Google hat am 27. Juli 2015 alle Teilnehmer am AdSense-Programm – die so genannten Publisher – angeschrieben, damit diese die EU Cookie Richtlinie umsetzen. Zeit dafür gibt es von Google bis zum 30. September 2015. Google möchte damit die Umsetzung der EU-Richtlinie 2009/136/EG (E-Privacy-Richtlinie) vom 25. November 2009 erreichen. Was steckt hinter der Angelegenheit? Ich schaue mir diese Richtlinie einmal näher an.
Achtung: Dieser Artikel stellt keine rechtliche Beratung dar, sondern ausschließlich meine laienhaften Ansichten und Spekulationen.
Ist die besagte EU Richtlinie bereits gültiges deutsches Recht? Wenn man danach googelt, findet man unterschiedliche Ansichten. Andere EU Staaten (zum Beispiel Italien) haben die Richtlinie bereits in nationales Recht umgesetzt. Am deutschen Webseitenbetreiber ist das ganze bisher aber relativ unbeachtet vorbeigegangen. Aber nun prescht Google mit einer ganz eigenen Dynamik voraus und fordert die Umsetzung von sich aus ein. Warum das eigentlich? Im deutschen Inside AdSense Blog vom 27.07.2015 findet sich dazu eine interessante Passage:
„Heute führen wir eine neue Richtlinie zur Einwilligung der Nutzer in der EU ein, wonach Publisher von Websitebesuchern aus der Europäischen Union die Einwilligung zur Nutzung ihrer Daten einholen müssen.
Gründe für diese Neuerung
Die Datenschutzbehörden der Europäischen Union haben eine Änderung der bisherigen Praktiken beim Einholen der Einwilligung von Endnutzern beantragt. Da wir uns seit jeher an die Datenschutzgesetze halten, haben wir uns bereit erklärt, bestimmte Änderungen vorzunehmen, die sich auf unsere Produkte und unsere Partner auswirken, die Google-Produkte verwenden.“
Wenn man den Google-Sprech hier mal raus nimmt, dann lässt sich das wohl so interpretieren, dass sich in diesem Fall die EU gegenüber Google durchsetzen und Google in die Pflicht nehmen konnte, europäisches Recht umzusetzen.
Dabei dürfte die Umsetzung der Richtlinie eigentlich Google’s ureigenen Interessen entgegenlaufen. Wenn Publisher den Besuchern ihrer Webseiten die Option anbieten, diese auch ohne Cookies nutzen zu können, dann ist davon auszugehen, dass Websurfer diese Option auch annehmen werden. Umso mehr, wenn das eigentliche Informationsangebot der Webseiten ohne Cookies keinen inhaltlichen Einschränkungen unterliegt. Da der Publisher aber keinen Einfluss darauf hat, in wie weit der Google AdSense Programmcode auf seinen Seiten beim Besucher Cookies setzt, bleibt ihm nur die Wahl AdSense ganz zu unterbinden, wenn der Webseitenbesucher keine Cookies wünscht. Was eigentlich nicht im Interesse von Google sein kann.
Soweit zu Google, werfen wir als nächstes einen Blick in die EU-Richtlinie selbst.
Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009
zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz.
Ein langer Titel und ein noch längerer Richtlinientext. Wer sich den in seiner Gesamtheit antun möchte, der klicke hier auf die deutsche Fassung. Von Interesse dürfte vor allem folgende Passage im letzten Viertel der Richtlinie sein, bei der es um die Änderungen der Richtlinie 2002/58/EG (Datenschutzrichtlinie für die elektronische Kommunikation) geht. Dort heißt es unter Punkt 5.:
Artikel 5 Absatz 3 erhält folgende Fassung:
„(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Ich habe mir erlaubt, die relevanten Worte in diesem Zitat hervorzuheben. Da geht es also um die Speicherung von Informationen im Endgerät eines Nutzers. Das sind u. a. Cookies. Damit diese Speicherung, also das Setzen eines Cookies erlaubt ist, muss der Nutzer dazu seine Einwilligung gegeben haben. Und bevor er die gibt, muss er klar und umfassend informiert werden.
Das ist also der wichtige Satz. Der darauf folgende Satz 2 räumt dann noch ein, dass rein technische Cookies davon ausgenommen sind. Etwas näher spezifiziert wird das ganze durch den Erwägungsgrund Nr. 66 im oberen Drittel, des verlinkten Dokuments, der da lautet:
„(66) Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.“
Hier wird auch das einzige mal das Wort „Cookies“ überhaupt genannt. Bemerkenswert ist hier vor allem Erwähnung, dass die Einwilligung des Nutzers wohl auch dadurch gegeben werden kann, dass der Nutzer seinen Browser entsprechend für die Annahme oder Ablehnung von Cookies einstellt. Ein Punkt, der sicher zu Diskussionen führen wird.
Ein weiteres Dokument ist für Websitebetreiber in diesem Zusammenhang von Interesse:
Leitlinien der Artikel-29-Datenschutzgruppe für die Einholung der Einwilligung zur Verwendung von Cookies
Google verweist selbst im Linkanhang auf cookiechoices.org auf dieses Dokument. Allerdings auf die englischsprachige Fassung. Hier gibt es die Leitlinien auf Deutsch und die empfehle ich komplett zu lesen, es sind auch nur 7 Seiten. Denn im Gegensatz zur EU-Richtlinie wir es hier nun ein wenig konkreter. Ich zitiere hier die vier wesentlichen Elemente für eine gültige Einwilligung, nach Meinung der Datenschutzgruppe:
1. Spezifische Informationen. Die Einwilligung ist nur dann gültig, wenn sie für den konkreten Fall gegeben wurde und auf angemessener Information beruht. Das heißt mit anderen Worten, dass eine pauschale Einwilligung ohne Angabe des genauen Zwecks der Verarbeitung nicht zulässig ist.
2. Zeitablauf. Grundsätzlich ist die Einwilligung vor Beginn der Verarbeitung einzuholen.
3. Aktive Entscheidung. Die Einwilligung muss eindeutig sein. Folglich darf das Verfahren zur Einholung und zur Erteilung der Einwilligung keinen Zweifel an der Absicht der betroffenen Person lassen. Grundsätzlich bestehen keine Einschränkungen hinsichtlich der Form einer Einwilligung. Damit die Einwilligung gültig ist, muss sie jedoch durch eine aktive Willensbekundung des Nutzers erteilt werden. Als Mindestform der Willensbekundung könnte jede Art von Zeichen angesehen werden, das ausreichend eindeutig ist, um die Wünsche der betroffenen Person zum Ausdruck zu bringen und für den für die Datenverarbeitung Verantwortlichen verständlich zu sein (beispielsweise eine handschriftliche Unterschrift unter einem Papiervordruck oder ein aktives Verhalten, aus dem nach vernünftigem Ermessen auf eine Einwilligung geschlossen werden kann).
4. Ohne Zwang. Eine Einwilligung kann nur dann gültig sein, wenn die betroffene Person eine echte Wahlmöglichkeit hat und keine Gefahr einer Täuschung, Einschüchterung, Nötigung oder beträchtlicher negativer Folgen besteht, wenn sie die Einwilligung nicht erteilt.
Alle vier Punkte werden im Dokument noch weiter ausgeführt, so dass es sich durchaus lohnt, die Leitlinien komplett zu lesen.
Weitere Artikel in dieser Kategorie:
- EU Cookie Richtlinie – Google sorgt für Aufruhr
- EU Cookie Richtlinie – Test: Cookie Consent
- EU Cookie Richtlinie – Umsetzung in deutsches Recht
- EU Cookie Richtlinie – Test: Cookie Control
- EU Cookie Richtlinie – Cookie Audit
- EU Cookie Richtlinie – Handlungsalternativen
- EU Cookie Richtlinie – Weiter mit AdSense Geld verdienen
- EU Cookie Richtlinie – Was machen die Anderen?
- EU Cookie Richtlinie – Test: WordPress Plugins
- EU Cookie Richtlinie – Test: EU Cookiehinweis PHP-Klasse
- EU Cookie Richtlinie – Meine eigene Multi-Site-Lösung