Am 25. Mai gilt die neue Datenschutz-Grundverordnung der Europäischen Union und bringt allerhand neue Regeln für Websites, Blogs und Onlineshops. Vieles davon ist sicherlich sinnvoll und schützt die Rechte von uns Internetnutzern. Eine Sache dabei stört mich allerdings gewaltig: Die Myriaden von Cookie-Bannern, die einem mittlerweile auf jeder zweiten Website begegnen und uns darüber informieren, dass Cookies verwendet werden. Das kann nicht der Sinn der neuen Verordnung gewesen sein. Warum das in zweierlei Hinsicht Quatsch ist, lest ihr hier.
Ohne Cookies geht nichts mehr
Wem sie in letzter Zeit nicht vermehrt aufgefallen sind, der muss hinter dem Mond leben: Popups, die den Inhalt verdecken; Banner, die am unteren Browserrand auftauchen; und eingeschobene Textzeilen mit informativen Texten wie „Dieser Internetauftritt verwendet Cookies zur Optimierung der bereitgestellten Dienste. Nähere Informationen finden Sie in unserer Datenschutzerklärung.“ zieren derzeit unsere Browserfenster. Im ersten Moment könnte man meinen, das wäre eine sinnvolle Information für den Nutzer, der sich dann entscheiden könnte, die Website einfach wieder zu verlassen. Blöd nur, wenn einem dieser Hinweis auf so ziemlich jeder dynamischen Website an den Kopf geworfen wird, denn ohne Cookies geht im Netz heute kaum noch etwas.
Was die Datenschützer damit eigentlich erreichen wollten, ist das Tracking von Nutzern einzuschränken. Das lässt sich allerdings nicht nur mit Cookies bewerkstelligen, sondern auch mit der IP-Adresse oder der Webstorage-API von JavaScript. In der Konsequenz müssten in dem Banner auch auf die Verwendung dieser Technologien hingewiesen werden. Und wer weiß, welche neuen Entwicklungen in Zukunft noch dazukommen. Der Cookie-Hinweis ist damit also nicht nur veraltet, sondern auch noch inkonsequent. Aus technischer Sicht bringt der Hinweis also schon einmal keinen Vorteil.
Cookies in der Datenschutzerklärung
An dieser Stelle muss ich zum rechtlichen Teil des Cookie-Banner-Wahnsinns kommen. Denn auch wenn viele Websites den Hinweis bereits eingebaut haben: In Deutschland ist er offiziell keine Pflicht! Daran ändert auch die DSGVO nichts, in der von einem jederzeit angezeigtem Cookie-Hinweis überhaupt keine Rede ist. Dort wird lediglich geregelt, dass eine Informationspflicht zu allen verarbeiteten personenbezogenen Daten besteht. Es sollte daher ausreichen, wenn in der Datenschutzerklärung auf die genaue Verwendung von Cookies hingewiesen wird.
Opt-in und die Cookie-Richtlinie
Nun könnte man sich die Frage stellen, wieso man diesem Hinweis dann trotzdem überall begegnet. Das liegt vermutlich an einer EU-Richtlinie aus dem Jahr 2009. Die besagt nämlich, dass das Setzen von Cookies, die nicht zwingend für den Funktionserhalt der Seite erforderlich sind, erst durch ein Opt-in bestätigt werden muss. Das gilt unter anderem für alle Tracking-Cookies, wie sie beispielsweise von Google Analytics eingesetzt werden, aber auch von Werbenetzwerken zur Nachverfolgung von Klicks.
Das deutsche Telemediengesetz
Ein solcher Opt-in-Hinweis für Cookies, wie er in der EU-Richtlinie von 2009 gefordert wird, klingt schon deutlich sinnvoller. Allerdings müssen EU-Richtlinien, anders als Verordnungen, von den einzelnen Ländern erst in Gesetze überführt werden. Das ist in Deutschland bisher nicht geschehen. Hierzulande ist es daher nicht gesetzwidrig gewesen, auf den Opt-in für Cookies zu verzichten. Stattdessen greift hier das Telemediengesetz, in der lediglich ein Opt-out für unnötige Cookies vorausgesetzt wird. Von einem Banner, der unmittelbar über die Möglichkeit des Opt-outs informiert, ist aber auch hier keine die Rede. Dennoch ist das TMG der Grund für die aktuelle Flut an Cookie-Bannern, denn viele Datenschützer interpretieren den geforderten Opt-out exakt auf diese Weise.
Ein gesetzliches Durcheinander
Kein Wunder, dass bei diesen ganzen Verordnungen, Richtlinien und Gesetzen kaum einer durchblickt. Die schwammigen Formulierungen bieten eine Menge Raum für Interpretation und können unterschiedlich ausgelegt werden. Es ist offensichtlich, dass die Regeln zum Teil veraltet sind und nicht von Technikern geschrieben wurden, die wissen, worum es beim Einsatz von Cookies überhaupt geht. Was bleibt, ist die maximale Verwirrung bei allen Beteiligten, inklusive derjenigen, die davon eigentlich profitieren sollten: uns Internetnutzern.
Hoffnung auf die e-Privacy-Verordnung
Aktuell ringt die EU um die neue e-Privacy-Verordnung, die unter anderem die alte Cookie-Richtlinie ersetzen soll und mit unserem Cookie-Banner-Dilemma hoffentlich endgültig ausräumt. Noch sind nicht alle Punkte der Verordnung abschließend geklärt, aber meine Hoffnung beruht darauf, dass die Verordnung die Browser-Hersteller diesbezüglich in die Pflicht nimmt. Eine allumfassende Opt-in-Lösung, die direkt vom Browser übernommen wird, würde nicht nur den Website-Betreibern Arbeit abnehmen, sondern auch erheblich zur Verbesserung der Nutzerfreundlichkeit beitragen. Spätestens im Mai 2019 wissen wir mehr, auch wenn ich nicht daran glaube, dass die Verordnung diesen pragmatischen Ansatz verfolgen wird. Aber Hauptsache, sie bringt endlich Klarheit in dieser Sache.