Cookies – Was kommt datenschutzrechtlich auf Sie zu?

Auf die digitale Wirtschaft kommen 2011 voraussichtlich einige Neuerungen im Datenschutzrecht zu. Die europäische Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG), auch E-Privacy-Richtlinie genannt, wurde am 24.11.2009 vom EU-Parlament verabschiedet. Sie muss bis Mai 2011 auf Bundesebene umgesetzt werden.

Die Richtlinie soll den Datenschutz für Verbraucher in ganz Europa transparenter und sicherer machen. Dafür sollen die Regelungen des europäischen Datenschutzes weitestgehend dem bekanntermaßen sehr hohen Niveau der deutschen Gesetzgebung angepasst werden.

Ein zentrales Thema der Richtlinie ist der datenschutzrechtliche Umgang mit „Cookies“. Es handelt sich dabei um kleine Dateien, in denen unterschiedliche Informationen über den Seitenbesuch des Nutzers abgespeichert werden können.

Cookies dienen zum einen dem Komfort des Nutzers bei einem erneuten Besuch der Seite. So werden Benutzernamen und Passwörter automatisch eingesetzt, beim Bestellen von Artikeln sind Namen und Adressen, Kreditkartendaten etc. bereits hinterlegt und müssen nicht erneut eingegeben werden.

Auf der anderen Seite haben Cookies einen großen Nutzen für den Seitenbetreiber. So erhält er auf Wunsch umfassende Informationen über das Verhalten des Nutzers beim Besuch der Webseite, wie etwa die Dauer des Besuchs, welche Seiten angesehen wurden, ob ein Bestellvorgang eingeleitet oder abgebrochen wurde und vieles mehr. Der Betreiber kann so mehr oder weniger umfassende Nutzerprofile erstellen und diese zu Zwecken des Marketing auswerten.

Auch wenn die meisten Unternehmen dabei vertrauensvoll mit den gesammelten Daten umgehen, gibt es selbstverständlich auch hier einige Schwarze Schafe, die Daten zu ungewünschten Zwecken missbrauchen.

Es wurde darüber nachgedacht, auch für die Verwendung von Cookies ein sog. Opt-In Verfahren einzuführen. Bislang erfolgt der Einsatz von Cookies über den Browser, wobei die Verwendung standardmäßig aktiviert ist. Wünscht der Nutzer keine Verwendung von Cookies, so muss er diese Funktion in den Einstellungen des Browsers deaktivieren. Bei Opt-In-Verfahren müsste der Nutzer vor jedem Besuch einer Seite, die Cookies verwendet, eine gesonderte Datenschutzerklärung lesen und ausdrücklich akzeptieren.

Nach heftigen Protesten wurde dieser Vorschlag jedoch noch einmal überdacht. Das EU-Parlament kam letztlich zu dem Ergebnis, dass eine solche Lösung wohl nicht praktikabel sei und den sinnvollen Einsatz von Cookies gefährde. Daher ist es nach der Richtlinie auch künftig ausreichend, wenn die Einstellungen im Browser standardmäßig aktiviert sind. Allerdings wird es zum Schutz der Verbraucher an dieser Stelle mehr Informationen und bessere Möglichkeiten geben, den Umgang mit Cookies im Browser zu regeln. Zu diesem Zeck sollen künftig entsprechende Cookie-Management-Tools zur Verfügung stehen.

Darüber hinaus regelt die Richtlinie die bisher umstrittene Frage, ob IP-Adressen als personenbezogene Daten gelten. Das ist nunmehr der Fall, wenn sich die gespeicherten Adressen allein oder im Zusammenhang mit anderen Daten auf ein bestimmtes Individuum beziehen lassen. Werden IP-Adressen also anonymisiert gespeichert (zB durch das Abschneiden der letzten beiden Ziffern), gelten diese nicht als personenbezogene Daten. Eine Einwilligung des Nutzers für die Speicherung ist dann nicht erforderlich.

Erwähnenswert ist auch, dass künftig auch öffentlich zugängliche, private Telekommunikationsnetze der EU-Richtlinie unterliegen. Mit dieser Regelung wird dafür Sorge getragen, dass sich private Plattformen wie Facebook, XING usw. sowie deren Nutzer künftig nicht mehr datenschutzrechtlichen Vorschriften entziehen können. Auch diese müssen künftig alle datenschutzrechtlichen Anforderungen einhalten.

Die Umsetzung der Richtlinie in deutsches Recht und die konkreten Auswirkungen des Gesetzes werden nun mit Spannung erwartet. Wir bleiben dran.