Kekse aus Luxemburg

Wer bei Cookies zuerst an süße Leckereien denkt, hat sich noch wenig mit den kleinen Verfolgern unseres digitalen Alltags beschäftigt. Dabei sind sie im Moment in aller Munde, denn der Europäische Gerichtshof hat am 1. Oktober 2019 eine neue Richtlinie veröffentlicht. Darin ist festgelegt, dass das Setzen von Cookies, die nicht unbedingt erforderlich sind, die aktive Einwilligung der Nutzer erfordert.

Was aber sind nicht unbedingt erforderliche Cookies?

Cookies sind Textinformationen, die im Browser gespeichert werden, sobald eine Webseite besucht wird. Bei erneutem Ansurfen dieser Webseite wir die Information ausgelesen, der Besucher identifiziert, Logindaten, der Warenkorb beim Onlinehändler oder die Sprachauswahl gespeichert. Man spricht hier von technischen Cookies (Session-Cookies), die notwendig und sinnvoll sind. Daneben gibt es aber jene Cookies, die das Erstellen von Profilen über das Surfverhalten der User ermöglichen. Das sind die sogenannten Tracking-Cookies oder Third-Party-Cookies, die eben nicht erforderlich sind. Der Nutzer wird über eine Webseite hinaus verfolgt. Dafür werden spezielle Tracking-Dienste benötigt. Meist sind das Drittanbieter-Firmen, die Daten sammeln, auswerten und mit dem Namen des Nutzers verknüpfen. Skripte werden in Webseiten integriert (Bilder, Banner, Pixel, Schrift), welche nach dem Ansurfen der jeweiligen Seite Cookies setzen. Der Betreiber eines Onlineshops kann dann zum Beispiel auf den Kunden zugeschnittene Werbung schalten oder sein Angebot anpassen.

Bisher konnte der User unerwünschte Tracking-Cookies lediglich über Sicherheitseinstellungen im Browser blockieren (z.B.: alle blockieren und Gewünschte freigeben oder umgekehrt, alle zulassen und Unerwünschte auf eine Blacklist setzen). Eine aktive Handlung zur Cookie-Unterdrückung setzt jedoch voraus, dass dem User bewusst ist, welche Krümel er findigen Datenraffinerien hinterlässt. Unter anderem damit wird wohl das Urteil des EuGHs vom 1. Oktober zusammenhängen. Der Nutzer darf seither nicht mehr in Unkenntnis gelassen werden: Cookies dürfen erst nach aktiver Zustimmung des Users gesetzt werden.

Die Entscheidung des Europäischen Gerichtshofes

Grundlage für die neue Richtlinie des Europäischen Gerichtshofes war ein Gewinnspiel der Firma Planet49, das rein zu Werbezwecken veranstaltet wurde. Das Formular für die Teilnahme war mit Checkboxen mit voreingestelltem Häkchen versehen. Die Teilnehmer stimmten (nicht aktiv und nicht freiwillig) zu, dass ein Webanalysedienst eingesetzt werden darf. Dabei werden Cookies gesetzt, welche die Auswertung des Surf- und Nutzungsverhaltens zur Folge haben. Für den Europäischen Gerichtshof ist das eine Verletzung der Privatsphäre. Das Gegenargument, dass es sich bei Cookies nur um pseudonymisierte und nicht um personenbezogene Daten handele, ließ der EuGH nicht zu, da es sich um Informationen handelt, die eine Identifizierung des Nutzers möglich machen (z.B.: mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder Online-Kennung).

Art. 2 der Richtlinie 95/46  bestimmt:

Im Sinne dieser Richtlinie bezeichnet der Ausdruck ‚Einwilligung der betroffenen Person‘ jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.

In jedem Fall müsse die Privatsphäre der Nutzer geschützt werden, auch wenn es sich dabei nicht immer klar um das Sammeln von personenbezogenen Daten handelt. Geräte und die darauf gespeicherten Daten sind Teil der Privatsphäre der Nutzer. Wird nun mit Spyware, Web-Bugs, Hidden-Identifiers oder Ähnlichem ohne deren Wissen auf Geräte der Nutzer zugegriffen, gilt dies als Verletzung der Privatsphäre.

Daraus resultiert, dass Cookies nur mehr gespeichert bzw. Tracking-Dienste eingesetzt werden dürfen, wenn der Nutzer aktiv zustimmt. Zudem muss in Zukunft darüber informiert werden, wenn Cookie-Daten an Dritte weitergegeben werden. Stillschweigen, vorausgewählte Kästchen oder Untätigkeit stellen dabei keine Einwilligung dar.

Diese Richtlinie scheint eine logische Maßnahme für den Schutz der User zu sein und zeigt zudem, welchen Weg die ePrivacy-Verordnung einschlagen wird. Nichtsdestotrotz kann man bemängeln, dass es keinen verbindlichen Katalog von erlaubten und unerlaubten Cookies gibt und auch über das Strafmaß bei Nicht-Einhaltung wurde kein Wort verloren. Wie viele Webseiten-Betreiber die Vorgeben daher umsetzen und ob wir User jetzt mit noch mehr Bannern (die wir einfach wegklicken) bombardiert werden, wird man sehen. Es bleibt auf jeden Fall spannend!