Spaces. Smartes Cloud Hosting für anspruchsvolle Webprojekte. Loslegen und Spaces testen. Von Mittwald.
Redaktion Dr. Web 10. Mai 2013

Banner, Pop-Up oder Tick-Box? Praxishinweise zur europaweiten Umsetzung der Cookie-Richtlinie

Die Umsetzung der Cookie-Richtlinie (Richtlinie 2009/136/EC, auch bekannt als e-Privacy-Richtlinie) hat bei euro­pa­weit agie­ren­den Unternehmen gro­ße Rechtsunsicherheit her­vor­ge­ru­fen. Die meis­ten euro­päi­schen Länder haben die Richtlinie mitt­ler­wei­le umge­setzt, unklar bleibt jedoch, wel­che Cookies Unternehmen ein­set­zen dür­fen und wie sie über deren Gebrauch infor­mie­ren müs­sen. Der fol­gen­de Beitrag soll einen Überblick über unter­schied­li­che Regelungsansätze und pas­sen­de Reaktionsmöglichkeit lie­fern.

cookies-1805_640-w640

Cookies als Marketinginstrument

Cookies, klei­ne Dateien, die auf Datenträgern der Internetnutzer abge­legt wer­den, haben sich als unver­zicht­ba­res Marketinginstrument eta­bliert. Zunächst dien­ten sie nur dem Speichern von benut­zer­de­fi­nier­ten Einstellungen oder erspar­ten das erneu­te Einloggen bei einem spä­te­ren Besuch auf einer Internetseite.

Inzwischen nutzt die Werbewirtschaft Cookies für umfang­rei­che Analysen des Nutzerverhaltens, um poten­ti­el­len Kunden ziel­ge­naue Angebote unter­brei­ten zu kön­nen. Dabei ist es mög­lich, das Nutzerverhalten über meh­re­re Seiten hin­weg zu ana­ly­sie­ren, z. B. um Werbung für Waschmaschinen oder Hausratsversicherungen zu plat­zie­ren, wenn sich ein Nutzer zuvor in einer Suchmaschine über Waschmaschinen infor­miert hat oder einen ent­spre­chen­den Artikel in einem Nachrichtenportal gele­sen hat (sog. Behavioral-Targeting). Diese Informationen kön­nen mit einer geo­gra­fi­schen Ortung des Nutzers zusam­men­ge­führt wer­den und mit Hilfe von sta­tis­ti­schen Daten ergänzt wer­den, um ein zukünf­ti­ges Nutzungsverhalten vor­her­zu­sa­gen.

Beliebt ist auch, ver­lo­ren­ge­gan­ge­ne Kunden wie­der anzu­spre­chen (sog. Retargeting), d.h. wenn ein Kunde ein­mal ein Produkt in einem Onlineshop ange­se­hen hat, die­sen wäh­rend sei­nes Besuchs auf ande­ren Seiten auf die­ses Produkt hin­zu­wei­sen. Insbesondere die­se Marketinginstrumente, die zu Profilen über Nutzer- und Kaufverhalten füh­ren, fal­len unter den Anwendungsbereich der soge­nann­ten Cookie-Richtlinie.

Uneinheitliche Umsetzung

Wie bei allen Europäischen Richtlinien haben die natio­na­len Gesetzgeber einen weit­rei­chen­den Spielraum bei der Umsetzung in die jewei­li­gen Rechtsordnungen. Zwar haben die aller­meis­ten Länder die Cookie-Richtlinie mitt­ler­wei­le umge­setzt, die Herangehensweisen unter­schei­den sich jedoch stark. Die Mehrheit der Länder (u.a. Dänemark, Großbritannien, Niederlande, Österreich und Spanien) hat sich bei der Umsetzung für eine opt-in-Lösung ent­schie­den, das heißt für das Setzen von Cookies ist eine aus­drück­li­che Einwilligung der Nutzer erfor­der­lich. Wie die­se Einwilligung von den Webseiten ein­ge­holt wer­den kann, ist jedoch meist im Detail nicht gere­gelt.

donotenter-w640

In der Praxis fin­det sich die schärfs­te Form der Einwilligung in einer der Homepage vor­an­ge­schal­te­ten Seite, die beim ers­ten Besuch vor dem Einsatz von Cookies warnt und das Surfen erst ermög­licht, wenn ein Bestätigungsbutton ange­klickt wur­de. Derartige Hinweise wur­den ins­be­son­de­re in Großbritannien lan­ge gefor­dert, doch nach­dem selbst die bri­ti­schen Datenschutzbehörden inzwi­schen auf ihren eige­nen Seiten auf der­ar­ti­ge Hinweise ver­zich­ten, sind die­se auch in der Privatwirtschaft nur noch ver­ein­zelt zu fin­den.

Als ähn­lich inef­fek­tiv haben sich Pop-Up-Fenster erwie­sen, schon allein weil sie von den meis­ten aktu­el­len Browsern geblockt wer­den und daher nicht ihre Hinweis-Aufgabe erfül­len kön­nen. Die gän­gigs­te Form der opt-in-Zustimmung sind Banner und Tick-Boxen, meist oben oder unten auf einer Webseite ange­brach­te Schaltflächen, die auf Cookies hin­wei­sen und oft­mals auf wei­ter­ge­hen­de Hinweise, eine Datenschutzerklärung oder Allgemeine Geschäftsbedingungen ver­lin­ken. Derartige Banner und Tick-Boxen sind stark ver­brei­tet und selbst Google hat sich inzwi­schen zu einer euro­pa­wei­ten Einführung ent­schlos­sen.

In ande­ren Ländern wie Bulgarien, Tschechien oder Finnland haben sich die Gesetzgeber für eine opt-out-Lösung ent­schie­den. Dies bedeu­tet, dass der Nutzer nicht aus­drück­lich zustim­men muss, son­dern sei­ne Haltung etwa durch ent­spre­chen­de Browsereinstellungen oder Plug-Ins signa­li­sie­ren kann. In die­sen Ländern dür­fen Cookies oft­mals ein­ge­setzt wer­den, wenn sie stan­dard­mä­ßig von einem Browser akzep­tiert wer­den und wenn aus­rei­chend über deren Einsatz infor­miert wur­de.

Gute und böse Cookies

Ein aktu­el­ler Trend der euro­päi­schen Gesetzgebung ist die Einteilung in „gute“ und „böse“ Cookies.

„Gute“ Cookies, also sol­che, die für den Betrieb von Webseiten erfor­der­lich sind und von Kunden aus­drück­lich gewünsch­te Funktionen bie­ten (z.B. Einloggen in Kundenkonten, Online-Bezahlfunktionen oder Warenkörbe von Online-Shops), wer­den ent­we­der direkt vom Regelungsbereich der Gesetze aus­ge­nom­men oder für sie ist eine weni­ger weit­rei­chen­de Form der Einwilligung erfor­der­lich. Selbst Cookies, die der Analyse von Webseiten die­nen, fal­len oft­mals unter die­se Kategorie, zumin­dest dann, wenn sie von der Webseite selbst gesetzt wer­den (sog. First-Party-Cookies).

recht-paragrafen

Unter die Kategorie der „bösen“ Cookies fal­len die meis­ten Angebote von Werbe- und Social-Media-Plattformen, die ein Tracking der Internetnutzer betrei­ben. Für die­se gel­ten die höchs­ten Anforderungen an das Maß der Einwilligung und den Umfang der Informationspflichten. Insbesondere Dänemark, Frankreich, Österreich und Großbritannien neh­men eine der­ar­ti­ge Kategorisierung vor. In die­sen Ländern unter­schei­den sich folg­lich auch die Webseiten: Während bei Unternehmen, die nur Basis-Funktionen ein­set­zen und kei­ne Marketing-Cookies ein­set­zen, kei­ne Einwilligung ein­ge­holt wer­den muss, müs­sen ande­re Unternehmen ihre Webseiten mit hohem tech­ni­schem und orga­ni­sa­to­ri­schem Aufwand an die Cookie-Gesetzgebung anpas­sen.

Generelle Hinweise oder Cookie-Liste

Einigkeit herrscht bezüg­lich der Frage, ob Internetnutzer über die Verwendung von Cookies auf­ge­klärt wer­den müs­sen. Alle Länder, die die Cookie-Richtlinie umge­setzt haben, schrei­ben dies ver­bind­lich vor. Die natio­na­len Gesetze und dar­auf auf­bau­en­de Handlungsempfehlungen der Datenschutzbehörden legen oft fest, ob dies in Allgemeinen Geschäftsbedingungen, Datenschutzrichtlinien oder spe­zi­el­len Cookie-Hinweisen zu erfol­gen hat.

cookies-w640

Hierbei ist ein Trend zu beob­ach­ten, eine mög­lichst eigen­stän­di­ge und leicht ver­ständ­li­che Information zu for­dern, wohin­ge­gen eine Erwähnung in Allgemeinen Geschäftsbedingungen oder gar im Impressum als nicht aus­rei­chend ange­se­hen wird.

Der Inhalt sol­cher Cookie-Hinweise weicht von Land zu Land ab – Schweden for­dert bei­spiels­wei­se, dass über den Zweck, den Namen, die Domain und die Speicherdauer von Cookies infor­miert wird, in ande­ren Ländern reicht hin­ge­gen eine all­ge­mei­ne Information über die Art der ver­wen­de­ten Cookies und die für die Speicherung der Daten ver­ant­wort­li­chen Stelle.

Nicht nur wegen die­ser unter­schied­li­chen Anforderungen emp­fiehlt es sich für euro­pa­weit agie­ren­de Unternehmen, ein Cookie-Management vor­zu­hal­ten oder ein­zu­rich­ten, das einen Überblick über die selbst ver­wen­de­ten Cookies schafft.

Digitale Detektive und behördliche Anschreiben

Die Durchsetzung der Cookie-Richtlinie wird der­zeit ins­be­son­de­re in Großbritannien und den Niederlanden for­ciert. Nach einer ein­jäh­ri­gen Einführungszeit hat Großbritannien im letz­ten Jahr über 150 Webseitenbetreiber ange­schrie­ben und sie auf mög­li­che Verstöße auf­merk­sam gemacht. In den Niederlanden wur­de eine juris­ti­sche Beweislastumkehr ein­ge­führt, nach der Unternehmen bewei­sen müs­sen, dass sie die Zustimmung des Nutzers zum Einsatz von Tracking Cookies erhal­ten haben (in den meis­ten ande­ren Ländern muss die jewei­li­ge Aufsichtsbehörde Verstöße bewei­sen). Die Überwachung wird von „Digitalen Detektiven“ der nie­der­län­di­schen Datenschutzbehörden gewähr­leis­tet, die aktiv das Internet nach Verstößen unter­su­chen.

chicago-80664_640-w640

Dies ent­spricht jedoch noch nicht der euro­päi­schen gän­gi­gen Praxis, da Datenschutzbehörden oft­mals nur auf indi­vi­du­el­le Beschwerden hin aktiv wer­den. Fragt man bei natio­na­len Datenschutzbehörden an, ergibt sich ein sehr unein­heit­li­ches Bild – wäh­rend ver­ein­zelt dar­auf hin­ge­wie­sen wird, dass schlicht die Ressourcen für eine effek­ti­ve Überwachung feh­len, wird ander­orts die unkla­re Rechtslage betont, die eine Durchsetzung in der Vergangenheit unter­bun­den hat.

Mögliche Strafen sind jedoch bereits in den ein­zel­nen Gesetzgebungen ver­an­kert, wie etwa bis zu 450.000 EUR im Fall der Niederlande. Die Haftung deut­scher Unternehmen nach aus­län­di­schen Rechtsordnungen wird unter­schied­lich beur­teilt und ist eine Frage des Einzelfalls. Hier kommt es dar­auf an, ob das Unternehmen eine Niederlassung in dem jewei­li­gen Land hat oder mit einer eige­nen Webseite gezielt aus­län­di­sche Kunden „anspricht“.

Deutscher Standpunkt

Deutschland ist eines der weni­gen Länder, das die Cookie-Richtlinie noch nicht umge­setzt hat, obwohl die Umsetzungsfrist seit Mai 2011 abge­lau­fen ist.

germany-96590_640-w640

Im Januar 2012 hat­te die SPD-Fraktion einen Gesetzesentwurf in den Bundestag ein­ge­bracht, der den Wortlaut der Richtlinie nahe­zu unver­än­dert in das deut­sche Telemediengesetz über­nom­men hät­te und die Richtlinie damit in deut­sches Recht umge­setzt hät­te. Dieser Entwurf wur­de von der Bundesregierung im Ausschuss für Wirtschaft und Technologie abge­lehnt.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, hat mitt­ler­wei­le die Auffassung geäu­ßert, die Richtlinie sei in Deutschland auch ohne Umsetzung in natio­na­les Recht unmit­tel­bar anwend­bar. Demnach müss­ten sich deut­sche Unternehmen bereits an die Richtlinie hal­ten und ihre Webseiten ent­spre­chen anpas­sen.

Diese Auffassung ist jedoch aus juris­ti­scher Sicht sehr umstrit­ten, da eine Richtlinie für eine direk­te Anwendung klar und detail­liert genug sein muss. Dies ist vor allem bei dem inter­pre­ta­ti­ons­fä­hi­gen Begriff der Einwilligung nicht gesi­chert.

Außerdem schei­det eine unmit­tel­ba­re Anwendung zwi­schen Privaten regel­mä­ßig aus, da sich nach der Rechtsprechung des Europäischen Gerichtshofes nur Einzelne gegen­über dem Staat auf Richtlinien beru­fen kön­nen (es besteht kei­ne sog. hori­zon­ta­le Direktwirkung).

Do-Not-Track als Ausweg

Am Ende eines euro­päi­schen Harmonisierungsprozesses könn­te eine tech­ni­sche Lösung ste­hen: In den meis­ten Ländern ist die Möglichkeit zur Erklärung der Einwilligung über Browser-Einstellungen bereits vor­ge­se­hen. Zwar wird dies der­zeit von den meis­ten Ländern als nicht aus­rei­chend betrach­tet, wird aber oft damit erklärt, dass der­zei­ti­ge Browser-Generationen schlicht nicht in der Lage sind, die gesetz­ge­be­ri­schen Anforderungen zu erfül­len.

Die “Do-Not-Track”-Initiative des World Wide Web Consortium (W3C) ver­sucht jedoch genau dies tech­nisch mach­bar zu machen. Mit die­ser Technologie ist es mög­lich, dass Nutzer bei­spiels­wei­se den Einsatz von sei­ten­über­grei­fen­den Tracking Cookies unter­bin­den. In Europa zei­gen sich der­zeit vor allem Italien und Finnland offen gegen­über der­ar­ti­gen Entwicklungen. In Deutschland wer­den sol­che selbst­re­gu­la­to­ri­schen Maßnahmen vor allem wegen der man­geln­den inter­na­tio­na­len Unterstützung skep­tisch beur­teilt (sie­he z.B. Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein v. 9.10.2012 „Selbstregulierung bei Do-Not-Track geschei­tert“).

europe-63026_640-w640

Fazit

Aufgrund des unspe­zi­fi­schen Wortlauts der Cookie-Richtlinie unter­schei­den sich natio­na­le Gesetze und Empfehlungen der ein­zel­nen Datenschutzbehörden deut­lich. Europaweit agie­ren­de Unternehmen kön­nen durch ein Cookie-Banner und eine Cookie-Erklärung Konformität mit vie­len Landesgesetzen her­stel­len, oft­mals sind jedoch Besonderheiten der ein­zel­nen Länder zu beach­ten, die eine Anpassung erfor­der­lich machen. Um die Anforderungen der natio­na­len Datenschutzbehörden zu erfül­len, muss zunächst ein unter­neh­mens­in­ter­ner Überblick über die auf der eige­nen Homepage ver­wen­de­ten Cookies geschaf­fen wer­den.

Einigkeit herrscht bezüg­lich der Tatsache, dass Internetnutzer in ein­fa­chen, klar ver­ständ­li­chen Worten über den Einsatz von Cookies auf­ge­klärt wer­den müs­sen. Hierbei ist es oft­mals erfor­der­lich, bestehen­de Nutzungsbedingungen und Datenschutzrichtlinien zu über­prü­fen und gege­be­nen­falls anzu­pas­sen. So kön­nen Cookies als effek­ti­ve Marketingtools genutzt wer­den, ohne den Datenschutz außer Acht zu las­sen.

Der Autor

AndreasDoelker-w150Andreas Dölker ist Associate in der Kanzlei Schürmann Wolschendorf Dreyer Rechtsanwälte in Berlin-Mitte. Seine Tätigkeitsschwerpunkte umfas­sen das IT- und Datenschutzrecht sowie den Bereich des Gewerblichen Rechtsschutzes. Wegen sei­ner Erfahrung als Serverbetreuer und Systemadministrator in Freiburg im Breisgau, berät er haupt­säch­lich Unternehmen an der Schnittstelle zwi­schen Recht und Technik.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut nam­haf­te natio­na­le und inter­na­tio­na­le Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angren­zen­den Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website [Medien und Marken](http://www.medienundmarken.de/home.html) erschei­nen regel­mä­ßig Fachaufsätze zu Rechtsfragen aus dem digi­ta­len Themenspektrum.

(dpe)

Redaktion Dr. Web

Unter der Bezeichnung "Redaktion Dr. Web" findest du Beiträge, die von mehreren Autorinnen und Autoren kollaborativ erstellt wurden. Auch Beiträge von Gastautoren sind hier zu finden. Beachte dann bitte die zusätzlichen Informationen zum Autor oder zur Autorin im Beitrag selbst.

10 Kommentare

  1. Schön, dass ihr euch die­ses wich­ti­gen Themas ange­nom­men habt, dan­ke für den Überblick! Verwirrend, dass es (noch) kei­ne ein­heit­li­chen Regelungen gibt. Ich bekam in Österreich von mei­ner Berufsgruppenvertretung kürz­lich auf kon­kre­te Nachfrage anders­lau­ten­de Auskunft (“Opt-in nicht not­wen­dig”) – man macht´s uns jeden­falls nicht ein­fach… :P

    • Gerade die unein­heit­li­che Umsetzung ist zur Zeit ein Problem. Die öster­rei­chi­schen Datenschutzbehörden geben zur Zeit die Auskunft, dass zwi­schen First-Party und Session-Cookies auf der einen Seite und zwi­schen Third-Party und Permanent Cookies auf der ande­ren Seite unter­schie­den wer­den muss. Für die zwei­te Kategorie for­dern sie ein opt-in. Anders als in ande­ren Ländern gibt es in Österreich (noch) kei­ne offi­zi­el­len Handlungsempfehlungen.

      • Ja, lei­der. Und die Rechtstexte, auf die man hin­ge­wie­sen wird, sind für “Laien” oft schwer bis gar nicht ver­ständ­lich… Ich wer­de wohl wei­ter­hin alle paar Monate die Experten der WKO beläs­ti­gen, bis es die­se Handlungsempfehlungen in kon­kre­ter und ver­ständ­li­cher Form end­lich gibt. Nochmals dan­ke für die gute Grundlage hier!

  2. Mich wür­de inter­es­sie­ren, ob der Einsatz von Local Storage bzw. Session Storage eben­falls unter die­se Richtlinie fällt.

    • Wenn du die Frage kon­kre­ti­sierst, klä­ren wir das.

    • Ich den­ke Fumar meint den HTML5 Local Storage.

      • Ja, das neh­me ich auch an. Dennoch ver­wirrt mich die Frage etwas, weil LocalStorage und Cookies im Grunde völ­lig ande­re Aufgaben haben. Ich neh­me an, Sr. Porros hat einen spe­zi­el­len Anwendungsfall im Sinn.

    • Nein, ich habe dabei nicht wirk­lich an eine bestimm­te Anwendung gedacht. Ein kon­kre­tes Beispiel bie­tet die­ser Artikel selbst: Man könn­te – statt mit coo­kies – benut­zer­de­fi­nier­te Einstellungen auch mit local­s­to­rage spei­chern. Meine Überlegung ist nun, ob Web Storage nicht eben­falls unter die­se Richtlinie fällt, da die­se Technik ähn­li­che Möglichkeiten bie­tet wie coo­kies und von eini­gen Leuten auch tat­säch­lich als “Supercookies” bezeich­net wer­den. Ich bezie­he mich da vor allem auf die­sen Abschnitt des Artikels:
      “Einigkeit herrscht bezüg­lich der Frage, ob Internetnutzer über die Verwendung von Cookies auf­ge­klärt wer­den müs­sen. Alle Länder, die die Cookie-Richtlinie umge­setzt haben, schrei­ben dies ver­bind­lich vor.”

      • Die Richtlinie ist sehr all­ge­mein gehal­ten und bewusst “tech­nik­of­fen” for­mu­liert. Auch die Umsetzungen in den Ländern spre­chen oft nur von “Daten” oder “Informationen” und nicht von Cookies. Daher ist wohl auch die Speicherung mit­tels HTML5 Local Storage erfasst. Andernfalls wäre auch die Umgehung der Richtlinie sehr leicht mög­lich. Das woll­te der Gesetzgeber bewusst ver­mei­den.

      • Vielen Dank für die Aufklärung. Im Prinzip hat­te ich Artikel 5, Absatz 3 der Richtlinie auch so ver­stan­den, war aber unsi­cher, da in den Artikeln, die ich gele­sen hat­te, immer nur von Cookies die Rede war. Ich gehe also nun ein­mal davon aus, das jeg­li­che Informationsspeicherung bzw. jeg­li­cher Abruf von Informationen zumin­dest benannt und erklärt wer­den soll­te.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.