Und täglich grüßt das EU-Cookie-Tier
Posted by 
November 24, 2009 •
Die Diskussion rund um Cookies hat sich ja mittlerweile zu einem Dauerbrenner in unserer Branche entwickelt, hoffen wir nur, dass es nicht irgendwann ein Running Gag wird. Nun hat sich die EU ja neue Datenschutzrichtlinien ausgedacht und darin auch das Thema der Cookies aufgegriffen. Leider sieht es aber so aus, als wenn dort zwar etwas von Cookies steht aber so richtig geregelt scheint es dann doch wieder nicht zu sein. Wirft man einen Blick in die neue Richtline, so findet sich dort folgender Abschnitt:
Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen.
Je öfter ich den Satz lese umso mehr Varianten fallen mir ein, wie sich so ziemlich jeder Cookie rechtfertigen lässt. Zunächst mal finde ich es ja gut, dass man nicht grundsätzlich alle Cookies zustimmungspflichtig machen will, denn das würde vielen Webseiten eine ordentliche Portion Usability nehmen. Auch wenn sich ohne Cookies gute Webseiten ohne Cookies programmieren lassen, so hat es sich doch als Best Practice etabliert bestimmte Daten in den kleinen Keksen zu speichern.
Aber wie sieht es denn nun aus Sicht der Webanalyse aus? Grundsätzlich kann man guten Gewissens behaupten, dass der Enduser die Webanalyse nicht benötigt um die Webseite benutzen zu können. OK, man könnte versuchen zu argumentieren, dass durch die Webanalyse die Usabilty verbessert wird. Das stimmt zwar, aber wäre dann für die Rechtfertigung eines Cookies doch ein bisschen dünner, oder? Aber allen Tool-Anbietern hilft dann ein weiterer Absatz der neuen Richtlinie weiter:
Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.
Verstehe ich das jetzt richtig? Wenn man im Browser eingestellt hat, dass man Cookies grundsätzlich annimmt, dann ist das auch ok. Wo ist denn dann der Unterschied zum Status Quo? Alle Browser akzeptieren im Standard Cookies. Wenn diese Einstellung also gewählt ist, was bei den meisten Usern der Fall sein dürfte, dann hat man quasi der neuen Richtlinie genüge getan und ist fein raus. Dann haben wir also eine neue Richtline für deren Einhaltung man nichts tun muss.
So liebe Leser, ich habe in Bezug auf Rechtsverdrehung und Datenschutz nicht die allermeiste Ahnung. Helft mir doch mal weiter. Verstehe ich die neuen Richtlinien nicht oder ist es wirklich so, wie ich es oben beschrieben habe? Wenn ja, dann wird sich nämlich nicht viel ändern.
Ich würde mich sehr über kontroverse Kommentare freuen, denn dieses Thema betrifft uns schließlich alle.
Schlagwörter: cookie, datenschutz, eu
Hallo Patrick Ludolph,
ich verstehe den Text auch nicht genau. Was ich verstehe ist, dass die Rede von “Einwilligung des Nutzers” ist. Heute war auch in der Zeit ein Artikel über Google und Datenschutz. Auch da ist die Rede, dass man sich ja der Aufzeichnung nicht entziehen kann. Mit einer Checkbox “mich bitte nicht aufzeichnen” hätte der Nutzer eine Einwilligungsmöglichkeit. Ob jeder weiß, wie man Cookies im Browser aktiviert / deaktiviert bezweifle ich. Marco Hassler hat gerade dazu geschrieben, wie man so eine Checkbox reinnimmt. Ich finde das eine gute Möglichkeit, vor allem wenn sich die Datenschutzdiskussion weiter verschärft.
Danke für den Beitrag
______________________
Von heute über Datenschutz zu Google:
http://www.zeit.de/digital/datenschutz/2009-11/google-analytics-datenschutz?page=2
Von Marco Hassler über “Opt-In”
http://www.web-analytics-nutzen.de/web_analytics/2009/11/opt-out-tracking-code.html
Das ist ist ja das schöne daran: Die einen haben keine Ahnung vom Internet und mögen keine Cookies, die anderen haben Ahnung, mögen daher Cookies und geben den einen, was sie haben wollen – und haben mit dieser Regel ihre Ruhe. Beide könne Erfolge vorweisen und das Thema ist gegessen. Das ist wahre Politik.
Auf EU-Ebene gibt es da noch nicht viel Vergleichbares, schaut man sich die bisherige Handhabe des deutschen Datenschutzrechts an, kommt dein “es muss sich nicht viel ändern” dem ziemlich nahe.
Es gibt einige Dinge, die definitiv nicht erlaubt sind, aber alles immer nur im Bereich des Zumutbaren. So ist z.B. eine Anonymisierung nur Erforderlich wenn eine Personenzuordnung “nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft” zu machen ist. Das lässt Raum für Interpretation.
Vielleicht müssen die technischen Möglichkeiten auch nur mal besser genutzt und bekannt gemacht werden. P3P gibt es schon seit Jahren, allerdings deckt das nicht alle Fälle ab. Immerhin steht damit eine technische Möglichkeit zur Verfügung.
Also ich sehe das Thema deutlich kritischer, insbesondere in der künftigen Praxis, als es in Deinem Beitrag oder z.B. der BVDW Stellungnahme rüberkommt.
Im entsprechenden Artikel 5 (3) heißt es:
“Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers
gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der
Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.”
Die Cookie-Nutzung ist somit nur erlaubt, wenn der Nutzer…
a) seine Einwilligung gegeben hat
b) dies auf der Grundlage von klaren und umfassenden Informationen geschehen ist
Die Browsereinstellungen als entsprechende Einwilligung zu definieren halte ich für problematisch.
Zum einen stand diese Browser-Formulierung vormals in Paragraph 5 selbst drin, und wurde dann in die Präambel “abgeschoben”.
Für viel problematischer halte ich, dass wie erwähnt viele Browser per Default die Cookies akzeptieren. Von einer Einwilligung bzw. Willenserklärung des Nutzers kann hier m.M. nach nicht gesprochen werden, da diese ja bewusst erfolgen muss.
Zudem fehlen bei der Browsereinstellung die geforderten klaren und umfassenden Informationen, die ja zudem zwingend als Grundlage der Einwilligung definiert wurden.
Auch wenn ich Thomas zustimme und das Datenschutzgesetz, ob auf Bundes- oder EU-Ebene, in vielerlei Hinsicht nicht “Web-kompatibel” ist: Trotzdem wird es sehr bald rechtlich bindend werden und sowohl zu Abmahnungen als auch zu Beeinträchtigungen der Usability führen. Leider!
Als ich gestern Abend die entsprechende Nachricht geHÖRT habe, dachte ich, dass ist ja mal was. Wenn ich heute Deinen Auszug lesen, wirkt das wesentlich realistischer.
Was für einen Aufschrei würde es auch geben, wenn Cookies nicht mehr erlaubt sind. In jedem Fall kann das Gesetzt helfen, das Verständnis für das Thema zu verbessern.