Die sogenannte EU-Cookie-Richtlinie ist noch immer nicht in deutsches Recht umgesetzt worden. Die EU-Richtlinie sieht für Cookies eine grundsätzliche Einwilligungspflicht vor. Ein Beratungsgremium der EU-Kommission, die Artikel 29-Datenschutzgruppe, veröffentlichte nun ein Dokument mit Empfehlungen zu den Ausnahmen von der Einwilligungspflicht. Lesen Sie, welche Cookies demnach ohne Einwilligung auskommen
Hintergründe
Durch eine bereits im November 2009 vom EU-Parlament beschlossene Richtlinie soll in den EU-Mitgliedstaaten unter anderem eine Stärkung des Schutzes der Privatsphäre von Internetnutzern durch mehr Kontrollmöglichkeiten beim Einsatz von Cookies erreicht werden. Die Richtlinie erhielt deshalb schnell den Beinamen ”Cookie-Richtlinie”. Sie sieht eine grundsätzliche Einwilligungspflicht für Cookies vor und nur wenige Ausnahmen.
Trotz Fristablauf vor über einem Jahr wurde die Richtlinie bislang erst in wenigen EU-Staaten in nationales Recht umgesetzt. Der letzte Gesetzesentwurf zur Umsetzung in Deutschland ist im Februar dieses Jahres gescheitert.
Dokument der Artikel 29-Datenschutzgruppe
Die Artikel 29-Datenschutzgruppe veröffentlichte nun ein Dokument, das bei der Auslegung der innerhalb der Richtlinie vorgesehenen Ausnahmen von der Einwilligungspflicht für Cookies helfen soll. Die Art. 29-Datenschutzgruppe wurde im Rahmen der Datenschutzrichtlinie 95/46/EG geschaffen und ist eine unabhängige, beratende Instanz auf EU-Ebene und berät die Kommission in Datenschutzfragen.
Ausnahmen von der Einwilligungspflicht
Die Richtlinie sieht zwei Ausnahmen von der Einwilligungspflicht vor, nämlich
1. "wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist" und
2. "wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann”
Voraussetzung für die erste Ausnahme ist, dass eine Kommunikation ohne Nutzung eines Cookies nicht möglich ist, eine bloße Erleichterung der Kommunikation genügt nicht. Für Shopbetreiber relevant ist daher vor allem die zweite Ausnahme, auf die im Folgenden auch näher eingegangen wird.
First und Third Party Cookies
Die Art. 29-Datenschutzgruppe unterscheidet in ihrem Papier zunächst zwischen Cookies, die von dem für die Datenverarbeitung Verantwortlichen ("data controller") gesetzt werden, und solchen, die von Dritten gesetzt werden. Third Party Cookies seien regelmäßig nicht "unbedingt erforderlich" um eine Website zu besuchen, First Party Cookies würden daher eher unter die genannten Ausnahmen fallen.
Diese bloße Unterscheidung genüge aber nicht, um entscheiden zu können, ob ein Cookie unter Ausnahme 1 oder 2 falle. Neben der Unterscheidung nach Sitzungs-Cookies und dauerhaften Cookies käme es insbesondere auf den Zweck und die spezifische Implementierung an.