Also beschloss sie eine Richtlinie (2009/136/EG).
Mit dieser wurde eine weitere Richtlinie 2002/58/EG, die "Datenschutzrichtlinie für die elektronische Kommunikation" geändert. Und in deren Artikel 5 Absatz 3 sollte von nun an der folgende Wortlaut stehen:
"[Satz 1] Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat."Aha. Moment, noch einmal lesen. Hm, also, da steht wohl drin, dass beispielsweise Cookies nur gespeichert und bereits gespeicherte Cookies nur abgerufen werden dürfen, wenn der Computer-/Handy-Nutzer dem zugestimmt hat.
Das muss dann wohl dazu führen, dass bei fast jeder Internetseite zunächst ein ellenlanger Dialog kommt, in dem der Nutzer gesagt bekommt, welches Cookie jetzt gesetzt wird. Dann muss der Nutzer entscheiden, ob er das zulassen will oder nicht.
Oder genügt es vielleicht, wenn der Nutzer sich ganz global - nämlich in seinen Browsereinstellungen - für oder gegen das Setzen von Cookies entschieden hat?
Klar wird das aus dem oben zitierten Text nicht. Aber Artikel 5 Absatz 3 hat ja noch einen zweiten Satz:
"[Satz 2] Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."Also: Wenn es nur um die Übertragung einer Nachricht geht oder wenn es keine andere Möglichkeit gibt, die ausdrücklich vom Nutzer angeforderte Seite zu nutzen, soll die Speicherung bzw. der Abruf der Informationen also zulässig sein.
Wenn man mal mit ausgeschalteten Cookies surft, merkt man schnell, dass in vielerlei Fällen Internetseiten nicht mehr oder nur eingeschränkt nutzbar sind. So werden häufig beispielsweise Session-Cookies gesetzt, mit deren Hilfe der PC des Nutzer wiedererkannt wird. So können dann beispielsweise beim Online-Shopping Warenkörbe gefüllt und verwaltet werden. Sind solche Cookies "unbedingt erforderlich"? Denn rein technisch betrachtet, ginge es ja auch ohne. Nur eben vielleicht nicht mit jedem Shop-System.
Dazu kommt noch eine weitere Frage, die schon durch den Namen "Cookie"-Richtlinie fast außer Sichtweite gerät: Es geht nämlich nicht nur um Cookies allein (darum auch die Überschrift dieses Artikels). Es geht nämlich um zu speichernde oder bereits gespeicherte "Informationen". Und Informationen werden nicht nur in Cookies gespeichert und abgerufen. Sondern auch z.B. durch alle Programme, die beispielsweise auf andere Informationen zugreifen wollen. Gerade in SmartPhones wird gerne auf Telefonbücher, auf Standortdaten, auf Listen bereits installierter Applikationen zugegriffen... Diese Liste könnte wohl endlos fortgeführt werden.
Es wird also eine Menge zu tun geben, wenn diese Richtlinie umgesetzt wird.
Das sollte eigentlich bis Ende Mai 2011 geschehen sein. Doch der deutsche Gesetzgeber gibt sich behäbig:
"Einzelfragen der Umsetzung der Änderung von Art. 5 Abs. 3 der Richtlinie 2002/58/EG sind derzeit Gegenstand umfangreicher Konsultationen auf europäischer Ebene, die auch Selbstregulierungsansätze der betroffenen Werbewirtschaft umfassen. Das Ergebnis dieses Prozesses wird vor einer Entscheidung über weitergehenden gesetzgeberischen Handlungsbedarf zunächst abgewartet."
(Quelle: Entwurf eines Gesetzes zur Änderung telekommunikationsrechtlicher Regelungen; Bundesrat Drucksache 129/11 vom 04.03.2011)
Und er ist dabei in guter Gesellschaft: Die BBC meldet:
"No European government has yet drawn up the guidelines for how the ePrivacy directive will be enforced."Kein gutes Omen für Webmaster, App-Entwickler und sonstige Anbieter "eines Dienstes der Informationsgesellschaft". Immerhin wird die EU-Richtlinie nicht ohne weiteres in Deutschland wirksam werden - dazu muss sie durch den Gesetzgeber umgesetzt werden. Eine direkte Wirkung wäre nur denkbar, wenn die Richtlinie so konkret wäre, dass sie unmittelbar umgesetzt werden könnte - davon ist jedoch nicht auszugehen. Jedoch gilt die Richtlinie bereits mittelbar - nämlich dann, wenn eine bereits bestehende deutsche Rechtsnorm im Lichte europäischer Gesetze ausgelegt werden muss. Das kann bei aktuellen datenschutzrechtlichen Fragen durchaus einmal der Fall sein.
Links:
- Die c't sieht Browser-Hersteller in der Pflicht und fragt, warum auf dieser Ebene nichts passiert:
"EU & Privacy: Setz Dich, mach's Dir gemütlich, nimm Dir 'n Keks" - Was sind Cookies? Wikipedia erklärt
- Spiegel-Artikel: Browser Cookies - Start-ups fürchten die EU-Richtlinie
- Kollege Ferner zur Cookie-Richtlinie
- BBC-Artikel "Governments 'not ready' for new European privacy law"
- heise.de zum Thema und mit Hinweis auf den Standpunkt des Bundesdatenschutzbeauftragten Peter Schaar
0 Kommentare:
Kommentar veröffentlichen
Ich freue mich über Ihre Kommentare. Bitte halten Sie sich aber an die Netiquette - keine Beleidigungen, keine Beschimpfungen, keine rassistischen, sexistischen oder sonstwie diskriminierenden Äußerungen, bitte. Ich behalte mir vor, Kommentare zu kürzen oder zu löschen und weise darauf hin, dass die in Kommentaren geäußerten Ansichten nicht unbedingt meinen entsprechen.