EU Cookie Richtlinie – Handlungsalternativen

EU Cookie RichtlinieDer 30. September 2015, zu dem Google seine AdSense-Publisher zur Umsetzung der EU Cookie Richtlinie aufgefordert hat, nähert sich unaufhaltsam. Aber wie konkret umsetzen? Viele warten erst mal noch ab und auch ich hab noch keine Lösung gefunden, die wirklich glücklich macht. Zeit und Gelegenheit, sich einmal über die grundsätzlich möglichen Handlungsalternativen Klarheit zu verschaffen.

Google möchte die EU Cookie Richtlinie umgesetzt wissen, die EU auch und das deutsche Telemediengesetz stellt ebenfalls seine Forderungen. Was sind denn nun die Handlungsalternativen in Hinblick auf den 30.09.2015? Hier eine (hoffentlich halbwegs vollständige) Stoffsammlung.

Achtung: Dieser Artikel stellt keine Rechtsberatung dar, dafür wäre ich überhaupt nicht qualifiziert. Alles, was ich schreibe, ist lediglich als meine persönliche Meinung zu werten. Ich werde es mir auch ausdrücklich verkneifen, eine rechtliche Einordnung der einzelnen Alternativen vorzunehmen. Anhand der gesetzlichen Anforderungen und denen von Google kann sich jeder selbst ein Bild machen, oder muss im Extremfall, so wie Google das vorschlägt, die rechtliche Beratung eines Fachanwalts in Anspruch nehmen.

Handlungsalternativen in Hinblick auf den 30.09.2015

1. Nichts tun

Die Variante mit dem geringsten Arbeitsaufwand, aber halt auch mit dem Risiko von Google aus dem AdSense-Programm entfernt zu werden.

2. Datenschutzerklärung vervollständigen

Das entspricht eigentlich der Alternative 1, wenn wir davon ausgehen, dass die Datenschutzerklärung auf allen Websites heute bereits vorhanden sein sollte und über alle Cookies informiert.

3. Infobanner oder Implied Consent

Einblenden eines Infobalkens mit dem Hinweis auf die Verwendung von Cookies. Dazu ein Link auf die Datenschutzerklärung und ein OK-Button. Der Button bewirkt allerdings nicht weiter, als die weitere Einblendung des Infobanners zu unterbinden (gesteuert über ein Cookie). Der weitere Verbleib des Besuchers auf der Webseite wird als Zustimmung gewertet.

4. Infobanner mit Browser Opt-Out

Auch das ist eine Implied Consent Variante, wie unter Punkt 3 mit der Ergänzung, dass in der verlinkten Datenschutzerklärung der Besucher darüber aufgeklärt wird, dass und wie er über seine Browsereinstellungen den Cookieeinsatz beschränken bzw. verhindern kann. Also Implied Opt-In mit Opt-Out durch den Browser.

5. Opt-Out

Auch diese Variante lässt erst einmal alle Cookies zu (Implied Consent). Sie gibt dem Besucher aber die Möglichkeit, nachträglich dem Cookie-Einsatz zu widersprechen. Das geschieht entweder durch einen Button in der verlinkten Datenschutzerklärung oder direkt im angezeigten Infobanner. Bei erfolgtem Opt-Out werden die Teile der Webseite, die Cookies setzen, für die Zukunft deaktiviert. Die Entscheidung muss allerdings wiederum in einem Cookie gespeichert werden. Und das nachträgliche Löschen von (Third-Party-) Cookies könnte ein Problem werden.

6 Differenziertes Opt-Out

Dieses Modell entspricht vollständig der Variante 5, aber mit der Ergänzung, dass der Besucher zwischen verschiedenen Cookietypen wählen kann und diese einzeln verbieten oder erlauben.

7. Opt-In

Auch in der Opt-In Variante gibt es einen Hinweisbalken, der auf die Datenschutzrichtlinie (oder eine Cookie Policy) verlinkt. Hier sind aber zuerst alle Cookies deaktiviert (genauer: es sind die Passagen der Webseite deaktiviert, die Cookies auslösen, AdSense zum Beispiel). Erst durch Drücken des Zustimmungsbuttons werden die Cookies aktiviert und die Entscheidung des Users in einem Cookie für die Zukunft festgehalten. Ohne Zustimmung bleiben Cookies weiterhin deaktiviert.

8. Differenziertes Opt-In

Genau wie Punkt 7. Der Besucher kann aber nicht nur pauschal alle Cookies erlauben oder verbieten. Er bekommt die Möglichkeit, einzelnen Cookietypen zuzustimmen, oder ihnen die Zustimmung zu verweigern. Also zum Beispiel Werbecookies erlauben und Analysecookies verbieten.

9. Zugangsbeschränkung

In dieser radikalsten Form wird einem neuen Besucher die Webseite gar nicht erst angezeigt. Statt dessen wird er über die Verwendung von Cookies eingehend informiert. Stimmt er den Cookies zu, wird diese Entscheidung in einem Cookie für die Zukunft gespeichert und die angeforderte Webseite angezeigt.Das bedeutet aber, dass Besucher, die den OK-Button nicht drücken, auch keinen Zugang zu den Informationen der Website bekommen. Allerdings kann der Besucher die Annahme von Cookies in seinen Browser deaktivieren und dann auf der Website OK drücken. Auf diese Option sollte er dann auch hingewiesen werden. Websites, die sowieso eine Registrierung und ein Login benötigen, würden mit der Registrierung bereits das OK vom User einholen.

10. AdSense ausbauen

Dem 30.09.2015 kann man natürlich auch begegnen, in dem man als Webmaster selbst auf die weitere Nutzung des AdSense Programms verzichtet.

Anforderungen

Den Handlungsalternativen oben möchte ich hier noch kurz die Anforderungen der EU Cookie Richtlinie, des Telemediengesetzes und von Google für AdSense gegenüberstellen. Damit kann jedermann selbst den Grad der Erfüllung für die einzelnen Handlungsalternativen beurteilen.

Was will die EU Cookie Richtlinie?

Hier würde ich gerne unterscheiden zwischen einer etwas großzügigen Auslegung anhand der Richtlinie und einer umfangreichen Umsetzung gemäß den Leitlinien der Artikel-29-Datenschutzgruppe. Näheres dazu habe ich in meinem Artikel EU Cookie Richtlinie – Was steckt dahinter? bereits geschrieben.

a) Was will  die EU-Richtlinie 2009/136/EG

  • Eine klare und umfassende Informationen über die Verwendung von Cookies. (Artikel 5 Absatz 3)
  • Die Einwilligung des Nutzers. (Artikel 5 Absatz 3)
  • Wobei die Einwilligung unter Umständen auch durch die Einstellungen des Browsers ausgedrückt werden kann. (Erwägungsgrund Nr. 66)

b) Was will die Artikel-29-Datenschutzgruppe?

Was will das deutsche Telemediengesetz?

Zur Umsetzung der EU Cookie Richtlinie in deutsches Recht habe ich ebenfalls bereits einen eigenen Artikel verfasst.

  • Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. (TMG §13 Abs. 1 Satz 2)
  • Personenbezogene Daten dürfen nur erhoben und verwendet werden, soweit das TMG (oder eine andere Rechtsvorschrift, …) es erlaubt oder der Nutzer eingewilligt hat. (TMG §12 Abs. 1)
  • Für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien dürfen Nutzungsprofile bei Verwendung von Pseudonymen erstellt werden, sofern der Nutzer dem nicht widerspricht. (TMG §15 Abs. 3 Satz 1)

Was will Google?

  • Keinen Stress mit europäischen Datenschutzbehörden.
  • Weiterhin mit AdSense Publishern Geld verdienen.

Demzufolge ist es durchaus verständlich, dass Google auf die Umsetzung der EU Cookie Richtlinie dringt. Gleichzeitig dürfte es nicht im Interesse von Google liegen, diese Richtlinie allzu streng auszulegen. Denn würden alle Webmaster eine explizite Opt-In Variante realisieren, dann wären erst mal alle AdSense Werbeblöcke deaktiviert. Und nur bei Einwilligung des Webbesuchers dürften sie reaktiviert werden. Damit wäre AdSense in der heutigen Form tot und Google müsste sich eine Variante ohne Cookies ausdenken.

 


Weitere Artikel in dieser Kategorie:

1 Kommentar

  1. Pingback: Werbung für Webseiten: Google Cookie-Richtlinie - For your information

Schreiben Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.