ePrivacy-Richtlinie: Stillstand bei der Cookie-Bändigung
"Stillstand" beim Cookie-Paragraph konstatiert Peter Schaar, Deutschlands oberster Datenschützer. Er meint die Umsetzung der ePrivacy-Richtlinie der Europäischen Union. Sie sieht vor, dass Werbetreibende Cookies nur dann auf Rechnern ablegen dürfen, wenn die Nutzer ausdrücklich zugestimmt haben. Vor vier Jahren verabschiedet, ist die Richtlinie in Deutschland bis heute nicht umgesetzt worden.
Die Folge: Die Internetwirtschaft agiert wie sie will - Cookies werden gesetzt und Nutzer müssen mit verschiedenen Tools wie Abine(öffnet im neuen Fenster) , Collusion(öffnet im neuen Fenster) , BetterPrivacy(öffnet im neuen Fenster) oder der Fraunhofer-Tracking-Protection-List(öffnet im neuen Fenster) ihren Rechner aufräumen, wenn sie nicht wollen, dass ein aussagekräftiges Werbeprofil von ihnen erstellt wird.
In Deutschland geschieht nichts, weil das Bundeswirtschaftsministerium die Umsetzung der Richtlinie blockiert. Es ist der Auffassung, dass für das Setzen eines Cookies schon immer eine Einwilligungserfordernis aus dem Telemediengesetz abzuleiten war. "Eine Position, die weder durch den Wortlaut noch durch die Begründung des Telemediengesetzes gestützt wird" , sagt Datenschützer Schaar. Sie widerspreche auch der langjährigen Praxis der Aufsichtsbehörden. Die Datenschutzbehörden sind denn auch der Ansicht, dass das Gesetz für die Cookie-Regelung geändert werden muss.
Andere Länder - andere Umsetzungen
Umgesetzt wird die ePrivacy-Richtlinie in Europa recht unterschiedlich. Einige Länder wenden eine Widerspruchslösung an, andere eine Einwilligungslösung. In Großbritannien etwa werden die Anforderungen nur unvollständig umgesetzt. So dürfen Tracking- und Analyse-Cookies gesetzt werden, bevor der Nutzer eingewilligt hat. Allerdings wird auf das Setzen von Cookies auf den Webseiten direkt hingewiesen - anders als in Deutschland, wo gar nichts passiert.
Die europäische Artikel-29-Gruppe der Datenschützer erarbeitet zurzeit Hinweise, wie eine deutliche Einwilligung umgesetzt werden kann, um eine einheitliche Anwendung zu erreichen. Als konform mit dem Europarecht gilt nur eine Lösung, bei der das "Do not track" im Header eines Browser-Befehls verbindlich ist und das Setzen von Cookies und das Erheben von Daten für Werbezwecke verhindert. Das muss zudem für alle Anbieter gelten, unabhängig davon, ob sie eine besuchte Website oder Werbung anbieten.
Keine Ausnahme für Werbecookies
Im Übrigen gibt es eine Ausnahme vom Opt-in für Warenkorb-Cookies und Cookies zur Authentifizierung beim Online-Banking. Keine Ausnahme gibt es jedoch für Cookies, die zu Werbezwecken oder für die Webanalyse verwendet werden. Die europäische Werbewirtschaft hat sich bereits zur Selbstregulierung entschlossen, um schärferen Maßnahmen zu entgehen. So können Nutzer über das zentrale Portal Youronlinechoices(öffnet im neuen Fenster) festlegen, welche Unternehmen Daten verwenden dürfen(öffnet im neuen Fenster) .
In den USA setzt man ganz auf Selbstregulierung, allerdings anders als in Europa auf eine Widerspruchs- bzw. Opt-out-Lösung. Die zuständige Federal Trade Commission (FTC) streitet mit der Industrie seit über zwei Jahren über eine entsprechende freiwillige Lösung, die derzeit nicht in Sicht ist.
Do-Not-Track-Standard
Auch von technischer Seite gibt es wenig Hoffnungsvolles zu berichten. Schon seit vier Jahren entwickelt eine Arbeitsgruppe(öffnet im neuen Fenster) des World Wide Web Consortium (W3C) die Spezifikationen für einen sogenannten Do-Not-Track-Standard. Damit teilt der Browser den angesurften Websites mit, dass der Nutzer kein Tracking möchte. Einen ersten Prototypen gibt es seit 2009 für den Firefox-Browser. Ursprünglich sollte der Standard Anfang 2013 veröffentlicht werden. Doch weil es in der Arbeitsgruppe, so Schaar, "unterschiedliche Interessen und deutliche Zielkonflikte" gebe, ziehen sich die Arbeiten noch immer hin.
Microsoft etwa will die Do-Not-Track-Funktion standardmäßig in seinem Internet Explorer 10 aktivieren. Doch Yahoo stellt sich quer und will den Befehl ignorieren, weil die Funktion voreingestellt sei und damit nicht dem ausdrücklichen Nutzerwunsch entspreche. Bei dem Streit, der von den verschiedensten Parteien im W3C ausgetragen wird, geht es um den Online-Werbemarkt, der für 2013 weltweit auf 100 Milliarden Dollar geschätzt wird. Allein in Deutschland sollen 7 Milliarden Euro umgesetzt werden. Derzeit sieht es so aus(öffnet im neuen Fenster) , als würden die Browser-Hersteller mit eigenen Lösungen herauskommen.
Peter Schaar resümiert: "Insgesamt ist dies eine völlig unbefriedigende Situation, die leider hauptsächlich die Internet-Anbieter und Nutzer ausbaden müssen." Mit Blick auf die ePrivacy-Richtlinie und ihre Umsetzung in Deutschland sagt er: "Ich rechne nicht mehr damit, dass das Telemediengesetz noch geändert wird, vor allem im Hinblick auf die in Arbeit befindliche Datenschutz-Grundverordnung." Eine Antwort der EU-Kommission, die die nationale Umsetzung der Richtlinie insgesamt prüft, steht überdies noch aus.