikel in einem Nachrichtenportal gelesen hat (sog. Behavioral-Targeting). Diese Informationen können mit einer geografischen Ortung des Nutzers zusammengeführt werden und mit Hilfe von statistischen Daten ergänzt werden, um ein zukünftiges Nutzungsverhalten vorherzusagen.
Beliebt ist auch, verlorengegangene Kunden wieder anzusprechen (sog. Retargeting), d.h. wenn ein Kunde einmal ein Produkt in einem Onlineshop angesehen hat, diesen während seines Besuchs auf anderen Seiten auf dieses Produkt hinzuweisen. Insbesondere diese Marketinginstrumente, die zu Profilen über Nutzer- und Kaufverhalten führen, fallen unter den Anwendungsbereich der sogenannten Cookie-Richtlinie.
Uneinheitliche Umsetzung
Wie bei allen Europäischen Richtlinien haben die nationalen Gesetzgeber einen weitreichenden Spielraum bei der Umsetzung in die jeweiligen Rechtsordnungen. Zwar haben die allermeisten Länder die Cookie-Richtlinie mittlerweile umgesetzt, die Herangehensweisen unterscheiden sich jedoch stark. Die Mehrheit der Länder (u.a. Dänemark, Großbritannien, Niederlande, Österreich und Spanien) hat sich bei der Umsetzung für eine opt-in-Lösung entschieden, das heißt für das Setzen von Cookies ist eine ausdrückliche Einwilligung der Nutzer erforderlich. Wie diese Einwilligung von den Webseiten eingeholt werden kann, ist jedoch meist im Detail nicht geregelt.
In der Praxis findet sich die schärfste Form der Einwilligung in einer der Homepage vorangeschalteten Seite, die beim ersten Besuch vor dem Einsatz von Cookies warnt und das Surfen erst ermöglicht, wenn ein Bestätigungsbutton angeklickt wurde. Derartige Hinweise wurden insbesondere in Großbritannien lange gefordert, doch nachdem selbst die britischen Datenschutzbehörden inzwischen auf ihren eigenen Seiten auf derartige Hinweise verzichten, sind diese auch in der Privatwirtschaft nur noch vereinzelt zu finden.
Als ähnlich ineffektiv haben sich Pop-Up-Fenster erwiesen, schon allein weil sie von den meisten aktuellen Browsern geblockt werden und daher nicht ihre Hinweis-Aufgabe erfüllen können. Die gängigste Form der opt-in-Zustimmung sind Banner und Tick-Boxen, meist oben oder unten auf einer Webseite angebrachte Schaltflächen, die auf Cookies hinweisen und oftmals auf weitergehende Hinweise, eine Datenschutzerklärung oder Allgemeine Geschäftsbedingungen verlinken. Derartige Banner und Tick-Boxen sind stark verbreitet und selbst Google hat sich inzwischen zu einer europaweiten Einführung entschlossen.
In anderen Ländern wie Bulgarien, Tschechien oder Finnland haben sich die Gesetzgeber für eine opt-out-Lösung entschieden. Dies bedeutet, dass der Nutzer nicht ausdrücklich zustimmen muss, sondern seine Haltung etwa durch entsprechende Browsereinstellungen oder Plug-Ins signalisieren kann. In diesen Ländern dürfen Cookies oftmals eingesetzt werden, wenn sie standardmäßig von einem Browser akzeptiert werden und wenn ausreichend über deren Einsatz informiert wurde.
Gute und böse Cookies
Ein aktueller Trend der europäischen Gesetzgebung ist die Einteilung in „gute“ und „böse“ Cookies.
„Gute“ Cookies, also solche, die für den Betrieb von Webseiten erforderlich sind und von Kunden ausdrücklich gewünschte Funktionen bieten (z.B. Einloggen in Kundenkonten, Online-Bezahlfunktionen oder Warenkörbe von Online-Shops), werden entweder direkt vom Regelungsbereich der Gesetze ausgenommen oder für sie ist eine weniger weitreichende Form der Einwilligung erforderlich. Selbst Cookies, die der Analyse von Webseiten dienen, fallen oftmals unter diese Kategorie, zumindest dann, wenn sie von der Webseite selbst gesetzt werden (sog. First-Party-Cookies).
Unter die Kategorie der „bösen“ Cookies fallen die meisten Angebote von Werbe- und Social-Media-Plattformen, die ein Tracking der Internetnutzer betreiben. Für diese gelten die höchsten Anforderungen an das Maß der Einwilligung und den Umfang der Informationspflichten. Insbesondere Dänemark, Frankreich, Österreich und Großbritannien nehmen eine derartige Kategorisierung vor. In diesen Ländern unterscheiden sich folglich auch die Webseiten: Während bei Unternehmen, die nur Basis-Funktionen einsetzen und keine Marketing-Cookies einsetzen, keine Einwilligung eingeholt werden muss, müssen andere Unternehmen ihre Webseiten mit hohem technischem und organisatorischem Aufwand an die Cookie-Gesetzgebung anpassen.
Generelle Hinweise oder Cookie-Liste
Einigkeit herrscht bezüglich der Frage, ob Internetnutzer über die Verwendung von Cookies aufgeklärt werden müssen. Alle Länder, die die Cookie-Richtlinie umgesetzt haben, schreiben dies verbindlich vor. Die nationalen Gesetze und darauf aufbauende Handlungsempfehlungen der Datenschutzbehörden legen oft fest, ob dies in Allgemeinen Geschäftsbedingungen, Datenschutzrichtlinien oder speziellen Cookie-Hinweisen zu erfolgen hat.
Hierbei ist ein Trend zu beobachten, eine möglichst eigenständige und leicht verständliche Information zu fordern, wohingegen eine Erwähnung in Allgemeinen Geschäftsbedingungen oder gar im Impressum als nicht ausreichend angesehen wird.
Der Inhalt solcher Cookie-Hinweise weicht von Land zu Land ab – Schweden fordert beispielsweise, dass über den Zweck, den Namen, die Domain und die Speicherdauer von Cookies informiert wird, in anderen Ländern reicht hingegen eine allgemeine Information über die Art der verwendeten Cookies und die für die Speicherung der Daten verantwortlichen Stelle.
Nicht nur wegen dieser unterschiedlichen Anforderungen empfiehlt es sich für europaweit agierende Unternehmen, ein Cookie-Management vorzuhalten oder einzurichten, das einen Überblick über die selbst verwendeten Cookies schafft.
Digitale Detektive und behördliche Anschreiben
Die Durchsetzung der Cookie-Richtlinie wird derzeit insbesondere in Großbritannien und den Niederlanden forciert. Nach einer einjährigen Einführungszeit hat Großbritannien im letzten Jahr über 150 Webseitenbetreiber angeschrieben und sie auf mögliche Verstöße aufmerksam gemacht. In den Niederlanden wurde eine juristische Beweislastumkehr eingeführt, nach der Unternehmen beweisen müssen, dass sie die Zustimmung des Nutzers zum Einsatz von Tracking Cookies erhalten haben (in den meisten anderen Ländern muss die jeweilige Aufsichtsbehörde Verstöße beweisen). Die Überwachung wird von „Digitalen Detektiven“ der niederländischen Datenschutzbehörden gewährleistet, die aktiv das Internet nach Verstößen untersuchen.
Dies entspricht jedoch noch nicht der europäischen gängigen Praxis, da Datenschutzbehörden oftmals nur auf individuelle Beschwerden hin aktiv werden. Fragt man bei nationalen Datenschutzbehörden an, ergibt sich ein sehr uneinheitliches Bild – während vereinzelt darauf hingewiesen wird, dass schlicht die Ressourcen für eine effektive Überwachung fehlen, wird anderorts die unklare Rechtslage betont, die eine Durchsetzung in der Vergangenheit unterbunden hat.
Mögliche Strafen sind jedoch bereits in den einzelnen Gesetzgebungen verankert, wie etwa bis zu 450.000 EUR im Fall der Niederlande. Die Haftung deutscher Unternehmen nach ausländischen Rechtsordnungen wird unterschiedlich beurteilt und ist eine Frage des Einzelfalls. Hier kommt es darauf an, ob das Unternehmen eine Niederlassung in dem jeweiligen Land hat oder mit einer eigenen Webseite gezielt ausländische Kunden „anspricht“.
Deutscher Standpunkt
Deutschland ist eines der wenigen Länder, das die Cookie-Richtlinie noch nicht umgesetzt hat, obwohl die Umsetzungsfrist seit Mai 2011 abgelaufen ist.
Im Januar 2012 hatte die SPD-Fraktion einen Gesetzesentwurf in den Bundestag eingebracht, der den Wortlaut der Richtlinie nahezu unverändert in das deutsche Telemediengesetz übernommen hätte und die Richtlinie damit in deutsches Recht umgesetzt hätte. Dieser Entwurf wurde von der Bundesregierung im Ausschuss für Wirtschaft und Technologie abgelehnt.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, hat mittlerweile die Auffassung geäußert, die Richtlinie sei in Deutschland auch ohne Umsetzung in nationales Recht unmittelbar anwendbar. Demnach müssten sich deutsche Unternehmen bereits an die Richtlinie halten und ihre Webseiten entsprechen anpassen.
Diese Auffassung ist jedoch aus juristischer Sicht sehr umstritten, da eine Richtlinie für eine direkte Anwendung klar und detailliert genug sein muss. Dies ist vor allem bei dem interpretationsfähigen Begriff der Einwilligung nicht gesichert.
Außerdem scheidet eine unmittelbare Anwendung zwischen Privaten regelmäßig aus, da sich nach der Rechtsprechung des Europäischen Gerichtshofes nur Einzelne gegenüber dem Staat auf Richtlinien berufen können (es besteht keine sog. horizontale Direktwirkung).
Do-Not-Track als Ausweg
Am Ende eines europäischen Harmonisierungsprozesses könnte eine technische Lösung stehen: In den meisten Ländern ist die Möglichkeit zur Erklärung der Einwilligung über Browser-Einstellungen bereits vorgesehen. Zwar wird dies derzeit von den meisten Ländern als nicht ausreichend betrachtet, wird aber oft damit erklärt, dass derzeitige Browser-Generationen schlicht nicht in der Lage sind, die gesetzgeberischen Anforderungen zu erfüllen.
Die “Do-Not-Track”-Initiative des World Wide Web Consortium (W3C) versucht jedoch genau dies technisch machbar zu machen. Mit dieser Technologie ist es möglich, dass Nutzer beispielsweise den Einsatz von seitenübergreifenden Tracking Cookies unterbinden. In Europa zeigen sich derzeit vor allem Italien und Finnland offen gegenüber derartigen Entwicklungen. In Deutschland werden solche selbstregulatorischen Maßnahmen vor allem wegen der mangelnden internationalen Unterstützung skeptisch beurteilt (siehe z.B. Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein v. 9.10.2012 „Selbstregulierung bei Do-Not-Track gescheitert“).
Fazit
Aufgrund des unspezifischen Wortlauts der Cookie-Richtlinie unterscheiden sich nationale Gesetze und Empfehlungen der einzelnen Datenschutzbehörden deutlich. Europaweit agierende Unternehmen können durch ein Cookie-Banner und eine Cookie-Erklärung Konformität mit vielen Landesgesetzen herstellen, oftmals sind jedoch Besonderheiten der einzelnen Länder zu beachten, die eine Anpassung erforderlich machen. Um die Anforderungen der nationalen Datenschutzbehörden zu erfüllen, muss zunächst ein unternehmensinterner Überblick über die auf der eigenen Homepage verwendeten Cookies geschaffen werden.
Einigkeit herrscht bezüglich der Tatsache, dass Internetnutzer in einfachen, klar verständlichen Worten über den Einsatz von Cookies aufgeklärt werden müssen. Hierbei ist es oftmals erforderlich, bestehende Nutzungsbedingungen und Datenschutzrichtlinien zu überprüfen und gegebenenfalls anzupassen. So können Cookies als effektive Marketingtools genutzt werden, ohne den Datenschutz außer Acht zu lassen.
Der Autor
Andreas Dölker ist Associate in der Kanzlei Schürmann Wolschendorf Dreyer Rechtsanwälte in Berlin-Mitte. Seine Tätigkeitsschwerpunkte umfassen das IT- und Datenschutzrecht sowie den Bereich des Gewerblichen Rechtsschutzes. Wegen seiner Erfahrung als Serverbetreuer und Systemadministrator in Freiburg im Breisgau, berät er hauptsächlich Unternehmen an der Schnittstelle zwischen Recht und Technik.
Die Kanzlei Schürmann Wolschendorf Dreyer betreut namhafte nationale und internationale Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angrenzenden Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.
Auf der Kanzlei-Website [Medien und Marken](http://www.medienundmarken.de/home.html) erscheinen regelmäßig Fachaufsätze zu Rechtsfragen aus dem digitalen Themenspektrum.
Unter der Bezeichnung "Redaktion Dr. Web" findest du Beiträge, die von mehreren Autorinnen und Autoren kollaborativ erstellt wurden. Auch Beiträge von Gastautoren sind hier zu finden. Beachte dann bitte die zusätzlichen Informationen zum Autor oder zur Autorin im Beitrag selbst.
Schön, dass ihr euch dieses wichtigen Themas angenommen habt, danke für den Überblick! Verwirrend, dass es (noch) keine einheitlichen Regelungen gibt. Ich bekam in Österreich von meiner Berufsgruppenvertretung kürzlich auf konkrete Nachfrage anderslautende Auskunft („Opt-in nicht notwendig“) – man macht´s uns jedenfalls nicht einfach… :P
Gerade die uneinheitliche Umsetzung ist zur Zeit ein Problem. Die österreichischen Datenschutzbehörden geben zur Zeit die Auskunft, dass zwischen First-Party und Session-Cookies auf der einen Seite und zwischen Third-Party und Permanent Cookies auf der anderen Seite unterschieden werden muss. Für die zweite Kategorie fordern sie ein opt-in. Anders als in anderen Ländern gibt es in Österreich (noch) keine offiziellen Handlungsempfehlungen.
Ja, leider. Und die Rechtstexte, auf die man hingewiesen wird, sind für „Laien“ oft schwer bis gar nicht verständlich… Ich werde wohl weiterhin alle paar Monate die Experten der WKO belästigen, bis es diese Handlungsempfehlungen in konkreter und verständlicher Form endlich gibt. Nochmals danke für die gute Grundlage hier!
Mich würde interessieren, ob der Einsatz von Local Storage bzw. Session Storage ebenfalls unter diese Richtlinie fällt.
Ja, das nehme ich auch an. Dennoch verwirrt mich die Frage etwas, weil LocalStorage und Cookies im Grunde völlig andere Aufgaben haben. Ich nehme an, Sr. Porros hat einen speziellen Anwendungsfall im Sinn.
Nein, ich habe dabei nicht wirklich an eine bestimmte Anwendung gedacht. Ein konkretes Beispiel bietet dieser Artikel selbst: Man könnte – statt mit cookies – benutzerdefinierte Einstellungen auch mit localstorage speichern. Meine Überlegung ist nun, ob Web Storage nicht ebenfalls unter diese Richtlinie fällt, da diese Technik ähnliche Möglichkeiten bietet wie cookies und von einigen Leuten auch tatsächlich als „Supercookies“ bezeichnet werden. Ich beziehe mich da vor allem auf diesen Abschnitt des Artikels: „Einigkeit herrscht bezüglich der Frage, ob Internetnutzer über die Verwendung von Cookies aufgeklärt werden müssen. Alle Länder, die die Cookie-Richtlinie umgesetzt haben, schreiben dies verbindlich vor.“
Die Richtlinie ist sehr allgemein gehalten und bewusst „technikoffen“ formuliert. Auch die Umsetzungen in den Ländern sprechen oft nur von „Daten“ oder „Informationen“ und nicht von Cookies. Daher ist wohl auch die Speicherung mittels HTML5 Local Storage erfasst. Andernfalls wäre auch die Umgehung der Richtlinie sehr leicht möglich. Das wollte der Gesetzgeber bewusst vermeiden.
Vielen Dank für die Aufklärung. Im Prinzip hatte ich Artikel 5, Absatz 3 der Richtlinie auch so verstanden, war aber unsicher, da in den Artikeln, die ich gelesen hatte, immer nur von Cookies die Rede war. Ich gehe also nun einmal davon aus, das jegliche Informationsspeicherung bzw. jeglicher Abruf von Informationen zumindest benannt und erklärt werden sollte.
Schön, dass ihr euch dieses wichtigen Themas angenommen habt, danke für den Überblick! Verwirrend, dass es (noch) keine einheitlichen Regelungen gibt. Ich bekam in Österreich von meiner Berufsgruppenvertretung kürzlich auf konkrete Nachfrage anderslautende Auskunft („Opt-in nicht notwendig“) – man macht´s uns jedenfalls nicht einfach… :P
Gerade die uneinheitliche Umsetzung ist zur Zeit ein Problem. Die österreichischen Datenschutzbehörden geben zur Zeit die Auskunft, dass zwischen First-Party und Session-Cookies auf der einen Seite und zwischen Third-Party und Permanent Cookies auf der anderen Seite unterschieden werden muss. Für die zweite Kategorie fordern sie ein opt-in. Anders als in anderen Ländern gibt es in Österreich (noch) keine offiziellen Handlungsempfehlungen.
Ja, leider. Und die Rechtstexte, auf die man hingewiesen wird, sind für „Laien“ oft schwer bis gar nicht verständlich… Ich werde wohl weiterhin alle paar Monate die Experten der WKO belästigen, bis es diese Handlungsempfehlungen in konkreter und verständlicher Form endlich gibt. Nochmals danke für die gute Grundlage hier!
Mich würde interessieren, ob der Einsatz von Local Storage bzw. Session Storage ebenfalls unter diese Richtlinie fällt.
Wenn du die Frage konkretisierst, klären wir das.
Ich denke Fumar meint den HTML5 Local Storage.
Ja, das nehme ich auch an. Dennoch verwirrt mich die Frage etwas, weil LocalStorage und Cookies im Grunde völlig andere Aufgaben haben. Ich nehme an, Sr. Porros hat einen speziellen Anwendungsfall im Sinn.
Nein, ich habe dabei nicht wirklich an eine bestimmte Anwendung gedacht. Ein konkretes Beispiel bietet dieser Artikel selbst: Man könnte – statt mit cookies – benutzerdefinierte Einstellungen auch mit localstorage speichern. Meine Überlegung ist nun, ob Web Storage nicht ebenfalls unter diese Richtlinie fällt, da diese Technik ähnliche Möglichkeiten bietet wie cookies und von einigen Leuten auch tatsächlich als „Supercookies“ bezeichnet werden. Ich beziehe mich da vor allem auf diesen Abschnitt des Artikels:
„Einigkeit herrscht bezüglich der Frage, ob Internetnutzer über die Verwendung von Cookies aufgeklärt werden müssen. Alle Länder, die die Cookie-Richtlinie umgesetzt haben, schreiben dies verbindlich vor.“
Die Richtlinie ist sehr allgemein gehalten und bewusst „technikoffen“ formuliert. Auch die Umsetzungen in den Ländern sprechen oft nur von „Daten“ oder „Informationen“ und nicht von Cookies. Daher ist wohl auch die Speicherung mittels HTML5 Local Storage erfasst. Andernfalls wäre auch die Umgehung der Richtlinie sehr leicht möglich. Das wollte der Gesetzgeber bewusst vermeiden.
Vielen Dank für die Aufklärung. Im Prinzip hatte ich Artikel 5, Absatz 3 der Richtlinie auch so verstanden, war aber unsicher, da in den Artikeln, die ich gelesen hatte, immer nur von Cookies die Rede war. Ich gehe also nun einmal davon aus, das jegliche Informationsspeicherung bzw. jeglicher Abruf von Informationen zumindest benannt und erklärt werden sollte.