t3n News Marketing

Banner, Pop-Up oder Tick-Box? Praxishinweise zur europaweiten Umsetzung der Cookie-Richtlinie

Banner, Pop-Up oder Tick-Box? Praxishinweise zur europaweiten Umsetzung der Cookie-Richtlinie

Die Umsetzung der Cookie-Richtlinie (Richtlinie 2009/136/EC, auch bekannt als e-Privacy-Richtlinie) hat bei europaweit agierenden Unternehmen große Rechtsunsicherheit hervorgerufen. Die meisten europäischen Länder haben die Richtlinie mittlerweile umgesetzt, unklar bleibt jedoch, welche Cookies Unternehmen einsetzen dürfen und wie sie über deren Gebrauch informieren müssen. Der folgende Artikel soll einen Überblick über unterschiedliche Regelungsansätze und passende Reaktionsmöglichkeit liefern. 

Banner, Pop-Up oder Tick-Box? Praxishinweise zur europaweiten Umsetzung der Cookie-Richtlinie

Cookies als Marketinginstrument

Cookies, kleine Dateien, die auf Datenträgern der Internetnutzer abgelegt werden, haben sich als unverzichtbares Marketinginstrument etabliert. Zunächst dienten sie nur dem Speichern von benutzerdefinierten Einstellungen oder ersparten das erneute Einloggen bei einem späteren Besuch auf einer Internetseite. Inzwischen nutzt die Werbewirtschaft Cookies für umfangreiche Analysen des Nutzerverhaltens, um potentiellen Kunden zielgenaue Angebote unterbreiten zu können. Dabei ist es möglich, das Nutzerverhalten über mehrere Seiten hinweg zu analysieren, zum Beispiel, um Werbung für Waschmaschinen oder Hausratsversicherungen zu platzieren, wenn sich ein Nutzer zuvor in einer Suchmaschine über Waschmaschinen informiert hat oder einen entsprechenden Artikel in einem Nachrichtenportal gelesen hat (sogenanntes Behavioral-Targeting).

Diese Informationen können mit einer geografischen Ortung des Nutzers zusammengeführt werden und mit Hilfe von statistischen Daten ergänzt werden, um ein zukünftiges Nutzungsverhalten vorherzusagen. Beliebt ist auch, verlorengegangene Kunden wiederanzusprechen (sogenanntes Retargeting), das heißt, wenn ein Kunde einmal ein Produkt in einem Onlineshop angesehen hat, diesen während seines Besuchs auf anderen Seiten auf dieses Produkt hinzuweisen. Insbesondere diese Marketinginstrumente, die zu Profilen über Nutzer- und Kaufverhalten führen, fallen unter den Anwendungsbereich der sogenannten Cookie-Richtlinie.

Uneinheitliche Umsetzung

Cookies. (Foto: © iStockphoto / Chuck Schmidt)
Für das Setzen von Cookies ist in den meisten Ländern eine ausdrückliche Einwilligung erforderlich. (Foto: © iStockphoto / Chuck Schmidt)

Wie bei allen Europäischen Richtlinien haben die nationalen Gesetzgeber einen weitreichenden Spielraum bei der Umsetzung in die jeweiligen Rechtsordnungen. Zwar haben die allermeisten Länder die Cookie-Richtlinie mittlerweile umgesetzt, die Herangehensweisen unterscheiden sich jedoch stark. Die Mehrheit der Länder (unter anderem Dänemark, Großbritannien, Niederlande, Österreich und Spanien) hat sich bei der Umsetzung für eine opt-in-Lösung entschieden, das heißt für das Setzen von Cookies ist eine ausdrückliche Einwilligung der Nutzer erforderlich. Wie diese Einwilligung von den Webseiten eingeholt werden kann, ist jedoch meist im Detail nicht geregelt. In der Praxis findet sich die schärfste Form der Einwilligung in einer der Homepage vorangeschalteten Seite, die beim ersten Besuch vor dem Einsatz von Cookies warnt und das Surfen erst ermöglicht, wenn ein Bestätigungsbutton angeklickt wurde. Derartige Hinweise wurden insbesondere in Großbritannien lange gefordert, doch nachdem selbst die britischen Datenschutzbehörden inzwischen auf ihren eigenen Seiten auf derartige Hinweise verzichten, sind diese auch in der Privatwirtschaft nur noch vereinzelt zu finden.

Als ähnlich ineffektiv haben sich Pop-Up-Fenster erwiesen, schon allein weil sie von den meisten aktuellen Browsern geblockt werden und daher nicht ihre Hinweis-Aufgabe erfüllen können. Die gängigste Form der opt-in-Zustimmung sind Banner und Tick-Boxen das heißt meist oben oder unten auf einer Webseite angebrachte Schaltflächen, die auf Cookies hinweisen und oftmals auf weitergehende Hinweise, eine Datenschutzerklärung oder Allgemeine Geschäftsbedingungen verlinken. Derartige Banner und Tick-Boxen sind stark verbreitet und selbst Google hat sich inzwischen zu einer europaweiten Einführung entschlossen. In anderen Ländern wie Bulgarien, Tschechien oder Finnland haben sich die Gesetzgeber für eine opt-out-Lösung entschieden. Dies bedeutet, dass der Nutzer nicht ausdrücklich zustimmen muss, sondern seine Haltung etwa durch entsprechende Browsereinstellungen oder Plug-Ins signalisieren kann. In diesen Ländern dürfen Cookies oftmals eingesetzt werden, wenn sie standardmäßig von einem Browser akzeptiert werden und wenn ausreichend über deren Einsatz informiert wurde.

Gute und böse Cookies

Ein aktueller Trend der europäischen Gesetzgebung ist die Einteilung in „gute“ und „böse“ Cookies. „Gute“ Cookies, also solche, die für den Betrieb von Webseiten erforderlich sind und von Kunden ausdrücklich gewünschte Funktionen bieten (zum Beispiel Einloggen in Kundenkonten, Online-Bezahlfunktionen oder Warenkörbe von Online-Shops), werden entweder direkt vom Regelungsbereich der Gesetze ausgenommen oder für sie ist eine weniger weitreichende Form der Einwilligung erforderlich. Selbst Cookies, die der Analyse von Webseiten dienen, fallen oftmals unter diese Kategorie, zumindest dann, wenn sie von der Webseite selbst gesetzt werden (sogenannte First-Party-Cookies).

Unter die Kategorie der „bösen“ Cookies fallen die meisten Angebote von Werbe- und Social-Media-Plattformen, die ein Tracking der Internetnutzer betreiben. Für diese gelten die höchsten Anforderungen an das Maß der Einwilligung und den Umfang der Informationspflichten. Insbesondere Dänemark, Frankreich, Österreich und Großbritannien nehmen eine derartige Kategorisierung vor. In diesen Ländern unterscheiden sich folglich auch die Webseiten: Während bei Unternehmen, die nur Basis-Funktionen einsetzen und keine Marketing- Cookies einsetzen, keine Einwilligung eingeholt werden muss, müssen andere Unternehmen ihre Webseiten mit hohem technischem und organisatorischem Aufwand an die Cookie- Gesetzgebung anpassen.

Generelle Hinweise oder Cookie-Liste

Einigkeit herrscht bezüglich der Frage, ob Internetnutzer über die Verwendung von Cookies aufgeklärt werden müssen. Alle Länder, die die Cookie-Richtlinie umgesetzt haben, schreiben dies verbindlich vor. Die nationalen Gesetze und darauf aufbauende Handlungsempfehlungen der Datenschutzbehörden legen oft fest, ob dies in Allgemeinen Geschäftsbedingungen, Datenschutzrichtlinien oder speziellen Cookie-Hinweisen zu erfolgen hat. Hierbei ist ein Trend zu beobachten, eine möglichst eigenständige und leicht verständliche Information zu fordern, wohingegen eine Erwähnung in Allgemeinen Geschäftsbedingungen oder gar im Impressum als nicht ausreichend angesehen wird.

Der Inhalt solcher Cookie-Hinweise weicht von Land zu Land ab – Schweden fordert beispielsweise, dass über den Zweck, den Namen, die Domain und die Speicherdauer von Cookies informiert wird, in anderen Ländern reicht hingegen eine allgemeine Information über die Art der verwendeten Cookies und die für die Speicherung der Daten verantwortlichen Stelle. Nicht nur wegen dieser unterschiedlichen Anforderungen empfiehlt es sich für europaweit agierende Unternehmen, ein Cookie-Management vorzuhalten oder einzurichten, das einen Überblick über die selbst verwendeten Cookies schafft.

Digitale Detektive und behördliche Anschreiben

Die Durchsetzung der Cookie-Richtlinie wird derzeit insbesondere in Großbritannien und den Niederlanden forciert. Nach einer einjährigen Einführungszeit hat Großbritannien im letzten Jahr über 150 Webseitenbetreiber angeschrieben und sie auf mögliche Verstöße aufmerksam gemacht. In den Niederlanden wurde eine juristische Beweislastumkehr eingeführt, nach der Unternehmen beweisen müssen, dass sie die Zustimmung des Nutzers zum Einsatz von Tracking Cookies erhalten haben (in den meisten anderen Ländern muss die jeweilige Aufsichtsbehörde Verstöße beweisen). Die Überwachung wird von „Digitalen Detektiven“ der niederländischen Datenschutzbehörden gewährleistet, die aktiv das Internet nach Verstößen untersuchen. Das entspricht jedoch noch nicht der europäischen gängigen Praxis, da Datenschutzbehörden oftmals nur auf individuelle Beschwerden hin aktiv werden.

Fragt man bei nationalen Datenschutzbehörden an, ergibt sich ein sehr uneinheitliches Bild – während vereinzelt darauf hingewiesen wird, dass schlicht die Ressourcen für eine effektive Überwachung fehlen, wird anderorts die unklare Rechtslage betont, die eine Durchsetzung in der Vergangenheit unterbunden hat. Mögliche Strafen sind jedoch bereits in den einzelnen Gesetzgebungen verankert, wie etwa bis zu 450.000 Euro im Fall der Niederlande. Die Haftung deutscher Unternehmen nach ausländischen Rechtsordnungen wird unterschiedlich beurteilt und ist eine Frage des Einzelfalls. Hier kommt es darauf an, ob das Unternehmen eine Niederlassung in dem jeweiligen Land hat oder mit einer eigenen Webseite gezielt ausländische Kunden „anspricht“.

Deutscher Standpunkt

Deutschland ist eines der wenigen Länder, das die Cookie-Richtlinie noch nicht umgesetzt hat, obwohl die Umsetzungsfrist seit Mai 2011 abgelaufen ist. Im Januar 2012 hatte die SPD-Fraktion einen Gesetzesentwurf in den Bundestag eingebracht, der den Wortlaut der Richtlinie nahezu unverändert in das deutsche Telemediengesetz übernommen hätte und die Richtlinie damit in deutsches Recht umgesetzt hätte. Dieser Entwurf wurde von der Bundesregierung im Ausschuss für Wirtschaft und Technologie abgelehnt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, hat mittlerweile die Auffassung geäußert, die Richtlinie sei in Deutschland auch ohne Umsetzung in nationales Recht unmittelbar anwendbar. Demnach müssten sich deutsche Unternehmen bereits an die Richtlinie halten und ihre Webseiten entsprechen anpassen. Diese Auffassung ist jedoch aus juristischer Sicht sehr umstritten, da eine Richtlinie für eine direkte Anwendung klar und detailliert genug sein muss. Dies ist vor allem bei dem interpretationsfähigen Begriff der Einwilligung nicht gesichert. Außerdem scheidet eine unmittelbare Anwendung zwischen Privaten regelmäßig aus, da sich nach der Rechtsprechung des Europäischen Gerichtshofes nur Einzelne gegenüber dem Staat auf Richtlinien berufen können (es besteht keine sogenannte horizontale Direktwirkung).

Do-Not-Track als Ausweg

Am Ende eines europäischen Harmonisierungsprozesses könnte eine technische Lösung stehen: In den meisten Ländern ist die Möglichkeit zur Erklärung der Einwilligung über Browser-Einstellungen bereits vorgesehen. Zwar wird dies derzeit von den meisten Ländern als nicht ausreichend betrachtet, wird aber oft damit erklärt, dass derzeitige Browser- Generationen schlicht nicht in der Lage sind, die gesetzgeberischen Anforderungen zu erfüllen. Die “Do-Not-Track”-Initiative des World Wide Web Consortium (W3C) versucht jedoch genau dies technisch machbar zu machen. Mit dieser Technologie ist es möglich, dass Nutzer beispielsweise den Einsatz von seitenübergreifenden Tracking Cookies unterbinden. In Europa zeigen sich derzeit vor allem Italien und Finnland offen gegenüber derartigen Entwicklungen. In Deutschland werden solche selbstregulatorischen Maßnahmen vor allem wegen der mangelnden internationalen Unterstützung skeptisch beurteilt (siehe zum Beispiel Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig- Holstein v. 9.10.2012 „Selbstregulierung bei Do-Not-Track gescheitert“).

Fazit

Aufgrund des unspezifischen Wortlauts der Cookie-Richtlinie unterscheiden sich nationale Gesetze und Empfehlungen der einzelnen Datenschutzbehörden deutlich. Europaweit agierende Unternehmen können durch ein Cookie-Banner und eine Cookie-Erklärung Konformität mit vielen Landesgesetzen herstellen, oftmals sind jedoch Besonderheiten der einzelnen Länder zu beachten, die eine Anpassung erforderlich machen. Um die Anforderungen der nationalen Datenschutzbehörden zu erfüllen, muss zunächst ein unternehmensinterner Überblick über die auf der eigenen Homepage verwendeten Cookies geschaffen werden. Einigkeit herrscht bezüglich der Tatsache, dass Internetnutzer in einfachen, klar verständlichen Worten über den Einsatz von Cookies aufgeklärt werden müssen. Hierbei ist es oftmals erforderlich, bestehende Nutzungsbedingungen und Datenschutzrichtlinien zu überprüfen und gegebenenfalls anzupassen. So können Cookies als effektive Marketingtools genutzt werden, ohne den Datenschutz außer Acht zu lassen.

Weiterführende Links

Über den Autor

andreas-doelkerAndreas Dölker ist Associate in der Kanzlei Schürmann Wolschendorf Dreyer Rechtsanwälte in Berlin-Mitte. Seine Tätigkeitsschwerpunkte umfassen das IT- und Datenschutzrecht sowie den Bereich des Gewerblichen Rechtsschutzes. Wegen seiner Erfahrung als Serverbetreuer und Systemadministrator in Freiburg im Breisgau, berät er hauptsächlich Unternehmen an den Schnittstellen zwischen Recht und Technik.

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
Eine Antwort
  1. von angelmedia am 20.06.2013 (08:43 Uhr)

    Eine kleine Sammlung von technischen Lösungen gibts dazu hier:

    http://www.angelmedia.de/blog/eu-cookie-richtline-technische-umsetzung

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema
SocialCurrency: New Yorker Pop-up-Store lässt dich mit Social-Media-Kontakten zahlen
SocialCurrency: New Yorker Pop-up-Store lässt dich mit Social-Media-Kontakten zahlen

Im New Yorker Pop-up-Store des norwegischen Herstellers OnePiece können Kunden in den nächsten Tagen mit Social-Media-Kontakten zahlen - SocialCurrency nennt das Unternehmen das. 500 Follower sind … » weiterlesen

8 Gründe, warum E-Commerce-Startups einen Pop-up-Store eröffnen sollten [Infografik]
8 Gründe, warum E-Commerce-Startups einen Pop-up-Store eröffnen sollten [Infografik]

Es scheint fast so, als sei es gerade schick, als E-Commerce-Startup einen Pop-up-Store zu eröffnen. Die folgende Infografik zeigt, warum sich ein physischer Shop durchaus lohnen könnte. » weiterlesen

Ein Hoch auf das Pop-up, das größte „No-Go“ des letzten Jahrzehnts [Kommentar]
Ein Hoch auf das Pop-up, das größte „No-Go“ des letzten Jahrzehnts [Kommentar]

Kaum zu glauben, aber wahr: Sie sind wieder da – in allen Formen und Farben. Pop-ups, das größte „No-Go“ des letzten Jahrzehnts. Wir durchleben ihre Renaissance. Und das ist auch gut so. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?