Datenschützer erläutern rechtskonformen Cookie-Einsatz

Die "Artikel 29"-Gruppe der europäischen Datenschutzbeauftragten hat an Beispielen erläutert, wie Cookies im Einklang mit den geänderten EU-Vorgaben auch für gezielte Werbeansprachen verwendet werden können. Es sei nicht immer nötig, eine Einwilligung der Nutzer in die Verwendung ihrer personenbezogenen Informationen über ein Pop-up-Fenster einzuholen, schreiben die EU-Datenschützer in einer jetzt veröffentlichten Stellungnahme (PDF-Datei). Rechtmäßig sei es etwa auch, eine Informations- und Opt-in-Seite ähnlich wie bei Herstellern alkoholhaltiger Getränke vorzuschalten oder einen statischen Informationsbanner. Die britische Datenschutzbehörde, die aktuell auf eine stärkere Beachtung der neuen EU-Bestimmungen drängt, praktiziere den letztgenannten Ansatz vorbildlich.

Als Lösung bieten die Kontrolleure auch eine Standard-Voreinstellung an, die den Transfer persönlicher Informationen an weitere Parteien erst nach einer manuellen Freigabe ermöglicht. Das Papier verweist dabei auf den "2-Klick-Ansatz" für mehr Datenschutz bei Facebook-, Twitter- und Google+-Buttons, wie ihn heise online entwickelt hat. Ferner könnten auch die Anpassungsmechanismen eines Browser genutzt werden, wenn dabei zunächst die Akzeptanz von Cookies nicht direkt besuchter Webseiten ausgeschlossen sei. Die Gruppe begrüßt in diesem Zusammenhang auch "Do not Track"-Verfahren, solange die Nutzer dabei im Einzelfall über die Annahme der umstrittenen Browserkrümel entscheiden können.

Die 2008 beschlossene EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation regelt unter anderem den Zugriff Dritter auf Informationen, die vom Nutzer etwa auf Festplatten gespeichert werden. Manipulationen an Dateien, die auf dem Endgerät eines Teilnehmers oder Nutzers liegen, werden laut der im Mai in Kraft getretenen Regelung nur gestattet, wenn der Betroffene "auf der Grundlage von klaren und umfassenden Informationen" seine Zustimmung erteilt hat. Ausgenommen bleiben Verfahren, deren "alleiniger Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist", um einen ausdrücklich gewünschten Dienst zur Verfügung stellen zu können.

Die Datenschützer führen in diesem Sinne aus, dass Cookies etwa für das sichere Einloggen in Webdienste oder für einen virtuellen Einkaufswagen ohne Opt-in-Verfahren gesetzt werden dürften. Eine allgemeine Aufklärung über die Funktionen der Dateien müsse aber trotzdem erfolgen. Habe ein Nutzer einmal in die Annahme eines Cookies für verhaltensgesteuerte Werbung eingewilligt, könne diese Information in einer zusätzlichen Browserdatei gespeichert werden. So sei es nicht nötig, bei jedem Kontakt mit dem Werbenetzwerk eine neue Opt-in-Abfrage durchzuführen.

Nach wie vor nicht als rechtsgemäß schätzt die Gruppe den Vorschlag des Internet Advertising Bureau (IAB) und der European Advertising Standards Alliance (EASA) für einen Opt-out-Widerspruch gegen die Aufzeichnung des Nutzerverhaltens ein. Vorstellbar sei es höchstens, die entsprechende mit einem Banner verknüpfte Informationsseite auf ein Einwilligungsverfahren umzustellen. In einer Mitteilung (PDF-Datei) betonen die Kontrolleure, dass sie die Aufgabe haben, die Einhaltung der geltenden Vorschriften zu gewährleisten, und gegebenenfalls von ihren Mitteln zur Rechtedurchsetzung Gebrauch machen werden. (jk)