1x Datenschutz, bitte… Kampf um Cookies in Europa und Deutschland

Cookie-Recht

Es ist eine Schlagzeile, die man sich auf der Zunge zergehen lassen muss: Google schreibt den Hinweis auf die Verwendung von Cookies für Webseiten vor und macht google-typisch auch gleich Vorschläge, wie das umzusetzen ist (Optionen für Cookies von Google [Abruf: 28.02.2016]). Ein Unternehmen, das Milliarden mit dem Ausspähen unbescholtener Bürger verdient, verdingt sich nun in puncto Datenschutz und Cookie-Recht und setzt hier Standards: Ab sofort sollen Unternehmen seine Nutzer darüber in Kenntnis setzen, dass sie Daten erheben und wie sie dies anstellen. Und das Verrückte ist:

Alle machen plötzlich mit. So sieht man heute bei den großen Unternehmen wie Ebay, Zalando, Bonprix, Paypal glänzende Hinweise auf die Verwendung von Cookies. Da heißt es z.B. bei Ebay:

„Um Ihnen ein besseres Nutzererlebnis zu bieten, verwenden wir Cookies. Durch Nutzung von eBay stimmen Sie unserer Verwendung von Cookies zu.“

www.ebay.de [Abruf: 28.02.2016]

Der Nutzer wird also darauf hingewiesen, dass das Unternehmen Cookies verwendet (Überraschung!) und es wird i.d.R. auf die Datenschutzerklärung verlinkt (Na, wenigstens etwas…). Doch Hinweis hin oder her: Eine echte Chance, hier der Verwendung seiner Daten zu widersprechen, hat der Nutzer an dieser Stelle nicht. Schauen wir uns einmal die Rechtslage an, es könnte ja immerhin sein, dass die Unternehmen sich hier rechtlich lupenrein verhalten…

Europas Cookie-Krümelverordnung

Im Gegensatz zu den Gurken haben die Kekse den politischen Irrsinn Europas überlebt. Denn die Idee mit dem Verbraucherhinweis auf Keksschachteln ist von Vor-Vor-Gestern. Bereits im Jahr 2009 hatte die EU eine Richtlinie veröffentlicht (Richtlinie 2009/136/EG des europäischen Parlaments und des Rates [Abruf: 28.02.2016]). Besser bekannt unter dem Namen „E-Privacy-Richtlinie“ findet sich dort u.a. folgender Absatz:

EU-Richtlinie Datenerhebung
Quelle: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:De:PDF

Das heißt konkret:

  1. Nutzer müssen über die Datenerhebung informiert werden
  2. Nutzer müssen einwilligen (Opt-In)
    Ergo: Nutzer müssen auch einer Datenerhebung widersprechen können (Opt-Out)
  3. Nur wenn die Datenerhebung zur Bereitstellung des Dienstes unbedingt erforderlich ist, darf auch ohne Einwilligung eine Datenerhebung/-speicherung durchgeführt werden.

Doch Vorsicht! Eine solche Richtlinie gilt per se nicht automatisch für alle EU-Bürger. Die Richtlinie ist nämlich nicht mehr als das, was das Wort „Richtlinie“ impliziert: Eine Vorlage für die Mitgliedstaaten, um das Recht nun in nationales Recht umzusetzen. Vorher ist diese Regelung für den Einzelnen nicht mehr wert als das Papier, auf das sie gedruckt wurde. Warum ist das wichtig? Damit kommen wir gleich zur alles entscheidenden Frage:

Was ist in den deutschen Keksen?

Bis heute hat Deutschland diese Richtlinie nicht in nationales Recht umgewandelt. Eigenartig, oder? Die Gegner einer nationalen Umsetzung der EU-Richtlinie führen dazu folgende Argumente an:

„Steht doch alles in §§ 12, 13 und 15 TMG“

„Die Bundesregierung hat übrigens die geltende Fassung des TMG als Umsetzung der E-Privacy-Richtlinie nach Brüssel gemeldet. Von der EU-Kommission kam dazu bisher kein Widerspruch.“

Und überraschenderweise kam auch aus Brüssel das Signal:

Yes, we can confirm that Germany has transposed the revised ePrivacy Directive into national law.

Quelle: Datenschutzbeauftragte Bund + Ländern: Cookie-Richtlinie muss in Deutschland noch umgesetzt werden [Abruf: 28.02.2016]

Laut der Bundesregierung ist mit dem (deutschen) Telemediengesetz (TMG) den Datenschutzansprüchen der EU bereits genüge getan. Ein genauer Blick in die dort festgelegte Erhebung und Verarbeitung von Nutzerdaten offenbart jedoch:

telemediengesetz
http://www.gesetze-im-internet.de/bundesrecht/tmg/gesamt.pdf [Abruf: 28.02.2016]
Es ist also eindeutig von einer „Widerspruchsmöglichkeit“ durch den Nutzer die Rede, also von einem Opt-Out statt von einem Opt-In. Das heißt konkret: Als Nutzer muss ich in Deutschland einer Erhebung meiner Daten aktiv widersprechen, während ich nach EU-Recht aktiv einwilligen müsste, dass meine Daten überhaupt erhoben werden. Das bewährte Hase-Igel-Rennen also – ich renne lieber hinter meinen Daten her, anstatt dass ich im Ziel entspannt auf sie warte und mir dann überlege, was ich mit ihnen anstelle und wer sie bekommen darf. Nun stellen sich mir die Fragen: Warum ist das so offensichtlich falsch umgesetzt? Steckt hier eine böse Absicht dahinter? Und wenn ja, wer zieht hier die Strippen?

Leider lassen sich diese Fragen nur teilweise beantworten. Ein gutes Stück ließe sich vielleicht mit einem fiktiven Gespräch zwischen einen Politiker und einem Lobbyisten erklären:


Politiker: „Die EU hat da eine neue Richtlinie herausgebraucht, die E-Privacy-Richtlinie… was sagt ihr denn eigentlich dazu?“

Lobbyist: „E-Privacy? Das ist doch alter Wein in neuen Schläuchen! Wir haben doch bereits ein Telemediengesetz, in dem eindeutig der Umgang mit sensiblen Daten geregelt ist. Noch mehr: Wir gehen bei der Umsetzung sogar darüber hinaus und weisen unsere Nutzer auf die Nutzung von Cookies hin. Im Endeffekt setzen wir die EU-Richtlinie bereits um!“

„Ach, das ist ja interessant. Aber wie macht ihr das mit der Einwilligung durch den Nutzer? Fragt ihr da wirklich jeden, ob ihr Daten erheben dürft?“

„In der E-Privacy-Regelung Art. 5, Abs. 3 steht doch, dass eine technische Speicherung der Daten erfolgen darf, wenn diese unbedingt für die Bereitstellung des Dienstes erforderlich ist. Wir brauchen doch diese Daten! Ansonsten könnten wir alle unsere Dienste einstampfen und verlieren Millionen! Das würde Tausende von Arbeitsplätzen kosten. Wollt ihr das wirklich?“

„Um Gottes willen, nein! Ich sehe das genauso. Ich denke auch: Wir brauchen hier keine neue, nationalstaatliche Regelung. Das Telemediengesetz ist hier völlig ausreichend. Man muss es ja nicht übertreiben…“


Es ist dies ein altes Lied: Markwirtschaftliche Interessen schlagen Datenschutzbedenken.

Doch kommen wir nach diesem kleinen „Exkurs“ wieder zurück auf die Umsetzung der EU-Richtlinie:

Während der Cookie-Hinweis und die Widerspruchsmöglichkeit des Nutzers mittlerweile von den „Großen“ umgesetzt werden (das ist aber vermutlich eher Google zu verdanken als der EU oder seinen Mitgliedstaaten), birgt der Punkt Opt-In doch offensichtlich ein großes Auslegungspotenzial. Natürlich ist es Quatsch von den Unternehmen zu argumentieren, dass die Datenerhebung unbedingt zur Bereitstellung des Angebots erforderlich ist. Schließlich kann jeder einer Datenerhebung widersprechen und die Dienste trotzdem vollumfänglich nutzen. Eine technisch notwendige Speicherung von Daten wäre lediglich gegeben, wenn z.B. Login-/Session-Cookies gesetzt werden müssen, sodass ein Benutzerkonto überhaupt benutzbar wird.

Was genau also ist ein Opt-In und wie müsste er ausgestaltet sein? Hier ist natürlich erst einmal interessant, was die Gesetzgebung unter einem Opt-In versteht. Im Zusammenhang mit Spam und Newsletter-Anmeldungen hat jeder mit Sicherheit schon einmal von dem Double-Opt-In-Verfahren gehört. Bei der Anmeldung zu einem Newsletter wird eine E-Mail an die angegebene Adresse geschickt, die der Interessent bestätigen durch Klick auf einen Link muss. Das „Double“ (= Klick auf den Link in der E-Mail) ist für unsere Zwecke zu vernachlässigen, da es lediglich sicherstellen soll, dass die E-Mail-Adresse tatsächlich dem Adressaten gehört. Rechtlich ist das Opt-In im Gesetz gegen unlauteren Wettbewerb (UWG) geregelt:

opt-in
http://www.gesetze-im-internet.de/uwg_2004/__7.html [Abruf: 28.02.2016]
Hier ist also von einer „vorherigen ausdrücklichen Einwilligung“ des Adressaten die Rede. Diese kann bei Newsletter-Anmeldungen vorausgesetzt werden, wenn die E-Mail-Adresse auf der Website eingegeben wird (wie gesagt, die doppelte Bestätigung soll nur die Identität des Adressaten bestätigen).

Doch wo habe ich denn Ebay, Amazon, Zalando, Bonprix meine Einwilligung erteilt, Daten zu erheben? Hier wird die Einwilligung implizit vorausgesetzt, indem ich den Service oder die Dienstleistung in Anspruch nehme. Ich habe hier also keine „ausdrückliche Einwilligung“ abgegeben, ich hätte ja irgendwo aktiv zustimmen müssen.
Das zweite Problem: Es muss eine „vorherige Einwilligung“ erfolgen. Gehen wir einmal auf Ebay oder auf Amazon und schauen uns an, wann welche Cookies bei uns auf dem Rechner/Mobile/Tablet gesetzt werden. Wir müssen feststellen: Bereits beim 1. Aufruf der Seite werden Cookies gesetzt, dabei haben wir a) weder den Service in Anspruch genommen, noch b) dadurch (implizit oder ausdrücklich) dem Setzen von Cookies zugestimmt. Zalando ist hier besonders schlimm. Dieses Unternehmen scheint ein richtiger Datenlieferant für eine Handvoll von Unternehmen zu sein:

zalando
www.zalando.de [Abruf: 28.02.2016]
Das ist der „Ausverkauf des Nutzers“. Für seine „Dienste“ sollte Zalando eigentlich von den Unternehmen Google & Co. Geld verlangen.

Aus Sicht der Unternehmen kann also ein Opt-In einfach vorausgesetzt werden – nicht einmal eine vorherige Mitteilung erscheint aus ihrer Sicht erforderlich. Andere Dienstleister hingegen wie Bild.de sperren z.B. alle Inhalte ihrer Website beim Nutzer, wenn sie bemerken, dass ein Werbeblocker verwendet wird. Das erscheint brachial, ist aber eine konsequente Umsetzung der Floskel „Durch Nutzung unserer Dienste stimmen Sie der Ausspielung von Werbung auf unserer Seite zu“. Auch RTL Now verfolgt diese Strategie. Der Grund ist hier aber mitnichten in dem größeren Gewissen dieser Anbieter zu finden, sondern in dem marktwirtschaftlichen Interesse, mit Werbung Geld zu verdienen.

„Mach Platz und bitte, bitte…“

Solange die deutsche Bundesregierung die EU-Richtlinie nicht in nationales Recht umsetzt, sind wir von einem Gutdünken der Unternehmen abhängig. Diese machen natürlich auch nur das, was ihnen rechtlich gerade noch gestattet ist. Doch machen wir ein Gedankenexperiment: Nehmen wir einmal an, die EU-Richtlinie würde heute bereits in Deutschland greifen – wie müsste dann die Umsetzung auf einer Website aussehen? Dabei kommt es gleich auf mehrere Aspekte an:

  1. Die Einwilligung des Nutzers: Beim Besuch des Nutzers auf einer Website muss eine Einwilligung der Datenerhebung eingeholt werden. Idealerweise muss der Nutzer einwilligen oder ablehnen können (eine Sperrung der Inhalte für Nutzer, die einer Erhebung der Daten widersprechen, kommt für viele Unternehmen sicherlich nicht in Frage).
  2. Der 1. Besuch: Der 1. Aufruf der Website durch einen Nutzer darf folglich nicht erhoben und weiterverarbeitet werden (bzw. alle folgenden, falls eine Datenerhebung abgelehnt wird oder keine Zustimmung abgegeben wurde). D.h. solange keine Zustimmung durch den Nutzer erfolgt ist, muss von einer Ablehnung des Nutzers ausgegangen werden. Nur so lässt sich eine „vorherige ausdrückliche Einwilligung“, wie es die Gesetzgebung im Gesetzt gegen den unlauteren Wettbewerb (UWG) vorsieht, einholen.
  3. Do Not Track: Wenn der Nutzer bei seinem Aufruf der Seite eine Do-Not-Track-Anfrage mitschickt (ist in jedem gängigen Internetbrowser einstellbar), dürfen keine Daten erhoben werden. Ausnahme: Der Nutzer stimmt einer Erhebung seiner Daten auf der Website zu. Die Berücksichtigung von Do-Not-Track-Anfrage muss nach dem aktuellem Stand durch den Website-Betreiber implementiert werden, da es keinen Standard für externe Analysetools wie Google Analytics, Econda, Webtrekk etc. dafür gibt, was unter Datenerhebung fällt und was nicht.
    Wird Punkt 2 korrekt umgesetzt, entfällt eine Berücksichtigung von Do Not Track-Anfragen, da dann automatisch nichts getrackt wird, solange keine Zustimmung vorliegt.

(u.a. Quelle: Cookie-Richtlinie der EU – Augenwischerei, Do-Not-Track und Praxisempfehlungen)

Don’t Be Evil

Google hat schon nicht geschafft, diesem Grundsatz treu zu bleiben – dafür ist seine Macht einfach zu groß und monopolistisch.
Sehen wir aus Sicht des Unternehmens einmal von dem Aufwand einer  datenschutzkonformen Implementierung der Analye-Tools ab: Natürlich ist die Umsetzung für das Unternehmen und speziell den Daten-Analysten ein Gräuel – schließlich möchte man ganz genau wissen, wie viele Nutzer auf der Website unterwegs sind und was sie dort getan haben. Durch ein Opt-In-Verfahren würden einem ja viele Daten „durch die Lappen“ gehen. Diesen Skeptikern möchte ich Folgendes entgegen halten:

  1. Daten kommen, so oder so: Je nachdem, wie „nervig“ man die Datenerhebungs-Abfrage gestaltet und inwieweit man den Nutzer dazu drängt, auf „OK“ zu klicken, wird immer noch ein Prozentsatz der Nutzer einer Datenerhebung zustimmen. Nicht jeder liest sich alles durch, was er bestätigt (traurig, aber wahr) und schließlich klingt „OK“ ja auch irgendwie „okay“. Nutzerdaten werden nicht mehr vollständig, sondern“gesampled“ (=stichprobenartig) erhoben. Nichts anderes macht Google Analytics schon heute! Wer in seinem Analytics-Account nachschaut, wird feststellen, dass oftmals nur 50% oder sogar weniger Sitzungen in der aufgerufenen Statistik berücksichtigt wurden. Dies lässt sich nach oben korrigieren, doch gerade bei Auswertungen  mit vielen Daten werden nie 100% aller Daten in der Statistik dargestellt. Google schließt hier nach der Maßgabe der Daten-Sparsamkeit von einer Stichprobe auf die Gesamtheit.
    Denn schlussendlich: Relative Zahlen sagen immer mehr als absolute Zahlen. Oder wer möchte behaupten, dass in der Zahl 1.110 Besucher pro Woche irgendeine Aussage  steckt? Doch wenn es 20% mehr Besucher sind als vorige Woche, dann ist etwas passiert. Klingt logisch, oder? 
  2. Don’t Be Evil: Nimm‘ den Nutzer ernst. Oder auch: Der Kunde ist König. Auch wenn die Datenschutzdebatte noch nicht ernsthaft in Deutschland diskutiert wird, lässt der Datenmissbrauch nicht lange auf sich warten oder hat in anderen Bereichen bereits begonnen. Der Ankauf von Steuersünder-CD’s durch das Land NRW verletzt nicht nur den Datenschutz, sondern auch das Bankgeheimnis (Quelle: Land NRW kauft weitere Steuer-CD für Rekordsumme [Abruf: 28.02.2016]). Bis jetzt hat noch jeder Schurke mit hehren Absichten gestartet, um dann in die Dunkelheit abzugleiten (Google, Obama, NSA, Sowjetunion, die Liste ließe sich unendlich weiterführen). Unterstützen Sie eine solche Entwicklung nicht. Nehmen Sie Datenschutz mit in ihre Werte- und Philosophie-Portfolio auf. Getreu dem Motto: Tue Gutes und rede darüber. Auch wenn es sicherlich Themen mit höherer Medienaufmerksamkeit gibt.

Datenmissbrauch: Amsterdam und die Nazis

Datenmissbrauch ist in Deutschland noch nicht richtig angekommen. Die häufigste Form ist der Identitätsdiebstahl, und wer nicht betroffen ist und niemanden kennt, der wird auch davon nicht viel mitbekommen haben. Doch ein Blick in die Geschichte offenbart Grausames: In Amsterdam werden seit 1851 Daten der Einwohner erhoben, darunter Geschlecht, Beruf, Alter und Religion. Diese Kartei wurde in den 1930er Jahren noch einmal modernisiert und aktualisiert. Als die Nazis 1940 in Amsterdam einmarschierten, fielen diese Daten in ihre Hände. Binnen weniger Tage konnten sie fast alle Juden der Stadt identifizieren und anschließend nach Auschwitz deportieren. Quelle: Nichts zu verbergen? [Abruf: 28.02.2016]

Ich möchte an dieser Stelle niemandem solche Absichten unterstellen. Ich möchte aber darauf hinweisen, dass aus der Unsicherheit, die die Zukunft mit sich bringt, immer auch eine Gefahr erwächst. Schließlich weiß niemand, was in 50 Jahren in Europa sein wird und wer die Hand auf den Daten hat, die bis dato gesammelt wurden.
Zur Erinnerung: Vor nur wenig mehr als 25 Jahren herrschte in Europa noch der Kalte Krieg und eine Mauer trennte Ost- von Westdeutschland. Wenn die Stasi die Daten gehabt hätte, die heute Google besitzt, wer weiß, ob wir heute nicht alle Russisch sprechen würden (kleiner Scherz).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.