Gezielte Werbung via Cookies

Die Cookie-Regelung soll die Privatsphäre der Bürger im digitalen Raum stärken. Bevor eine Website eines dieser kleinen Daten-„Kekse“ mit Nutzerdaten auf dem Rechner eines Users abspeichert, soll dieser künftig seine Zustimmung geben. Über die nationale Auslegung der Richtlinie herrscht wenig Einigkeit - und die Werbewirtschaft läuft dagegen Sturm.

Im Dezember 2009 wurden mit der Änderung der EU-Datenschutzrichtlinie für elektronische Kommunikation, der „E-Privacy-Richtlinie“, die Regelungen für den Einsatz von Cookies und Spyware verschärft. Bis zum 25. Mai dieses Jahres hat Österreich noch Zeit, die Direktive in nationales Gesetz zu gießen. Doch die Regierung ist säumig, zudem zielt der derzeitige Entwurf ins Leere, meinen Datenschützer und Rechtsexperten.

Aus datenschutzrechtlicher Sicht sind Cookies vor allem dann problematisch, wenn sie das Surfverhalten des Nutzers verfolgen (Tracking) und damit ein konkretes Persönlichkeitsprofil erstellt werden kann. Das ist der Fall, wenn etwa ein Cookie dafür genutzt wird, den User über mehrere Websites hinweg zu verfolgen.

Zudem haben Nutzer keinen unmittelbaren Einblick in den Inhalt eines Cookies. Er muss sich erst in die Privatsphäre-Einstellungen seines Browsers begeben, um dort nachsehen zu können, wann die verschiedenen Cookies verfallen.

Cookies nicht grundsätzlich schlecht

„Es ist nicht so, dass ich durch ein Cookie nackt im Netz dastehe. Tatsache ist, dass der Betreiber einer Website mit Hilfe des Cookies meinen Computer wiedererkennen kann und dem, der es geschrieben hat, die Information, wann und wo ich mich im Internet aufhalte, weiterleiten kann“, erklärte Gernot Schönfeldinger, Autor des Internetratgebers für den Verein für Konsumenteninformation, gegenüber ORF.at.

Grundsätzlich seien Cookies nichts Schlechtes, wenn etwa in einem Onlineshop etwas in den Warenkorb gelegt werde und sich die Website über das Speichern eines entsprechenden Cookies auf dem Computer des Anwenders merke, welche Artikel der User erwerben wolle. Problematisch seien jedoch Cookies von Drittanbietern, wenn etwa eine Website für eine Werbefirma agiere. Denn „hier werden Daten gesammelt, ohne dass ich es weiß und zugestimmt habe. Je mehr jemand über mich weiß, desto eher kann ein Zusammenhang mit meiner Person hergestellt werden“, erläutert der Experte.

Schönfeldinger empfiehlt Internetnutzern vor allem, sich mit den Browser-Einstellungen vertraut zu machen und diese zu ihrem Schutz zu verändern. So sollten Cookies von Drittanbietern generell nicht akzeptiert werden. Sinnvoll sei zudem, die Cookies nach jedem Schließen des Browsers löschen zu lassen.

Österreich: Falscher Adressatenkreis

In Österreich ist Ende April die Begutachtungsfrist für den Ministerialentwurf zur Novelle des Telekommunikationsgesetzes 2003 (TKG), darin enthalten ist auch der Cookie-Paragraf, abgelaufen. In Paragraf 96 Absatz 3 ist die Rede von „Betreibern öffentlicher Kommunikationsdienste“. Damit seien aber genau genommen nur Telekommunikationsbetreiber und Internet Service Provider (ISPs) gemeint, kritisierte AK-Konsumentenschützerin Daniela Zimmer gegenüber ORF.at.

Die Richtlinie richte sich jedoch eindeutig an „alle Dienste der Informationsgesellschaft“, so Zimmer. Sie verweist auf den Erwägungsgrund 66 der EU-Richtlinie. In dem heißt es: „Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen.“

Nutzerverfolgung im Netz

Nach Meinung von Hans Zeger, Obmann der ARGE Daten, gehe es der EU auch nicht ausschließlich um Cookies auf PCs, sondern darum, „wie weit Anbieter von Kommunikationsdiensten in die Geräte und Systeme von Benutzern eingreifen dürfen“. Als Beispiel nennt der Datenschützer etwa die langfristige Speicherung von Geodaten am iPhone. Nach der derzeitigen Formulierung würde Apple als Hersteller des Betriebssystems iOS aus der Regelung herausfallen, ebenso wie Anbieter von Smartphone-Apps und jene Dienste, die Internetverkehrsdaten („Behavioral targeting“) der User für individuell angepasste Werbung verwenden.

Unklar ist auch, wie die Zustimmung der Nutzer eingeholt werden soll. In der EU-Richtlinie wird auch zwischen mehreren Typen von Cookies unterschieden. So sollen etwa Session-Cookies, die nach Verwendung einer bestimmten Website gleich wieder gelöscht werden, von der Informationspflicht und Widerspruchsrecht ausgenommen werden, wenn sie für einen vom Nutzer ausdrücklich aufgerufenen Dienst notwendig sind. Ein Beispiel hierfür wäre etwa das Onlinebanking.

Umfassende Informationspflicht

Ansonsten gilt laut EU, dass der Zugriff nur gestattet ist, wenn „der Nutzer auf der Grundlage von klaren und umfassenden Informationen (...) seine Einwilligung gegeben hat“. Die Wirtschaftskammer (WKO) vertritt die Position, dass das Akzeptieren von Cookies in den Browser-Einstellungen bereits als Zustimmung bewertet werden soll. „Sollte der Nutzer keine Cookies mehr akzeptieren, kann er jederzeit die Einstellungen entsprechend anpassen“, so der Fachverband Werbung und Marktkommunikation in seiner Stellungnahme zum TKG-Entwurf.

„Die Behandlung von Cookies sollte von den Gedanken der Transparenz, Auswahlmöglichkeiten der User und deren Einwilligung getragen werden“, meinte hingegen der Jurist und Onlinedatenschutz-Experte Michael Pachinger gegenüber ORF.at. Die Standardeinstellungen der Browser müssten dahingehend abgeändert werden, dass Cookies aktiv zugestimmt werden muss - anstatt einer Opt-out-Lösung.

Die Einwilligungsoption in ein Pop-Up-Fenster einzubetten, wäre aufgrund der Vielzahl an Cookies nicht praktikabel, meint der Jurist. Ein anderer Ansatz wäre der Vorschlag für das „i-Logo“. Ein im Werbebanner integriertes „i-Logo“ würde darauf hinweisen, dass „das Userverhalten die Werbebotschaft bestimmt“. Wird das Logo vom User angeklickt, dann könne dieser selbst auswählen, welche Werbebotschaften er erhalten möchte bzw. diese akzeptieren oder auch ablehnen.

„Technisch nicht umsetzbar“

Für die Onlinewerbung sind Cookies unumgänglich. Karin Hammer, Präsidentin des Österreichischen Onlinemarketingverbands IAB, meinte gegenüber ORF.at, dass die Richtlinie „rein technisch nicht so umsetzbar“ sei, wie es sich Datenschützer vorstellen würden. Auch wenn der derzeitige Entwurf, aufgrund seiner Formulierung, die Onlinewerbebranche nicht treffen würde, sei ein freiwilliger Verhaltenskodex zum Umgang mit Cookies entwickelt worden.

Auf der Website Meine-Cookies.org können Internetnutzer auswählen, von welchem Anbieter keine Cookies erwünscht sind (Opt-out). In der Praxis könnten Medien und Vermarkter in der Navigation den Punkt „Datenschutz/Cookies“ hinzunehmen, dieser verlinke dann auf einen Erklärungstext, was Cookies sind, und in weiterer Folge gebe es einen Link zu Meine-Cookies.org, erläuterte Hammer die Idee des Internationalen Werbeverbands.

Darüber hinaus sei „die Richtlinie in so gut wie keinem europäischen Land so umgesetzt worden, wie man sich das seitens der EU ursprünglich gewünscht hat“, erläuterte Hammer. Mittlerweile würde auch die zuständige EU-Kommissarin für die Digitale Agenda, Neelie Kroes, zu mehr „Selbstregulierung der Werbeindustrie“ tendieren, so Hammer.

Claudia Glechner, ORF.at

Links:

• Änderungsentwurf des TKG 2003 (PDF)
• Stellungnahmen zum TKG-Entwurf
• EU-Datenschutzrichtlinie für elektronische Kommunikation, RL 2002/58/EG (PDF)
• EU-Richtlinie 2009/136/EG (PDF)
• Stellungnahme WKO, Fachverband Werbung und Marktkommunikation
• Europäische Kommission zu Cookies
• IAB
• Meine-cookies.org