Die Art. 29-Datenschutzgruppe zur europäischen „Cookie-Richtlinie“ eine Stellungnahme veröffentlicht. Einige Forderungen dürften Webseitenbetreiber vor Probleme stellen.
Whitepaper zur „Cookie-Richtlinie“
Die Art. 29-Datenschutzgruppe hat mit dem beschlossenen Arbeitspapier WP 208 (Providing guidance on obtaining consent for cookies) Voraussetzungen für die wirksame Einwilligung der Verbraucher, in die Erhebung ihrer Daten durch Cookies, verabschiedet.
Der Großteil der Homepage-Betreiber nutzt mittlerweile Cookies, um das Nutzerverhalten der Seitenbesucher zu erfassen, auszuwerten und somit das Angebot zu optimieren. Die Art. 29-Datenschutzgruppe hat ein Papier veröffentlicht, in dem sie detailliert darauf eingeht, welche Anforderungen an eine wirksame Einwilligung der Nutzer in eine solche Cookie-Nutzung zu stellen sind und wie sie die Cookie-Richtlinie auslegt.
Voraussetzungen zur Datenerfassung mittels Cookies
Die Voraussetzungen der Cookie-Richtlinie an eine ordnungsgemäße Cookie-Nutzung verstehen die Datenschützer als hoch. Bestimmender Faktor ist ihrer Ansicht nach de facto ausschließlich der Besucher einer Website, auf der Cookies zur Anwendung kommen.
Einwilligung erforderlich
Erste Voraussetzung ist, dass eine Einwilligung für den konkreten Fall und in Kenntnis der Sachlage (specific information) erfolgen muss. Der Besucher einer Homepage muss, bevor er seine Zustimmung hierzu erteilt, in verständlicher und klarer Weise auf die Cookie-Nutzung hingewiesen werden. Folglich kann einer Nutzung nicht automatisch mit dem bloßen Besuch der Homepage zugestimmt werden. Der Hinweis muss besagte notwendige Informationen enthalten. Diese sind Zweck der Cookie-Nutzung, ob und wie Cookies von Dritten eingesetzt werden und ob diese Zugriff auf die Daten der Cookies des Homepagebetreibers haben. Des Weiteren sind die Speicherfristen der erhobenen Daten anzugeben (cookie expiry rate), diverse Spezifikationen der eingesetzten Cookies (z.B. HTTP-Cookies, Flash-Cookies oder sog. Zombie-Cookies), Einstellungsmöglichkeiten für Nutzer und technische Informationen über die Cookies, sowie Dritt-Cookies. Ein auffallend platzierter Link, der zu den Informationen führt, ist ausreichend.
Keine Datenverarbeitung vor Abgabe der Einwilligung
Die zweite Voraussetzung ist das sog. Timing. Der Einsatz der Cookies und die damit einhergehende Datenverarbeitung dürfen nicht vor der Abgabe einer Einwilligung erfolgen. Auch das Setzen des Cookies, auf dem Gerät des Nutzers, darf erst nach dessen Einwilligung erfolgen.
Einwilligung muss aktiv, ausdrücklich und eindeutig sein
Drittens muss die Einwilligung ausdrücklich und eindeutig (active and unambiguous choice) erfolgen. D.h. der Nutzer muss verständlich und klar darauf hingewiesen werden, dass und wie er der Verwendung der Cookies zustimmt. Die Zustimmung muss eine aktive Handlung sein. Eine passive bzw. konkludente Einwilligung reicht nicht aus. Technisch umsetzbar ist dies z.B. mittels entsprechender Browsereinstellungen (erläutert in WP 171 – „Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting“), auf die der Homepagebetreiber verweisen muss. Auch Splash Screens oder Dialogfenster sind anwendbar. Der Nutzer kann so bspw. durch das Setzen eines Hakens in einer „Cookie-Checkbox“ deren Verwendung zustimmen.
Nutzung des Angebots darf nicht von Einwilligung abhängig gemacht werden
Letztendlich darf der Nutzer nicht zur Abgabe seiner Einwilligung gezwungen werden (freely given consent). Grundsätzlich bedeutet dies auch, dass ein indirekter Zwang durch eine Nutzungseinschränkung bzw. –verweigerung nicht erlaubt ist. Ein Besucher muss die Seite auch umfänglich nutzen können, wenn er der Cookie-Nutzung nicht zustimmt. Restriktive Einstellungen der Homepagebetreiber sollen nur in Ausnahmefällen gültig sein. Zur Freiwilligkeit gehört auch, dass den zu setzenden Cookies separat zugestimmt werden kann bzw. diese separat nachträglich abgestellt und entfernt werden können. Ebenso muss dem Nutzer die Möglichkeit gegeben werden, nachträglich von seiner Zustimmung zurückzutreten. Auch für den Nutzer nachteilige Voreinstellungen der Homepage sollten vermieden werden.
Cookie-Richtlinie wird maßgeblich im Telemedienrecht umgesetzt
Seinen Ausfluss in deutsches Recht findet die Cookie-Richtlinie maßgeblich im § 15 Telemediengesetz (TMG), der in der Systematik einer whitelist auch den Einsatz von Cookies regelt. Dem Whitepaper vorausgegangen war das 2011 verabschiedete Arbeitspapier WP 187 (Opinion 15/2011 on the definition of consent). In diesem nahm die Gruppe Stellung zur Definition der Einwilligung und fokussiert sich dabei auf die Art. 2 lit. h, Art. 7 RL 95/46/EG (Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) sowie Erwägungsgrund 17 der RL 2002/46/EG (Angleichung der Rechtsvorschriften der Mitgliedstaaten über Nahrungsergänzungsmittel).