Laut einer Pressemitteilung der Artikel-29-Datenschutzgruppe besteht mit Blick auf den datenschutzkonformen Einsatzes von Cookies in Europa noch deutlicher Verbesserungsbedarf. Zwar würden zahlreiche Betreiber von Websites ihre Nutzer grundsätzlich über den Einsatz von Cookies informieren. Eine ausreichende Information und Zustimmung sei jedoch gerade angesichts der Anzahl verwendeter Cookies und der überraschend langen Nutzungsdauer bisher nicht gewährleistet. Hintergrund der Pressemitteilung ist die Veröffentlichung der Ergebnisse der “Cookie-Sweep-Days”.
Cookie-Sweep-Days
Bei dem Cookie-Sweep-Days handelt es sich um eine von der Artikel-29-Datenschutzgruppe initiierte Überprüfung von 478 viel frequentierten Internetseiten in Europa mit Blick auf die praktische Umsetzung der Vorgaben der so genannten Cookie-Richtlinie (2009/136/EG). Die Richtlinie fordert, dass die Website-Betreiber über den Einsatz der Cookies nicht nur ausreichend informieren, sondern vom Nutzer auch eine Einwilligung einholen müssen, bevor sie den ersten Cookie setzen. Mit dem Cookie-Sweep wollte die Artikel-29-Datenschutzgruppe nunmehr ermitteln, inwiefern diese Anforderungen in der Praxis tatsächlich umgesetzt werden. Die Cookie-Sweep-Days wurden von der britischen Datenschutzbehörde, dem Information Commissioner´s Office (ICO), geleitet und fanden zwischen dem 15. und 19. September 2014 in acht Mitgliedstaaten, unter anderem in Frankreich, den Niederlanden und in Spanien, statt.
Die Analyse
Der Report zeigt, wenig überraschend, dass nahezu jede Website mindestens einen, meist aber mehrere Cookies auf den Geräten der Nutzer setzt. Teilweise wurden beim Besuch einzelner Internetseiten bis zu 100 verschiedene Cookies genutzt. Bei 70 % der Cookies handelt es sich um so genannte Third Party Cookies, die nicht vom Website-Betreiber selbst, sondern von einem Dritten stammen. Die Artikel-29-Datenschutzgruppe stellt in ihrer Pressemitteilung außerdem klar, dass erheblicher Verbesserungsbedarf hinsichtlich eines datenschutzkonformen Einsatzes von Cookies besteht. Bei den untersuchten Websites ist bei 26 % keinerlei Hinweis auf die Verwendung von Cookies vorhanden. Eine Einwilligung der Nutzer wird durch weniger als der Hälfte der Website-Betreiber eingeholt. Der Sweep deckte außerdem auf, dass nur 16 % der Websites ihren Besuchern ein Tool zur Verfügung stellt, mit welchem die Nutzer bei Abgabe der Einwilligung zwischen verschiedenen Cookie-Typen differenzieren können. Besonders kritisch seien jedoch die langen Laufzeiten der einzelnen Cookies. So wurden bei der Überprüfung Cookies herausgefiltert, welche erst nach Ablauf von 8000 Jahren (!) automatisch verfallen würden.
Die Datenschutzgruppe weist außerdem darauf hin, dass datenschutzrechtliche Risiken nicht ausschließlich von Cookies ausgehen. Ähnliche Techniken, wie z.B. das “device-fingerprinting”, müssten ebenso den Anforderungen der Cookie-Richtlinie gerecht werden. Laut der Pressemitteilung der Datenschutzgruppe können die Ergebnisse des Cookie Sweeps als Grundlage für potenzielle Vollstreckungsmaßnahmen in den Mitgliedstaaten betrachtet werden. Das ICO hat bereits angekündigt, dass sie gegen Website-Betreiber vorgehen wird, sofern diese die Cookies weiterhin nicht datenschutzkonform einsetzen.
Cookies in Deutschland
Die deutschen Datenschutzbehörden nahmen an den Cookie-Sweep-Days nicht teil, äußerten sich jedoch erst vor wenigen Tagen im Rahmen einer Entschließung erneut zur fehlenden Umsetzung der Cookie-Richtlinie in deutsches Recht. Während die Bundesregierung der Ansicht ist, dass die Richtlinie bereits durch die Normen des Telemediengesetzes (TMG) umgesetzt wurde, fehlt es nach Ansicht der Datenschutzbehörden im deutschen Recht an einem Einwilligungserfordernis für Cookies.
Trotz ungeklärter Rechtslage empfiehlt es sich, den eigenen Website-Auftritt an die Anforderungen der Cookie-Richtlinie anzupassen. Dies gilt insbesondere bei einem einheitlichen europäischen oder globalen Internetauftritt. In Spanien und in den Niederlanden wurden bereits Bußgelder bis zu € 25.000,00 gegen Unternehmen verhängt, die nicht hinreichend über den Einsatz der Cookies informiert oder keine Einwilligung ihrer Website-Besucher eingeholt haben.