Header graphic for print
Datenschutz News & Trends
Rubrik: Compliance, Datenschutz Allgemein, Datenschutz International

Artikel-29-Arbeitsgruppe veröffentlicht Arbeitspapier zur Verwendung von Cookies

Die sich aus Vertretern der nationalen Datenschutzbehörden, dem Europäischen Datenschutzbeauftragten und einem Kommissionsvertreter zusammensetzende Artikel-29-Arbeitsgruppe hat mit Datum vom 2. Oktober 2013 ein Arbeitspapier vorgestellt, welches sich mit den Anforderungen an eine gemeinschaftsrechtlich zulässige Verwendung von Cookies auf Internetseiten befasst. Besonderes Augenmerk legt die Arbeitsgruppe dabei auf die Anforderungen an die Einwilligung des Internetnutzers, der die jeweilige Website besucht und auf dessen Rechner, Tablet oder Smartphone das Cookie gespeichert wird.

Cookies

Was sind Cookies?„Cookies“ sind kleine Textinformationen, bestehend aus Zahlen und Buchstaben, die von der Website, auf welcher der Internetnutzer gerade surft, auf dem Rechner, Tablet oder Smartphone des Nutzers gespeichert wird. Beim erneuten Besuch der Website werden diese Informationen dann zurück an den Server gesendet, so dass der Betreiber der Website den Nutzer wiedererkennen und beispielsweise seine bevorzugten Einstellungen laden kann. Das Einsatzspektrum von Cookies ist dabei – je nach den gespeicherten Informationen – äußerst vielfältig und geht hin bis zu der Erstellung detaillierter Nutzerprofile. Das Speichern personenbezogener Daten ist dabei das eine, das Platzieren des Cookies auf dem Nutzer-Endgerät das andere. Beides bedarf der rechtlichen Legitimation.

Rechtlicher Rahmen

Eine erste gemeinschaftsrechtliche Normierung erfuhr der Einsatz von Cookies bereits 2002 im Rahmen der so genannte ePrivacy-Richtlinie 2002/58/EG. Seinerzeit wurde in Art. 5 Abs. 3 der ePrivacy-RL eine Informationspflicht des Website-Betreibers festgeschrieben. Der Internetnutzer sollte vorab „klar und umfassend“ über die Verwendung von Cookies „informiert“ werden.

Mit der so genannten Cookie-Richtlinie 2009/136/EG wurde diese Informationspflicht ergänzt um ein Einwilligungserfordernis. Art. 5 Abs. 3 der ePrivacy-Richtlinie erlaubt das Setzen von Cookies und den Zugriff selbiger seitdem nur noch, „wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“ Bislang unterschiedlich bewertet wurde allerdings, welche Anforderungen an diese Einwilligung zu stellen sind. Hier hat die Artikel-29-Arbeitsgruppe mit ihrem Arbeitspapier vom 2. Oktober 2013 (WP 208) nunmehr klar Position bezogen.

Anforderungen an Einwilligung

Nachdem das britische Information Commissioner’s Office (ICO) wie auch die französische Datenschutzbehörde, die Commission Nationale de l’Informatique et des Libertés (CNIL), bereits vor einiger Zeit Handlungsempfehlungen (siehe hier die Empfehlungen des ICO oder hier die des CNIL) zur praktischen Umsetzung der rechtlichen Vorgaben zur Verwendung von Cookies ausgesprochen haben, hat nunmehr auch die Artikel-29-Arbeitsgruppe reagiert und ihr Working Document 02/2013 dem Erfordernis der Einholung einer adäquaten Einwilligung des Internetnutzers gewidmet.

Ausgangspunkt ist dabei die Feststellung, dass der Begriff der Einwilligung im Lichte der Bestimmungen der Datenschutzrichtlinie 95/46/EG von 1995 zu verstehen ist. Nur der so genannte „Informed Consent“ reicht aus. Die Arbeitsgruppe betont dabei, dass die Einwilligung zwingend eingeholt werden muss, bevor das erste Cookie gesetzt oder ausgelesen wird.

Des Weiteren fordert die Artikel 29-Arbeitsgruppe eine aktive Handlung des Internetnutzers, welche seine Einwilligung signalisiert. Das bloße Ansteuern und Verweilen auf der Startseite einer Internetpräsenz genügt hierbei noch nicht. Auch die generelle Einrichtung der Browser-Einstellungen, mit der Cookies pauschal zugelassen oder unterbunden werden können, wird allgemein als unzureichend eingestuft. Vielmehr muss ein Button angeklickt, ein Häkchen gesetzt oder ein sonstiges aktives Verhalten an den Tag gelegt werden, welches dem Website-Betreiber eindeutig zu verstehen gibt, dass der Besucher der Seite seine informierte Einwilligung erteilt. Als ein solches sonstiges Verhalten wird man – im Einklang insbesondere mit der Handlungsanweisung des ICO – auch das Herunterscrollen einer Website werten können, wenn dem Internetnutzer hinreichend deutlich gemacht worden ist, dass hierin seine Einwilligung liegt. Gleiches gilt für das Anklicken etwaiger Frames und Links zu Unterseiten, soweit es sich nicht um die Cookie Policy selbst handelt, die der Nutzer anklickt, um zunächst mehr über die verwendeten Cookies zu erfahren.

Besonderes Augenmerk legt die Artikel-29-Arbeitsgruppe ferner darauf, dass die Information zu der Verwendung von Cookies – im Regelfall also der Disclaimer – nicht ausgeblendet werden darf, bevor die Einwilligung erteilt wurde.

Schließlich wird betont, dass dem Internetnutzer auch eine tatsächliche Auswahlmöglichkeit gegeben werden muss, da es anderenfalls an einer freiwillig erteilten Einwilligung fehlen könnte. Dem Internetnutzer muss daher die Möglichkeit gewährt werden, einzelne oder auch sämtliche Cookies „auszuschalten“, ohne dass die Website für ihn in der Folge nicht mehr zugänglich ist. Ein Alles-oder-Nichts-Prinzip lehnt die Arbeitsgruppe somit ab. Die unterschiedlichen Cookies, die auf der Website verwendet werden, müssen hinreichend klar benannt und in ihrer Funktion und ihrem Zweck beschrieben werden. Auch müssen nach ihrer Ansicht Vorkehrungen getroffen werden, dass auch künftig die Cookie-Einstellungen für die jeweilige Website geändert werden können.

Insgesamt ergeben sich aus dem Arbeitspapier der Artikel-29-Arbeitsgruppe sowohl aus rechtlicher als auch aus technischer Sicht anspruchsvolle Herausforderungen, die sich stellen, wenn man als Website-Betreiber Cookies einsetzen möchte. Dies gilt insbesondere, wenn diese Cookies zu Werbe- oder Analysezwecken zum Einsatz kommen sollen. Neben der Implementierung einer adäquaten Cookie Policy geht es vor allem um die technische Umsetzung der rechtlichen Vorgaben.

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu