Datenschutz

Die Cookie-Richtlinie – auch für deutsche Website-Betreiber wichtig?

Die unter dem Namen „Cookie-Richtlinie“ bekannt gewordene Richtlinie 2009/136/EG schreibt vor, dass deren Regelungen bis spätestens 25. Mai 2011 in nationales Recht umgesetzt werden müssen. Heute, zwei Jahre später, ist hiervon in Deutschland immer noch nichts zu sehen. Während viele andere EU-Mitgliedsstaaten die Richtlinie mittlerweile in ihre nationalen Gesetze übernommen haben, herrscht hierzulande weiter Unklarheit über deren Wirksamkeit für Websitebetreiber. 

apple, apple store, klauseln

© IckeT – Fotolia

Was sind Cookies? Wofür braucht man sie? Und was sind ihre Gefahren?

Cookies sind kleine Datenpakete, die auf dem Rechner eines Nutzers installiert werden, wenn dieser eine bestimmte Website besucht. Beim nächsten Besuch derselben Seite übermittelt die Datei dem Anbieter der Website ungefragt die Daten, die mit dem Cookie gespeichert wurden. Dies können Anmeldedaten einer verschlüsselten Seite sein, oder aber auch Informationen über das bisherige Nutzerverhalten.

Diese Datenpakete können entweder personenbezogen, also unter Angabe individueller Daten des Nutzers sein – oder aber pseudonym, wobei ein Nutzerprofil ohne identifizierende Angaben gebildet wird. Für die personenbezogenen Cookies ist bereits nach derzeitiger Rechtslage eine positive Einwilligung erforderlich, für pseudonyme jedoch nicht.

Der Anwender kann die Cookies zwar grundsätzlich einsehen und löschen – wenn er dies jedoch nicht tut, hat er keinen Einfluss auf den Inhalt der Cookie-Daten oder den späteren Empfänger.

Die Gefahr von nicht gelöschten Cookies liegt eben in dieser ungefragten Übermittlung von privaten Daten, durch die Anbieter ihre Nutzer quasi „ausspähen“ können. Interessant ist dies natürlich insbesondere für die Werbebranche, in der Daten z.B. über das Kaufverhalten eines Nutzers gesammelt werden können, um anschließend Werbung individualisierter zu gestalten. Es können jedoch auch von Drittanbietern individuelle Analysen der Nutzerdaten vorgenommen werden, wodurch der Nutzer immer gläserner wird. Nicht nur konsum-, sondern auch sexuelle, politische oder religiöse Vorlieben können erfasst werden.

Was sagt die Cookie-Richtlinie der EU?

Ziel der Änderung von Art. 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation (RL 2009/136/EG) ist die Schaffung von Transparenz und Sicherheit für den Verbraucher.

Daher wurde die Richtlinie dahingehend geändert, dass der Nutzer bei den meisten Cookies, auch bei denen, die nicht nur personenbezogene, sondern pseudonyme Daten sammeln, vorher seine Einwilligung geben muss. Wie genau diese aussehen soll, überlässt die Richtlinie der Ausformung durch den nationalen Gesetzgeber.

Allerdings bedarf es weiterhin keiner Einwilligung, wenn der Cookie technisch erforderlich ist, um den jeweiligen Dienst zu erbringen und der Nutzer den Dienst ausdrücklich gewünscht hat (Session-Cookie, z.B. bei einem „Warenkorb“). Außerdem braucht der Betreiber keine Einwilligung, wenn der alleinige Zweck des Cookies die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist.

Gilt die Richtlinie in Deutschland?

Die Cookie-Richtlinie ist nach der Regelungssystematik der EU kein Gesetz, welches Bürger direkt betrifft. Vielmehr müssen die einzelnen EU-Mitgliedsstaaten die Vorgaben der Richtlinie innerhalb eines bestimmten Zeitraumes (Umsetzungsfrist) in ihre nationalen Gesetze übernehmen. Ihnen verbleibt dabei ein gewisser Umsetzungsspielraum, so dass die auf einer EU-Richtlinie beruhenden Gesetze durchaus unterschiedlich ausfallen können.

Während viele EU-Staaten die Cookie-Richtlinie bereits in nationale Gesetze übernommen haben, fehlt es bislang an einer Umsetzung in Deutschland. Daher könnte man annehmen, dass sie einfach noch nicht gilt und Webseitenbetreiber sie getrost ignorieren können. Es gibt jedoch auch gewichtige Stimmen von Datenschützern – so auch die des Bundesbeauftragten für Datenschutz, Peter Schaar -, die der Ansicht sind, die Richtlinie gelte bereits direkt und sei daher von allen Website-Betreibern zu beachten. Die Frage ist allerdings dabei, ob die Richtlinie hinreichend konkret genug gefasst ist, um unmittelbar anwendbar zu sein. Dafür spricht, dass die Richtlinie in den meisten EU-Staaten tatsächlich eins zu eins übernommen wurde. Stellt man sich auf diesen Standpunkt, so könnte der Nutzer sich gegenüber dem Webseitenbetreiber direkt auf diese Regelung berufen und auf dessen Pflichten zur Information und zum Einholen der Einwilligung bestehen. Es ist daher eine gute Idee, auch in Deutschland Websites richtlinienkonform zu gestalten.

Was muss ich tun, damit meine Website richtlinienkonform gestaltet ist?

Es gibt – solange sich der deutsche Gesetzgeber noch nicht für eine einheitliche Lösung entschieden hat – verschiedene Möglichkeiten Websites so auszugestalten, dass sie als richtlinienkonform gelten. Dies zeigt auch ein Vergleich mit den verschiedenen EU-Ländern, in denen die Richtlinie unterschiedlich umgesetzt wurde.

Wichtig und in allen EU-Staaten einheitlich geregelt ist vor allem, dass der Nutzer ausdrücklich und klar verständlich darüber belehrt wird, dass eine Website Cookies nutzt, wofür seine Daten gespeichert und genutzt werden, dass er die Speicherung verweigern kann und wie er seine Browser-Einstellungen so verändern kann, dass keine Cookies gespeichert werden. Wo diese Belehrung stattfinden muss, ist allerdings ebenso offen wie die Form der Einwilligung.

Am Sichersten ist dabei die sogenannte „opt-in“-Lösung, bei der der Nutzer ein Häkchen setzen muss, um explizit die Nutzung von Cookies zu erlauben. Ein solches Häkchen könnte er entweder bei seiner Zustimmung zur Datenschutzerklärung einer Website setzen, vorausgesetzt die Einwilligung in die Nutzung von Cookies wird gesondert hervorgehoben. Oder aber es erscheint ein Pop-up-Fenster bzw. ein Banner, welches direkt auf die Cookienutzung hinweist und um die Einwilligung bittet. Diese Lösung wird beispielsweise auch von Google praktiziert.

In manchen Ländern, welche die Richtlinie bereits umgesetzt haben, genügt jedoch bereits die sogenannte „opt-out“-Lösung. Bei dieser muss der Nutzer ein bereits gesetztes Häkchen entfernen, um die Nutzung von Cookies zu verhindern. Nutzt er die Website trotz Belehrung weiter, wird seine Zustimmung zur Cookienutzung unterstellt.

Bei beiden Modellen stellt sich allerdings das Problem, dass vor der Erklärung der Zustimmung zur Cookienutzung die Website frei von Cookies sein muss, um den Anforderungen der Cookie-Richtlinie zu genügen. Hier müssen Websitebetreiber gegebenenfalls nachbessern.

 

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (11 Bewertungen, Durchschnitt: 2,91 von 5)

RSSKommentare (9)

Kommentar schreiben | Trackback URL

  1. Tom K. sagt:

    Danke für den Artikel.

    Interessanterweise setzt Ihre Webseite hier 17 cookies von Ihrer Domain, und 67 cookies von Drittanbietern – und das ohne Hinweis bzw. Zustimmungs-Dialog. Was würde wohl Herr Schaar dazu sagen?

  2. R. sagt:

    first world problems, die Aufwand und Geld kosten, das im Endeffekt der Kunde über die Produkte zahlen muss.

    Datenschutz ist wichtig, aber man kann es auch massiv übertreiben. Unsere Datenschutzbeauftragten und Politiker sollten sich mal um die wichtigen Dinge kümmern.

    Vorallem im Hinblick auf unsere eigenen und befreundeten Geheimdienste ist das Ganze recht sinnfrei.

    Also: Bitte normiert lieber die Größen von Kaugummies oder die Farben der Gurken. Dann ist nur Politikergehalt verschwendet…

  3. Mich würde interessieren, wie hierzu jetzt der aktuelle Stand ist. Hat sich mittlerweile etwas geändert? Sollten alle Webseitenbetreiber nun schnellstmöglich reagieren oder ist man immer noch genauso schlau wie vorher?

  4. DfoG sagt:

    @Tom K.

    Die gesetzten „17 cookies von Ihrer Domain, und 67 cookies von Drittanbietern“ werden zum Großteil oder ausschließlich Sessioncookies sein und daher nicht vom Gesetz erfasst. Wichtig ist vor allem zu unterscheiden, ob die Cookies beim schließen des Browsers gelöscht werden oder bestehen.

    Grundlage meiner Aussage:
    „Allerdings bedarf es weiterhin keiner Einwilligung, wenn der Cookie technisch erforderlich ist, um den jeweiligen Dienst zu erbringen“

  5. […] Informationen über die Cookie-Richtlinie hat Rechtsanwalt Jakob Wahlers […]

  6. Philipp Raczek sagt:

    Guten Tag,

    vielen Dank für den super Artikel.

    Ich würde gerne wissen, ob sich hier in der Gesetzgebung im deutschen etwas geändert hat? Gibt es vielleicht inzwischen ein Gesetz dazu, oder ist der Artikel noch aktuell?

    Danke und beste Grüße

  7. Petschko sagt:

    Nervig, nun muss man sich für den Mist auch noch extra was Proggen… Man hätte auch Hirn nutzen können und NUR für Tracked-Cookies dieses Gesetz erlassen können… Was

    erwarten wir bei der EU^^ Den normale Cookies sind ja so böse und greifen in die Privatsphäre ein…

    Wenn ein Text-Dokument mit dem Namen „lang“ und dem Inhalt „de“ gespeichert wird, seh ich da keinen Sinn, weswegen ich den Nutzer fragen sollte? Er kann doch im Browser selbst

    den Mist abstellen, wird sich dann aber immer mit der default-Sprache der Webseite begnügen müssen. Bei solchen Cookies sollte man nicht fragen müssen, da es nur Vorteile für

    die Besucher gibt… Und wenn man damit ein Hinweis wegen den Cookies einblenden muss, lässt eher weiter den Mythos wachsen, dass Cookies böse sind und man die nicht braucht…
    Mal davon abgesehen nerven mich, als Nutzer, diese Meldungen langsam auch auf Websiten, bzgl der Cookies… Vor allem wenn man im Privaten-Modus unterwegs ist… Da die Seiten

    das selbstverständlich auch mit Cookies speichern, wenn man auf OK/Annehmen geklickt hat. Das Gesetz ist eher nervig für die Nutzer und jene die den (Datenschutz)Privaten-Modus

    nutzen. Und für die Programmierer ist es ebenfalls nervig, wer macht am ende bei dem Mist gewinn, richtig leute die andere deswegen abmahnen *sfz*

    Es gibt viel wichtigere Dinge im Bereich Datenschutz als paar (normale) Cookies. Tracking Cookies sind was anderes, für die wäre wie gesagt das Gesetz ok.

    Ich habe mir ne php-Klasse dafür erstellt, wer keine Lust hat sich die sich ansehen/nutzen, teilen tu ich die gerne, da man mmn für so nen Schwachsin

    keine kostbare Zeit verschwenden sollte…

    Link: http://pastebin.com/bGp8xGPE

    Die Klasse enthält folgende Funktionen:
    – Prüfung ob in der config eingestellt ist, dass die Cookie-Richtlinie aktiviert ist (default = true)
    – Möglichkeit eine Prüfung für Länder einzubauen (siehe setcountry() Funktion)
    — Länder können eingetragen werden
    — Der Modus kann von White auf Blacklist umgestellt werden, standartmässig sind keine Länder eingetragen und der Modus steht auf White-List (Immer bei nicht eingetragenen

    Ländern fragen)
    – Prüfung, BEVOR ein Cookie des Nutzers abgefragt wird
    – Prüfung, BEVOR ein Cookie gesetzt wird
    – MasterCookie Name ist einstellbar
    — Für „zwingend erforderlich“ abzufragende Cookies, kann man einen „force“-Parameter mitgeben, welcher dann das Cookie ausgibt, egal ob zustimmung oder nicht. Hinweis: Bitte

    denkt daran, „zwingend erforderlich“ heißt nur, wenn es ohne dieses Cookie überhaupt nicht gehen würde!
    — Man kann einen default-Wert mitgeben (für fallback)
    – Eine eigene setcookie und getcookie Funktion, die alle oben genannten Regeln befolgt. Nutzen kann man die setcookie Funktion ganz normal, wie die php-integrierte setcookie-

    Funktion.
    – Einfach zu benutzen!

    Cookies nach Zustimmung des Nutzers aktivieren: cookie::enable_cookie();
    Cookies können später/permanent deaktiviert werden: cookie::enable_cookie(false);
    Cookies setzen: cookie::setcookie(@params); siehe für parameter php.net/setcookie
    Cookies abfragen: cookie::getcookie(string $cookiename[[, mixed $fallbackvalue = false][, bool $force = false]]);
    Prüfen ob Nutzer zugestimmt hatte: cookie::getIsAllowed();

    Das einzige Cookie was ABGEFRAGT werden MUSS, ist das ‚MasterCookie‘ (DefaultName) „allow_cookies“. Ist dieses Cookie nicht gesetzt oder der Wert auf „deny“, werden keine

    Cookies gesetzt bzw abgefragt. Dieses Cookie ist erforderlich für diese Technik und hält sich somit an das Gesetz, da es unter „zwingend erforderlich“ fällt. Gesetzt wird

    dieses Cookie ja auch erst, nach Aufruf der enable_cookies() Funktion, welche erst durch Einverständnis des Nutzers aufgerufen wird. Durch den „deny“ Wert hat man die

    Möglichkeit zb den Hinweis noch für den Nutzer auszublenden, wenn er keine Cookies verwenden möchte. Wichtig: Dies fällt dann aber wieder unter „Funktion“ und muss durch einen

    Hinweis geregelt sein! Der „deny“ Wert kann ebenfalls durch die enable_cookies(false) aufgerufen werden. Beachten muss man den optionalen Übergabe-Parameter!

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×