SPD-Gesetzesentwurf: Cookies nur noch mit Einwilligung
Ein Gesetzesentwurf der Bundestagsfraktion der SPD vom 24.01.2012 sieht vor, in das Telemediengesetzes (TMG) in § 13 folgenden Absatz 8 einzufügen:
(8) Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.
Durch diese Neuregelung soll die E-Privacy-Richtlinie umgesetzt werden. Der Vorschlag der SPD ähnelt in diesem Punkt einem Gesetzesentwurf des Bundesrates.
Dass ich eine derartige Regelung kritisch sehe, weil die inflationäre Zunahme von Pop-Up-Fenstern zu befürchten steht, hatte ich bereits erläutert. Ob auf diese Weise tatsächlich eine Erhöhung des Datenschutzniveaus erreicht werden kann, darf bezweifelt werden. Vielmehr ist zu erwarten, dass die User aufpoppende Fenster schlicht genervt wegklicken werden, was der Vorstellung einer datenschutzrechtlichen Einwilligung, die auf einer ausreichenden Information beruht, letztlich eher zuwider läuft.
Die wesentliche Frage, unter welchen Voraussetzungen eine Ausnahme von der Einewilligungslösung gemacht werden kann, weil die Verwendung von Cookies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst zu erbringen, beantwortet die Entwurfsbegründung der SPD freilich nicht. Wäre beispielsweise die Verwendung von Session-Cookies oder gar permanenten Cookies in Onlineshops unbedingt erforderlich, um den Shop betreiben zu können? Die Gesetzgebungstechnik der SPD-Fraktionn bedingt, dass diese zentrale Frage einmal mehr den Gerichten überlassen wird.
Ich würde die Einwilligung einfach unterstellen, schliesslich erlauben die allermeisten Browser dem User ein Feintuning seiner Cookierichtlinien. Den User per Gesetz zwingen zu wollen ist verfehlt. Ein wenig Aufklärung würde schon reichen.
Comment by kristall — 25.01, 2012 @ 11:42
Wenn man einem Cookie nicht einwilligt, darf das dann gespeichert werden? Oder muss ich mir dann bei jedem Besuch die selbe Frage stellen lassen?
Echt, manches kann man wirklich übertreiben.
Comment by Aljoscha Rittner — 25.01, 2012 @ 11:47
Eine Flut von Pop-Ups würde doch sicher eine Migration der Nutzer bewirken. Weg von Anbietern die viele Einverständniserklärungen verlangen hin zu Services, die das seltener tun.
Dadurch wäre Datensparsamkeit plötzlich ein Wettbewerbsfaktor.
Und natürlich würden viele User die Texte gar nicht lesen. Aber einige tun dies dann doch und werden recht überrascht sein, was die Anbieter so alles sammeln wollen.
Aber wie auch immer, Opt-In wird kommen egal ob jetzt durch die SPD oder die EU oder die User.
Comment by qrios — 25.01, 2012 @ 12:05
»Wäre beispielsweise die Verwendung von Session-Cookies oder gar permanenten Cookies in Onlineshops unbedingt erforderlich, um den Shop betreiben zu können?« Eben. Nicht. Client-seitig wird ja nur der Einfachheit halber – und zwar der von Anbieter und Nutzer, des „Mehrwert“ wegen, etc.pp. gespeichert. Alles zur Abrechnung erforderliche zwangsläufig beim Server. Den Brückenschlag braucht es nicht, aber er macht einiges bequemer – für den Anbieter und den Nutzer. Und darauf geht dann die Lobby-Maschinerie los: Totschlagargument Arbeitsplätze, „Uiuiui, wenn wir nicht mehr speichern können, geht unser Absatz zurück! Wenn unser Absatz zurück geht, gehen Arbeitsplätze verloren!!“ Schon ist das Vorhaben kassiert, oder wird in der weiteren Debatte in einen Papiertiger verwandelt.
Comment by Udo — 25.01, 2012 @ 12:31
Ich glaube, die Cookie-Debatte setzt an der falschen Seite an. Es wird so getan, als wenn man informationelle Selbstbestimmung dadurch erlangte, dass man einzelne Datenkrümel auf Endgeräten steuern will. Kommen dann als nächstes Rechtsvorschriften für den Betrieb von Caches von Webbrowsern?
Welchen Irrsinn die Diskussion treibt, zeigt das perverse Beispiel des Piwik-Einsatzes bei gruene-bundestag.de. Piwik hat man aus der Fernsehserie „Gute-Cookies-Schlechte-Cookies“ von Mullah Weichert entlehnt, der dort für scharia-konforme kostenfreie Produkte Schleichwerbung in seinem Feldzug gegen den US-Wirtschaftsimperialismus (siehe Sommerakademie)macht:
https://www.datenschutzzentrum.de/tracking/piwik/
Wenn man gruene-bundestag.de besucht, kommt ein Opt-in-Popup (trotz Popup-Blocker :-) Dann kann man ankreuzen:
„Die Piwik Webanalyse darf meine Besuchsdaten nicht erfassen.“
Kreuzt man das an, legt Piwik ein Cookie bei mir auf dem Rechner ab, damit es beim nächsten Mal Bescheid weiss, dass ich schon da war. Lösche ich das Cookie, fragt er beim nächsten Mal wieder und legt ein Cookie, um tracken zu können, dass ich schon da war. Das ist nur noch eine kafkaeske Komödie und hat mit Datenschutz nichts mehr zu tun.
Ich denke, wir sollten in dem Diskurs die technische Ebene verlassen und Datenschutz als Rechtsproblem auffassen. Dann sollten wir klar definieren, was ein Webserverbetreiber darf udn was nicht. Das sollten wir dann dort bei dem auch durchsetzen. Wenn also wir den Verdacht haben, Facebook macht was falsch, dann muss man dahin und gucken und Recht durchsetzen. Wie die Iren und Amis das machen. Statt Rechtsdurchsetzung bei Facebook, dann monatelange Pressegespräche und Bürgernötigungen mit 50 T€ ist Unsinn.
Um es technisch zu sagen: Privacy muss schon am Server durchgesetzt werden, nicht erst bei Milliarden Endgeräten die ich technisch gar nicht einfangen kann (wie ich immer an meinem in Twitter integrierten Browser auf dem iPhone (ich kann auch Schleichwerbung wie Thilo :-) sehe, wenn mir dann tolle Bastler empfehlen, ich solle Firefox nehmen und Ad-Blocker und all son Zeugs administrieren).
Daher halte ich den Absatz (8) s.o. für überflüssig, viel zu schwammig, nicht operationalisierbar und das genaue Gegenteil von klarer und einfach er Rechtsnorm, die eher eine Arbeitsbeschaffungsmaßnahme für Richter ist als geeignet, Ordnung zu schaffen.
Um es salopp zu sagen: Wie schon bei der VDS sieht man, dass die SPD es leider nicht drauf hat.
Comment by Jan Dark — 25.01, 2012 @ 13:01
Cookies erhöhen ganz extrem den Komfort des Internets. Wer das nicht glaubt, muss einfach mal nur seine Cookies abschalten.
Es gibt im Netz sehr viele Menschen, die sich ohne Cookies gar nicht mehr zurecht finden würden.
Wenn man z.B. in 100 Seiten angemeldet ist, und müsste bei jedem Besuch erneut wieder Username und Passwort aus einer langen Liste herauskramen, merkt man schnell, welcher Fortschritt Cookies sind.
Ich möchte mal behaupten, dass es viele gibt die das Geplappere „gegen Cookies“ nachplappern, aber selbst den Komfort von Cookies genießen und gar nicht wissen worauf der beruht.
Und wer meint, Popupgewitter würde es nicht geben, der darf sich gerne an die Lizenzbestimmungen oder AGB erinnern, die bei einer Software-Installation immer zugestimmt werden müssen, und die garantiert jeder bis nach unten durchgelesen hat.
Bürokratischer Schwachsinn ist das, nichts anderes.
Comment by Frank — 25.01, 2012 @ 13:08
@Udo Stimmt so nicht ganz. Ohne Session Cookie (Einzahl, nur mit ID) kann serverseitig weder Warenkorb noch sonst irgend etwas funktionieren, denn der Client kann nur damit vernünftig und eindeutig identifiziert werden. Ohne Brückenschlag kann man nicht über den Fluss gehen, da bleibt der Warenkorb unerreichbar auf der anderen Seite. Wie willst Du identifizieren wem das „Alles zur Abrechnung erforderliche zwangsläufig beim Server“ gespeicherte gehört, wenn es niemandem zugeordnet ist?
(OK, es ist möglich, mit Session-IDs in der URL, aber das führt zu Sicherheits- und Usability-Problemen die niemand wollen kann.)
Ausserdem sind Cookies in der Grösse begrenzt – selbst wenn ein Anbieter mehr als nur eine ID clientseitig speichern wollte, würde er da sehr schnell an Grenzen stossen. Insofern funktionieren böse Tracking-Cookies von Werbern exakt gleich wie gute Session-Cookies von Webshops: Es wird eine Zeichenfolge gespeichert, die den Benutzer identifiziert. Fertig.
Comment by Guido — 25.01, 2012 @ 13:08
Wie soll es überhaupt möglich sein, einen Cookie ohne Einwilligung zu speichern? Dass macht schließlich der UA des Nutzers, nicht der Server.
Comment by Jens — 25.01, 2012 @ 14:58
Ein Cookie ist ein sehr sinnvolles Werkzeug, um die Kommunikation zwischen Webserver und Benutzer zu ermöglichen. Ohne Cookies hätten wir wieder Session-IDs in URLs und die dazu gehörenden Angriffe zur Übernahme von Sessions. Wie plemplem das Vorhaben ist, Cookies regulieren zu wollen, zeigt:
http://www.pissau.de/2012/01/spd-will-cookies-strenger-regulieren/
Stattdessen sollte vielleicht mal darüber nachgedacht werden, WAS Serverbetreiber speichern dürfen, und viel wichtiger, was sie mit den Informationen anstellen dürfen, die sie gespeichert haben, und nicht, mit welchen Werkzeugen sie Informationen speichern.
Comment by Christof — 26.01, 2012 @ 07:26