Datenschützer geben weitere Hilfestellung zum Cookie-Gebrauch

Angesichts anhaltender Unsicherheiten rund um die Cookie-Vorgaben der EU hat die "Artikel-29"-Gruppe der europäischen Datenschutzbeauftragten detailliert erläutert, wie sich die Browserdateien rechtskonform einsetzen lassen. Sie erklärt vor allem Ausnahmefälle, in denen die Bits und Bytes Nutzern ohne deren Erlaubnis auf die Festplatte gekrümelt werden dürfen. Dies kann neben Cookies, die für eigene Eingaben von Usern, für die Steuerung von Multimedia-Playern oder Voreinstellungen wie Sprachpräferenzen verwendet werden, auch auf solche zur Webanalyse zutreffen.

Bei der letztgenannten Kategorie sei es aber wichtig, dass die Cookies nicht von Drittparteien gesetzt werden und rein statistischen Zwecken dienten, schränken die Datenschützer ein. Zudem müsse der Besucher aufgeklärt werden, wie die Dateien genutzt werden; sie sollten zumindest die Möglichkeit zum "Opt-out" aus der Datensammlung erhalten. "Umfangreiche Anonymisierungsmechanismen" sollten dafür sorgen, dass andere personenbeziehbare Informationen wie IP-Adressen außen vor bleiben.

Auch die Betreiber sozialer Netzwerke dürfen Cookies ohne Befragung des Nutzers setzen, wenn sie Ein- und Auslog-Prozesse ihrer Mitglieder überwachen wollen und diese vorab prinzipiell darüber in Kenntnis gesetzt haben. Dies gelte auch für Cookies von Dritten, mit denen etwa "Social Plugins" gesteuert werden, solange diese datenschutzkonform seien. Dabei dürften aber keinesfalls Bewegungen der User über mehrere verschiedene Webseiten verfolgt oder Daten von Nicht-Mitgliedern erfasst werden.

Spezielle Hinweise rund um Cookies hatte die Gruppe im Dezember bereits Online-Vermarktern an die Hand gegeben. Seitdem ist vor Kurzem in Großbritannien ein Gesetz zum Umgang mit den Browserdateien in Kraft getreten, das neue Fragen aufgeworfen hat. Die europäischen Vorgaben stammen aus der EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation von 2009; sie gelten prinzipiell seit Mai 2011. Der Bundesbeauftragte für den Datenschutz, Peter Schaar, geht davon aus, dass sie hierzulande auch ohne gesondertes Umsetzungsgesetz direkt anwendbar sind. (anw)