Ein Überblick über die Cookie Directive der EU. Stand der Umsetzung der Directive in der EU. Unterschiedliche Umsetzung in den einzelnen EU Ländern, gezeigt am Beispiel UK und Niederlande. Welche Auswirkungen hat die Directive für deutsche Website-Betreiber? Wie stehen deutsche Website-Betreiber rechtlich dar?
1. Cookie Direktive
- Status Quo, Potentiale, Umsetzung
Digital Analytics Association Late Afternoon
Host: AT Internet
München, 29.01.2013
Marcus Nowak-Trytko
2. EU Bürger
70% der EU Bürger sind besorgt darüber,
dass ihre persönlichen Daten missbraucht werden könnten.
Richtlinie 95/46/EG
Artikel 1 - Gegenstand der Richtlinie
(1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte
und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der
Verarbeitung personenbezogener Daten.
Quelle: http://ec.europa.eu/justice/data-protection/promo_data_en.htm
2 Digital Analytics Association Late Afternoon January 2013
3. Richtlinie
RICHTLINIE 2009/136/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 25. November 2009 Artikel 2
Änderungen der Richtlinie 2002/58/EG
(Datenschutzrichtlinie für die elektronische Kommunikation)
5. Artikel 5 Absatz 3 erhält folgende Fassung:
„(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die
bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer
oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a.
über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder
dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein
elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der
Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung
stellen kann.“
Quellen: Richtlinie 2009/136/EG http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:De:PDF - Seite 30
Richtlinie 95/46/EG https://www.datenschutzzentrum.de/material/recht/eu-datenschutzrichlinie.htm
3 Digital Analytics Association Late Afternoon January 2013
4. Erlaubnis zum setzen von Cookies
(sozusagen Erlaubnis zur Aktivierung der Messung)
4 Digital Analytics Association Late Afternoon January 2013
5. Richtlinie
In Artikel 4 Absatz 1 der Richtlinie heißt es:
Umsetzung
(1) Die Mitgliedstaaten erlassen und veröffentlichen bis zum 25. Mai 2011 die Rechts- und Verwaltungsvorschriften, die
erforderlich sind, um dieser Richtlinie nachzukommen. Sie teilen der Kommission unverzüglich den Wortlaut dieser
Vorschriften mit.
Wenn die Mitgliedstaaten diese Vorschriften erlassen, nehmen sie in den Vorschriften selbst oder durch einen Hinweis bei
der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten der Bezugnahme.
5 Digital Analytics Association Late Afternoon January 2013
6. Details zu den einzelnen EU Ländern: http://www.computerwoche.de/a/cookie-richtlinie-in-europa,2518064,2
7. Inhalt der EU Direktive
User muss dem Setzen des Cookies aktiv zustimmen.
Cookie Opt- In gefordert
Keine Unterscheidung zwischen First- und Third Party Cookie.
„unbedingt notwendige“ Cookies sind außen vor z. B. Session Cookies
aber:
Welche Cookies dies im Detail sind, ist letztlich der Gesetzgebung des jeweiligen Landes vorbehalten.
Digital Analytics Association Late Afternoon January 2013
8. EU Datenschützer empfehlen
Artikel 29 Datenschutzgruppe (unabhänges Gremium, dass die EU-Kommision berät)
First Party Cookies
Fallen unter die Ausnahme, dass eine Kommunikation ohne ein Cookie nicht möglich ist.
Third Party Cookies
Sind regelmäßig nicht „unbedingt erforderlich“
Neben dieser Unterscheidung kommt es vor allem auf den Zweck und die spezielle Implementierung an.
Unbedingt erforderliche Cookies
„User input“ – erforderlich für das Ausfüllen von Formularen oder das Füllen eines Warenkorbs
Session Cookies – erkennen des Users nach einem Login, gilt nicht für dauerhafte Session Cookies
Flash Cookies – Wiedergabe von Mulitmedia Content, solange keine dauerhaften Cookies
Social Media Plug-In Cookies – User rechnet damit, nutzt ihm bei Diensten, solange er eingeloggt ist, danach Löschung
8 Digital Analytics Association Late Afternoon January 2013
9. EU Datenschützer empfehlen
Cookies von Werbenetzwerken
Third Party Advertising Cookies ist eine Einwilligung einzuholen, über die Lebensdauer wurde keine Angabe gemacht
Analytics Cookie
Sind aus Sicht des User nicht erforderlich, um bestimmt Funktionen nutzen zu können.
jedoch…
Die Datenschutzgruppe sieht ein Problem u.a. für Shopbetreiber.
Es soll eine Überarbeitung von Artikel 5 Absatz 3 geben:
Eine Ausnahme für anonymisierte First Party Cookies, die ausschließlich für statistische Zwecke gesetzt werden können.
9 Digital Analytics Association Late Afternoon January 2013
10. Auslegung der EU Direktive
Cookie Opt-out
die von einer Website auf dem Browser generiert werden und die vom User abgelehnt werden können.
Deaktivierung der Messung:
Alle Cookies einer Website werden abgelehnt.
Third Party Cookies und andere Cookies.
Was bleibt:
Messung des Warenkorbs bleibt erhalten
Adresseingabe für die Versandbestellung
10 Digital Analytics Association Late Afternoon January 2013
11. Umsetzung - UK
Großbritannien - Datenschutzbehörde empfiehlt Opt-in
Im Vereinigten Königreich wurde die Richtlinie mit Wirkung vom 26. Mai 2011
umgesetzt. Dabei orientierte sich der Gesetzgeber eng an den Formulierungen der
Richtlinie. Nach den Leitlinien der britischen Datenschutzbehörde Information
Commissioner's Office (ICO) ist es grundsätzlich erforderlich, die Einwilligung durch
Moderate Umsetzung
Opt-in einzuholen. Unter Umständen genüge allerdings auch eine konkludente
Einwilligung. Das ICO empfiehlt den Einsatz von Pop-ups oder Bannern. Aber die
Einwilligung lasse sich auch durch eine in AGBs enthaltene Erklärung einholen. Die
technischen Möglichkeiten der Browser-Einstellungen reichen der nationalen
Datenschutzbehörde nicht aus.
Quelle: http://www.computerwoche.de/a/cookie-richtlinie-in-europa,2518064,2
11
13. Auslegungssache
13 Digital Analytics Association Late Afternoon January 2013
14. Umsetzung - NL
Großbritannien - Datenschutzbehörde empfiehlt Opt-in
Im Vereinigten Königreich wurde die Richtlinie mit Wirkung vom 26. Mai 2011
umgesetzt. Dabei orientierte sich der Gesetzgeber eng an den Formulierungen der
Richtlinie. Nach den Leitlinien der britischen Datenschutzbehörde Information
Commissioner's Office (ICO) ist es grundsätzlich erforderlich, die Einwilligung durch
Moderate Umsetzung
Opt-in einzuholen. Unter Umständen genüge allerdings auch eine konkludente
Einwilligung. Das ICO empfiehlt den Einsatz von Pop-ups oder Bannern. Aber die
Einwilligung lasse sich auch durch eine in AGBs enthaltene Erklärung einholen. Die
technischen Möglichkeiten der Browser-Einstellungen reichen der nationalen
Datenschutzbehörde nicht aus.
Die Niederlande wählen Opt-in
Die Niederlande verpflichten die Webseitenbetrieber
Erst zum 5. Juni 2012 setzten die Niederlande die Richtlinie um - durch
nachzuweisen, dass User ohne Zustimmung zum Opt-In auch das
Änderungen des Telekommunikationsgesetzes. Dabei wurden die Regeln für so
behandelt werden.verschärft: Nutzer müssen nun zuvor eindeutig und
Setzen von Cookies
Harte Umsetzung
vollständig informiert werden und ihre Einwilligung erklären. Die
Einwilligungserklärung kann durch die Nutzung von Bannern, Pop-up-Menüs
Das oder einer Startseite der Betreiberder Nutzer durch Bestätigung eines
bedeutet, dass erfolgen, auf der einer Website die Daten
vorhalten muss, um nachzuweisen, dass der Besucher seiner
Auswahlfeldes (tick-box) einwilligt. Eine Einwilligung durch Browser-
Einstellungen ist nicht mehr möglich.
Seite nicht getrackt wurde.
Quelle: http://www.computerwoche.de/a/cookie-richtlinie-in-europa,2518064,2
14 Digital Analytics Association Late Afternoon January 2013
15. Umsetzung - NL
15 Digital Analytics Association Late Afternoon January 2013
16. Auslegungssache - NL
Ghostery irrt,
Google Analytics unterstützt nur
iGoogle ist implementiert
Cookie-Opt-Out
16 Digital Analytics Association Late Afternoon January 2013
17. Rechtliche Fragen
Wann ist für ein Unternehmen mit Sitz in Deutschland die Directive relevant?
Es ist dann relevant, wenn mit einer Seite Nutzer aus einer Vielzahl von Ländern angesprochen
werden sollen. Dann muss das Angebot eine auf die Vorgaben der jeweiligen Zielländer
ausdifferenzierte Cookie-Policy einsetzen.
Wenn das Angebot nicht für die jeweiligen Zielländer angepasst wurde, welche Konsequenzen kann dies
haben?
Dies kann als Rechtsverletzung ausgelegt werden. Dass darüber hinaus "etwas passiert" ist derzeit
Steffen Wilde schwer vorhersehbar. Die kontrollierenden Behörden sind sehr beschäftigt und werden für sich sehen
WILDE.Rechtsanwälte müssen, wie sie die Prioritäten bei der Verfolgung derartiger Rechtsverletzungen zu setzen haben.
Köln
Kann ein Unternehmen mit Websites, die nicht der europäischen Direcitve entspricht, abgemahnt werden?
Entspricht eine Website nicht der nationalen Umsetzung der EU-Richtlinie in Deutschland, also der
zu erwartenden neuen Bestimmung des Telemediengesetzes, so spricht viel dafür, dass die
Bestimmung Basis einer Abmahnung sein kann.
Entscheidend ist hier, ob die zuständigen Gerichte die Bestimmung als so genannte
"Marktverhaltensregelung" begreifen. Dies erscheint nach meiner Einschätzung hier vertretbar.
17 Digital Analytics Association Late Afternoon January 2013
18. Vielen Dank für Ihre Aufmerksamkeit
Partner + Verbände
Marcus Nowak-Trytko
www.eyequant.de
Geschäftsführer
IdealObserver.com
www.germanupa.de
eMail: nowak-trytko@idealobserver.com
Institut für
Telefon: +49 (0)211 99 43 94 14 Informationsarchitektur
E-Mail: MNT@idealobserver.com www.iainstitute.org
Web: www. idealobserver.com
Büro: Lindenstr. 48-52 - 40233 Duesseldorf, Germany
18