In Fefes Blog war gestern folgendes zu lesen: „Kurze Durchsage der EU: Web-Cookies sind ab jetzt genehmigungspflichtig“.
Damit meint er wohl den im Rahmen des Telekompakets erarbeiteten Richtlinienvorschlag (2007/0248/COD) der u.a. eine Ergänzung der Richtlinie 2002/58/EC (Datenschutzrichtlinie für elektronische Kommunikation) in seinem Artikel 5(3) vorsieht. Das Verfahren ist m.W. noch nicht abgeschlossen, da die 3. Lesung im EU-Parlament noch nicht stattgefunden hat. Allerdings handelt es sich bei der letzten Textfassung um denjenigen Kompromiss zu dem alle Seiten Zustimmung signalisert haben, weshalb mit Widerstand des Parlaments nicht mehr zu rechnen ist. Die aktuelle (deutschsprachige) Vorschlagsfassung zur Änderung von Artikel 5 Abs. 3 der Richtlinie lautet:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat . Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann .
Diese Neufassung ist kritikwürdig, zumal ein früherer Entwurf die durchaus sinnvolle Regelung enthielt, dass die Browsereinstellungen die notwendige Zustimmung des Nutzers indizieren. Die Regelung zielt in der Tat auf sog. Cookies ab und ist auch hierzulande bereits in der Presse diskutiert worden, ohne, dass es zu einem großen Aufschrei gekommen wäre.
Diese Änderung wird vermutlich vermehrte Belehrungen durch PopUp-Fenster und/oder spezielle Landing-Pages zur Folge haben, was bei Internetnutzern erfahrungsgemäß wenig beliebt ist.
Ob damit der beabsichtigte Zweck, ein höheres Datenschutzniveau im Web zu gewährleisten, erreicht werden kann, darf bezweifelt werden. Die User werden diese Belehrungen nämlich überwiegend genervt wegklicken bzw. zügig durch den OK-Button bestätigen, ohne die Information überhaupt wahrgenommen zu haben.
Das Datenschutzrecht ist, wenn es funktionieren soll, aber letztendlich auf die Akzeptanz derjenigen angewiesen, die es schützen möchte. Ein Umstand, den professionelle Datenschützer oft nicht hinreichend beachten. Die Entwicklung im Netz hat dazu beigetragen, dass die gesetzlichen Regelungen und das tatsächliche Datenschutzniveau immer weiter auseinanderdriften, weil sowohl diejenigen die Daten verarbeiten als auch diejenigen, deren Daten geschützt werden wollen, nicht in ausreichendem Maße Verständnis für derartige Regelungen aufbringen. Dass man dieses Dilemma nicht auflöst, sondern eher verstärkt, indem man die gesetzlichen Anforderungen immer weiter verschärft, ist bei den politischen Entscheidern offenbar immer noch nicht angekommen.
Die fast logische Konsequenz ist, dass die neuen Regeln immer weniger beachtet werden.
Vielleicht sollte man sich deshalb, gerade bei einem Thema wie dem Datenschutz, das wirklich jeden betrifft, stärker mit der Frage beschäftigen, was sich die Menschen für eine Regelung wünschen, bzw. ob sie mit dem derzeitigen Rechtszustand zufrieden sind. Gerade auf Ebene der EU muss man lernen, die Menschen nicht nur eindimensional als Verbraucher, sondern vielmehr als Bürger wahrzunehmen.
Und es gibt ehrlich gesagt auch ganz andere datenschutzrechtliche Probleme in Europa. Solange es die EU erlaubt, dass Bankdaten ihrer Bürger in die USA übermittelt werden, mutet eine gesetzliche Regelung zu Cookies als eher lächerlich an.
Diese neuen Regeln werden die Nutzer vor allen Dingen nerven, die Seitenbetreiber mit zusätzlichen Pflichten belasten und insgesamt die Useability beeinträchtigen.
Es gibt sicher Gründe, die „Kekse“ als nicht ganz unbedenklich einzustufen. Aber der Nutzer hat durch Änderung seiner Browsereinstellungen auch die Möglichkeit selbst zu steuern, ob und in welchem Umfang er Cookies akzeptieren will. Vielleicht sollte die EU einfach stärker auf die Aufklärung und auf mündige Bürger – nicht Verbraucher – setzen. Durch Regelungen wie diese wird eine möglicherweise gute Absicht in ihr Gegenteil verkehrt und der bestehende Unmut gegenüber den Institutionen der EU nur noch verstärkt.
Update:
Weil offenbar z.T. immer noch die Vorstellung existiert, dass die Browsereinstellungen des Nutzers für eine Einwilligung reichen würden, nochmal der Hinweis dass die Formulierung
„sofern der betreffende Teilnehmer oder Nutzer nicht zuvor seine Einwilligung gegeben hat, wobei zu berücksichtigen ist, dass die Browser-Einstellung eine vorherige Einwilligung darstellt“
die in einem früheren Entwurf noch vorhanden war, in der letzten Fassung wieder gestrichen worden ist. Dadurch wird deutlich, dass die Browsereinstellung gerade nicht als Einwilligung ausreichen soll. Und auch nach allgemeinen juristischen Auslegungskriterien wird hierin schwerlich eine Einwilligung im datenschutzrechtlichen Sinne gesehen werden können. Im Widerspruch hierzu scheint Erwägungsgrund 66 darauf hinzudeuten, dass die Browsereinstellung des Nutzers vielleicht doch als Einwilligung angesehen werden können. Dieser Erwägungsgrund verweist freilich wiederum auf die Datenschutzrichtlinie und dort ist unter Einwilligung eine (ausdrückliche) Willensbekundung zu verstehen, was mit Default-Einstellungen des Browsers schwierig in Einklang zu bringen ist. Handwerklich aber einmal mehr schlecht gemacht.