Was sind Cookies? Wofür braucht man sie? Und was sind ihre Gefahren?

Cookies sind kleine Datenpakete, die auf dem Rechner eines Nutzers installiert werden, wenn dieser eine bestimmte Website besucht. Beim nächsten Besuch derselben Seite übermittelt die Datei dem Anbieter der Website ungefragt die Daten, die mit dem Cookie gespeichert wurden. Dies können Anmeldedaten einer verschlüsselten Seite sein, oder aber auch Informationen über das bisherige Nutzerverhalten.

Diese Datenpakete können entweder personenbezogen, also unter Angabe individueller Daten des Nutzers sein – oder aber pseudonym, wobei ein Nutzerprofil ohne identifizierende Angaben gebildet wird. Für die personenbezogenen Cookies ist bereits nach derzeitiger Rechtslage eine positive Einwilligung erforderlich, für pseudonyme jedoch nicht.

Der Anwender kann die Cookies zwar grundsätzlich einsehen und löschen – wenn er dies jedoch nicht tut, hat er keinen Einfluss auf den Inhalt der Cookie-Daten oder den späteren Empfänger.

Die Gefahr von nicht gelöschten Cookies liegt eben in dieser ungefragten Übermittlung von privaten Daten, durch die Anbieter ihre Nutzer quasi „ausspähen“ können. Interessant ist dies natürlich insbesondere für die Werbebranche, in der Daten z.B. über das Kaufverhalten eines Nutzers gesammelt werden können, um anschließend Werbung individualisierter zu gestalten. Es können jedoch auch von Drittanbietern individuelle Analysen der Nutzerdaten vorgenommen werden, wodurch der Nutzer immer gläserner wird. Nicht nur konsum-, sondern auch sexuelle, politische oder religiöse Vorlieben können erfasst werden.

Was sagt die Cookie-Richtlinie der EU?

Ziel der Änderung von Art. 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation (RL 2009/136/EG) ist die Schaffung von Transparenz und Sicherheit für den Verbraucher.

Daher wurde die Richtlinie dahingehend geändert, dass der Nutzer bei den meisten Cookies, auch bei denen, die nicht nur personenbezogene, sondern pseudonyme Daten sammeln, vorher seine Einwilligung geben muss. Wie genau diese aussehen soll, überlässt die Richtlinie der Ausformung durch den nationalen Gesetzgeber.

Allerdings bedarf es weiterhin keiner Einwilligung, wenn der Cookie technisch erforderlich ist, um den jeweiligen Dienst zu erbringen und der Nutzer den Dienst ausdrücklich gewünscht hat (Session-Cookie, z.B. bei einem „Warenkorb“). Außerdem braucht der Betreiber keine Einwilligung, wenn der alleinige Zweck des Cookies die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist.

Gilt die Richtlinie in Deutschland?

Die Cookie-Richtlinie ist nach der Regelungssystematik der EU kein Gesetz, welches Bürger direkt betrifft. Vielmehr müssen die einzelnen EU-Mitgliedsstaaten die Vorgaben der Richtlinie innerhalb eines bestimmten Zeitraumes (Umsetzungsfrist) in ihre nationalen Gesetze übernehmen. Ihnen verbleibt dabei ein gewisser Umsetzungsspielraum, so dass die auf einer EU-Richtlinie beruhenden Gesetze durchaus unterschiedlich ausfallen können.

Während viele EU-Staaten die Cookie-Richtlinie bereits in nationale Gesetze übernommen haben, fehlt es bislang an einer Umsetzung in Deutschland. Daher könnte man annehmen, dass sie einfach noch nicht gilt und Webseitenbetreiber sie getrost ignorieren können. Es gibt jedoch auch gewichtige Stimmen von Datenschützern – so auch die des Bundesbeauftragten für Datenschutz, Peter Schaar -, die der Ansicht sind, die Richtlinie gelte bereits direkt und sei daher von allen Website-Betreibern zu beachten. Die Frage ist allerdings dabei, ob die Richtlinie hinreichend konkret genug gefasst ist, um unmittelbar anwendbar zu sein. Dafür spricht, dass die Richtlinie in den meisten EU-Staaten tatsächlich eins zu eins übernommen wurde. Stellt man sich auf diesen Standpunkt, so könnte der Nutzer sich gegenüber dem Webseitenbetreiber direkt auf diese Regelung berufen und auf dessen Pflichten zur Information und zum Einholen der Einwilligung bestehen. Es ist daher eine gute Idee, auch in Deutschland Websites richtlinienkonform zu gestalten.

Was muss ich tun, damit meine Website richtlinienkonform gestaltet ist?

Es gibt – solange sich der deutsche Gesetzgeber noch nicht für eine einheitliche Lösung entschieden hat – verschiedene Möglichkeiten Websites so auszugestalten, dass sie als richtlinienkonform gelten. Dies zeigt auch ein Vergleich mit den verschiedenen EU-Ländern, in denen die Richtlinie unterschiedlich umgesetzt wurde.

Wichtig und in allen EU-Staaten einheitlich geregelt ist vor allem, dass der Nutzer ausdrücklich und klar verständlich darüber belehrt wird, dass eine Website Cookies nutzt, wofür seine Daten gespeichert und genutzt werden, dass er die Speicherung verweigern kann und wie er seine Browser-Einstellungen so verändern kann, dass keine Cookies gespeichert werden. Wo diese Belehrung stattfinden muss, ist allerdings ebenso offen wie die Form der Einwilligung.

Am Sichersten ist dabei die sogenannte „opt-in“-Lösung, bei der der Nutzer ein Häkchen setzen muss, um explizit die Nutzung von Cookies zu erlauben. Ein solches Häkchen könnte er entweder bei seiner Zustimmung zur Datenschutzerklärung einer Website setzen, vorausgesetzt die Einwilligung in die Nutzung von Cookies wird gesondert hervorgehoben. Oder aber es erscheint ein Pop-up-Fenster bzw. ein Banner, welches direkt auf die Cookienutzung hinweist und um die Einwilligung bittet. Diese Lösung wird beispielsweise auch von Google praktiziert.