Cookie-Layer-Schwachsinn – und warum ich da nicht mitmache
Immer mehr Internetseiten, die wir so aufrufen, begrüßen uns mittlerweile mit einem mehr oder weniger freundlichen und mehr oder weniger ausführlichen Hinweis zur Verwendung von Cookies. Diese freundlichen Hinweise werden in der Regel über ein sogenanntes „Layer“ angezeigt, dass über dem eigentlichen Inhalt der Internetseite „schwebt“. Gerade bei der mobilen Nutzung kann das ziemlich nervig sein, weil dieses „Layer“ gerade den Inhalt verdecken kann, den ich womöglich lesen möchte. Und seien wir ehrlich: Niemand von uns nimmt diese Hinweise ernst oder liest sich gar die weiteren Hinweise zu Cookies durch, die natürlich dann über einen weiteren Link abrufbar sind.
In der Regel wird eh nur dumpf auf die bestehenden Datenschutzhinweise verlinkt. Meiner ganz bescheidenen Meinung nach sind diese Hinweise ein „Schwachsinn im Quadrat“ und darüber hinaus auch eine kleine Seuche für das Internet. Nennen wir es „Layerismus“.
Zu verdanken haben wir diese kleine Seuche einerseits der Europäischen Union und andererseits zum Teil auch Google, denn Google hat notgedrungen diesen „Layerismus“ forciert, um Compliance mit den Cookie-Regeln der EU herzuleiten. Hintergrund für diese lustigen Informationsbalken ist aber zunächst und vor allem die ePrivacy-Richtlinie (2002/58/EG) der Europäischen Union. Diese besagt grundsätzlich u.a., dass die Mitgliedstaaten der Europäischen Union nationalstaatliche Regelung dafür treffen müssen, dass das Setzen von Cookies in Endgeräten der Nutzer nur mit Einwilligung dieser Nutzer erfolgt.
Mir geht es in diesem Beitrag gar nicht darum, ob und wie nun die einzelnen Mitgliedstaaten diese Regelung umgesetzt haben oder nicht. Gerade im Hinblick auf die Bundesrepublik Deutschland könnte zu dieser Frage ein kleines Büchlein geschrieben werden.
Mir geht es in diesem Beitrag darum, wie falsche Politik und falscher Lobbyismus zu einer völlig verqueren Regelung im Web und für die Nutzung des Webs führen kann.
Vorausgestellt sei natürlich, dass Sie – genau wie ich – diese Informationseinblendungen zu Cookies für genauso schwachsinnig halten wie ich. Ich übertreibe hier bewusst, weil mich diese Regelung tatsächlich immens ärgert. Die inflationär auftauchenden Cookie-Hinweise werden von den üblichen Nutzern, wozu ich mindestens 95 % aller Internet-Nutzer zählen würde, überhaupt nicht mehr wahrgenommen. Sie erscheinen auf jeder Seite und man klickt sie einfach weg. Wir haben hier mitnichten eine wirklich gute Einwilligungsregelung, wir haben eine Wegklick-Kultur entwickelt. Cookie-Layer werden von Nutzern wie Werbeeinblendungen einfach weggeklickt. Aus den Augen – aus dem Sinn. Die „Einwilligung“ bei Cookie-Layern gestaltet sich wie der Prozess beim Installieren von Programmen unter Windows. Sie kennen das: „Weiter – Weiter – Weiter – Fertigstellen“. Dass der Installierende dabei möglicherweise ein EULA – ein End User License Agreement abgeschlossen hat, weiß – mit Verlaub – keine Sau. Entschuldigen Sie die „einfache“ Sprachwahl, aber das passt so hier zu diesem Thema.
Wir können natürlich auch lange darüber diskutieren, wer nun dafür verantwortlich ist, dass die Europäische Union in ihrer ePrivacy-Richtlinie die Verwendung von Cookies derart dämonisiert hat, dass diese nur noch mit Einwilligung verwendet werden können. Unbestritten ist aber, dass die „Datenschützer“ einen erheblichen Teil dazu beigetragen haben. Zu diesem Personenkreis zähle ich neben einigen Vertretern von Aufsichtsbehörden auch einen Teil der rechtswissenschaftlichen Literatur. Denn vor der ePrivacy-Richtlinie sind Cookies von vielen Autoren weniger als nützliche Helferlein, sondern vor allem als böse Technologie angesehen worden, die nur den Zweck verfolge, die Internetnutzer überwachbar zu machen. Und machen wir uns nichts vor: Natürlich trägt auch die werbetreibende Industrie ein großes Maß an Mitschuld. Denn Tatsache ist, dass einige Player in diesem Bereich Cookies in der Tat missbräuchlich verwendet haben. Aber richtig ist ebenso auch, dass der Großteil der Verwender von Cookies diese sinnvoll und in einem „verhältnismäßigen“ Umfang – also mit Augenmaß – eingesetzt haben.
Die Verteuflung der Cookies durch die ePrivacy-Richtlinie führte natürlich mitnichten dazu, dass die Werbung im Internet, insbesondere die verhaltensbezogene Werbung im Internet aufgehalten hat. Die Industrie hat das getan, was sie tun musste. Da eine Einwilligungsregelung für Werbung im Internet schlichtweg realitätsfern ist, das Internet bzw. viele Internetseiten aber eben nun einmal zu einem nicht unwesentlichen Teil aus Werbung finanziert werden, hat man sich neue Technologien jenseits von Cookies ausgesucht, die es ermöglichen, verhaltensbezogene „passende“ Werbung für Nutzer im Internet zu generieren und auszuspielen.
Der große Vorteil von Cookies war und ist, dass diese im Endgerät des Nutzers gespeichert werden. Das hat den positiven Effekt, dass der Nutzer die Datenhoheit über Cookies hat. Denn er kann die Cookies jederzeit in seinem Endgerät löschen. Und auch wenn es in der Vergangenheit einmal Fälle von „Respawning“ (quasi ein „Wiederherstellen“) von Cookies gab, so waren es doch sehr wenige, die es nicht rechtfertigen, dass Cookies insgesamt verteufelt werden. Das, was die Industrie, jetzt statt Cookies verwendet, kann vom Nutzer eben nicht mehr selbst oder nur mittelbar kontrolliert werden. Eine wesentliche Verschlechterung für den Datenschutz von Internetnutzern. Und so meine ich, dass man leider sagen kann, dass die Einwilligungsregelung für Cookies quasi der Pyrrhussieg der Datenschützer ist. Vielen Dank dafür.
Auf meiner Internetseite kommen auch im begrenzten Umfang Cookies zum Einsatz. Im Wesentlichen für Webanalyse-Zwecke und für die Sessionsteuerung bei registrierten Nutzern (von z.B. Online-Kursen). Sie werden aber auf dieser Internetseite keine Cookie-Layer finden. Ich weigere mich einfach. Und ich meine auch, dass es in meinem Falle vertretbar und zulässig ist. Nach geltendem deutschen Recht gilt für das Setzen von Cookies für Webanalyse-Zwecke immer noch § 15 Abs. 3 TMG. Und diese Norm beinhaltet eine Widerspruchsregelung, die wir ja gerne auch als sog. „Opt-Out“ bezeichnen. Die Vorgaben dieser Regelung halte ich ein. Ich weise in den Datenschutzhinweisen auf die Verwendung von Cookies hin und gebe ebenso Hinweise dazu, wie ein Widerspruch gegen die Verwendung von Cookies geltend gemacht werden kann. Ist das eine Einwilligungsregelung? Nicht wirklich. Dankenswerterweise hat aber das OLG Frankfurt (Urteil vom 17.12.2015, Az.: 6 U 30/15) bestätigt, dass das deutsche Recht nicht richtlinienkonform, d.h. im Lichte der ePrivacy-Richtlinie auszulegen bzw. die Regelungen der ePrivacy-Richtlinie auch nicht zwingend ein Opt-In-Verfahren vorsehen würden. Mehr dazu können Sie beim geschätzten Kollegen Dr. Carlo Piltz nachlesen. Danke, liebes OLG Frankfurt. Denn das erleichtert mir die Argumentation dafür, dass es bei mir diesen Cookie-Layer-Quatsch eben nicht gibt.
Bitte verstehen Sie mich nicht falsch. Ich halte den Schutz personenbezogener Daten für ein hohes Gut. Und ich meine auch, dass eine Verwendung von Cookies zur Überwachung von Nutzerverhalten nur in engen Grenzen zulässig sein darf. Gleichwohl muss man hier immer den Gesamtzusammenhang sehen. Ich meine, dass es ausreichend sein darf, wenn der Betreiber einer Internetseite transparent und vollständig über die Verwendung von Cookies informiert und den Besuchern der Internetseite Hinweise dazu gibt, wie er das Setzen von Cookies bzw. eine Protokollierung von Nutzerverhalten unterbinden kann. Natürlich auch mit dem Hinweis dazu, welche Folgen aus einem Blocken von Cookies entstehen können. Und so verwende ich z.B. auch ein Webanalyse-System, dass Nutzer, deren Browser einen sog. „Do-Not-Track“-Header sendet, nicht von der Webanalyse erfasst werden.
Übrigens: Auch die Art. 29 Gruppe hält eine pauschale Einwilligungsregelung für Cookies für nicht geboten. Im Arbeitspapier „Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht“ (WP 194) der Gruppe gibt es folgende passende Äußerung (S. 12):
Allerdings stellen First-Party-Analysecookies nach Ansicht der Datenschutzgruppe kaum ein Datenschutzrisiko dar, wenn sie ausschließlich für die aggregierten Statistiken des Erstanbieters genutzt und von Websites verwendet werden, die in ihrer Datenschutzrichtlinie bereits unmissverständlich über diese Cookies informieren und ausreichende Datenschutzgarantien bieten. Diese Garantien sollten unter anderem eine benutzerfreundliche Möglichkeit zur Abwahl jedweder Datenerfassung sowie umfassende Anonymisierungsmechanismen für sonstige gesammelte Informationen wie etwa IP- Adressen, anhand derer Personen identifiziert werden können, beinhalten.
In diesem Zusammenhang könnte der europäische Gesetzgeber im Falle einer künftigen Überarbeitung von Artikel 5 Absatz 3 der Richtlinie 2002/58/EG in geeigneter Weise ein drittes Kriterium für die Ausnahme von der Einwilligungspflicht für Cookies aufnehmen, die ausschließlich der Erstellung anonymisierter und aggregierter Statistiken des Erstanbieters dienen.
Lassen Sie uns gemeinsam diesen Unfug mit Sondereinblendungen zu Cookies beenden. Und dafür gibt es bald einen passenden Anlass. Diese Woche hat die EU-Kommission mitgeteilt, dass in diesem Jahr – voraussichtlich im Frühling – die Arbeiten an der Novellierung der ePrivacy-Richtlinie beginnen sollen. Sie soll dann Mitte 2017 verabschiedet werden. Dies kann und muss Gelegenheit dafür sein, die derzeit geltende Einwilligungsregelung zu Cookies endgültig zu beenden und in sinnvoller Weise zu überarbeiten. Vielleicht können so dann doch noch die kleinen, süßen Cookies zum Leben erweckt werden. Natürlich nur die guten…
Ich hoffe, dass diesmal auch die „Datenschützer“ mit Bedacht agieren und die „Dämonisierung“ von Cookies endlich beenden. Insoweit mögen die betreffenden Personen gerne auch die Äußerungen der Art. 29 Gruppe verinnerlichen und insoweit auch datenschutzfreundliche Technologien im Bereich des Online-Advertisings zu privilegieren. Denn die gibt es.
Eine Beendigung des „Layerismus“ wäre eine Wohltat für die Nutzer. Es gibt genug andere Möglichkeiten, den Missbrauch von Cookies zu beschränken und zu regulieren. Das wäre auch ein kleiner Schritt zur Förderung Datenhoheit für Nutzer des Internets.
Und ja, liebe Leser…nun wissen Sie, warum Sie bei mir keine Cookie-Layer zu sehen bekommen. Um jetzt aber den „Hardcore-Cookie-Enemies“ ein bisschen entgegenzukommen, habe ich zumindest in der Navigationsleiste dieser Seite einen Link zu Cookie-Hinweisen aufgenommen. Der nervt aber zumindest nicht und muss nicht weggeklickt werden.