metapeople Performance- Analysen

Die Cookie-Richtlinie der EU
Wird es nun ernst für die deutsche Werbewirtschaft?
Die Cookie-Richtlinie
wurde am 25. Nov.
2009 verabschiedet.
Die Umsetzung in
den EU-Staaten
sollte bis zum 25.
Nov. 2011 erfolgen.
Während einige
Staaten bereits tätig
geworden sind, hat
die Bundesregierung
die Richtlinie noch
nicht in nationales
Recht umgesetzt.
Die Richtlinie 2009/136/EG des
Europäischen Parlaments und des
Europäischen Rats
Die EU-Richtlinie 2009/136/EG – umgangssprachlich
häufig als Cookie-Richtlinie
bezeichnet – sorgt seit ihrer Verabschiedung
am 25. November 2009 für reichliche
Diskussionen. In der Öffentlichkeit werden
Cookies häufig als akute Bedrohung der
Privatsphäre der Internetnutzer dargestellt.
Hierbei wird regelmäßig außer Acht gelassen,
dass Online-Marketing-Unternehmen wie
zum Beispiel metapeople stets transparent
und datenschutzkonform arbeiten und keine
personenbezogenen Profile aus den
gesammelten Daten ableiten. Ebenfalls wird
nicht thematisiert, dass sich die Inhalte von
Webseiten zum Großteil durch Werbemaßnahmen
finanzieren. Cookies dienen der
Wiedererkennung von anonymisierten
Nutzerprofilen und tragen sowohl zu einer
detaillierten Erfolgskontrolle wie auch zu
einer zielgenauen Aussteuerung von Werbemaßnahmen
bei.
Das Europäische Parlament hat mit der
Verabschiedung der Cookie-Richtlinie
Position bezogen. Die Richtlinie dient aus
Sicht des Europäischen Parlaments dem
Schutz der Privatsphäre von Internetnutzern
und bezieht sich auf alle Maßnahmen, die
die Speicherung oder den Zugriff auf
Informationen auf den Endgeräten des
Besuchers einer Webseite ermöglichen. Im
Mittelpunkt der Richtlinie steht eine
‚informierte Einwilligungspflicht‘.
Für die Umsetzung der Richtlinie wurde den
EU-Mitgliedsstaaten eine Frist bis zum 25.
November 2011 zugesprochen. Während
einige Staaten die Richtlinie in nationales
Recht umgesetzt haben, ist die deutsche
Bundesregierung bisher untätig geblieben.
Seit der Bundesbeauftragte für den
Datenschutz und die Informationsfreiheit
(BfDI), Peter Schaar, auf dem 13.
Datenschutzkongress in Berlin am 08. Mai
2012 anmerkte, dass die Richtlinie nach dem
Ablauf der Umsetzungsfrist seiner Ansicht
nach nun auch in Deutschland direkt
anwendbar wäre, hat die Diskussion in
Deutschland an Dynamik gewonnen.
02/2013
Im vorliegenden Papier wird zunächst auf
den Kern der Richtlinie eingegangen. Die im
Artikel 5 (3) der Richtlinie verankerte
informierte Einwilligungspflicht setzt neue
Rahmenbedingungen für das Speichern von
Informationen. Problematisch ist, dass sich
aus dem Artikel 5 (3) ein großer Gestaltungsspielraum
für die nationalstaatliche
Umsetzung der Richtlinie ergibt. metapeople
gibt deshalb einen Überblick über die
unterschiedlichen Maßnahmen, die bisher
von den EU-Mitgliedsstaaten ergriffen
wurden. Ein besonderes Augenmerk wird
hierbei auf die Entwicklungen in Großbritannien
gelegt. Die britische Regierung hat
die Cookie-Richtlinie in die nationale
Gesetzgebung überführt und angekündigt,
mit einer angestrebten Musterlösung eine
Vorreiterrolle innerhalb der EU einnehmen
zu wollen. Als Beispiel für eine besonders
strikte Umsetzung der Cookie-Richtlinie
werden außerdem die Entwicklungen in den
Niederlanden thematisiert. Weiter werden die
bisherigen Selbstregulierungsmaßnahmen
der deutschen Werbewirtschaft angesprochen.
Im Fazit wird diskutiert, ob es
angesichts des Ablaufs der Umsetzungsfrist
und der Aussage Peter Schaars nun auch für
die deutsche Werbeindustrie ernst wird.
Das Papier nimmt die stattfindende Debatte
auf, liefert aber keine abschließenden
Antworten auf rechtliche Fragen.
Inhaltlicher Kern der Richtlinie: Die
Informations- und Einwilligungspflicht
Bereits am 12. Juli 2002 wurde die Richtlinie
2002/58/EG zum Schutz der Privatsphäre
von Nutzern elektronischer Kommunikationsformen
verabschiedet. Am 25. November
2009 beschlossen das Europäische
Parlament und der Rat der Europäischen
Union mit der Richtlinie 2009/136/EG nach
über zweijährigen Verhandlungen eine
Änderung der bis dato bestehenden
Regelung. Der Kern der inhaltlichen
Überarbeitung findet sich im Artikel 5 (3):
„Die Mitgliedstaaten stellen sicher, dass die
Speicherung von Informationen oder der
Zugriff auf Informationen, die bereits im
Endgerät eines Teilnehmers oder Nutzers
Kern der Richtlinie ist
die informierte
Einwilligungspflicht.
(1) Webseitenbesucher
müssen
über die Cookies
informiert werden,
die auf einer Seite
gesetzt werden.
(2) Cookies dürfen
nur verwendet
werden, wenn der
Webseitenbesucher
dem zustimmt.
Die Artikel 29-
Datenschutzgruppe
benennt unterschiedliche
Cookies,
die von der Pflicht
zur Einwilligung
auszunehmen sind.
Nutzer-Eingabe-
Cookies, Authentifizierungscookies,
Nutzerbezogene
Sicherheitscookies,
Load-Balancing
Session Cookies,
Cookies zur
Speicherung von
Anzeigepräferenzen
sowie Cookies, die
benötigt werden, um
Inhalte per Social-
Plugins zu teilen
gespeichert sind, nur gestattet ist, wenn der
betreffende Teilnehmer oder Nutzer auf der
Grundlage von klaren und umfassenden
Informationen, die er gemäß der Richtlinie
95/46/EG u. a. über die Zwecke der
Verarbeitung erhält, seine Einwilligung
gegeben hat“ (Artikel 5 (3)).
Die Besucher einer Webseite müssen klar
und umfassend über die eingesetzte Technik,
die Verwendung der gesammelten Daten
sowie über die Identität der Partei informiert
werden, die den Cookie setzt. Außerdem
wird eine Einwilligung des Nutzers vor der
Speicherung von Informationen für Werbezwecke
als verpflichtend vorausgesetzt. Der
Artikel sieht allerdings auch Ausnahmen vor.
So entfallen die Informationspflicht und die
Einwilligungspflicht nach Artikel 5 (3),
„wenn der alleinige Zweck die Durchführung
der Übertragung einer Nachricht über ein
elektronisches Kommunikationsnetz ist oder
wenn dies unbedingt erforderlich ist, damit der
Anbieter eines Dienstes der Informationsgesellschaft,
der vom Teilnehmer oder Nutzer
ausdrücklich gewünscht wurde, diesen Dienst
zur Verfügung stellen kann“ (Artikel 5 (3)).
Ein unabhängiges Beratungsgremium der
Europäischen Kommission, die Artikel 29-
Datenschutzgruppe, hat vor diesem Hintergrund
im Juni 2012 ein Dokument vorgelegt
und konkrete Vorschläge für verschiedene
Ausnahmen von der Einwilligungspflicht
gemacht.
Die Artikel 29-Datenschutzgruppe unterscheidet
zunächst zwischen First Party-
Cookies und Third Party-Cookies.
(1) First Party-Cookies werden direkt von
der besuchten Webseite gesetzt. Sie werden
dazu genutzt, die Informationen zu speichern,
die von einem Webseitenbesucher eingegeben
werden. Die Daten werden dem
Nutzer dann beim nächsten Besuch der
Seite erneut verfügbar gemacht und
erleichtern zum Beispiel die Navigation auf
einer Webseite oder speichern Informationen
über den Warenkorb.
(2) Third Party-Cookies werden nicht von
den Betreibern der besuchten Seite gesetzt,
sondern von anderen Servern (den Third
Parties) nachgeladen. Third Party-Cookies
werden zum Beispiel dazu genutzt, das
02/2013
Surfverhalten von Webseitenbesuchern über
mehrere Seiten hinweg nachzuvollziehen.
Gerade Third Party-Cookies sind regelmäßig
nicht zwingend erforderlich, um die
Funktionalität einer Webseite zu gewähren.
Dennoch reicht die Unterscheidung zwischen
First Party-Cookies und Third Party-Cookies
nicht aus, um zu bestimmen, ob eine
Einwilligungspflicht besteht oder nicht.
Vielmehr muss im Einzelfall der Zweck und
die spezifische Implementierung des
jeweiligen Cookies geprüft werden.
Die Artikel 29-Datenschutzgruppe empfiehlt,
dass zum Beispiel Nutzer-Eingabe-Cookies,
Authentifizierungscookies, Nutzerbezogene
Sicherheitscookies, Load-Balancing-
Session-Cookies, Cookies zur Speicherung
von Anzeigepräferenzen sowie Cookies, die
benötigt werden, um Inhalte per Social-
Plugins zu teilen, von der Einwilligungspflicht
auszunehmen sind. Damit ist beispielsweise
das Setzen eines Cookies im Rahmen eines
Onlineshops zur Zuordnung eines Warenkorbs
zu einem bestimmten Nutzer, weiterhin
auch ohne Einwilligung möglich. Allerdings
ist zu beachten, dass die Webseitenbesucher
trotz des empfohlenen
Wegfalls der Einwilligungspflicht dennoch
über den Einsatz der genannten Cookies
informiert werden müssen.
Nachdem der inhaltliche Kern der Richtlinie
und die möglichen Ausnahmen von der
Einwilligungspflicht vorgestellt wurden, steht
nun die unterschiedliche Umsetzung der
Richtlinie in den EU-Mitgliedsstaaten im
Fokus.
Bisherige Umsetzung der Richtlinie
innerhalb der EU
EU-Richtlinien enthalten regelmäßig Umsetzungsfristen
für die Mitgliedsstaaten.
Doch auch wenn diese Frist für die
Überführung in nationales Recht nicht
eingehalten wird, kann eine Richtlinie eine
unmittelbare Wirkung in einem EU-
Mitgliedsstaate entfalten. Hierfür muss der
Inhalt der Richtlinie allerdings so konkret
verfasst sein, dass er sich zu einer
unmittelbaren Anwendung eignet.