metapeople Performance- Analysen
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Die Cookie-Richtlinie der EU<br />
Wird es nun ernst für die deutsche Werbewirtschaft?<br />
Die Cookie-Richtlinie<br />
wurde am 25. Nov.<br />
2009 verabschiedet.<br />
Die Umsetzung in<br />
den EU-Staaten<br />
sollte bis zum 25.<br />
Nov. 2011 erfolgen.<br />
Während einige<br />
Staaten bereits tätig<br />
geworden sind, hat<br />
die Bundesregierung<br />
die Richtlinie noch<br />
nicht in nationales<br />
Recht umgesetzt.<br />
Die Richtlinie 2009/136/EG des<br />
Europäischen Parlaments und des<br />
Europäischen Rats<br />
Die EU-Richtlinie 2009/136/EG – umgangssprachlich<br />
häufig als Cookie-Richtlinie<br />
bezeichnet – sorgt seit ihrer Verabschiedung<br />
am 25. November 2009 für reichliche<br />
Diskussionen. In der Öffentlichkeit werden<br />
Cookies häufig als akute Bedrohung der<br />
Privatsphäre der Internetnutzer dargestellt.<br />
Hierbei wird regelmäßig außer Acht gelassen,<br />
dass Online-Marketing-Unternehmen wie<br />
zum Beispiel <strong>metapeople</strong> stets transparent<br />
und datenschutzkonform arbeiten und keine<br />
personenbezogenen Profile aus den<br />
gesammelten Daten ableiten. Ebenfalls wird<br />
nicht thematisiert, dass sich die Inhalte von<br />
Webseiten zum Großteil durch Werbemaßnahmen<br />
finanzieren. Cookies dienen der<br />
Wiedererkennung von anonymisierten<br />
Nutzerprofilen und tragen sowohl zu einer<br />
detaillierten Erfolgskontrolle wie auch zu<br />
einer zielgenauen Aussteuerung von Werbemaßnahmen<br />
bei.<br />
Das Europäische Parlament hat mit der<br />
Verabschiedung der Cookie-Richtlinie<br />
Position bezogen. Die Richtlinie dient aus<br />
Sicht des Europäischen Parlaments dem<br />
Schutz der Privatsphäre von Internetnutzern<br />
und bezieht sich auf alle Maßnahmen, die<br />
die Speicherung oder den Zugriff auf<br />
Informationen auf den Endgeräten des<br />
Besuchers einer Webseite ermöglichen. Im<br />
Mittelpunkt der Richtlinie steht eine<br />
‚informierte Einwilligungspflicht‘.<br />
Für die Umsetzung der Richtlinie wurde den<br />
EU-Mitgliedsstaaten eine Frist bis zum 25.<br />
November 2011 zugesprochen. Während<br />
einige Staaten die Richtlinie in nationales<br />
Recht umgesetzt haben, ist die deutsche<br />
Bundesregierung bisher untätig geblieben.<br />
Seit der Bundesbeauftragte für den<br />
Datenschutz und die Informationsfreiheit<br />
(BfDI), Peter Schaar, auf dem 13.<br />
Datenschutzkongress in Berlin am 08. Mai<br />
2012 anmerkte, dass die Richtlinie nach dem<br />
Ablauf der Umsetzungsfrist seiner Ansicht<br />
nach nun auch in Deutschland direkt<br />
anwendbar wäre, hat die Diskussion in<br />
Deutschland an Dynamik gewonnen.<br />
02/2013<br />
Im vorliegenden Papier wird zunächst auf<br />
den Kern der Richtlinie eingegangen. Die im<br />
Artikel 5 (3) der Richtlinie verankerte<br />
informierte Einwilligungspflicht setzt neue<br />
Rahmenbedingungen für das Speichern von<br />
Informationen. Problematisch ist, dass sich<br />
aus dem Artikel 5 (3) ein großer Gestaltungsspielraum<br />
für die nationalstaatliche<br />
Umsetzung der Richtlinie ergibt. <strong>metapeople</strong><br />
gibt deshalb einen Überblick über die<br />
unterschiedlichen Maßnahmen, die bisher<br />
von den EU-Mitgliedsstaaten ergriffen<br />
wurden. Ein besonderes Augenmerk wird<br />
hierbei auf die Entwicklungen in Großbritannien<br />
gelegt. Die britische Regierung hat<br />
die Cookie-Richtlinie in die nationale<br />
Gesetzgebung überführt und angekündigt,<br />
mit einer angestrebten Musterlösung eine<br />
Vorreiterrolle innerhalb der EU einnehmen<br />
zu wollen. Als Beispiel für eine besonders<br />
strikte Umsetzung der Cookie-Richtlinie<br />
werden außerdem die Entwicklungen in den<br />
Niederlanden thematisiert. Weiter werden die<br />
bisherigen Selbstregulierungsmaßnahmen<br />
der deutschen Werbewirtschaft angesprochen.<br />
Im Fazit wird diskutiert, ob es<br />
angesichts des Ablaufs der Umsetzungsfrist<br />
und der Aussage Peter Schaars nun auch für<br />
die deutsche Werbeindustrie ernst wird.<br />
Das Papier nimmt die stattfindende Debatte<br />
auf, liefert aber keine abschließenden<br />
Antworten auf rechtliche Fragen.<br />
Inhaltlicher Kern der Richtlinie: Die<br />
Informations- und Einwilligungspflicht<br />
Bereits am 12. Juli 2002 wurde die Richtlinie<br />
2002/58/EG zum Schutz der Privatsphäre<br />
von Nutzern elektronischer Kommunikationsformen<br />
verabschiedet. Am 25. November<br />
2009 beschlossen das Europäische<br />
Parlament und der Rat der Europäischen<br />
Union mit der Richtlinie 2009/136/EG nach<br />
über zweijährigen Verhandlungen eine<br />
Änderung der bis dato bestehenden<br />
Regelung. Der Kern der inhaltlichen<br />
Überarbeitung findet sich im Artikel 5 (3):<br />
„Die Mitgliedstaaten stellen sicher, dass die<br />
Speicherung von Informationen oder der<br />
Zugriff auf Informationen, die bereits im<br />
Endgerät eines Teilnehmers oder Nutzers<br />
Kern der Richtlinie ist<br />
die informierte<br />
Einwilligungspflicht.<br />
(1) Webseitenbesucher<br />
müssen<br />
über die Cookies<br />
informiert werden,<br />
die auf einer Seite<br />
gesetzt werden.<br />
(2) Cookies dürfen<br />
nur verwendet<br />
werden, wenn der<br />
Webseitenbesucher<br />
dem zustimmt.<br />
Die Artikel 29-<br />
Datenschutzgruppe<br />
benennt unterschiedliche<br />
Cookies,<br />
die von der Pflicht<br />
zur Einwilligung<br />
auszunehmen sind.<br />
Nutzer-Eingabe-<br />
Cookies, Authentifizierungscookies,<br />
Nutzerbezogene<br />
Sicherheitscookies,<br />
Load-Balancing<br />
Session Cookies,<br />
Cookies zur<br />
Speicherung von<br />
Anzeigepräferenzen<br />
sowie Cookies, die<br />
benötigt werden, um<br />
Inhalte per Social-<br />
Plugins zu teilen<br />
gespeichert sind, nur gestattet ist, wenn der<br />
betreffende Teilnehmer oder Nutzer auf der<br />
Grundlage von klaren und umfassenden<br />
Informationen, die er gemäß der Richtlinie<br />
95/46/EG u. a. über die Zwecke der<br />
Verarbeitung erhält, seine Einwilligung<br />
gegeben hat“ (Artikel 5 (3)).<br />
Die Besucher einer Webseite müssen klar<br />
und umfassend über die eingesetzte Technik,<br />
die Verwendung der gesammelten Daten<br />
sowie über die Identität der Partei informiert<br />
werden, die den Cookie setzt. Außerdem<br />
wird eine Einwilligung des Nutzers vor der<br />
Speicherung von Informationen für Werbezwecke<br />
als verpflichtend vorausgesetzt. Der<br />
Artikel sieht allerdings auch Ausnahmen vor.<br />
So entfallen die Informationspflicht und die<br />
Einwilligungspflicht nach Artikel 5 (3),<br />
„wenn der alleinige Zweck die Durchführung<br />
der Übertragung einer Nachricht über ein<br />
elektronisches Kommunikationsnetz ist oder<br />
wenn dies unbedingt erforderlich ist, damit der<br />
Anbieter eines Dienstes der Informationsgesellschaft,<br />
der vom Teilnehmer oder Nutzer<br />
ausdrücklich gewünscht wurde, diesen Dienst<br />
zur Verfügung stellen kann“ (Artikel 5 (3)).<br />
Ein unabhängiges Beratungsgremium der<br />
Europäischen Kommission, die Artikel 29-<br />
Datenschutzgruppe, hat vor diesem Hintergrund<br />
im Juni 2012 ein Dokument vorgelegt<br />
und konkrete Vorschläge für verschiedene<br />
Ausnahmen von der Einwilligungspflicht<br />
gemacht.<br />
Die Artikel 29-Datenschutzgruppe unterscheidet<br />
zunächst zwischen First Party-<br />
Cookies und Third Party-Cookies.<br />
(1) First Party-Cookies werden direkt von<br />
der besuchten Webseite gesetzt. Sie werden<br />
dazu genutzt, die Informationen zu speichern,<br />
die von einem Webseitenbesucher eingegeben<br />
werden. Die Daten werden dem<br />
Nutzer dann beim nächsten Besuch der<br />
Seite erneut verfügbar gemacht und<br />
erleichtern zum Beispiel die Navigation auf<br />
einer Webseite oder speichern Informationen<br />
über den Warenkorb.<br />
(2) Third Party-Cookies werden nicht von<br />
den Betreibern der besuchten Seite gesetzt,<br />
sondern von anderen Servern (den Third<br />
Parties) nachgeladen. Third Party-Cookies<br />
werden zum Beispiel dazu genutzt, das<br />
02/2013<br />
Surfverhalten von Webseitenbesuchern über<br />
mehrere Seiten hinweg nachzuvollziehen.<br />
Gerade Third Party-Cookies sind regelmäßig<br />
nicht zwingend erforderlich, um die<br />
Funktionalität einer Webseite zu gewähren.<br />
Dennoch reicht die Unterscheidung zwischen<br />
First Party-Cookies und Third Party-Cookies<br />
nicht aus, um zu bestimmen, ob eine<br />
Einwilligungspflicht besteht oder nicht.<br />
Vielmehr muss im Einzelfall der Zweck und<br />
die spezifische Implementierung des<br />
jeweiligen Cookies geprüft werden.<br />
Die Artikel 29-Datenschutzgruppe empfiehlt,<br />
dass zum Beispiel Nutzer-Eingabe-Cookies,<br />
Authentifizierungscookies, Nutzerbezogene<br />
Sicherheitscookies, Load-Balancing-<br />
Session-Cookies, Cookies zur Speicherung<br />
von Anzeigepräferenzen sowie Cookies, die<br />
benötigt werden, um Inhalte per Social-<br />
Plugins zu teilen, von der Einwilligungspflicht<br />
auszunehmen sind. Damit ist beispielsweise<br />
das Setzen eines Cookies im Rahmen eines<br />
Onlineshops zur Zuordnung eines Warenkorbs<br />
zu einem bestimmten Nutzer, weiterhin<br />
auch ohne Einwilligung möglich. Allerdings<br />
ist zu beachten, dass die Webseitenbesucher<br />
trotz des empfohlenen<br />
Wegfalls der Einwilligungspflicht dennoch<br />
über den Einsatz der genannten Cookies<br />
informiert werden müssen.<br />
Nachdem der inhaltliche Kern der Richtlinie<br />
und die möglichen Ausnahmen von der<br />
Einwilligungspflicht vorgestellt wurden, steht<br />
nun die unterschiedliche Umsetzung der<br />
Richtlinie in den EU-Mitgliedsstaaten im<br />
Fokus.<br />
Bisherige Umsetzung der Richtlinie<br />
innerhalb der EU<br />
EU-Richtlinien enthalten regelmäßig Umsetzungsfristen<br />
für die Mitgliedsstaaten.<br />
Doch auch wenn diese Frist für die<br />
Überführung in nationales Recht nicht<br />
eingehalten wird, kann eine Richtlinie eine<br />
unmittelbare Wirkung in einem EU-<br />
Mitgliedsstaate entfalten. Hierfür muss der<br />
Inhalt der Richtlinie allerdings so konkret<br />
verfasst sein, dass er sich zu einer<br />
unmittelbaren Anwendung eignet.