Kategorie: Online-Datenschutz

Irische Behörde will Facebook prüfen – Wissenschaftlicher Dienst legt Gutachten zu Social-Plugins vor

24. Oktober 2011

Wie heise online berichtet, plant die irische Datenschutzbehörde eine Überprüfung der europäischen Facebook-Niederlassung in der kommenden Woche. Anlass hierfür gaben auch die Beschwerden des österreichischen Studenten, der seine bei Facebook gespeicherten Daten angefordert hatte. Auf der ihm anschließend übersandten CD mit einem 1200 Seiten starken Dokument fanden sich unter anderem Einträge und Daten, die er längst gelöscht hatte.

Die Überprüfung von Facebook in Dublin soll nach dem Bericht etwa eine Woche dauern. Zuständig ist der irische „Data Protection Comissioner“, weil Facebook allein in Irland die „Facebook Ireland Limited“ als Niederlassung für Europa betreibt.

Inzwischen hat sich auch der Wissenschaftliche Dienst des Bundestages mit Facebook beschäftigt. Genauer ging es um die Anfrage eines FDP-Bundestagsabgeordneten, ob das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein Nutzern der Social-Plugins von Facebook zu Recht vorwerfe, gegen deutsches Datenschutzrecht zu verstoßen.

Das eindeutige Fazit der Wissenschaftler lautet, dass wegen deutlicher Unsicherheiten im geltenden Datenschutzrecht keinesfalls eindeutig von einem Verstoß ausgegangen werden könne. Die Rechtsauffassung des ULD sei vertretbar, die Behauptung eines eindeutigen Verstoßes aber unzutreffend.

Problematisch sei besonders der Personenbezug von Cookies und IP-Adressen. Die Anforderungen an die Bestimmbarkeit einer Person seien sehr umstritten und von der Rechtsprechung nicht einheitlich geklärt. Diese Kontroverse würde aber vom ULD ausgeblendet. Nicht nachvollziehbar sei auch die Begründung einer Auftragsdatenverarbeitung  nach  §11 BDSG, aus der sich die angeprangerte Verantwortlichkeit der Webseitenbetreiber für die von Facebook erstellen Statistiken ergeben könnte. (ssc)

Sony: Erneuter Hacking-Angriff

18. Oktober 2011

Der Elektronikkonzern Sony ist nach den im April dieses Jahres erfolgten Hacking-Angriffen abermals erfolgreich angegriffen worden. Das Unternehmen gab bekannt, dass unbekannte Täter zwischen dem 07. und 09. Oktober in etwa 93.000 Kundenkonten der Dienste Playstation Network, Sony Entertainment Network und Sony Online Entertainment haben eindringen können. Dies soll durch das Ausprobieren von Login-Daten, die wohl von einer anderen Stelle erhoben wurden, gelungen sein. Die Betroffenen sind nach Angaben des Unternehmens bereits mittels E-Mail über den Angriff informiert wurden und die Zugänge wurden gesperrt. (sa)

Kategorien: Hackerangriffe
Schlagwörter: ,

2-Klick-Lösung für besseren Datenschutz bei Social-Plugins

11. Oktober 2011

Der Heise-Verlag stellt seit einiger Zeit allen interessierten Webmastern ein Skript zur Verfügung, welches dafür sorgt, dass die Social-Plugins von Facebook, Twitter und Google+ keine Daten übermitteln, bevor die Nutzer die Funktionalität der Schaltflächen nicht freischalten.

Ein solches Vorgehen ist notwendig, da insbesondere Facebooks Like-Button völlig ohne Zutun der Nutzer Daten an Facebook sendet. Dafür reicht bereits der Aufruf der Seite, auf der der Like-Button eingebunden ist; einer aktiven Nutzung des Buttons bedarf es nicht.

Bei der 2-Klick-Lösung laufen, im Gegensatz zu den normal eingebunden Social-Plugins, die Skripte der Social-Media-Anbieter nicht schon beim Laden der Seite im Hintergrund. Der Nutzer muss die Schaltflachen erst über einen Klick „scharf schalten“. Dies aktiviert die Skripte und die Funktionalität der Schaltflächen. Bereits wenn man den Mauszeiger über den deaktivierten Button bewegt (Mouseover), erhält der Nutzer ein Infofenster, das darauf hinweist, dass schon das reine Aktivieren der Schaltflächen zu einer Datenübermittlung an Dritte führt. Weiterhin wird in der kurzen Mitteilung auf eine „i“ Schaltfläche verwiesen, die ihrerseits beim Mouseover erläutert, dass beim Aktivieren der Buttons Daten in die USA übertragen und dort auch möglicherweise gespeichert werden. Ein Klick auf „i“ leitet auf die Projektseite weiter. Dort finden sich weitere Angaben zu den technischen Hintergründen und der Notwendigkeit des gewählten Verfahrens.

Heise verweist selber darauf, dass ein solches Verfahren bereits zuvor bei SWR3 und RP-Online eingesetzt wurde. Nichtsdestotrotz hat die Freigabe des Quellcodes durch Heise, sowie der große mediale Aufwand seitens des Verlags, eine gewisse Katalysatorwirkung für deutsche Onlinemedien gehabt. Heise selbst spricht von über 500 Anfragen allein in der ersten Woche. Auch große deutsche Portale wie zeit.de und computerbase.de sind mittlerweile dazu übergegangen, Social-Plugins standardmäßig zu deaktivieren.

Facebook selbst zeigte sich von dieser Lösung wenig begeistert und beschwerte sich sowohl bei Heise als auch bei SWR3 über einen Verstoß gegen die Platform Policies, da die Betreiber eine Facebook Funktion nachahmten. Dies wurde damit begründet, dass eine Schaltfläche, die wie ein Like-Button aussehe, auch die Funktionalität des Like-Buttons haben müsse. Um einer Sperrung der betroffenen Domains bei Facebook zu verhindern, haben die Verwantwortlichen das Design der deaktivierten Facebook-Buttons mittlerweile so angepasst, dass diese nicht mehr dem Like-Button von Facebook ähneln.

Während die 2-Klick-Lösung für den durchschnittlichen Internetnutzer ausschließlich positiv ist, da eine Datenübermittlung zu den Social-Media-Anbietern ohne sein Zutun nicht mehr stattfindet, reicht einigen Datenschützern diese Initiative nicht aus. Thilo Weichert vom ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) sieht darin zwar einen Schritt in die richtige Richtung, die aber nicht ausreiche. Nach seiner Einschätzung ist die Information beim Aktivieren des Button nicht ausreichend, da eine wirksame Einwilligung voraussetze, dass die Nutzer wüssten, worein sie einwilligten. Facebook lege aber bisher nicht dar, was mit den Nutzerdaten geschehe. Folgt man dieser Argumentation, ist eine datenschutzkonforme Nutzung von Facebook, und den entsprechenden Plugins, überhaupt nicht möglich, weil es immer an der erforderlichen informierten Einwilligung fehlt.

Unbeachtet dieser Kritik steht es völlig außer Frage, dass eine Einbindung der Social-Plugins im Wege der 2-Klick-Lösung deutlich datenschutzfreundlicher ist, als die Plugins ohne jegliche Restriktionen einzubauen. Wer also (überhaupt) plant Social-Media-Plugins zu verwenden, sollte im Interesse der Besucher seiner Website eine solche Lösung implementieren. (se)

 

Können deutsche Unternehmen Cloud-Anbieter mit Sitz in den USA noch nutzen?

10. Oktober 2011

Nachdem bekannt wurde, dass US-Behörden selbst dann Zugriff auf bei US-Cloud-Anbietern gespeicherte Daten erhalten, wenn sich diese auf Servern innerhalb der EU befinden, stellt sich für viele deutsche Unternehmen die Frage, ob es generell noch möglich ist, in datenschutzkonformer Weise mit US-Anbietern zusammenzuarbeiten.

Aus der Orientierungshilfe – Cloud Computing, welche die Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder veröffentlicht haben, ergibt sich, dass die deutschen Datenschutzbehörden eine Zusammenarbeit mit US-Cloud-Anbietern nicht generell für unmöglich halten.

Bei der Übermittlung von Daten außerhalb der EU und des EWR kann durch den Cloud-Anwender als verantwortliche Stelle ein ausreichendes Schutzniveau sichergestellt werden, indem Standardvertragsklauseln oder Binding Corporate Rules verwendet werden. Nach Einschätzung der Datenschützer wurden allerdings die spezifischen Regelungen der Auftragsdatenverarbeitung nicht vollständig abgebildet. Daher fordern sie, dass Cloud-Anwender über die Vereinbarung von Standardvertragsklauseln hinaus, die Anforderungen nach § 11 Abs. 2 BDSG erfüllen und entsprechend eine Auftragsdatenverarbeitung vertraglich vereinbaren. Zusammengenommen können diese Maßnahmen dazu führen, dass die Übermittlung durch den Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG gedeckt ist. Dies alles gilt für die USA ebenso, wie für andere Drittstaat ohne angemessenes Datenschutzniveau.

Wenn eine Verarbeitung personenbezogener Daten durch einen Cloud-Anbieter in den USA erfolgt,  können die Standardvertragsklauseln ebenso wie Binding Corporate Rules entbehrlich sein, falls der Cloud-Anbieter gemäß der Safe-Habor-Grundsätze zertifiziert ist. In Ermangelung einer flächendeckenden Kontrolle der Selbstzertifizierungen durch Kontrollbehörden in Europa und den USA sehen die Datenschützer die Cloud-Anwender in der Pflicht gewisse Mindestkriterien zu prüfen, bevor sie personenbezogene Daten an ein auf der Safe-Harbor-Liste geführtes US-Unternehmen übermitteln. Von den Cloud-Anwendern fordern sie dabei:

  • Sich zu überzeugen, ob das Zertifikat des Cloud-Anbieters noch gültig ist und sich auf die betreffenden Daten bezieht.
  • Zu prüfen, ob der Cloud-Anbieter sich gemäß FAQ 9 Frage 4 des Safe-Harbor-Abkommens zur Zusammenarbeit mit den EU-Datenschutzaufsichtsbehörden verpflichtet hat, falls Beschäftigtendaten verarbeitet werden sollen.
  • Sicherzustellen, dass der Cloud-Anwender vom Cloud-Anbieter alle nötigen Informationen erhält, wenn ein Betroffener eine Anfrag an ihn richtet.
  • Eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung entsprechend § 11 Abs. 2 BDSG zu treffen.

Abschließend halten die Arbeitskreise fest, dass eine Safe-Harbor-Zertifizierung den Cloud-Anwender nicht von der Erfordernis einer Rechtsgrundlage für die Übermittlung (z.B. § 28 Abs. 1 Satz 1 Nr. 2 BDSG) oder seiner Kontrollpflicht analog § 11 Abs. 2 Satz 3 BDSG entbindet.

Diese Anforderungen verdeutlichen einmal mehr, dass datenschutzkonformes Cloud Computing immer noch mit vielen Fallstricken versehen ist. (se)

Facebook – Zwischen Tracking-Cookies und Timeline

In letzter Zeit wurde über den mangelnden Datenschutz bei Facebook auch in den renommierten „allgemeinen“ Medien vielfach berichtet. So konnte man unter anderem  lesen, dass Facebook Daten nicht zuverlässig löscht. Auch die Verfolgung (Tracking) von Nutzern durch Cookies nach deren Ausloggen wurde vielfach thematisiert. Beinahe in Vergessenheit geraten ist dabei, dass Facebook eine Zeit lang selbst die Internetnutzer besser kennelernen wollte, die nicht Nutzer des Dienstes waren, wie der Niederländer Arnold Roosendaal herausgefunden hatte.

Dass es sich dabei um Versehen handelt, scheint die Mehrheit der Deutschen nicht glauben zu wollen. Nach einer aktuellen Umfrage von TNS Emind unter 1.000 Bürgern ab 14 Jahren gaben 9 von 10 der Befragten an, dass sie den Umgang von Facebook mit persönlichen Daten für bedenklich halten. Dennoch konnte Facebook bereits Mitte des Jahres die stolze Zahl von 20 Millionen deutschen Nutzern vermelden.

Spannend wird sein, wie die Nutzer Facebooks neueste Errungenschaften, die Timeline (Chronik) und das sogenannte frictionless sharing, annehmen werden, welche auf der Facebook Entwicklerkonferenz f8 vorgestellt wurden: Die Timeline stellt dabei nicht weniger als den Versuch dar, das Leben des Nutzers ähnlich einem sehr genauen (Online)Tagebuch möglichst minutiös nachzuzeichnen. Demzufolge wirbt Facebook auch mit dem Slogan „Erzähle deine Lebensgeschichte“. Um dies dem Nutzer ohne Weiteres möglich zu machen, führt Facebook mit seiner neuen Schnittstelle Open Graph die Funktion des frictionless sharing (reibungsloses Teilen) ein. Dem Nutzer soll es so möglich sein, seine Aktivitäten nach einmaliger Zustimmung automatisch an Facebook übertragen zu lassen. Dies könnte beispielsweise darin resultieren, dass jedes vom Nutzer angehörte Musikstück von einem Online-Dienst zu Facebook übertragen wird, oder jede auf einem Newsportal gelesene Meldung an Facebook übermittelt wird. Bezieht man dann noch Check-Ins mit Hilfe von Smartphones etc. ein, ergibt die Timeline ein bemerkenswertes genaues Persönlichkeitsprofil des Nutzers.

Beinahe überflüssig zu sagen ist es, dass die neu angekündigten Funktionen zu einem Aufschrei der Datenschützer führten. Dies betrifft nicht nur die deutschen Datenschützer, sondern auch ein breites US-amerikanisches Bürgerrechtsbündins unter der Führung des EPIC (Electronic Privacy Information Center), welches mit Hilfe eines offenen Briefes ein Verfahren vor der höchsten Verbraucherschutzinstanz der USA, der FTC (Federal Trade Commission), gegen Facebook anstrengt.

Natürlich muss kein Facebooknutzer die Einwilligung zum frictionless sharing erteilen. Auch kann man durch die Privatsphäreneinstellungen Einfluss darauf nehmen, wer die jeweiligen Einträge sehen soll. Jedoch sollte man Folgendes bedenken: Selbst wenn man es schafft, die unübersichtlichen Privatsphäreneinstellungen den eigenen Vorlieben anzupassen, so hat doch Facebook ein (unsichtbares) komplettes Profil. Es bleibt jedem Facebooknutzer selbst überlassen, zu entscheiden, ob er einem Konzern, der systematisch unübersichtliche Privatsphärenoptionen anbietet und Funktionen, welche die Privatsphäre erheblich beeinträchtigen können, ohne Zustimmung des Nutzers freischaltet, einen so großen Teil seines Lebens anvertrauen möchte.

Nicht überlassen bleibt es jedoch vielen Nutzern, sich dem Datenbegehren Facebooks vollkommen zu entziehen, da die auf Websiten eingebundenen Funktionen unter Umständen auch ohne Zutun der Nutzer Daten an Facebook übertragen. Daher ist auch den verantwortlichen Seitenbetreibern anzuraten, darüber nachzudenken, ob und in welcher Form sie Funktionen von Facebook auf ihrer Seite einbinden möchten. (se)

Zwang zu Klarnamen bei Google+ unter deutschen Politikern umstritten

29. September 2011

Google sorgte jüngst mit seinem Facebook-Konkurrenten Google+ für ein starkes mediales Echo, als einige Profile gelöscht wurden, deren Ersteller Pseudonyme anstelle der von Google geforderten Klarnamen verwendet hatten. Die Löschung wurde mit Punkt 13 der Inhalts- und Verhaltensrichtlinien für Nutzer begründet. Dort gibt Google Folgendes vor: „Verwenden Sie den Namen, mit dem Sie normalerweise von Freunden, Familie und Kollegen angesprochen werden. Dies dient der Bekämpfung von Spam und beugt gefälschten Profilen vor. Wenn Ihr voller Name beispielsweise Sebastian Michael Müller ist, Sie normalerweise aber Bastian Müller oder Michi Müller verwenden, sind diese Namen auch in Ordnung.

Mit einem offenen Brief an Google reagierte ein Bündnis aus Bloggern, Internetaktivisten, Journalisten und einigen Bundestagsabgeordneten aller Fraktionen (außer der Linken) auf diese Praxis und fordert Google auf, Pseudonyme zu gestatten.

Der stellvertretende Vorsitzende der CDU/CSU-Bundestagsfraktion, Günter Krings, und deren innenpolitische Sprecher Hans-Peter Uhl sehen in einer Stellungnahme für einen derartigen „politischen Aufschrei mehrerer Abgeordneter… dagegen keinen Grund„. Ihre Erwägungen leiten sie dabei mit mit folgender Aussage ein: „Es kann im Internet ebenso wie in der realen Welt kein grundsätzliches Recht auf Anonymität geben.“ Auffällig ist, dass auch im weiteren Text immer wieder von Anonymität gesprochen wird. Uhl und Krings scheinen insofern dem Fehler aufgesessen zu sein, nicht zwischen einem Pseudonym und dem Konzept der Anonymität zu unterscheiden.

Diese indifferente Verwendung der beiden Begriffe ist derart verbreitet, dass sich in der Wikipedia ein eigener Artikel zur Unterscheidung zwischen Anonymisierung und Pseudonymisierung findet. Der maßgebliche Unterschied besteht darin, dass nach einer Anonymisierung keine Rückschlüsse auf die Person mehr möglich sind. Bei einer Pseudonymisierung wird die „wirkliche“ Identität zwar zunächst durch die Wahl eines fingierten Namens auch verschleiert, der Bezug zwischen den pseudonymisierten Daten und der dahinterstehenden Person kann jedoch wieder hergestellt werden, wenn das verbindende Element – der Schlüssel – bekannt ist. Wer also weiß, dass Kurt Tucholsky auch Texte als Theobald Tiger und Peter Panter veröffentlicht hat, kann jederzeit die so veröffentlichten Beiträge der Person Tucholskys zuordnen. Im Internet ist die Pseudonymisierung recht häufig anzutreffen: Fast jeder selbst gewählte Benutzer- oder Forenname stellt ein Pseudonym dar.

Schlußendlich kommen Krings und Uhl, der in der Diskussion um Street View noch an vorderster Front gegen Googles Begehrlichkeiten kämpfte, zu der Einschätzung, dass die Entscheidung, ob eine Pflicht zur Offenlegung des Klarnamens bestehe, letztlich auf Seiten der Betreiber läge. Schließlich gäbe es auch keine allgemeine Rechtspflicht für Nutzer, sich zu identifizieren. Dabei verkennen Sie jedoch den § 13 Abs. 6 TMG, der vorschreibt, dass ein Diensteanbieter die Nutzung von Telemedien anonym oder unter Pseudonym zu ermöglichen hat, soweit dies technisch möglich und zumutbar ist. Auch der BGH führt im Spickmich-Urteil explizit aus, dass die anonyme Nutzung dem Internet immanent sei. Dies muss dann erst recht für eine zumindest pseudonyme Nutzung gelten. (se)

Google Analytics nun datenschutzkonform einsetzbar

19. September 2011

Fast zwei Jahre wurde verhandelt, jetzt die Einigung: Der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, verkündete am Donnerstag vergangene Woche, dass Google die Bedingungen für das Statistik-Tool Google Analytics geändert hat.

Im Kern waren für die Datenschützer drei Punkte entscheidend, um Google Analytics den Segen zu erteilen:

  • Künftig haben Nutzer über eine Browser-Erweiterung die Möglichkeit, Google Analytics persönlich zu deaktivieren. Dieses Add-on wird Google für alle gängigen Browser anbieten.
  • Seitenbetreiber können die so genannte IP-Maskierung aktivieren. Dann wird Google Analytics die IP-Adresse der Nutzer nur anonymisiert speichern. Anonymisierung bedeutet dabei, dass der letzte Zahlenblock der IP-Adresse nicht mitgespeichert wird. Eine Zuordnung der Adresse zu einem Nutzer ist dann nicht mehr möglich.
  • Außerdem wird Google mit den Seitenbetreibern einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes (§ 11 BDSG) abschließen.

Die Datenschutzbehörde bietet auf ihrer Website eine Checkliste (pdf) für Seitenbetreiber an, die Google Analytics datenschutzkonform verwenden möchten. Neben den Änderungen müssten vor allem die alten Daten ohne IP-Maskierung gelöscht werden.

Caspar erinnerte auch daran, dass letztendlich die Seitenbetreiber für den Datenschutz verantwortlich seien – und nicht Google. Hamburgs oberster Datenschützer wies darauf hin, dass die jetzige Abstimmung mit Google nur der Anfang sei. Technische Fortschritte und die Umsetzung der E-Privacy-Richtlinie machten auch in Zukunft Gespräche notwendig. (ssc)

Sony reagiert mit neuem Sicherheitschef auf Datenschutzdisaster

8. September 2011

Nach den verheerenden Angriffen auf das Playstation Network und Qriocity reagiert Sony mit der Ernennung eines neuen IT-Sicherheitschefs.

Um den „Sommer der Schicksalsschläge, Katastrophen und Unglücke“, wie Sonys Vorstandsvorsitzender Howard Stringer die Vorfälle gegenüber der FAZ nannte, nicht zu einem ganzen Jahr werden zu lassen, ernannte das japanische Unternehmen nun Philip R. Reitinger zum Chef der globalen IT-Sicherheit. Reitinger war zuvor in Schlüsselpositionen der US-Heimatschutzbehörde, bei Microsoft sowie im amerikanischen Verteidigungs- und Justizministerium tätig.

Eine weitere Maßnahme zur Bewältigung des Skandals besteht darin, dass der in Verruf geratene Name Qriocity in Zukunft nicht mehr verwendet wird. Anlässlich der IFA in Berlin gab das Unternehmen bekannt, seine Musik- und Videodienste künftig unter dem Dach des „Sony Entertainment Network“ anzubieten. (se)

Artikel-29-Gruppe zu Anforderungen an die informierte Zustimmung von Werbecookies

1. September 2011

Zur Vorbereitung eines Treffens zwischen dem Internet Advertising Bureau (IAB) und der European Advertising Standards Alliance (EASA), welche die Interessen der Onlinewerbewirtschaft wahrnehmen, und der Artikel-29-Datenschutzgruppe hat deren Vorsitzender Jacob Kohnstamm in einem Brief Stellung zur Frage genommen, welche Anforderungen an eine Zustimmung zur Speicherung von Cookies zu stellen sind. Diese Frage stellt sich infolge der ePrivacy Richtlinie der EU, welche den Anbietern von Internetdiensten vor der Nutzung von Cookies bestimmte Informationspflichten auferlegt und Ihnen abverlangt eine Einwilligung der Nutzer einzuholen. Auf Grund dieser Verpflichtung wird die Richtlinie auch als Cookie Richtlinie bezeichnet. Zum Inhalt der ePrivacy Richtlinie und deren Umsetzung in nationales Recht finden Sie bereits einige Artikel in unserem Blog.

Der Brief Kohnstamms stellt eine Antwort auf den Vorschlag der Werbewirtschaft dar, der im Kern in einem nichterfolgten Opt-Out eine Einwilligung der Nutzer sieht.

Kohnstamm stellt dabei klar, dass in dem Unterbleiben eines Opt-Outs keineswegs eine freiwillig gegebene und informierte Zustimmung zu sehen sei. Er begründet dies damit, dass durchschnittliche Nutzer kaum Kenntnisse über die Methoden der verhaltensbasierten Onlinewerbung hätten und demzufolge auch nicht wüssten, wie man diesen widerspricht. Eine Zustimmung basierend auf einem unterbliebenen Opt-Out bezeichnet er daher als illusorisch. Damit folgt Kohnstamm mit seiner Argumentation dem rechtlichen Grundsatz, dass ein Schweigen keine Willenserklärung darstellt.

Weiterhin führt Kohnstamm aus, dass auf einer Website, die mehrere Werbenetzwerke einsetzt, für jedes Werbenetzwerk eine einzelne informierte Zustimmung zu verlangen sei. Den Nutzern dürfe es nicht zum Nachteil gereichen, wenn eine Websitebetreiber auf mehrere Werbepartner setze.  Ist jedoch dasselbe Werbenetzwerk auch auf einer anderen Website aktiv ist, solle es keiner erneuten Zustimmung bedürfen. Die informierte Zustimmung ist laut Aussage Kohnstamms daher auf das das jeweilige Werbenetzwerk und nicht auf die einzelne Website bezogen. Dies habe auch zur Folge, dass sich die Flut der Zustimmungs-Pop-Ups automatisch im Verlauf der Internetnutzung reduziere. Nichtsdestotrotz schließt die Artikel-29-Gruppe nicht grundsätzlich aus, dass die Industrie eine einheitliche zentralisierte Möglichkeit zur Annahme (oder Ablehnung) von Werbecookies über eine Website schaffe, solange eine feingestaffelte Abstufung möglich bleibe. Kohnstamm forderte die Industrieverantwortlichen explizit auf, zusammen eine gangbare Lösung zu entwickeln.

Auch eine einheitliche browserbasierte Lösung, welche auf Basis von Erwägungsgrund 66 der Richtlinie angedacht wird, lehnt die Artikel-29-Gruppe nicht schlichtweg ab. Unabdingbar sei jedoch, dass der Browser als Voreinstellung alle Cookies ablehne, um den Nutzern überhaupt eine Zustimmungsmöglichkeit zu eröffnen. Auch hier führt Kohnstamm aus, dass es dem durchschnittlichen Nutzer an Kenntnis bezüglich der Einstellungsmöglichkeiten des Browsers in Bezug auf Onlinewerbung fehle. Damit eine Zustimmung über den Browser den Erfordernissen der Richtlinie entspreche, müsste dieser auch die Möglichkeit bieten, die relevanten Informationen über den Zweck des Cookies und die weitere Verarbeitung [der Daten] anzuzeigen. Die Artikel-29-Grupppe erkennt zwar ausdrücklich die Fortschritte der Browserhersteller im letzten Jahr an, hält aber nochmals fest, dass die Voreinstellung Cookies generell anzunehmen, nicht im Einklang mit der von der Richtlinie geforderten informierten Zustimmung stehe.

Schlußendlich erläutert Kohnstamm, welche Anforderungen an eine informierte Zustimmung zu stellen seien. So müssten sämtliche Informationen derart bereitgestellt werden, dass sie auch dem durchschnittlichen Nutzer einleuchteten. Voraussetzung für das Setzen eines Tracking-Cookies sei es, dem Nutzer zu erklären, dass basierend auf seiner Aktivität beim Besuch von Websites ein Profil angelegt werde, um ihm Werbung anzuzeigen. Dies müsse in klarer und unmissverständlicher Art und Weise erfolgen. Aktuell ließe sich das noch nicht, wie von IAB/EASA vorgeschlagen, über ein einheitliches Icon bewerkstelligen, da die Nutzer diesem Icon nicht den entsprechenden Aussagegehalt beimessen könnten. Weiterhin müssten die geforderten Informationen leicht zugänglich sein. Dies könne insbesondere nicht angenommen werden, wenn drei Klicks bis zum Ziel notwendig seien. (se)

1 78 79 80 81 82 83