EU Cookie Richtlinie für Ihre Website umsetzen!

Wird die Verwirrung uns alle verwirren?

Datenschutz - EU-Cookie-Richtlinie

Für einen durchschnittlichen Websitebetreiber ist die EU Cookie Richtlinie kaum nachvollzieh- und umsetzbar. Dieser Beitrag soll Ihnen zeigen, womit Sie in Zukunft rechnen müssen. Bitte beachten Sie dabei, dass folgende Information keine Rechtsauskunft, sondern lediglich eine Empfehlung darstellt.

Wenn Sie Tracking-Cookies wie Google Analytics oder Piwik, Flash-Cookies, Zählpixel u.ä. Techniken einsetzen, dann haben Sie bestimmt schon einmal etwas von der EU Cookie Richtlinie (E-Privacy-Richtlinie) RL 2009/136/EG gehört.

Nicht? Vielleicht setzen Sie Tracking-Tools ein, ohne es zu wissen und damit auch ohne die gesetzlichen Pflichten zu erfüllen?

Dann sollten Sie Ihre Seite regelmäßig auf ihr Trackingverhalten überprüfen, denn schon der Like-Button von Facebook ist ein Tracking-Tool. Und: »Unwissenheit schützt nicht vor Strafe.« Nutzen Sie einfach Browserplugins wie Ghostery oder Collusion for Crome um zu prüfen, welches Tracking von Ihrer Seite ausgeht. Diese suchen Ihnen die Links der Anbieter sowie deren Datenschutzmöglichkeiten heraus.

Jetzt müssen Sie nur noch die Datenschutzbasics beherrschen. Sie werden verstehen, wo die Probleme beim Targeting liegen und ob Sie eine Opt-In oder Opt-Out-Lösung brauchen.

Was sind Cookies?

Cookies sind das beliebteste Trackingmittel. Auf dem Rechner des Nutzers (im Browser) werden kleine Textinformationen (Cookies) gespeichert. Der Nutzer kann bei den meisten Browsern festlegen, ob er diese zulassen, behalten oder löschen möchte. Dazu muss der aber erst einmal wissen, was Cookies sind und wie man diese im Browser löschen kann.
Und da liegt das Problem: Cookies speichern Nutzerinformationen, ihr Verhalten, ihre Vorlieben im Netz. Werbung kann so gezielter und relevanter zugeschnitten werden, auf der anderen Seite wird der User so auch immer gläserner und steuerbarer. Die EU hat daher 2009 eine Richtlinie erlassen, die die Nutzer vor solchen Trackingmaßnahmen schützen soll.

Die EU-Cookie-Richtlinie

Nutzer müssen über die Trackingmaßnahmen informiert werden. Nutzer müssen jetzt einwilligen (Opt-In), bevor die Trackingmaßnahmen beginnen. Nutzer müssen jederzeit den Trackingmaßnahmen widersprechen können.

Zuvor war im TMG schon festgelegt, dass zur Sammlung personenbezogener Daten eine Einwilligung des Nutzers (Opt-In) erfolgen muss - nun soll man diese auch bei pseudonymen Daten benötigen.

»Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.«

EU Cookie Richtlinie Hinweis

Wenn die Cookies nicht darauf zielen, das Surf-Verhalten des Nutzers auszuwerten, technisch erforderlich zur Diensterbringung und vom Nutzer ausdrücklich gewünscht sind, braucht es keine Einwilligung (Nachrichtenübertragung im elektronischen Kommunikationsnetz, Session Cookies).

Eine EU-Richtlinie ist jedoch zunächst einmal kein Gesetz. Sie ist eine Anweisung an die EU-Länder, selbst Gesetze zu erlassen. Eine unmittelbare Wirkung tritt nur dann ein, wenn die Länder sich weigern, die Richtlinie umzusetzen und diese hinreichend deutlich formuliert ist. Die Bundesregierung hätte die Richtlinie bis spätestens zum 25. Mai 2011 in nationales Recht umsetzen müssen - diese Frist ist verstrichen, weil die Richtlinie offen lässt, wie genau die Einwilligung vom Nutzer eingeholt werden muss, damit sie wirksam ist - hier beginnt der Gestaltungsspielraum nationaler Gesetzgeber.

Die deutsche Interpretation?

Die Bundesregierung glaubt, dass auch eine Browsereinstellung, welche Cookies nicht ablehnt, als Einwilligung reichen könnte. Schuld ist der Erwägungsgrund 66 in der Richtlinie, der besagt, dass die verlangte Einwilligung des Nutzers »über die [...] Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden« kann. Die Einwilligung muss zwar vorab vorliegen, aber eben nicht ausdrücklich.
Dieser Erwägungsgrund soll helfen, die Richtlinie besser zu verstehen. Die deutsche Umsetzung entspricht dem Erwägungsgrund: Die Browserkonfiguration soll‘s richten.

Die Datenschutzbehörden sehen damit die Richtlinie aber nicht umgesetzt. Die EU Cookie Richtlinie schreibt einen strengen Mechanismus der Einwilligung verbindlich vor, relativiert diesen dann aber auf unverbindliche Weise mit dem Erwägungsgrund 66. Es entsteht die absurde Situation, dass die Bundesregierung keinen Handlungsbedarf sieht, die Aufsichtsbehörden keine Vollstreckungsmöglichkeit des Gesetzes. Die Richtlinie läuft ins Leere. Was im Gesetz steht, widerspricht den EU Richtlinien.

Was tun?

Was bei all den unterschiedlichen Umsetzungen in Europa in jedem Fall gilt ist, dass die Nutzer eindeutig und klar verständlich über den Zweck der Speicherung und Nutzung ihrer Daten - sowie die Möglichkeit, die Speicherung zu verweigern - informiert werden müssen. Als Websitebetreiber sind Sie also dazu verpflichtet, unbedingt Ihre Nutzungsbedingungen und Datenschutzrichtlinien zu überprüfen und ggf. umfassend zu ergänzen. Davon abgesehen haben Sie drei Möglichkeiten:

1. Sie holen sich von Ihrem Nutzer eine ausdrückliche Einwilligungsertklärung mit Popup und Häckchen ein (Opt-In). Das ist der vorsichtige Ansatz, mit dem man auf der sicheren Seite ist. Zum gegenwärtigen Zeitpunkt scheint dies als eine Übererfüllung, die nur den Nutzungskomfort und die Conversion Rate schmälert, wenn User mit Infobannern und Popup-Fenstern zugeschüttet werden. Aber ein Nutzer kann sich ggf. Ihnen gegenüber direkt auf die Richtlinie berufen und auf Ihre Pflichten zur Information und zum Einholen der Einwilligung bestehen. Noch hat es keine Beschwerden bei der Datenschutzbehörde gegeben, der ehemalige Datenschutzbeauftragte stuft die Richtlinie aber als hinreichend konkret ein, sodass sich dies bald ändern könnte.

2. Sie Nutzen eine Opt-Out-Lösung z.B. in Form eines Banners, in der Sie den User über Nutzung von Cookies klar und unmittelbar informieren. Dies entspricht einem Opt-Out nur mit besseren Infos und stellt einen Kompromiss dar.

3. Sie warten ab und trinken Tee, denn Sie glauben zum jetzigen Zeitpunkt nicht, dass die Behörden dagegen einschreiten. Das ist wohl die risikoreichste Wahl.

Was machen die anderen Länder?

Opt-In-Lösung (ausdrückliche Einwilligungserklärung): Österreich, Dänemark, Frankreich, Litauen, Niederlande, Spanien, Schweden, GB

Opt-Out-Lösung (Information und indirekte Zustimmung): Bulgarien, Tschechien, Finnland, Luxemburg, Slowakei, Schweiz

Unentschieden: Deutschland, Estland, Ungarn, Irland, Lettland, Portugal

Wenn ihre Kunden/Nutzer sich auch im EU-Ausland befinden, sollten Sie evl. eine Opt-In-Lösung bevorzugen. Die Schwierigkeit besteht generell darin, dass beim ersten Aufrufen der Seite kein Tracking stattfinden darf. Tracking Cookies dürfen erst dann gesetzt werden, nachdem der Nutzer seine Einwilligung gegeben hat. Die Kosten hierfür sind relativ hoch, denn die Trackingmaßnahmen müssen so implementiert werden, dass sie dynamisch oder bei weiteren Seitenaufrufen nachgeladen werden - eine große technische und finanzielle Herausforderung. Außerdem: Wenn beim ersten Aufruf auf Tracking verzichtet wird, wird auch auf Werbung verzichtet. Wenn man bedenkt, wie viele Nutzer eine Seite nur einmalig aufrufen, um z.B. einen Artikel zu lesen, ist der Verlust enorm.

Angesichts der Unsicherheit empfehlen wir allen Websitebetreibern, die mit Cookies arbeiten, auf die Opt-In-Lösung zurückzugreifen. Sie können aber auch zunächst abwarten, denn die Datenschutzbehörden können nicht erwarten, dass nicht-öffentliche Rechtsansichten verbindlich sind. In jedem Fall dürfen Ihre gesammelten Informationen nur statistischen Zwecken dienen und nicht von Drittunternehmen stammen. Und vergessen Sie nicht Ihre Besucher darüber aufzuklären, dass Sie Cookies nutzen, wie diese Daten genutzt werden und welche Möglichkeiten bestehen, die Cookies abzulehnen.

Ja, das war jetzt kompliziert. Falls Sie noch weitergehende Fragen haben, schreiben Sie uns!

Herzliche Grüße,
Jenny Hoffmann
Online-Redakteurin workID

Kommentare(0)
Vielen Dank für die Bewertung.
You may not allow rating multiple times!
Please login to rate this comment!
Keine Kommentare vorhanden.