Seit einiger Zeit, Monaten oder mittlerweile Jahren, geistert die EU Cookie-Richtlinie (1) durch das Internet und aktuell kommt wieder Bewegung in das Thema, da einer der Global Player – konkret Google, sich damit aktiv wieder beschäftigt.
Was ist die Cookie-Richtlinie der EU?
Die EU Cookie-Richtlinie sieht vor, das jeder Besucher einer Website, ganz eindeutig informiert werden muss, ob besucherbezogene Daten mit Hilfe von Cookies gespeichert werden. Er soll über diesen Sachverhalt informiert und aufgeklärt werden, aber gleichzeitig auch die Möglichkeit haben diesem zu widersprechen, in dem er entweder einen Mechanismus des Anbieters nutzt oder das Angebot wieder verlässt … mal ganz grob zusammengefasst.
In der Praxis sieht das aktuell teilweise so aus, das man gut sichtbar ein zusätzliches Informationsfeld sieht, in dem auf die Verwendung von Cookies hingewiesen wird. Dies wird zumeist mit weiteren Informationen zur jeweiligen Datenschutzerklärung und mit einem Bestätigungslink (als Wort, Zeichen, Symbol/Grafik) kombiniert.
Hier einige aktuelle Beispiele als Screenshots:
-
Allianz
-
adidas
-
BASF
-
ebay
-
Daimler
-
BMW
Warum bringt aktuell Google dieses Thema wieder in Bewegung?
Gestern flatterte in mein elektronisches Google Postfach folgende E-Mail herein:
Lieber Publisher,
hiermit möchten wir Sie auf eine neue Richtlinie zur Einholung der Zustimmung der Endnutzer in der EU hinweisen, mit der den geltenden gesetzlichen Vorgaben und Best Practices Rechnung getragen wird. Diese Richtlinie sieht vor, dass Sie zur Einholung der Zustimmung des Endnutzers verpflichtet sind, wenn Sie Produkte wie Google AdSense, DoubleClick for Publishers und DoubleClick Ad Exchange einsetzen.
Bitte lesen Sie möglichst bald unsere Richtlinie zur Zustimmung der Nutzer in der EU. Gemäß diesen Richtlinien müssen Sie die Zustimmung der Endnutzer in der EU einholen, wenn Sie Google-Produkte einsetzen und dabei Cookies und andere Daten gespeichert und abgerufen sowie Daten erfasst, weitergegeben und genutzt werden. Die Richtlinie hat keine Auswirkungen auf die in Ihrem Vertrag enthaltenen Bestimmungen über das Eigentum an Daten.
Bitte setzen Sie diese Richtlinie so bald wie möglich um, spätestens jedoch bis zum 30. September 2015.
Falls Ihre Website oder App über keinen der Richtlinie entsprechenden Zustimmungsmechanismus verfügt, implementieren Sie bitte jetzt einen solchen. Um Ihnen die Implementierung zu erleichtern, haben wir einige hilfreiche Ressourcen unter cookiechoices.org für Sie zusammengestellt.
Diese Richtlinienänderung erfolgte in Reaktion auf die Best Practices und rechtlichen Vorgaben der europäischen Datenschutzbehörden. Entsprechend diesen Vorgaben wurden vor Kurzem auch Änderungen an Googles eigenen Websites vorgenommen.
Vielen Dank für Ihr Verständnis und Ihre Mithilfe
Mit freundlichen Grüßen
Ihr Google-Richtlinienteam
Diese E-Mail ist zwar konkret an Google Ads & Co. gekoppelt geworden, dürfte aber langfristig alle betreffen, die zumindest einen gewerblichen Internetauftritt haben oder sogar diverse gewerbliche Websites betreiben. Ob das langfristig auch bei privaten Projekten relevant und rechtsverbindlich werden wird, dürfte ein anderes Thema sein.
Wie ist die aktuelle rechtliche Situation bezüglich der EU Cookie-Richtlinie hier in Deutschland?
Seit Jahren wird über die konkrete Umsetzung der EU Cookie-Richtlinie und einer gesetzlichen Vorgabe diskutiert und gestritten. Die einen sagen, das diese Richtlinie der EU zu Cookies bereits mit dem Bundesdatenschutzgesetz abgedeckt ist, die anderen widersprechen und pochen auf eine klare gesetzliche Regelung. Es gibt regelmäßig alle paar Monate diverse Verbände, Communities, Netzwerke und Juristen, die das Thema aufgreifen und versuchen Licht ins Dunkel zu bringen – Danke dafür! Doch so richtig einig scheinen sich diese auch nicht immer zu sein.
So kann ich an dieser Stelle, nur ein paar ausgewählte Passagen einiger Personen aus aktuellen Beiträgen zitieren:
(…) Für die Praxis gilt daher weiter: Wem das Restrisiko nichts ausmacht, der macht weiter wie bisher und weist nur in der Datenschutzerklärung auf Cookies hin. Wer ganz auf Nummer sicher gehen will, holt sich vor dem Setzen der Cookies eine Einwilligung. Und wer den goldenen Mittelweg schätzt, der weist prominent bei jedem Besuch auf die Cookies hin. Klarere Aussagen wird es bis auf Weiteres vermutlich nicht geben. [Adrian Schneider, Telemedicus (2) v. 19.06.2015]
(…) Ähnliche Verfahren zum Beispiel über Popup-Fenster sollten zumindest von Webseitenbetreibern in Deutschland eingeplant werden, um nach abschließender rechtlicher Klärung schnell reagieren zu können. Rechtsexperten raten, insbesondere für Tracking-Cookies nicht auf die Einwilligung der betroffenen Nutzer zu verzichten. In jedem Fall muss die Verwendung von Cookies und vergleichbarer technischer Verfahren in der Datenschutzerklärung beschrieben werden. [Oliver Schonschek, SearchEecurity.de (3), April 2015]
(…) Da eine Umsetzung durch den Gesetzgeber bisher nicht für notwendig erachtet wurde und ausdrücklich die Ansicht vertreten wird, § 15 Abs. 3 TMG (4) sei eine auch vor dem Hintergrund der E-Privacy-Richtlinie ausreichende Richtlinie, muss (leider) festgestellt werden, dass eine rechtliche Verpflichtung für ein Opt-In nicht besteht. Auch eine Direktwirkung der Richtlinie wird durch die herrschende Meinung mangels „hinreichender Genauigkeit“ verneint. [Dr. Sebastian Ertel, datenschutz notizen (5), 16.02.2015]
Update
Mittlerweile haben auch einige große Portale die aktuelle Aktion von Google aufgegriffen und entsprechend dazu ihre Sicht der Dinge verfasst:
- Cookie-Einverständnis: Google fügt sich EU-Regelung (internetworld.de)
- Google macht Cookie-Hinweise zur Pflicht – Handlungsempfehlung für Website- und Appanbieter (I LAW it)
- Google macht Cookie-Hinweis für AdSense- und DoubleClick-Nutzer zur Pflicht (t3n)
Quellen
- Cookies (01.06.2015) – ec.europa.eu/ipg/basics/legal/cookies/index_en.htm
- Cookie-Richtlinie: Das Imperium schlägt zurück (19.06.2015) – www.telemedicus.info/article/2965-Cookie-Richtlinie-Das-Imperium-schlaegt-zurueck.html
- Cookie-Richtlinie für Webseiten: Umsetzen oder abwarten? (April 2015) – www.searchsecurity.de/lernprogramm/Cookie-Richtlinie-fuer-Webseiten-Umsetzen-oder-abwarten
- Telemediengesetz (TMG) § 15 Nutzungsdaten – www.gesetze-im-internet.de/tmg/__15.html
- Streit um Kekse (16.02.2015) – www.datenschutz-notizen.de/streit-um-kekse-4510551/
Grafik EU Privacy Directive / Changes to UK Internet Cookie Privacy Law © Surian Soosay unter CC BY 2.0