Cookie Info & Einverständnis

Schon im November 2009 wurde von der Europäischen Union die E-Privacy-Richtlinie 2009/136/EG, die sogenannte „Cookie-Richtlinie“, verabschiedet.

Darin ist festgelegt, dass User aus der EU über den Gebrauch von Cookies auf Websites und Apps informiert werden müssen und sich frei entscheiden können, ob sie deren Verwendung zustimmen. Theoretisch gilt diese Richtlinie damit für alle Seiten weltweit, sobald sie für User aus der Europäischen Union zugänglich sind.

Situation in Österreich

Bis Mai 2011 sollte diese Richtlinie in nationales Recht umgewandelt werden. In den meisten Ländern ist das auch passiert. Mit etwas Verspätung trat auch in Österreich im November 2011 eine aktualisierte Version des Telekommunikationsgesetzes in Kraft, in dem es in § 96 Absatz 3 heißt:

„Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat….“

Eine Ausnahme besteht für „gute“ Cookies, also all jene, die für den reibungslosen Ablauf eines vom User gewünschten Prozesses nötig sind, also zum Beispiel für den Einkauf in einem Online Shop oder beim E-Banking. Für die „bösen“ Cookies, also zum Beispiel die Tracking-Cookies von Sozialen Netzwerken oder Werbeanbietern, ist grundsätzlich eine Informationspflicht und Zustimmungspflicht gegeben.

Umsetzung im deutschsprachigen Raum

Die ursprüngliche Idee der EU-Richtlinie war, dass vor dem Einsatz von Cookies ein Einverständnis der User vorausgesetzt werden sollte (Opt-In). Weil die Richtlinie aber etwas schwammig formuliert ist, unterscheidet sich die Gesetzgebung in den verschiedenen Mitgliedsländern. Einige erließen Gesetze mit Opt-In, andere mit Opt-Out und manche ignorierten die Richtlinie sogar und hielten bestehende Gesetze für ausreichend.

Im deutschsprachigen Raum wurde in Folge von Publishern meistens lediglich ein Hinweis in den Datenschutzbestimmungen mit Opt-Out Möglichkeit umgesetzt: User werden dort informiert, dass Werbe-Cookies eingesetzt werden und können im Nachhinein der Verwendung wiedersprechen.
Das ganze hat zwei Gründe: In Österreich und Deutschland gibt es keine klaren Vorgaben, wie die im Gesetz geregelte Informations- und Zustimmungspflicht genau umgesetzt werden muss.

Deutschland hat die EU-Richtlinie nicht umgesetzt, da es sein bestehendes Telemediengesetz für ausreichend hält. In diesem ist lediglich ein Hinweis auf Cookies und ein Widerspruchsrecht (Opt-Out Möglichkeit) festgehalten.

Und auch in Österreich wird die Informations- und Zustimmungspflicht durch die erläuternden Bemerkungen zum Gesetzestext des Telekommunikationsgesetzes wieder abgeschwächt:

„Der Informationspflicht kann für Dienste der Informationsgesellschaft etwa durch Aufnahme einer Datenschutzerklärung im verpflichtenden Impressum nachgekommen werden. Wenn dies technisch durchführbar ist, kann die Einwilligung des Nutzers zur Verarbeitung über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“

Um diese Vorgaben zu erfüllen, reicht nach Meinung vieler Publisher eben die Erwähnung der Cookies und Opt-Out Möglichkeiten in den allgemeinen Datenschutzrichtlinien der Website. Eine wirklich aktive Zustimmung zur Verwendung der Cookies bleibt also meist aus.

Warum jetzt die Aufregung?

Nutzer von Google AdSense, also jene Webmaster die Werbeplätze auf Ihren Websites oder Apps via Google verkaufen, wurden von Google per E-Mail darauf aufmerksam gemacht, dass auch Sie einen Hinweis auf die Verwendung von Cookies integrieren müssen. Und zwar will Google das bis zum 30. September umgesetzt wissen.

Alle Publisher müssen daher nach den neuen Richtlinien eine Hinweisbox auf der ersten Seite einblenden. Dabei wird spekuliert, dass der Hinweis ein Zugeständnis an Datenschützer und Gesetzgeber ist, um sich in Zukunft vor noch strengeren Regelungen zu schützen.

Auf der eigens eingerichteten Seite CookieChoices.org erklärt Google, warum die Zustimmung der User nötig ist, macht einen Textvorschlag und listet Tools, die auch für unerfahrene Webmaster die Integration eines passenden Hinweises erleichtern.

Auch wenn die Gesetzgebung in Österreich und Deutschland zum Cookie-Einverständnis nach wie vor schwammig ist, sollten AdWords User den Hinweis auf Cookies integrieren. Schließlich ist dieser Hinweis nun Teil der AdWords Policies, wo Google bei Richtlinienvertößen oft sehr streng reagiert.