Cookies, die kleinen Dateien, die auf Datenträgern der Internetnutzer abgelegt werden, haben sich als unverzichtbares Marketinginstrument etabliert. Die Werbewirtschaft nutzt sie für umfangreiche Analysen des Nutzerverhaltens. Zum Beispiel kann Werbung für Waschmaschinen oder Hausratsversicherungen platziert werden, wenn sich ein Internetnutzer zuvor in einer Suchmaschine über Waschmaschinen informiert hat oder einen entsprechenden Artikel in einem Nachrichtenportal gelesen hat (Behavioral-Targeting). Beliebt ist auch, verloren gegangene Kunden wieder anzusprechen (Retargeting). Insbesondere diese Marketinginstrumente, die zu Profilen über Nutzer- und Kaufverhalten führen, fallen unter den Anwendungsbereich der sogenannten Cookie-Richtlinie.
In vielen Ländern gilt die Opt-in-Lösung
Wie bei allen Europäischen Richtlinien haben die nationalen Gesetzgeber einen weitreichenden Spielraum bei der Umsetzung in die jeweiligen Rechtsordnungen. Zwar haben die allermeisten Länder die Cookie-Richtlinie mittlerweile umgesetzt, die Herangehensweisen unterscheiden sich jedoch stark. Die Mehrheit der Länder, darunter Dänemark, Großbritannien, die Niederlande, Österreich und Spanien, hat sich bei der Umsetzung für eine Opt-in-Lösung entschieden. Hierbei ist für das Setzen von Cookies eine ausdrückliche Einwilligung der Nutzer erforderlich. Wie diese Einwilligung von den Webseiten eingeholt werden kann, ist jedoch meist im Detail nicht geregelt.
In der Praxis findet sich die schärfste Form der Einwilligung in einer der Homepage vorangeschalteten Seite, die beim ersten Besuch vor dem Einsatz von Cookies warnt und das Surfen erst ermöglicht, wenn ein Bestätigungsbutton angeklickt wurde. Derartige Hinweise wurden insbesondere in Großbritannien lange gefordert, doch nachdem selbst die britischen Datenschutzbehörden inzwischen auf ihren eigenen Seiten auf derartige Hinweise verzichten, sind diese auch in der Privatwirtschaft nur noch vereinzelt zu finden.
Als ähnlich ineffektiv haben sich Pop-Up-Fenster erwiesen, denn sie werden von den meisten aktuellen Browsern geblockt. Die gängigste Form der Opt-in-Zustimmung sind Banner und Tick-Boxen, hierbei handelt es sich um oben oder unten auf einer Webseite angebrachte Schaltflächen, die auf Cookies hinweisen und oftmals auf weitergehende Hinweise, eine Datenschutzerklärung oder Allgemeine Geschäftsbedingungen verlinken. Derartige Banner und Tick-Boxen sind stark verbreitet und selbst Google hat sich inzwischen zu einer europaweiten Einführung entschlossen.
In anderen Ländern wie Bulgarien, Tschechien oder Finnland haben sich die Gesetzgeber für eine Opt-out-Lösung entschieden. Dies bedeutet, dass der Nutzer nicht ausdrücklich zustimmen muss, sondern seine Haltung etwa durch entsprechende Browsereinstellungen oder Plug-Ins signalisieren kann. In diesen Ländern dürfen Cookies oftmals eingesetzt werden, wenn sie standardmäßig von einem Browser akzeptiert werden und wenn ausreichend über deren Einsatz informiert wurde.
Gute und böse Cookies
Ein aktueller Trend der europäischen Gesetzgebung ist die Einteilung in „gute“ und „böse“ Cookies. „Gute“ Cookies, also solche, die für den Betrieb von Webseiten erforderlich sind und von Kunden ausdrücklich gewünschte Funktionen bieten wie das Einloggen in Kundenkonten, Online-Bezahlfunktionen oder Warenkörbe von Onlineshops, werden entweder direkt vom Regelungsbereich der Gesetze ausgenommen oder für sie ist eine weniger weitreichende Form der Einwilligung erforderlich. Selbst Cookies, die der Analyse von Webseiten dienen, fallen oftmals unter diese Kategorie, zumindest dann, wenn sie von der Webseite selbst gesetzt werden (sog. First-Party-Cookies).
Unter die Kategorie der „bösen“ Cookies fallen die meisten Angebote von Werbe- und Social-Media-Plattformen, die ein Tracking der Internetnutzer betreiben. Für diese gelten die höchsten Anforderungen an das Maß der Einwilligung und den Umfang der Informationspflichten. Insbesondere Dänemark, Frankreich, Österreich und Großbritannien nehmen eine derartige Kategorisierung vor. In diesen Ländern unterscheiden sich folglich auch die Webseiten: Während bei Unternehmen, die nur Basis-Funktionen einsetzen und keine Marketing-Cookies einsetzen, keine Einwilligung eingeholt werden muss, müssen andere Unternehmen ihre Webseiten mit hohem technischem und organisatorischem Aufwand an die Cookie-Gesetzgebung anpassen.
Generelle Hinweise oder Cookie-Liste
Einigkeit herrscht bezüglich der Frage, ob Internetnutzer über die Verwendung von Cookies aufgeklärt werden müssen. Alle Länder, die die Cookie-Richtlinie umgesetzt haben, schreiben dies verbindlich vor. Die nationalen Gesetze und darauf aufbauende Handlungsempfehlungen der Datenschutzbehörden legen oft fest, ob dies in Allgemeinen Geschäftsbedingungen, Datenschutzrichtlinien oder speziellen Cookie-Hinweisen zu erfolgen hat. Hierbei ist ein Trend zu beobachten, eine möglichst eigenständige und leicht verständliche Information zu fordern, wohingegen eine Erwähnung in Allgemeinen Geschäftsbedingungen oder gar im Impressum als nicht ausreichend angesehen wird.
Der Inhalt solcher Cookie-Hinweise weicht von Land zu Land ab – Schweden fordert beispielsweise, dass über den Zweck, den Namen, die Domain und die Speicherdauer von Cookies informiert wird, in anderen Ländern reicht hingegen eine allgemeine Information über die Art der verwendeten Cookies und die für die Speicherung der Daten verantwortlichen Stelle. Nicht nur wegen dieser unterschiedlichen Anforderungen empfiehlt es sich für europaweit agierende Unternehmen, ein Cookie-Management vorzuhalten oder einzurichten, das einen Überblick über die selbst verwendeten Cookies schafft.
Digitale Detektive und behördliche Anschreiben
Die Durchsetzung der Cookie-Richtlinie wird derzeit insbesondere in Großbritannien und den Niederlanden forciert. Nach einer einjährigen Einführungszeit hat Großbritannien im vergangenen Jahr über 150 Webseitenbetreiber angeschrieben und sie auf mögliche Verstöße aufmerksam gemacht. In den Niederlanden wurde eine juristische Beweislastumkehr eingeführt, nach der Unternehmen beweisen müssen, dass sie die Zustimmung des Nutzers zum Einsatz von Tracking Cookies erhalten haben. In den meisten anderen Ländern muss die jeweilige Aufsichtsbehörde Verstöße beweisen. Die Überwachung wird von „Digitalen Detektiven“ der niederländischen Datenschutzbehörden gewährleistet, die aktiv das Internet nach Verstößen untersuchen.
Dies entspricht jedoch noch nicht der europäischen gängigen Praxis, da Datenschutzbehörden oftmals nur auf individuelle Beschwerden hin aktiv werden. Fragt man bei nationalen Behörden an, ergibt sich ein sehr uneinheitliches Bild – während vereinzelt darauf hingewiesen wird, dass schlicht die Ressourcen für eine effektive Überwachung fehlen, wird anderorts die unklare Rechtslage betont, die eine Durchsetzung in der Vergangenheit unterbunden hat. Mögliche Strafen sind jedoch bereits in den einzelnen Gesetzgebungen verankert, wie etwa bis zu 450.000 Euro im Fall der Niederlande. Die Haftung deutscher Unternehmen nach ausländischen Rechtsordnungen wird unterschiedlich beurteilt und ist eine Frage des Einzelfalls. Hier kommt es darauf an, ob das Unternehmen eine Niederlassung in dem jeweiligen Land hat oder mit einer eigenen Webseite gezielt ausländische Kunden „anspricht“.
Deutscher Standpunkt
Deutschland ist eines der wenigen Länder, das die Cookie-Richtlinie noch nicht umgesetzt hat, obwohl die Umsetzungsfrist seit Mai 2011 abgelaufen ist. Im Januar 2012 hatte die SPD-Fraktion einen Gesetzesentwurf in den Bundestag eingebracht, der den Wortlaut der Richtlinie nahezu unverändert in das deutsche Telemediengesetz übernommen hätte und die Richtlinie damit in deutsches Recht umgesetzt hätte. Dieser Entwurf wurde von der Bundesregierung im Ausschuss für Wirtschaft und Technologie abgelehnt.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, hat mittlerweile die Auffassung geäußert, die Richtlinie sei in Deutschland auch ohne Umsetzung in nationales Recht unmittelbar anwendbar. Demnach müssten sich deutsche Unternehmen bereits an die Richtlinie halten und ihre Webseiten entsprechen anpassen. Diese Auffassung ist jedoch aus juristischer Sicht sehr umstritten, da eine Richtlinie für eine direkte Anwendung klar und detailliert genug sein muss. Dies ist vor allem bei dem interpretationsfähigen Begriff der Einwilligung nicht gesichert. Außerdem scheidet eine unmittelbare Anwendung zwischen Privaten regelmäßig aus, da sich nach der Rechtsprechung des Europäischen Gerichtshofes nur Einzelne gegenüber dem Staat auf Richtlinien berufen können. Es besteht keine sogenannte horizontale Direktwirkung.
„Do-Not-Track” als Ausweg
Am Ende eines europäischen Harmonisierungsprozesses könnte eine technische Lösung stehen: In den meisten Ländern ist die Möglichkeit zur Erklärung der Einwilligung über Browser-Einstellungen bereits vorgesehen. Zwar wird dies derzeit von den meisten Ländern als nicht ausreichend betrachtet, wird aber oft damit erklärt, dass derzeitige Browser-Generationen schlicht nicht in der Lage sind, die gesetzgeberischen Anforderungen zu erfüllen.
Die „Do-Not-Track“-Initiative des World Wide Web Consortium (W3C) versucht jedoch, genau dies technisch machbar zu machen. Mit dieser Technologie ist es möglich, dass Internetznutzer beispielsweise den Einsatz von Seiten übergreifenden Tracking Cookies unterbinden. In Europa zeigen sich derzeit vor allem Italien und Finnland offen gegenüber derartigen Entwicklungen. In Deutschland werden solche selbstregulatorischen Maßnahmen vor allem wegen der mangelnden internationalen Unterstützung skeptisch beurteilt.
Fazit: Cookies datenschutzkonform als Marketingtool nutzen
Aufgrund des unspezifischen Wortlauts der Cookie-Richtlinie unterscheiden sich nationale Gesetze und Empfehlungen der einzelnen Datenschutzbehörden deutlich. Europaweit agierende Unternehmen können durch ein Cookie-Banner und eine Cookie-Erklärung Konformität mit vielen Landesgesetzen herstellen, oftmals sind jedoch Besonderheiten der einzelnen Länder zu beachten, die eine Anpassung erforderlich machen. Um die Anforderungen der nationalen Datenschutzbehörden zu erfüllen, muss zunächst ein unternehmensinterner Überblick über die auf der eigenen Homepage verwendeten Cookies geschaffen werden.
Einigkeit herrscht bezüglich der Tatsache, dass Internetnutzer in einfachen, klar verständlichen Worten über den Einsatz von Cookies aufgeklärt werden müssen. Hierbei ist es oftmals erforderlich, bestehende Nutzungsbedingungen und Datenschutzrichtlinien zu überprüfen und gegebenenfalls anzupassen. So können Cookies als effektives Marketingtool genutzt werden, ohne den Datenschutz außer Acht zu lassen.
Über den Autor:
Andreas Dölker ist Associate in der Kanzlei Schürmann Wolschendorf Dreyer Rechtsanwälte in Berlin. Seine Tätigkeitsschwerpunkte sind das IT- und Datenschutzrecht sowie der Bereich des Gewerblichen Rechtsschutzes. Aufgrund seiner Erfahrung als Serverbetreuer und Systemadministrator berät er hauptsächlich Unternehmen an den Schnittstellen zwischen Recht und Technik.