Schlagwort: ePrivacy Richtlinie

Voreingestellte Einwilligung für das Setzen von Cookies ist unzulässig

9. April 2019

Am 21.03.2019 hat der Europäische Gerichtshof die Schlussanträge des Generalanwalts in dem Verfahren des VZBV (Verbraucherzentrale Bundesverbandes) gegen den Werbedienstleister Planet49 veröffentlicht.

Unter anderem liegt dem Verfahren die Frage zugrunde, wie eine Einwilligungserklärung in das Setzen von Online-Cookies durch Webseiten gestaltet sein muss, um datenschutzrechtlich zulässig zu sein.

Der EuGH-Generalanwalt ist der Ansicht, die Praxis einer voreingestellten Einwilligung für das Setzen von Cookies verstoße gegen die bisherige ePrivacy-Richtlinie und die Datenschutzgrundverordnung. Zudem haben die jeweiligen Dienstanbieter den Nutzer klar und umfassend darüber zu informieren, wie lange die Funktionsdauer der Cookies ist und ob Dritte Zugriff auf die Cookies haben.

Klaus Müller, Vorstandsmitglied des Verbraucherzentrale Bundesverbands äußerte sich zu den Schlussanträgen wie folgt: „Cookie-Banner auf Webseiten geben Verbrauchern oft keine aussagekräftigen Informationen und keine rechtskonformen Wahlmöglichkeiten. Verbraucher werden somit online verfolgt, ohne die Hintergründe verstehen zu können und ohne eine gültige Einwilligung erteilt zu haben. Die heutige Stellungnahme des Generalanwalts bestätigt, dass dies inakzeptabel ist. Damit unterstützt der Generalanwalt auch die jahrelange Auffassung des vzbv, dass die deutsche Bundesregierung die bisherige ePrivacy-Richtlinie nicht konform in deutsches Recht umgesetzt hat. Umso drängender ist nun eine strenge Durchsetzung der Datenschutzgrundverordnung sowie die zügige Annahme einer strikten ePrivacy-Verordnung, die derzeit in Brüssel verhandelt wird. Es darf keine Verfolgung der Interessen von Verbrauchern ohne deren vorherige Einwilligung geben und diese Einwilligung muss freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich erteilt werden. Praktiken wie vorgeklickte Kästchen, Tracking Walls und die Vermutung, dass ein Benutzer eine Einwilligung durch einfaches Surfen auf einer Website erteilt, müssen beendet werden.“

Französische Datenschutzbehörde gibt Tipps zur Umsetzung der ePrivacy-Richtlinie

23. November 2011

Nachdem Frankreich die Vorgaben der ePrivacy Richtlinie, die oftmals auch als Cookie-Richtlinie bezeichnet wird, in nationales Recht umgesetzt hat, veröffentlichte die französische Datenaufsichtsbehörde (CNIL) vor Kurzem einen Leitfaden zur Handhabung der neuen Regeln auf ihrer Website.

Damit stellt die CNIL zunächst klar, dass sie eine Einwilligung im Wege der Browser-Einstellungen hinsichtlich der Akzeptanz von (Dritt-)Cookies – entgegen der bislang allgemein geäußerten Auffassung – für unzureichend hält. Für die Betreiber, die in Frankreich mit Cookies operieren ergeben sich somit zumindest Prüfpflichten, ob das Angebot noch rechtskonform erfolgt.

Klarstellend wird weiterhin ausgeführt, dass der Begriff „Cookie“ weit auszulegen ist. So sind auch die sogenannten Flash-Cookies (local shared objects) und andere lokal gespeicherte Webinhalte (DOM Storage) Unterfälle eines „Cookies“ im Sinne der Richtlinie.

Interessant ist insbesondere die exemplarische Auflistung der Fälle, in denen die CNIL keine Notwendigkeit einer Einwilligung vor dem Setzen eines Cookies sieht:

  • Cookies für virtuelle Einkaufswagen
  • SessionID-Cookies, die dazu benötigt werden, die vom Nutzer angeforderten Dienste bereitzustellen.
  • Cookies, die ausschließlich dazu beitragen, die vom Nutzer gewünschte Sicherheit zu ermöglichen.
  • Cookies, welche die Sprache des Nutzers registrieren (bei Seiten mit mehreren Sprachoptionen).
  • Cookies, die andere Präferenzen des Nutzers speichern, welche notwendig sind, um die angeforderten Dienste bereitzustellen.
  • Auch Flash-Cookies sollen zustimmungsfrei sein, sofern diese benötigt werden, um vom Nutzer angeforderte Multimediainhalte abzuspielen.

Bezüglich Drittanbieter-Cookies (beispielsweise Werbenetzwerken) wird klargestellt, dass keine doppelte Zustimmung notwendig ist. Wenn der Nutzer also bereits gegenüber einem Werbentzwerk seine Einwilligung erklärt hat, muss er dies nicht noch einmal tun, wenn durch dieses Werbenetzwerk auf der Seite eines Kunden ein Cookie gesetzt wird. Ebenso ist beim wiederholten Besuch einer Website keine erneute Zustimmung erforderlich.

Sofern der Nutzer dem Setzen eines Cookies nicht zustimmt, könnte ihm nach Vorstellung der CNIL die Möglichkeit geboten werden, den Cookie dauerhaft oder nur für diesen Besuch abzulehnen. Diese Angaben könnten in einem „Ablehungscookie“ gespeichert werden.

Die heutigen Möglichkeiten, Cookies mithilfe der im Webbrowser implementierten Technicken zu verwalten, hält die CNIL noch für unausgereift. Explizit stört man sich daran, dass:

  • die bisherigen Browserlösungen dem Nutzer keine klaren und vollständigen Informationen bereitstellen, wenn die Zustimmung angefordert wird.
  • die Websiten, die sich der Browsermechanismen bedienen wollen, keine Möglichkeit haben, zu überprüfen, ob die korrekten Browsereinstellungen gewählt wurden.
  • die bisherigen Browsereinstellungen nicht zwischen solchen Cookies unterscheiden können, die einer vorherigen Zustimmung bedürfen und solchen, die zustimmungsfrei sind.
  • die Einstellungen für den Nutzer schwierig anzuwenden sind, und sich von Browser zu Browser stark unterscheiden.

Nichtsdestotrotz zieht man die Möglichkeit in Betracht, dass sich in Zukunft eine wirksame Zustimmung über ein zusätzliches Browsermodul oder eine Webplattform erteillen lässt. Den bisherigen Versuchen der Werbewirtschaft wie www.youronlinechoices.com steht die CNIL kritisch gegenüber, da sich diese ausschließlich auf die alte Rechtslage bezögen und eine Anpassung an die aktuellen Erfordernisse schwer vorstellbar erscheine.

Es wird jedoch nicht nur darauf hingewiesen, was nicht ausreichend ist, sondern auch Beispiele angeführt, wie eine wirksame Zustimmung erreicht werden könnte:

  • Ein Banner am oberen Ende der der Website, wie z.B. auf der ICO Website.
  • Ein die Seite überlagernder Zustimmungsbereich.
  • Checkboxen, die angehakt werden müssen, wenn man sich für einen Online-Service registriert.

Ablehnend steht die französische Datenschutzbehörde hingegen Popups gegenüber, da diese regelmäßig von Browsern geblockt werden.

Abschließend wird festgehalten, dass Websitebetreiber verantwortlich für Drittanbietercookies sind, sofern diese beim Besuch ihrer Website gesetzt werden. Außerdem wird klargestellt, dass eine Zustimmung nicht durch Nutzungsbedinungen oder deren Änderung erfolgen kann.

Am Ende wird darauf aufmerksam gemacht, dass pro Verstoß Bußgelder bis zu 300.000 € und strafrechtliche Verfolgung drohen.

Auch für Unternehmen außerhalb Frankreichs dürften diese Einschätzungen eine wertvolle Orientierungshilfe darstellen, da die nationalstaatlichen Regelwerke bestenfalls in Details voneinander abweichen.(se)

Artikel-29-Gruppe zu Anforderungen an die informierte Zustimmung von Werbecookies

1. September 2011

Zur Vorbereitung eines Treffens zwischen dem Internet Advertising Bureau (IAB) und der European Advertising Standards Alliance (EASA), welche die Interessen der Onlinewerbewirtschaft wahrnehmen, und der Artikel-29-Datenschutzgruppe hat deren Vorsitzender Jacob Kohnstamm in einem Brief Stellung zur Frage genommen, welche Anforderungen an eine Zustimmung zur Speicherung von Cookies zu stellen sind. Diese Frage stellt sich infolge der ePrivacy Richtlinie der EU, welche den Anbietern von Internetdiensten vor der Nutzung von Cookies bestimmte Informationspflichten auferlegt und Ihnen abverlangt eine Einwilligung der Nutzer einzuholen. Auf Grund dieser Verpflichtung wird die Richtlinie auch als Cookie Richtlinie bezeichnet. Zum Inhalt der ePrivacy Richtlinie und deren Umsetzung in nationales Recht finden Sie bereits einige Artikel in unserem Blog.

Der Brief Kohnstamms stellt eine Antwort auf den Vorschlag der Werbewirtschaft dar, der im Kern in einem nichterfolgten Opt-Out eine Einwilligung der Nutzer sieht.

Kohnstamm stellt dabei klar, dass in dem Unterbleiben eines Opt-Outs keineswegs eine freiwillig gegebene und informierte Zustimmung zu sehen sei. Er begründet dies damit, dass durchschnittliche Nutzer kaum Kenntnisse über die Methoden der verhaltensbasierten Onlinewerbung hätten und demzufolge auch nicht wüssten, wie man diesen widerspricht. Eine Zustimmung basierend auf einem unterbliebenen Opt-Out bezeichnet er daher als illusorisch. Damit folgt Kohnstamm mit seiner Argumentation dem rechtlichen Grundsatz, dass ein Schweigen keine Willenserklärung darstellt.

Weiterhin führt Kohnstamm aus, dass auf einer Website, die mehrere Werbenetzwerke einsetzt, für jedes Werbenetzwerk eine einzelne informierte Zustimmung zu verlangen sei. Den Nutzern dürfe es nicht zum Nachteil gereichen, wenn eine Websitebetreiber auf mehrere Werbepartner setze.  Ist jedoch dasselbe Werbenetzwerk auch auf einer anderen Website aktiv ist, solle es keiner erneuten Zustimmung bedürfen. Die informierte Zustimmung ist laut Aussage Kohnstamms daher auf das das jeweilige Werbenetzwerk und nicht auf die einzelne Website bezogen. Dies habe auch zur Folge, dass sich die Flut der Zustimmungs-Pop-Ups automatisch im Verlauf der Internetnutzung reduziere. Nichtsdestotrotz schließt die Artikel-29-Gruppe nicht grundsätzlich aus, dass die Industrie eine einheitliche zentralisierte Möglichkeit zur Annahme (oder Ablehnung) von Werbecookies über eine Website schaffe, solange eine feingestaffelte Abstufung möglich bleibe. Kohnstamm forderte die Industrieverantwortlichen explizit auf, zusammen eine gangbare Lösung zu entwickeln.

Auch eine einheitliche browserbasierte Lösung, welche auf Basis von Erwägungsgrund 66 der Richtlinie angedacht wird, lehnt die Artikel-29-Gruppe nicht schlichtweg ab. Unabdingbar sei jedoch, dass der Browser als Voreinstellung alle Cookies ablehne, um den Nutzern überhaupt eine Zustimmungsmöglichkeit zu eröffnen. Auch hier führt Kohnstamm aus, dass es dem durchschnittlichen Nutzer an Kenntnis bezüglich der Einstellungsmöglichkeiten des Browsers in Bezug auf Onlinewerbung fehle. Damit eine Zustimmung über den Browser den Erfordernissen der Richtlinie entspreche, müsste dieser auch die Möglichkeit bieten, die relevanten Informationen über den Zweck des Cookies und die weitere Verarbeitung [der Daten] anzuzeigen. Die Artikel-29-Grupppe erkennt zwar ausdrücklich die Fortschritte der Browserhersteller im letzten Jahr an, hält aber nochmals fest, dass die Voreinstellung Cookies generell anzunehmen, nicht im Einklang mit der von der Richtlinie geforderten informierten Zustimmung stehe.

Schlußendlich erläutert Kohnstamm, welche Anforderungen an eine informierte Zustimmung zu stellen seien. So müssten sämtliche Informationen derart bereitgestellt werden, dass sie auch dem durchschnittlichen Nutzer einleuchteten. Voraussetzung für das Setzen eines Tracking-Cookies sei es, dem Nutzer zu erklären, dass basierend auf seiner Aktivität beim Besuch von Websites ein Profil angelegt werde, um ihm Werbung anzuzeigen. Dies müsse in klarer und unmissverständlicher Art und Weise erfolgen. Aktuell ließe sich das noch nicht, wie von IAB/EASA vorgeschlagen, über ein einheitliches Icon bewerkstelligen, da die Nutzer diesem Icon nicht den entsprechenden Aussagegehalt beimessen könnten. Weiterhin müssten die geforderten Informationen leicht zugänglich sein. Dies könne insbesondere nicht angenommen werden, wenn drei Klicks bis zum Ziel notwendig seien. (se)

Französische Umsetzung der ePrivacy Richtlinie

31. August 2011

Mittlerweile hat Frankreich die Vorgaben der ePrivacy Richtlinie in nationales Recht umgesetzt.

Der Regelung zufolge ist eine generelle Einwilligung zum Setzen von Cookies durch den Browser oder ein anderes Programm möglich. Entgegen der Einschätzung der Artikel-29-Gruppe soll dies auch bereits vor Anzeige des Cookies und den damit verbundenen Informationen möglich sein.

Telekommunikationsanbieter sind verpflichtet, die französische Datenaufsichtsbehörde (CNIL) bei Verstößen gegen die Datensicherheit unverzüglich zu unterrichten. Die Betroffenen sind ebenfalls zu unterrichten, wenn die Gefahr besteht, dass personenbezogene Daten betroffen sind. Von der Unterrichtung des Betroffenen kann jedoch abgesehen werden, wenn die CNIL es als gesichert ansieht, dass angemessene Maßnahmen zur Unbrauchbarmachung der kompromittierten Daten getroffen wurden. Weiterhin sind die Anbieter gehalten, ein Verzeichnis über Verstöße gegen die Datensicherheit zu erstellen, welches jederzeit von der CNIL angefordert werden kann. Verstöße gegen die Vorschriften in Bezug auf die Datensicherheit können mit einer bis zu fünfjährigen Haftstrafe und/oder einer Geldstrafe bis zu 300.000 € geahndet werden. Für Unternehmen kann die Geldstrafe verfünffacht werden. (se)

Aktueller Stand der Umsetzung des EU-Telekommunikationspaketes in nationales Recht

1. Juni 2011

Am 25. Mai lief die Frist zur Umsetzung der überarbeiteten EU-Vorschriften für Telekommunikationsnetze und ‑dienste  (MEMO/09/491) in nationales Recht ab. Der deutsche Gesetzgeber hat die Änderungen bisher noch nicht umgesetzt, möchte diesen Missstand aber im Rahmen der Novellierung des Telekommunikationsgesetzes (TKG) beheben. Aktuell wird der Regierungsentwurf zur Novellierung des Telekommunikationsgesetzes im Bundestag beraten. Bisher letzter Schritt im laufenden Verfahren war dabei eine öffentliche Anhörung am 31.05.2011, bei der auch die von den Oppositionsfraktionen eingebrachten Anträge auf Verpflichtung zur Netzneutralität behandelt werden sollten.

Der maßgebliche Kernpunkt des Paketes sind erweiterte Verbraucherschutzvorschriften im Bereich des TK-Rechts:

  • Es soll möglich sein Festnetz- oder Mobilfunkbetreiber innerhalb eines Werktags ohne Änderung der Telefonnummer zu wechseln.
  • Die Vertragslaufzeit für Erstverträge darf höchstens 24 Monate betragen. Weiterhind sind die Dienstanbieter verpflichtet, Verträge über 12 Monate anzubieten, um den Kunden den Anbieterwechsel zu erleichtern.
  • Der Nutzer muss klarer über die bestellten Dienstleistungen informiert werden. Die Verträge müssen daher Angaben zum Mindestniveau der Dienstleistungsqualität enthalten. Vorrangig zu erteilen sind hierbei Auskünfte über Datenverkehrssteuerung (sog. Trafficshapping), sowie über etwaige sonstige Einschränkungen (Bandbreitendrosselung, Höchstbandbreiten, Blockierung bestimmter Dienste, wie VOIP etc.). Außerdem ist in den Verträgen anzugeben, welche Kompensations- und Erstattungsleistungen die Kunden erhalten, sollten diese Mindeststandards nicht eingehalten werden (näher dazu IP/11/486 und MEMO/11/319).

Ebenfalls umzusetzen sind Verbesserungen beim Online-Datenschutz und der Online-Sicherheit:

  • Der Datenschutz und die Verhinderung von „Spam“ (unerwünschte E-Mails) sollen verbessert werden.
  • Eine Benachrichtigungspflicht bei Datenschutzverletzungen wird vorgeschrieben.
  • Für die Handhabung von „Cookies“ und anderer Informationen, die auf dem Computer der Nutzers gespeichert sind, werden bessere Informations- und Zustimmungspflichten vorgeschrieben (vertiefend MEMO/11/320).

Um eine bessere Durchsetzung der neuen Regelungen zu ermöglichen, sollen nationalen Regulierungsbehörden größere Unabhängigkeit und als ultima ratio sogar die Möglichkeit erhalten, Telekommunikations­betreiber mit beträchtlicher Marktmarkt zu zwingen, ihren Netz- und Dienstleistungsbetrieb zu trennen, um einen diskriminierungsfreien Zugang anderer Betreiber zu gewährleisten. Weiterhin wurden der Kommission neue Aufsichtsbefugnisse erteilt, die es ihr ermöglichen, in Abstimmung mit dem Gremium der Europäischen Regulierungsstellen für elektronische Kommunikation (GEREK gegründet im Mai 2010 in Riga), wettbewerbsrechtliche Abhilfemaßnahmen für die Telekommunikations­märkte im Rahmen des Verfahrens nach Artikel 7 festzulegen. (se)

Update:

Die Europäische Kommission hat mittlerweile Deutschland und 19 weitere EU-Mitgliedsstaaten, welche die Richtlinie ebenfalls noch nicht vollständig umgesetzt haben, ermahnt dies innerhalb von zwei Monaten nachzuholen. Sollte auch diese Frist ungenutzt verstreichen, will die Kommission formelle Vertragsverletzungsverfahren gegen die  Mitgliedsstaaten anstrengen. Mit Dänemark, Estland, Finnland, Großbritannien, Irland, Malta und Schweden haben bisher erst sieben Mitgliedsstaaten die Richtlinie vollständig umgesetzt. (se)

 

Ablauf der Frist zur Umsetzung der „E-Privacy-Richtlinie“ (Richtlinie 2009/136/EG) in nationales Recht der EU-Länder, die Europäische Kommission droht mit Sanktionen

27. Mai 2011

Bis 25. Mai 2011 hatten die Mitgliedstaaten der Europäischen Union die neue Richtlinie 2009/136/EG für elektronische Kommunikation in das jeweilige nationale Recht umzusetzen.

Diese Datenschutzrichtlinie dient dem Schutz der Verbraucher durch mehr Transparenz und Sicherheit. Besonders betroffen ist die Verwendung von Cookies, die die letzten Jahre eine starke Rolle in der Werbewelt spielt. Cookies speichern Daten (wie z.B. Passwörter) und sammeln Informationen über das Verhalten von Nutzern verschiedener Webseiten. Dadurch kann das Kaufverhalten der Nutzer analysiert und zu Werbezwecken verwendet werden. Die Richtlinie sieht vor, dass Cookies nur nach der Einwilligung des Nutzers auf seinem Computer installiert und aktiv werden.

Die EU-Richtlinie hat allgemein starke Kritik wegen der Umsetzungsschwierigkeiten und die Belästigung bei Internetsurfen erhalten.

Nach dem inzwischen eingetretenen Ablauf der Frist zur Umsetzung ist festzustellen, dass die Mehrheit der Regierungen der Mitgliedstaaten die Richtlinie 2009/136/EG in nationale Gesetze nicht übernommen hat. Estland und Dänemark haben der Kommission mitgeteilt, dass sie ihre nationale Gesetzte an die EU-Richtlinie angepasst haben. England, Frankreich, Slowenien und Litauen haben teilweise Anwendung bekannt gemacht. Deutschland spricht sich gegen eine jetzige Umsetzung der Richtlinie in deutsches Recht aus und will die Diskussion auf europäischer Ebene führen. Die Bundesregierung will mögliche Selbstverpflichtungserklärungen der Werbewirtschaft abwarten.

Die EU-Kommissarin für die Digitale Agenda, Neelie Kroes, hat vor dringenden Maßnahmen gegen die umsetzungsunwilligen Länder gewarnt. Der Pressesprecher der Europäische Kommission, Jonathan Todd, hat von möglichen Verfahren wegen Rechtsverletzung gegen diese Länder gesprochen.

„Cookie – Gesetz“ in Schweden verabschiedet

24. Mai 2011

In Schweden wurde am Donnerstag über das neue „Cookie – Gesetz“ abgestimmt, das nun zum 01.07.2011 in Kraft treten wird. Hintergrund ist die „E-Privacy-Richtlinie“ (RICHTLINIE 2009/136/EG). In Deutschland wird die Frist zur Umsetzung bis zum 25. Mai 2011 nicht eingehalten, da momentan im Bundestag immer noch über einen Gesetzesentwurf beraten wird, bei dem im Übrigen das Thema Cookies außen vor bleibt.

Im Unterschied zur bisherigen Gesetzeslage in Schweden, die dem Nutzer nur die Möglichkeit gab Cookies auszuschalten, wird nun künftig vom Besucher einer Seite eine vorherige aktive Zustimmung zur Nutzung von Cookies auf einer Seite erwartet.

Das neue Gesetz hat bereits im Vorfeld zahlreiche starke Kritik hervorgerufen, da es deutlich weiter gehe als aufgrund der EG-Richtlinie erforderlich. Naturgemäß kritisch sind die Stimmen aus der Werbebranche, die erhebliche Einbußen befürchten. Im Bereich der Online-Zeitungen hat die schwedische Zeitung Aftonbladet beispielsweise im Jahr 2010 mit Online-Werbung mehr verdient als mit Print-Werbung. Aber auch „neutrale“ Stimmen äußern sich kritisch. Eine wörtliche Interpretation des Gesetzes werde jedenfalls erhebliche Nachteile mit sich bringen, auch wenn das eigentliche Ziel des Gesetze- das zu starke Ausspionieren von Seitenbenutzern- durchaus begrüßenswert sei. Das Surfen im Internet werde aufgrund des Zustimmungserfordernisses nun unübersichtlich und unkomfortabel. Erhebliche Probleme werden jedenfalls in nächster Zeit bei der praktischen Umsetzung erwartet. Teilweise wird angenommen, dass auf einer Internetseite eine deutliche Information über Cookies und wie man sie abstellt  doch- anders als der Gesetzestext vermuten lässt- ausreichend sein sollte. Von anderer Seite wird in diesem Zusammenhang die Nutzung von Pop-ups zur Informations- und Zustimmungszwecken befürwortet, da die Information so jedenfalls nicht so leicht übersehen werden könne. Zudem wird die Idee einer der eigentlichen Zielseite vorgeschalteten Informationsseite, wo die Zustimmung erklärt werden kann, diskutiert.