EU-Datenschützer verschärfen Streit um Cookies

Die "Artikel 29"-Gruppe der europäischen Datenschutzbeauftragten lehnt die Empfehlungen von Branchenvereinigungen für verhaltensgesteuerte Werbung und den damit verknüpften Einsatz von Cookies ab. Der Vorschlag des Internet Advertising Bureau (IAB) und der European Advertising Standards Alliance (EASA) erlaube es nur, per Opt-out Widerspruch gegen die Aufzeichnung des Nutzungsverhaltens einzulegen, schreibt der Vorsitzende der Arbeitsgemeinschaft, Jacob Kohnstamm, in einem jetzt veröffentlichten Brief (PDF-Datei) an die beiden Organisationen. Die neuen EU-Datenschutzvorschriften verlangten dagegen eine "informierte Einwilligung" in eine Verfolgung der Online-Aktivitäten durch Cookies.

Dass jeder Surfer, der dem "Tracking" nicht explizit widerspreche, dieses bereits befürworte, hält Kohnstamm für illusorisch. Eine echte Wahl nach verständlicher Beschreibung der bestehenden Möglichkeiten werde mit dem Opt-out-Hinweis am Rand von Werbebannern nicht gegeben. Die Erklärung der Wirtschaft, dass ein Webseitenbetreiber in der Regel mit verschiedenen Vermarktungsnetzwerken zusammenarbeite und diese alle eine Einwilligung einholen müssten, erachtet der Leiter der Gruppe nicht für stichhaltig. Die Rechtsvorschriften bezögen sich eindeutig auf jedes Anzeigen-Netzwerk. Eine Zustimmung zum Setzen jedes einzelnen Webkrümels auf die Festplatte sei freilich nicht nötig. Ein einmaliges Opt-in gelte für den gesamten Vermarktungspartner. Zudem sei eine zentrale Freischaltungsseite für verhaltensbezogene Werbung denkbar.

Die 2008 beschlossenen EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation regelt unter anderem den Zugriff auf Informationen, die vom Nutzer etwa auf Festplatten oder USB-Sticks gespeichert werden, durch Dritte. Manipulationen an Dateien, die auf dem Endgerät eines Teilnehmers oder Nutzers liegen, werden laut der im Mai in Kraft getretenen Regelung nur gestattet, wenn der Betroffene "auf der Grundlage von klaren und umfassenden Informationen" seine Zustimmung erteilt hat. Ausgenommen bleiben Verfahren, deren "alleiniger Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist", damit ein ausdrücklich gewünschter Dienst zur Verfügung gestellt werden kann.

Das Verfahren soll laut der E-Privacy-Direktive "so benutzerfreundlich wie möglich gestaltet werden". Wenn es technisch durchführbar und wirksam ist, heißt es weiter, könne die Einwilligung des Nutzers "über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden". Auch zu diesem Absatz haben die EU-Datenschützer Stellung genommen. Ihrer Interpretation nach wird den Anforderung nur Genüge getan, wenn die Voreinstellung die Annahme von Cookies verweigere und die Nutzer allgemein über die Browserdateien aufgeklärt würden. Die Hersteller der Navigationswerkzeuge hätten zwar die Verwaltungsmöglichkeiten im vergangenen Jahr verbessert. Standardmäßig würden aber noch immer Cookies akzeptiert.

Die EU-Datenschützer kritisieren weiter, dass gemäß dem Branchenstandard nur eine kleine Graphik in einem Banner auf die Opt-out-Gelegenheit hinweise. Diese Lösung werde den Durchschnittsnutzer nicht dazu bringen, auf das Icon zu klicken und Zusatzinformationen auf einer damit verlinkten, derzeit nicht in deutscher Übersetzung verfügbaren Webseite einzuholen. Die dort erfolgende Aufklärung sei zudem verwirrend, da sie nicht ernsthaft auf die Auswirkungen für die Privatheit der Nutzer und die Profilbildung mit einzigartigen Cookie-Erkennungsnummern hinweise. Auf einem Treffen im September wollen beide Seiten nun über das weitere Vorgehen sprechen. (vbr)