Das Problem
Tracking-Dienste und Analyse-Tools wie Google Analytics und Omniture werden auf nahezu jeder Website eingesetzt – auch die Onlineausgaben der meisten Zeitungen und Zeitschriften verzichten nicht auf die Möglichkeit, Daten über das Nutzerverhalten zu erheben und zielgerichtete Werbung anzuzeigen. Hierfür werden in der Regel Cookies eingesetzt. Die Europäische Kommission sah in deren Schnüffelpotenzial eine Gefahr – und erließ die sogenannte E-Privacy-Richtlinie. Die schreibt vor, dass es nur gestattet ist, Cookies zu setzen, wenn der betreffende Nutzer über die Zwecke der Verarbeitung informiert wurde und eingewilligt hat. Die „Artikel 29“-Arbeitsgruppe, die eine einheitliche Anwendung europäischer Datenschutznormen gewährleisten soll, hat diesen Ausweg nun versperrt: Die Browsereinstellungen würden nicht alle Arten von Cookies erfassen, auch erhielte der Nutzer nicht die erforderlichen Informationen. Wie es stattdessen gehen soll, sagt die Arbeitsgruppe nicht. Sie fordert die Wirtschaft zu „kreativen“ Lösungen auf.
Der Haken
Der deutsche Gesetzgeber hat bisher keine Anstalten gemacht, die europäischen Richtlinien umzusetzen – obwohl die Frist am 25. Mai 2011 endete. Bei fortdauernder Untätigkeit könnten die deutschen Datenschutzbehörden die Umsetzung bei „Spiegel Online“ & Co. einfordern. Statt eine Einwilligung einzuholen, fand man im Falle des IVW-Cookies jüngst eine andere Lösung: Das Cookie soll dann zulässig sein, wenn die IP-Adresse des Nutzers um die letzten drei Stellen gekürzt wird und gleichzeitig in der Datenschutzerklärung ein „opt-out“-Link angeboten wird – also eine Möglichkeit für den Nutzer, sich auf eine schwarze Liste setzen zu lassen. Im Falle von Google Analytics haben die Behörden eine ähnliche Lösung nicht akzeptiert: Die IP-Adresse wurde erst in den USA anonymisiert – also nach der unzulässigen Datenverarbeitung.
Die Lösung
Der Nutzen von Tracking- und Analyse-Tools ist unbestritten – gleiches gilt allerdings auch für die Gefährdung der Persönlichkeitsrechte der Nutzer. Eine Zuordnung eines Cookies zu einer bestimmten Person ist jedenfalls für die großen Anbieter in vielen Fällen technisch ohne große Probleme möglich. Eine Informationsverpflichtung ließe sich leicht realisieren – also eine detaillierte Beschreibung einzelner Cookies und ihrer Zwecke in der Datenschutzerklärung. Das Einwilligungserfordernis stellt allerdings ein größeres Hindernis dar: Schließlich werden Cookies in der Regel sofort nach Aufruf einer Webseite gesetzt – und damit bevor der Nutzer eine Einwilligung abgeben kann. Wer einigermaßen sicher sein will, verzichtet auf die Erhebung von vollständigen IP-Adressen oder anderen Daten, über die eine Person individualisiert werden kann. Dies schränkt allerdings auch die Datenqualität nicht unmaßgeblich ein. In jedem Fall sollte man sich vor Einbindung eines Tracking- oder Analysedienstes beim Anbieter genau informieren, welche Daten erhoben werden und an wen diese übermittelt werden – und mit der Behörde verhandeln, unter welchen Umständen ein Einsatz unbedenklich ist. Denn rechtlich verantwortlich ist am Ende nicht der Hersteller des Tools, sondern der Webseitenbetreiber.
Stephan Zimprich ist Rechtsanwalt im Hamburger Büro der internationalen Sozietät Field Fisher Waterhouse.
stephan.zimprich@ffw.de
Erschienen in Ausgabe 09/2011 in der Rubrik „Praxis“ auf Seite 52 bis 52 Autor/en: Stephan Zimprich. © Alle Rechte vorbehalten. Der Inhalt dieser Seiten ist urheberrechtlich geschützt. Für Fragen zur Nutzung der Inhalte wenden Sie sich bitte direkt an die Redaktion.