Internet-Law

Onlinerecht und Bürgerrechte 2.0

11.11.09

Cookies nur noch mit Einwilligung des Nutzers?

In Fefes Blog war gestern folgendes zu lesen: „Kurze Durchsage der EU: Web-Cookies sind ab jetzt genehmigungspflichtig“.

Damit meint er wohl den im Rahmen des Telekompakets erarbeiteten Richtlinienvorschlag (2007/0248/COD) der u.a. eine Ergänzung der Richtlinie 2002/58/EC (Datenschutzrichtlinie für elektronische Kommunikation) in seinem Artikel 5(3) vorsieht. Das Verfahren ist m.W. noch nicht abgeschlossen, da die 3. Lesung im EU-Parlament noch nicht stattgefunden hat. Allerdings handelt es sich bei der letzten Textfassung um denjenigen Kompromiss zu dem alle Seiten Zustimmung signalisert haben, weshalb mit Widerstand des Parlaments nicht mehr zu rechnen ist. Die aktuelle (deutschsprachige) Vorschlagsfassung zur Änderung von Artikel 5 Abs. 3 der Richtlinie lautet:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat . Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann .

Diese Neufassung ist kritikwürdig, zumal ein früherer Entwurf die durchaus sinnvolle Regelung enthielt, dass die Browsereinstellungen die notwendige Zustimmung des Nutzers indizieren. Die Regelung zielt in der Tat auf sog. Cookies ab und ist auch hierzulande bereits in der Presse diskutiert worden, ohne, dass es zu einem großen Aufschrei gekommen wäre.

Diese Änderung wird vermutlich vermehrte Belehrungen durch PopUp-Fenster und/oder spezielle Landing-Pages zur Folge haben, was bei Internetnutzern erfahrungsgemäß wenig beliebt ist.

Ob damit der beabsichtigte Zweck, ein höheres Datenschutzniveau im Web zu gewährleisten, erreicht werden kann, darf bezweifelt werden. Die User werden diese Belehrungen nämlich überwiegend genervt wegklicken bzw. zügig durch den OK-Button bestätigen, ohne die Information überhaupt wahrgenommen zu haben.

Das Datenschutzrecht ist, wenn es funktionieren soll, aber letztendlich auf die Akzeptanz derjenigen angewiesen, die es schützen möchte. Ein Umstand, den professionelle Datenschützer oft nicht hinreichend beachten. Die Entwicklung im Netz hat dazu beigetragen, dass die gesetzlichen Regelungen und das tatsächliche Datenschutzniveau immer weiter auseinanderdriften, weil sowohl diejenigen die Daten verarbeiten als auch diejenigen, deren Daten geschützt werden wollen, nicht in ausreichendem Maße Verständnis für derartige Regelungen aufbringen. Dass man dieses Dilemma nicht auflöst, sondern eher verstärkt, indem man die gesetzlichen Anforderungen immer weiter verschärft, ist bei den politischen Entscheidern offenbar immer noch nicht angekommen.

Die fast logische Konsequenz ist, dass die neuen Regeln immer weniger beachtet werden.

Vielleicht sollte man sich deshalb, gerade bei einem Thema wie dem Datenschutz, das wirklich jeden betrifft, stärker mit der Frage beschäftigen, was sich die Menschen für eine Regelung wünschen, bzw. ob sie mit dem derzeitigen Rechtszustand zufrieden sind. Gerade auf Ebene der EU muss man lernen, die Menschen nicht nur eindimensional als Verbraucher, sondern vielmehr als Bürger wahrzunehmen.

Und es gibt ehrlich gesagt auch ganz andere datenschutzrechtliche Probleme in Europa. Solange es die EU erlaubt, dass Bankdaten ihrer Bürger in die USA übermittelt werden, mutet eine gesetzliche Regelung zu Cookies als eher lächerlich an.

Diese neuen Regeln werden die Nutzer vor allen Dingen nerven, die Seitenbetreiber mit zusätzlichen Pflichten belasten und insgesamt die Useability beeinträchtigen.

Es gibt sicher Gründe, die „Kekse“ als nicht ganz unbedenklich einzustufen. Aber der Nutzer hat durch Änderung seiner Browsereinstellungen auch die Möglichkeit selbst zu steuern, ob und in welchem Umfang er Cookies akzeptieren will. Vielleicht sollte die EU einfach stärker auf die Aufklärung und auf mündige Bürger – nicht Verbraucher – setzen. Durch Regelungen wie diese wird eine möglicherweise gute Absicht in ihr Gegenteil verkehrt und der bestehende Unmut gegenüber den Institutionen der EU nur noch verstärkt.

Update:

Weil offenbar z.T. immer noch die Vorstellung existiert, dass die Browsereinstellungen des Nutzers für eine Einwilligung reichen würden, nochmal der Hinweis dass die Formulierung

„sofern der betreffende Teilnehmer oder Nutzer nicht zuvor seine Einwilligung gegeben hat, wobei zu berücksichtigen ist, dass die Browser-Einstellung eine vorherige Einwilligung darstellt“

die in einem früheren Entwurf noch vorhanden war, in der letzten Fassung wieder gestrichen worden ist. Dadurch wird deutlich, dass die Browsereinstellung gerade nicht als Einwilligung ausreichen soll. Und auch nach allgemeinen juristischen Auslegungskriterien wird hierin schwerlich eine Einwilligung im datenschutzrechtlichen Sinne gesehen werden können. Im Widerspruch hierzu scheint Erwägungsgrund 66 darauf hinzudeuten, dass die Browsereinstellung des Nutzers vielleicht doch als Einwilligung angesehen werden können. Dieser Erwägungsgrund verweist freilich wiederum auf die Datenschutzrichtlinie und dort ist unter Einwilligung eine (ausdrückliche) Willensbekundung zu verstehen, was mit Default-Einstellungen des Browsers schwierig in Einklang zu bringen ist. Handwerklich aber einmal mehr schlecht gemacht.

posted by Stadler at 10:42  

15 Comments »

  1. Cookies sind nützlich für die Erfassung und Speicherung eines bestimmten Zustandes, z.B. die Präferenzen, welche Aktien im feed angezeigt werden sollen.
    P3P war eine initiative die guten von den bösen Cookies zu unterscheiden. Denn einem Cookie kann man erstmal nicht ansehen, wozu es gesetzt wird. Und genau das ist der Fehler der Richtlinie. Es soll zugestimmt werden, aber was ist eigentlich Inhalt der Zustimmung? P3P braucht auch kein dauerndes OK. Allerdings sind die nutzerseitigen Implementierungen von P3P bisher eine Katastrophe. Da könnte man das Datenschutz-Niveau nachhaltig heben. Aber dort wird natürlich nicht investiert.

    Comment by Rigo Wenning — 11.11, 2009 @ 11:12

  2. Ganz genau: P3P war ein guter Ansatz den man lieber fördern sollte, statt weiter zu regulieren, was man nicht bis ins letzte Detail regulieren kann.

    Zu P3P halte ich meinen Artikel weiter aktuell:
    http://www.datenschutzbeauftragter-online.de/datenschutz-mit-p3p/
    Aber die Hoffnung, dass das nochmal was wird, habe ich aufgegeben.

    Kritisch sehe ich die Argumentation, dass der Benutzer am Ende zu viel Belehrung sieht und nur entnervt wegklickt. Das ist der Einstieg in die Entmündigung nach dem Motto "zu viel denken nervt nur" und wird von mir als Argument abgelehnt. Im übrigen vermisse ich mit diesem Argument die Kritik an AGB, die Benutzer ja auch nur entnervt anklicken und nicht mehr lesen. Wollen wir jetzt die Prüfung der Kenntnisnahme von AGB verbieten, weil sie verhindern, dass Verbraucher sich mit Vertragswerken im Detail auseinandersetzen?

    Lieber ist mir das Argument (siehe oben), dass man solange wie man positiv präventive Techniken fördern kann, dies auch tun soll, bevor man mittels negativer Prävention wieder zu verbieten versucht. Es gibt einfach zu viele andere Möglichkeiten.

    Comment by Jens Ferner — 11.11, 2009 @ 11:32

  3. Ich wäre dann wirklich mal auf die Durchsetzung in der Praxis gespannt: Das würde ja faktisch bedeuten, dass der User bei jeder Seite, die er ansurft, eine aktive Zustimmung zu sämtlichen Cookies liefern muss. Der absolute Usability-Alptraum!

    Daraufhin würde ich jedem Webseitenbetreiber raten, die Zustimmung mit einem dicken EU-Logo auszustatten und einem Link zur EU-Webseite auszustatten. Die Gesichter in Brüssel will ich sehen!

    Comment by Peter Pletsch — 11.11, 2009 @ 15:10

  4. Eine gewisse Entwarnung zum Thema bringt heise hier: http://heise.de/-856786

    Allerdings muss ich zu folgender Aussage mein Schwert ziehen "Das Datenschutzrecht ist, wenn es funktionieren soll, aber letztendlich auf die Akzeptanz derjenigen angewiesen, die es schützen möchte. Ein Umstand, den professionelle Datenschützer oft nicht hinreichend beachten."

    Das trifft auf die meisten meiner Kollegen, die als interne oder externe Datenschutzbeauftragte in Unternehmen oder Behörden beschäftigt sind, nicht zu. Wir haben gar keine andere Wahl, als mangels direkter Weisungsbefugnis den "Umweg über die Akzeptanz" zu nehmen – und zwar bei Datenverarbeitern wie bei Betroffenen. Das trainiert die Fähigkeit, tragfähige Kompromisse zu finden :-)
    Leider springen viele "nicht-ganz-so-"professionelle" Datenschutzbeauftragte mangels Ausbildung, Ausstattung und Ausstrahlung dabei zu kurz; das hat aber andere Ursachen.

    Ich sehe für solche (immer wieder) unpraktikablen Gesetze zwei andere Gründe: Fehlender Sachverstand bei den Parlamentariern und eine schwache Datenschutzlobby.

    Sie finden im Deutschen Bundestag keine zwei Handvoll Mitglieder mit einer klaren Strategie in Sachen Datenschutz. Spezialisiert auf das Thema haben sich weniger als fünf. Lange Zeit war "Datenschutz" ganz einfach kein Thema, um sich zu profilieren. Auch deshalb wird bis heute zumeist nur anlassbezogen (persönliche Betroffenheit und/oder Skandale) und lobbygesteuert reagiert.

    Dabei nehmen oft die (weitaus stärker etablierten) Verbraucherschutzexperten unter den Politikern und Lobbyisten die Angelegenheiten des "kleines Bruders" Datenschutz mit in die Hand. Das ist – wie unter Geschwistern – manchmal hilfreich für den Kleinen, manchmal eben auch nicht.

    Comment by Steffen Schröder — 11.11, 2009 @ 17:00

  5. Moment mal: wo ist denn da jetzt das Problem? Haltet mal den Ball flach: da ändert sich für uns als Webentwickler oder Nutzer doch gar nichts!

    Diese Formulierung betrifft ausschließlich Tracking-Cookies. Session-Cookies sind durch den Passus der "technischen Notwendigkeit" abgedeckt.

    Seiten mit Registrierung und entsprechender Werbung werden das bei Bedarf durch eine einzige zusätzliche Klausel in den Datenschutzbestimmungen abfrühstücken können. 1 Satz mehr – passt schon.

    Bleiben also nur die Seiten, die ohne Nutzeranmeldung und ungefragt Tracking-Cookies speichern.
    Diese Cookies will aber der Nutzer in der Regel tatsächlich nicht haben.

    Aber auch hier ist alles halb so schlimm.
    Schließlich geht es nur um "bereits gespeicherte" Daten (Cookies). Es dürfte also ausreichen, wenn auch Cookies von Drittanbietern (und um nichts anderes geht es ja) in ihrer Gültigkeit auf die Seite beschränkt werden, auf der Sie angelegt wurden.

    Das wiederum ist technisch problemlos machbar. Zum Beispiel ein Präfix vor die Session-Id hängen – fertig. Macht ca. 2 Zeilen Code extra.

    Die Reaktion der Marketingleute wäre interessant: immerhin bricht ihnen eine Kennzahl zur Bewertung des Kampagnenerfolgs weg – mehr allerdings auch nicht.

    Interessant ist auch die Frage der Haftung: haftet bei Affiliates der Seitenbetreiber für Cookies, welche die eingebettete Werbung anlegt? Das hängt dann wohl vermutlich von den Geschäftsbedingungen zwischen beiden ab.
    Dies ist aber auch der einzige Knackpunkt den ich da noch sehe.

    Comment by Anonymous — 11.11, 2009 @ 18:15

  6. "Session-Cookies sind durch den Passus der "technischen Notwendigkeit" abgedeckt."

    Wirklich sicher? Da z.B. PHP die Option bietet, schon Serverseitig zu wählen (und ggfs. im Skript selbst auch noch zu setzen) ob man session.use_cookies auf 1 setzt und nicht lieber trans_sid nutzt, weiß ich nicht, ob das wirklich eine technische Notwendigkeit ist.

    In der Praxis funktionierte trans_sid nie wirklich sauber, die SID im Cookie abzulegen war immer am klügsten (keine Ahnung wie das heute bei PHP ist, bin ja nun ein wenig raus). Aber solange die arbeitsfähige Option da ist, wäre ich zumindest im Umfeld von PHP mit der Bejahung einer technischen Notwendigkeit erstmal vorsichtig.

    Comment by Jens Ferner — 11.11, 2009 @ 18:44

  7. Affiliate-Programme basieren auf Tracking-Cookies. Der Kunde, den eine Website per Promotionlink auf z.B. einen Shop sendet, wird per Cookie für diese Provisions-ID gekennzeichnet. Wenn der Kunde nicht sofort kauft, sondern per Type-In erst nach einigen Tagen wiederkommt und dann erst einen Umsatz tätigt, dann wird die Provision über den in der Regel 30 Tage gültigen Cookie dem vermittelnden Affiliate gutgeschrieben.
    Cookies sind insofern die Basis dafür, dass viele Webseiten sich finanzieren. Deren Abschaffung durch EU-Qutschofonien wird zum Massensterben vieler kleiner Seiten führen und die Megaseiten noch potenter machen.

    Comment by Anonymous — 11.11, 2009 @ 20:08

  8. Da es keine wirkliche technische Notwendigkeit für cookies gibt, aus session-Cookies sind keine solche, wird jeder Abmahnanwalt frohlocken.

    Das der Browserpassus draussen ist, kann ich verstehen, wenn ich es auch ärgerlich finde.

    der Gesetzgeber müßte sonst davon ausgehen können, das alle Browserentwickler diese Möglichkeit der Cookiesteuerung eingebaut haben. Keine Ahnung, wie diese ganzen Browser in den Spielekonsolen, Fernsehgeräten, Telefonen ausgestattet sind.

    Er kann aber nicht davon ausgehen, und er kann auch keinem Browserentwickler dieses vorschreiben. Der Browserentwickler würde zu recht sagen: was können wir dafür, das böse Seitenbauer böse cookies einsetzen? Müssen wir auch noch Diebstahlsicherung fürs Haus und Grippeimpfungen einbauen?

    Der Verursacher von "cookies" auf der Festplatte des Volkes ist der Seitenanbieter. Nur er kann also wirklich in die Pflicht genommen werden, wenn man denn meint, das man jemanden in die Pflicht gesetzlich nehmen soll.

    Deswegen, so denke ich, wurde der Browserpart auch wieder rausgenommen.

    Comment by Chräcker — 12.11, 2009 @ 08:10

  9. Man wird hier sicherlich über viele Dinge noch diskutieren können. Dass Session-Cookies allerdings per se als technisch zwingend notwendig, für den Betrieb des Angebots angesehen werden, halte ich für eine gewagte These.

    Comment by Pavement — 12.11, 2009 @ 08:41

  10. "Dass Session-Cookies allerdings per se als technisch zwingend notwendig, für den Betrieb des Angebots angesehen werden, halte ich für eine gewagte These."

    Das mag sein, aber von "zwingend notwendig" war in dem Text auch keine Rede. Es stand dort "wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht [..] ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter [..] diesen Dienst zur Verfügung stellen kann."

    Dort steht "diesen Dienst". Der Dienst ist aber (wenn er nicht völlig allgemein gehalten ist) in der Regel untrennbar mit einer spezifischen Implementierung verbunden. Und zwar unabhängig davon, ob man es technisch nicht auch anders machen "könnte".

    Wenn ein Cookie also unbedingt erforderlichen ist um "diesen" Dienst anzubieten weil es unpraktikabel ist sicherzustellen, dass die Id an jeden Link angehängt wird, dann halte ich das für ausreichend begründet.

    Was aber Tracking-Cookies angeht bin ich weiterhin der Ansicht: es ist kein Verlust. Das war von Anfang an ein Missbrauch der Technik für Dinge, für die sie nie gedacht war.
    Zuverlässig funktioniert hat das noch nie und wirklich benötigen tun wir das auch nicht. Man kann auch einfach die Abrechnung etwas anders gestalten und alles ist okay.

    Comment by Anonymous — 12.11, 2009 @ 10:48

  11. Session-Cookies sind technisch nicht notwendig. Die Session kann schön wie früher mit obskuren PHP-Funktionen auch über die URL mitgeteilt werden.
    Ist vielleicht etwas unhandlich, aber machbar.
    Alles in allem ist dieser RL-Entwurf mal wieder ein schönes Beispiel wie verkürzt die Legislativjuristen bei der Folgenabschätzung ihrer Gesetze denken.

    Comment by Ralph — 12.11, 2009 @ 11:19

  12. Ich bin etwas verwirrt, kenne mich im Dokumentendschungel auch nicht so aus. Aber in dem oben verlinktem pdf, wo der Browserpassus fehlt, steht das Datum 19.11.2007.

    Im Worddokument, welches weiter unten halb verlinkt ist, und wo der Browserpassus drin steht, hats das Datum 24.9.2008.

    hab ich da einen Gedankendreher (kann gut sein), oder Du?

    Comment by Chräcker — 12.11, 2009 @ 17:19

  13. @Chräcker: Beim oben verlinkten Dokument mal runter gescrollt? Es handelt sich nicht um ein einzelnes Dokument vom 13.11.2007, sondern um eine Chronologie die bis zum 26.10.2009 geht

    Comment by Pavement — 12.11, 2009 @ 22:03

  14. Hehe, das meinte ich mit meiner Verwirrung. Danke, deswegen fragte ich, nun bin ich klüger.

    Comment by Chräcker — 13.11, 2009 @ 07:45

  15. Hier gibt es die Antwort auf ALLE "Cookie-Fragen":

    http://www.maxa-tools.com

    Comment by Anonymous — 25.11, 2009 @ 09:48

RSS feed for comments on this post. TrackBack URI

Leave a comment