Neue Datenschutzrichtlinie: Cookies bald genehmigungspflichtig?
Niemand surft im Netz allein. Nicht nur Online-Werber surfen heimlich mit. Cookies machen’s möglich. Die EU will, dass Cookies zukünftig nicht mehr ohne Wissen des Nutzers auf dessen Rechner gespeichert werden können.
Bei Cookies handelt es sich um kleine Textdateien, die Webseiten auf der Festplatte ablegen. Mit ihnen können Online-Händler Kunden erkennen und persönlich beim nächsten Besuch begrüßen oder Foren-Nutzer immer angemeldet bleiben. Die Anmeldung entfällt, da der Cookie auf ihrem PC sie ausweist. Den größten Nutzen aus Cookies ziehen derzeit Werbetreibende und damit viele Webseiten, die sich über Werbung finanzieren. Ein weitverbreiteter Online-Dienst, der über Cookies Informationen sammelt, ist zum Beispiel der “Like-Button” von Facebook. Zwar werden durch dessen Nutzung keine Cookies gesetzt, der Knopf kann aber das Cookie-Verzeichnis im Webbrowser des Seitenbesuchers auslesen.
Die meisten Nutzerdaten werden heimlich erhoben. Solch heimlich gesetzte Cookies liegen Verbraucherschützern und auch der EU besonders schwer im Magen. Im November 2009 hat daher das EU-Parlament ein Richtlinienpaket zur Reform des europäischen Telekommunikationsrechts geschnürt (Richtlinie 2009/136/EG) – darunter auch eine Regelung zur Behandlung von Cookies.
Die Richtlinie sieht vor, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet wird, wenn der betreffenden Nutzer auf der Grundlage von klaren und umfassenden Informationen, seine Einwilligung gegeben hat. Die Frist zur Umsetzung dieser Richtlinie in nationale Gesetze der EU-Mitgliedsstaaten läuft am 25. Mai 2011 ab.
Was bedeutet dies nun für Cookies? Allgemein wird angenommen, dass daraus die Pflicht abzuleiten ist, dass zukünftig der Nutzer vorher einwilligen muss, falls ein Cookie auf seinem Computer installiert werden soll (Opt-in-Lösung). Bisher galt die im Telemediengesetz festgelegte Opt-out-Lösung, das heißt der Nutzer muss über die Verwendung von Cookies in der Datenschutzerklärung der Website informiert werden und muss die Möglichkeit haben, dem Setzen von Cookies zu widersprechen.
Sollte es wirklich so kommen, wäre die gegenwärtige Funktionsweise des Internet im Kern berührt. Die Debatte, ob und wie die Richtlinie in nationales Recht umgesetzt werden soll, hat daher in jüngster Zeit nicht nur in Deutschland schärfere Züge angenommen. Einerseits kritisieren Datenschützer, dass die Regierungen der Mitgliedsstaaten die Opt-in-Lösung bisher nicht in nationale Gesetze übernommen haben. Auf der anderen Seite wird eine solche Opt-in-Lösung strikt abgelehnt und bereits das Aus der Funktionsfähigkeit des Internet heraufbeschworen.
Die Bundesregierung ist sich zwar dessen bewusst, dass durch die mit Cookies gewonnenen Daten die Gefahr der Bildung eines Nutzerprofils ohne Kenntnis des Nutzers mit sich bringen. Diesen Umstand nimmt auch der Bundesdatenschutzbeauftragte Peter Schaar zum Anlass, die umgehende Umsetzung der Richtlinie durch eine Änderung des Telemediengesetz zu fordern. Die Bundesregierung ist jedoch noch zurückhaltend. Sie hat im Rahmen des kürzlich beschlossenen Entwurfes zur Änderung des Telekommunikationsgesetzes kundgetan, dass sie zunächst die Diskussionen auf europäischer Ebene und mögliche Selbstregulierungsansätze der Werbewirtschaft abwarten will, bevor sie die Richtlinie vollständig umsetzt.
Letztlich ist auch noch nicht klar, wie die Richtlinie umgesetzt werden müsste. Hier gibt es auch durchaus unterschiedliche Auffassungen in den Mitgliedsstaaten. In Erwägungsgrund 66 zur EU-Richtlinie heißt es immerhin, dass der Umgang mit Cookies “so benutzerfreundlich wie möglich” gestaltet werden soll. Die Richtlinie sieht nicht zwingend vor, dass der Nutzer jedem Cookie einzeln zustimmen muss. Denkbar wären also verschiedene Möglichkeiten, wie den Forderungen der Richtlinie nach einer gesetzeskonformen Verwendung von Cookies entsprochen werden könnte. In allen gängigen Browsern kann schon jetzt eingestellt werden, wie mit Cookies zu verfahren ist. Als Zustimmung zur Speicherung könnte es auch schon ausreichen, wenn der Browser so eingestellt ist, dass Cookies akzeptiert werden. Denkbar wäre allerdings auch eine Lösung, die eine Einwilligung direkt bei Aufruf der Webseite oder in einem Pop-up-Fenster vorsieht.
Momentan müssen die Unternehmen ihre Webseiten noch nicht umgestalten. Der deutsche Gesetzgeber muss zunächst noch tätig werden. Angesichts der nahenden Umsetzungsfrist für die Richtlinie sollten jedoch alle Unternehmen, die Cookies verwenden, die Entwicklung in den kommenden Wochen genau beobachten. Dabei gilt es nicht nur die in Entwicklung in Deutschland im Auge zu behalten, sondern wegen der Grenzen überschreitenden Nutzung des Internet auch die Diskussion in den anderen Mitgliedsstaaten der EU.
In technischer Hinsicht rüstet der Bundesdatenschutzbeauftrage Schaar derzeit auf. Am vergangenen Freitag hat Schaar zusammen mit dem Fraunhofer-Institut für Sichere Informationstechnologie das neues Datenschutz-Tool Prividor vorgestellt, das Datenschutzverletzungen auf Websites aufspüren können soll. Es soll automatisiert auch Tracking-Maßnahmen erkennen können, also etwa das heimliche Ausspähen des Surfverhaltens durch Cookies. Für weiteren Diskussionsstoff ist damit also gesorgt.