Wie ein datenschutzkoinformer Einsatz von Cookies aussieht, ist auch Thema in der EU. Diese hat als beratende Instanz die „Artikel-29-Datenschutzgruppe“ eingerichtet, um sich mit dem „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ zu beschäftigen. Und in dieser Eigenschaft hat die Artikel-29-Datenschutzgruppe nun in einem 12-seitigen Thesenpapier (PDF) erläutert, wie sie sich den korrekten Einsatz von Cookies vorstellt.
Warum soll der Einsatz geregelt werden?
Warum ist der Einsatz von Cookies problematisch bzw. inwiefern tangiert er Persönlichkeitsrechte? Wer sich die Mühe macht, beim Surfen im Web Cookie-Anfragen anzeigen zu lassen, erkennt schnell, dass viele Websites ihre Nutzer mit Massen an Cookies bombardieren – oft stammen die meisten davon von Dienstanbietern und gar nicht vom Websitebetreiber selbst. Solche Cookies können (und sollen oft ja gerade) dazu dienen, das Verhalten der Surfer über diverse Websites hinweg zu erfassen. Solche Datensammlungen sind beispielsweise nötig, wenn dem Surfer per Re-Targeting-Funktionen auf Dritt-Websites personalisiert Werbung für solche Produkte eingeblendet werden soll, die er vorher in einem Shop betrachtet hat.
Solche Re-Tageting-Funktionen sind derzeit das „aktuelle Non-plus-Ultra“ in der Onlinemarketing-Welt, werden von Surfern aber oft als sehr belästigend empfunden. Beispielsweise weil tagelang und auf zig unterschiedlichen Websites stets wieder genau die Produkte beworben werden, die der Surfer ja aus einem (guten) Grund NICHT gekauft hatte. Oder, noch schlimmer, wenn er sie längst gekauft hat. Zudem kommt auch ein „Big-Brother-Gefühl“ auf, wenn die GMX-Website „weiß“, was man tags vorher beispielsweise bei DaWanda, Otto und 1&1 getrieben hat.
Die datensammeltechnischen Möglichkeiten eines ausgefeilten Cookie-Einsatzes dürften wohl kaum einem Normalbürger verständlich, geschweige denn bewusst sein, zumal wenige, sehr große Werbenetzwerke ihre Datenerfassung oft geradezu flächendeckend im Web betreiben. So können manche Netzwerke den größten Teil des Surfverhaltens einer Person auswerten: Interessensgebiete, Kaufverhalten, aktuelle Lebenslage, langfristige persönliche Entwicklung…).
Hieraus entsteht ein Handlungsbedarf für Datenschützer, zumal man Cookies technisch so einsetzen kann, dass sie selbst für bestens informierte Nutzer praktisch unlöschbar sind.
Die „Artikel-29-Datenschutzgruppe“ zielt mit ihren Ausführungen also explizit auf das „Online Behavioural Advertising“. Gemeint ist also weniger das Erfassen von Daten der eigenen Besucher und das Setzen eigener Cookies, z.B. um Sessions zu halten. Vielmehr zielt das Papier auf die Weitergabe von persönlichen Daten der Surfer an Dritte, nämlich an eben die in die Websites eingebundene Werbenetzwerke.
Weil Datenschutzprinzipien aber nicht nur für bestimmte Gruppen gelten, ist es auch für alle anderen Websitebetreiber sinnvoll, sich die Ausführungen anzusehen.
Wie soll ein datenschutzrechtlich unbedenklicher Cookie-Einsatz aussehen?
Aus Sicht des Datenschutzes ist es unerlässlich, den Nutzer über die Datenerhebung zu informieren und ihn darüber entscheiden zu lassen. Oft wird diese Forderung dahingehend verstanden, dass stets über einer Vorschalt-Seite (bzw. Pop-up oder Layer etc.) vom Seitenbesucher nach umfassender Belehrung sein „ok“ eingeholt werden muss.
Während solche juristisch wohl unstrittig einwandfreien Abfragen das Surfen künftig etwas aufwendig gestalten würden, bedeuten andere von der Datenschutzgruppe gelistete Ansätze weniger Aufwand für die Surfer.
So zeigt die britische Datenschutzbehörde ICO einen anderen gangbaren Weg, indem sie die Cookie-Erlaubnisfrage oben in ihre Website einblendet (siehe Screenshot). Generell ist dies auch als Lösung mit „fester Voreinstellung“ möglich, so dass der Nutzer also nur einmalig zustimmen muss, damit diese Zustimmung für alle (auch künftigen) Websitebesuche gilt.
Insgesamt nennt das Papier folgende Lösungswege als zulässig:
- Statischer Infobanner oben in der Website, mit dem das Nutzer-Einverständnis eingeholt wird („ICO-Lösung“).
- Vorschaltabfrage, wie sie z.B. zur Altersverifizierung oft eingesetzt wird.
- Eine Voreinstellung auf der Website, die den Datentransfer an Dritte verhindert, und die der Nutzer ausschalten kann. Als Beispiel wird explizit die „Heise-2-Klick-Lösung“ genannt.
- Eine Browser-Standard-Einstellung, die verhindert, dass Nutzerprofildaten gesammelt werden, z.B. eine „Do not collect“-Einstellung. Hier wird vor allem darauf hingewiesen, dass entsprechende Entwicklungen von Plug-ins oder Funktionen von Browsern zukünftig eine Lösung darstellen können, wenn durch sie sichergestellt sei, dass die Datenschutz-Anforderungen (z.B. für eine wirksame Information und Einholung der Zustimmung des Nutzers) erfüllt werden.
Opt-in-Lösungen statt Opt-out-Lösung
Als definitiv nicht ausreichend sieht die EU-Gruppe Lösungen an, wie sie von großen Werbenetzen vorgeschlagen werden (Beispiel), und bei denen die Nutzer aktiv werden müssen, um sich vom Tracking auszutragen. Die Kommission schlägt vor, diese Ansätze so umzubauen, dass eine Opt-in-Lösung daraus erstellt wird.
Das Prinzip sollte so sein, dass bei Website-Besuchern stets als erstes ein „Opt-in-Cookie“ abgefragt wird. Ist dieses vorhanden, so stellt es die „positive Voreinstellung“ dar und es muss keine weitere Abfrage mehr erfolgen.
Ist das Cookie nicht vorhanden, so muss eine verbindliche Abfrage der Nutzerzustimmung erfolgen – z.B. über einen der oben genannten Wege. Bejaht der Nutzer, wird der „Opt-in-Cookie“ gesetzt. Alternativ kann ein Cookie gesetzt werden, dass die Datenerhebung verbietet („REFUSE“). In der Folge können alle späteren Besuche der Website ohne erneute „Belästigung“ der Surfer erfolgen. Deshalb würde auch der prognostizierte „hohe Aufwand beim Surfen im Internet“ deutlich geringer ausfallen, also von den Werbenetzen in ihren ablehnenden Stellungnahmen behauptet würde.
Speichert der Surfer keinen Cookie, so wird er beim nächsten Seitenbesuch wie ein Erstkontakt behandelt und erneut gefragt.
Herzlich aus Hürth
Nicola Straub