Der Cookie und der Datenschutz –
stirbt der Cookie in 18 Monaten?

Bei der EU wurde eine Richtlinie verabschiedet, die viele Unternehmer im Internet vor erhebliche Herausforderungen stellen dürfte. So wurde beschlossen, dass Cookies nur noch nach vorheriger Einwilligung des Webseiten Nutzer gespeichert werden dürfen. So heißt es in Artikel 5 Absatz 3 der entsprechenden Richtlinie (deutsche Fassung):

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Diese Richtlinie haben nun die EU-Staaten bis Juni 2011 in nationales Recht zu übernehmen. Stirbt der Cookie somit in seiner jetzigen Form in 18 Monaten?

Was ist ein Cookie und wozu wird er gebraucht?

Nach Wikipedia ist ein Cookie „ein kurzer Eintrag in einer meist kleinen Datenbank bzw. in einem speziellen Dateiverzeichnis auf einem Computer und dient dem Austausch von Informationen zwischen Computerprogrammen oder der zeitlich beschränkten Archivierung von Informationen.“

Cookies werden im Netz inzwischen zur Realisierung unzähliger Dienste und Angebote eingesetzt. So wird allgemein das Surfen im Netz vereinfacht, indem in Cookies häufig Nutzereingaben wie Zugangsdaten gespeichert werden, die der Nutzer dann nicht erneut eingeben muss. Die wichtigsten Einsatzgebiete von Cookies liegen aber im Verborgenen und sichern die Refinanzierung und Optimierung von Webseiten.

Der Cookie in der Werbung / Advertising

Cookies werden sehr häufig im Rahmen von Adservern eingesetzt, die die Auslieferung und Steuerung von Werbemitteln auf Webseiten sicherstellen. Welches Banner ist wo schon gelaufen, welcher Nutzer hat es schon gesehen, welches Banner wurde wann, wo oder wie häufig geklickt – diese und viele andere Fragen können mittels Cookie beantwortet werden und ermöglichen so die Steuerung von Marketing-Kampagnen.

Zwar gibt es hier inzwischen auch andere technische Möglichkeiten der Adserver-Steuerung, aber die bewährteste und verbreitetste Methode beruht nach wie vor auf Cookies. Würde hier vor jeder Banner-Einblendung eine Erlaubnis vom Nutzer eingeholt werden müssen, würde nicht nur die Usability der Webseite deutlich eingeschränkt und der Nutzer genervt werden. Insbesondere die diesbezügliche Werbeindustrie dürfte deutliche Umsatzeinbrüche verzeichnen.

Der Cookie im Partnergeschäft / Affiliate Marketing

Auch die Anbieter von Partnerprogrammen wie z.B. Affilinet, Zanox oder Belboon arbeiten überwiegend mit Cookies, um die vermittelten Geschäfte den Partnerwebseiten zuweisen und entsprechend vergüten zu können. Inzwischen gibt es hier technische Alternativ-Ansätze, wie z.B. das Fingerprint-System, die jedoch überwiegend ebenfalls mit Daten von den Nutzercomputern arbeiten, und somit im Sinne des Datenschutzes zumindest ebenfalls bedenklich sind.

Auch hier würde ein Wegfall der Cookie-Nutzung in heutiger Form das Geschäftsmodell der Affiliate-Anbieter vor erhebliche Herausforderungen stellen. Bislang gibt es hier noch keinen tragfähigen und massenmarkttauglichen Ansatz, wie ohne Cookies oder Daten von Nutzercomputern klar und eindeutig eine Zuordnung der Geschäftsabschlüsse zu den Vermittlern erfolgen kann.

Der Cookie in der Web Analyse / Web Controlling

Web Controlling ist das Herz jedes erfolgreichen Unternehmens im Internet: Woher kommen meine Nutzer? Was machen sie wann und wo bei mir? Wohin gehen sie? Antworten auf diese und viele weitere Fragen insbesondere im Bezug auf die Usability der Webseite und die Kaufprozesse ermöglichen es den Unternehmen, ihre Webseite und ihre Produkte immer besser auf die Wünsche der Nutzer zu optimieren. Technisch realisiert wird dies zum großen Teil ebenfalls mit Cookies.

Auch hier gibt es zwar Ansätze von Alternativlösungen, ohne Cookies und Lösungen mit Zugriff auf Nutzerdaten ist aber auch hier Web Controlling grundsätzlich nur sehr schwierig realisierbar.

Lösungsansätze für die Cookie Rettung

An diesen drei Beispielen wird somit klar: Ohne Cookies ist in vielen elementaren Bereichen im Internet ein regulärer Geschäftsbetrieb nur noch schwer aufrecht zu erhalten. Insbesondere viele im Internet aktive KMUs (kleine und mittlere Unternehmen), die sich keine teuren Alternativen oder individuelle Entwicklungen leisten können, würden durch wegbrechende Standard-Lösungen vor existenzielle Probleme gestellt werden.

Leider sind entsprechende Browsereinstellungen entgegen vieler Meinungen im Internet nicht als Einwilligung im Sinne der EU Datenschutz Richtlinie zu bewerten, da sie meist entsprechend Default voreingestellt sind. Eine individuelle Willenserklärung kann somit rechtlich nur schwer hergeleitet werden. Zudem fehlen bei Browsereinstellungen die in der Richtlinie geforderten klaren und umfassenden Informationen zu den Cookies, die zudem noch als Grundlage der Einwilligung vorgeschrieben wurden; ein entsprechender Passus wurde deshalb auch aus dem Paragraphen in die Präambel „abgeschoben“.

Der einzig künftig realistisch denkbare Weg ist, dass vor dem Erscheinen einer Webseite ein Fenster angezeigt wird, auf dem der Nutzer über den Einsatz von Cookies informiert und um seine Zustimmung gebeten wird. Ähnlich, wie dies derzeit bei Anmeldungs- oder Bestellprozessen mit den AGBs geschieht. Die Alternative, dass auf Cookies verzichtet wird, ist kurz- und mittelfristig aufgrund mangelnder tragfähiger Lösungen zur Refinanzierung und Optimierung der Webseiten nicht denkbar.

Cookie Regelung verfehlt ihr Ziel

Auch wenn der grundsätzliche Ansatz der EU, mit dieser Regelung den Datenschutz in der EU zu stärken, richtig und begrüßenswert ist, so schießt die EU mit dieser Regelung leider erneut am Ziel vorbei. Die Webseitenbetreiber und die Industrie werden sich wahrscheinlich durch die beschriebene Lösung die Einwilligung einholen und weitermachen wie bisher. Am prozessual ähnlich gelagerten Beispiel der AGBs zeigt sich seit Jahren zudem, dass nur die wenigsten Nutzer diese lesen oder sich davon beeinflussen lassen. Der von der EU gewollte Datenschutz-Effekt dürfte hier somit minimal ausfallen. Leiden wird dadurch erneut die Usability. Der Nutzer wird durch den weiteren Prozess-Schritt im Alltag eher genervt als geschützt. Die Cookie-Betrüger werden sich, wie schon bei den AGB zu sehen, gekonnt verstecken. Die EU kann jedoch erneut Aktivität bezeugen. Und der Nutzer übernimmt abschließend wie so häufig das Risiko, ohne es vielfach überhaupt zu wissen.

Wie denken Sie über den Cookie und die Richtlinie der EU?

Wir freuen uns auf Ihren Kommentar. Auch Ihre Fragen rund um den Cookie sind hier Herzlich Willkommen.

6 Antworten

  1. leider nicht ganz richtig was du da schreibst (siehe http://www.heise.de/security/meldung/EU-Datenschuetzer-begruesst-neue-Regeln-fuer-Cookies-und-Infos-ueber-Sicherheitspannen-856786.html) der cookie wird noch überleben 😉

  2. Daniel Gremm Consulting

    @Brutoz: Da muss ich leider zum Teil widersprechen. Richtig ist, dass es bei dieser Richtlinie (wie bei fast allen neuen Richtlinien und Gesetzen) zu Beginn in vielerlei Hinsicht einigen Interpretationsspielraum gibt. in Deinem Heise Artikel ist aber ein wesentlicher Punkt nicht klar herausgestellt worden. In einer vorherigen Version der Richtlinie sind die individuellen Browsereinstellungen als Zustimmung des Nutzers berücksichtigt worden. In dieser Form äußern sich jetzt die entsprechend aufgeführten Experten im Heise Artikel auch. Aber dieser Passus ist in der aktuellen Beschluss-Version extra durch die EU ersatzlos herausgestrichen worden. Über die dafür ausschlaggebenden Gründe kann natürlich diskutiert werden. Bei künftigen rechtlichen Auseinandersetzungen dürfte die Interpretation der Richtlinie in diesem Punkt aber eher zu Ungunsten der Wertung der Browsereinstellung als Nutzerzustimmung ausfallen, da die EU andernfalls den Passus hätte stehen lassen können. Zudem ist in der Richtlinie von einer Einwilligung auf Basis von jeweils „klaren und umfassenden Informationen“ die Rede. Aufgrund der Komplexität der Cookie-Nutzung im Netz dürfte eine pauschale einmalige Einwilligung durch eine Browsereinstellung hierfür nicht ausreichend sein.

    Ob nun der Cookie bleiben, sterben oder sich reformieren wird, wird die Zeit zeigen. Die rechtliche Lage wird sich jedoch „dank“ dieser Richtlinie klar verschärfen. Und die Wahrscheinlichkeit, dass letztlich der Nutzer, ähnlich wie bei den AGBs, durch das immer wieder monotone und meist unwissende Klicken auf „Akzeptieren“ am Ende diese Situation im Rahmen einer schlechteren Usability ausbaden muss, ist aus heutiger Sicht hoch.

  3. Ich denke, der wichtigste Einsatzzweck für Cookies ist die Zustandsbewahrung bei der Arbeit mit Diensten, was allgemein als Sitzungscookie bekannt ist. Da leider HTTP sowas nicht bietet, müssen Cookies genutzt werden (Session-IDs in URLs sind uncool aus vielen Gründen). Aus Sicherheitsgründen geht es deswegen oft nicht ohne Cookies (Session-Hijacking).

  4. Man kann nur hoffen dass das ganze mal wieder heißer gekocht als gegessen wurde. Wäre ja nicht die erste EU Regel…

  5. Ich sehe hier in erster Linie die Browserhersteller in der Pflicht. Denn ihre Programme sind es, die die Daten übermitteln und speichern, nicht die Website. 😉

    Sollen die die Standardeinstellung auf eine Sicherheitsabfrage ändern. Am besten gleich mit einem „immer zustimmen“-Button. Da klicken dann eh alle drauf. Problem gelöst.

  6. Daniel Gremm - Online Marketing Berater und Dozent

    So ähnlich wird es wahrscheinlich auch laufen. Aber leider (oder zum Glück, je nach Sichtweise) ist rechtlich der Webseitenbetreiber verantwortlich, nicht die dort integrierten (und eventuell externen) Tools. Da dies hier nur die Weitergabe von eigenen Erfahrungen und keine rechtliche Beratung sein kann und darf, ist somit der Weg zum Fachanwalt für all diejenigen angeraten, die eine rechtliche Aussage benötigen, auf die sie sich berufen können.

Hinterlasse einen Kommentar