Für und Wider der Cookie-Entscheidung des EUGH
Von jali
Der EuGH hat in der vergangenen Woche in einer aufsehenerregenden Entscheidung entschieden, dass die deutsche Umsetzung der sog. “Cookie-Richtlinie” nicht den Bestimmungen des Europarechts entspricht.
Laut dem Telemediengesetz ist es derzeit ausreichend, wenn Benutzer über die Speicherung von Cookies nur informiert werden, das Gericht verlangt eine ausdrückliche Zustimmung durch die Benutzer*in.
Auslöser war eine Klage des Vereins Verbraucherzentrale Bundesverband (vzbv) gegen den Gewinnspielanbieter Planet49. Dieser verwendet auf seiner Seite Cookies zum Tracking, hat aber das Häkchen, das anzeigt, dass die Anwenderin mit der Speicherung der Cookies einverstanden ist bereits vorausgefüllt. Somit war von Benutzerseite eine Aktion erforderlich um das akzeptieren der Cookies zu unterbinden.
Der EUGH hat nun entschieden, dass dieses Vorgehen keine aktive Einwilligung darstellt, wie sie in der Datenschutzgrundverordnung (DSGVO) festgelegt ist.
Das ist auf den ersten Blick zunächst mal gut, und entspricht auch für mich als juristischen Laien dem, was ich als Geist der Verordnung sehe, nämlich das die Benutzerin eines Angebots, der Speicherung jeglicher Daten die bei diesem Vorgang anfallen explizit zustimmen muss. Im vorliegenden Fall ist das völlig richtig, hier hatte der Anbieter das Ich-bin-mit-der-Speicherung-einverstanden-Häkchen bereits gesetzt, sodass sich die Userin aktiv gegen eine Speicherung entscheiden muss.
Dem Gericht zufolge ist diese Einwilligung notwendig, auch dann wenn die gespeicherten Daten weder persönlicher Natur sind, noch an Dritte übertragen werden.
Damit steht diese Lesart im Widerspruch zum Telemediengesetz, dass bei Cookies, die keine persönlichen Daten enthalten, eine Information ausreichend ist.
Und genau hier beginnt das Problem: Was im beurteilten Fall logisch erscheint, entpuppt sich bei näherem Hinsehen als ziemlich kompliziert. Fangen wir mit der Frage an, was Cookies eigentlich sind.
Was sind diese Cookies, von denen alle reden?
In der Informatik gibt es verschiedene Arten von Daten. Einige Daten sind persistent und werden inner halb einer, oder auch mehrere Programme hinweg verwendet. Andere, wie zum Beispiel persönliche Einstellungen von Benutzer*innen, sind für jeden Fall in dem das Programm verwendet wird anders. Um mit solchen Daten umzugehen, gibt es verschiedene Möglichkeiten. Bei Daten, die nur für die Dauer der Anwendung benötigt werden ist ein gebräuchliches Entwurfsmuster die Verwendung einer sog. Cookie-Jar (dt. Keksdose). In einem dafür vorgesehenen Speicher werden, unter einem Namen, der dem Programm bekannt ist, Werte abgelegt, die bei Bedarf wieder ausgelesen werden können. Der Untertschied zu einer einfachen Liste von Schlüssel-Wert-Paaren (engl. Key-Value-Store) ist, dass ein Cookie zusätzlich zu seinem Wert in der Regel ein Verfallsdatum hat. Es ist also festgelegt zu welchem Zeitpunkt der Cookie ungültig wird, und der darin verwendete Wert nicht mehr benutzt werden darf. In diesem Fall muss das Programm dann eine alternative Methode anwenden, um die Daten zu erneuern. Dieses Entwurfsmuster wird in vielen Fällen verwendet, bei denen eine volatile Information gespeichert werden soll, deren Wert nach einer bestimmten Zeit keine Gültigkeit mehr besitzt.
Eine besondere Rolle kommt den Cookies in der Web-Programmierung zu: Das Hypertext-Transfer-Protokoll (HTTP) ist ein zustandsloses Protokoll. Fordert ein Webbrowser ein Dokument von einem Server an, so baut er zunächst eine TCP/IP-Verbindung zu dem Zielserver auf. Dann schickt er über diese Verbindung eine Zeichenkette, den sog. Request-String in der angegeben ist, welches Dokument der Client gerne hätte. Der Server sucht das gewünschte Dokument heraus, und überträgt es zurück an den Client. Sobald dieser die Antwort vollständig erhalten hat, wird die TCP/IP-Verbindung wieder abgebaut.
Klickt die Benutzer*in nun z.B. auf einen Link, wiederholt sich der Vorgang. Der Server weiß dabei nicht, dass genau dieser Client gerade eben schon einmal ein Dokument angefordert hat. Dieses Vorgehen ist besonders bei stark frequentierten Servern sehr wichtig, da offene TCP/IP-Verbindungen Arbeitsspeicher und Netzwerkressourcen benötigen, und selbst der leistungsfähigste Server kaum in der Lage wäre tausende oder gar Millionen gleichzeitige Verbindungen zu unterhalten.
Bei der bloßen Auslieferung eines einzelnen Dokuments ist das kein Problem, aber was wenn sich die Benutzer*in bei der Seite anmelden möchte? In diesem Fall schickt der Server in der Antwort einer erfolgreichen Anmeldung ein Cookie mit. Dieses Cookie wird auf dem Rechner der Benutzer*in gespeichert, und bei allen folgenden Anfragen wieder mitgeschickt. So weiß der Server, dass diese Benutzer*in angemeldet ist, und stellt die entsprechenden Dienste zur Verfügung. Die Gültigkeit des Cookies endet in der Regel, wenn die Benutzer*in den _Abmelden-_Knopf bedient oder den Browser schließt. Die meisten Cookies laufen auch nach einigen Minuten der Untätigkeit aus, sodass ein vergessenes Logout Dritten keinen Zugriff auf das Konto erlaubt.
Ein anderes Beispiel für die sinnvolle Verwendung von Cookies sind Warenkörbe in Online-Shops: Hier werden die Artikelnummern der von der Kundi*in ausgewählten Waren in einem Cookie gespeichert, damit diese nacheinander ausgewählt und dann in einem einzelnen Vorgang gemeinsam bezahlt werden können.
Tracking
Alle diese Cookies lassen sich auch zum Verfolgen der Nutzeraktivitäten, auch über die Grenzen von Webseiten hinweg, verwenden. Das funktioniert ganz einfach so, das an einem Tracking teilnehmende Webseiten, sofern dies noch nicht vorhanden ist, ein Cookie setzen, dass einen zufällig generierten Wert enthält. Der Name dieses Cookies wird mit allen anderen Teilnehmer geteilt. Jeder Server lässt sich dann bei einem Aufruf seiner Seite den Inhalt dieses Cookies vom Browser zeigen. Im einfachsten Fall erkennt der Server dann den Client wieder und weiß, diese Benutzer*in war hat zuvor die Seite XYZ besucht.
Natürlich lassen sich, wenn die Benutzer*in auf XYZ persönliche Daten hinterlassen hat, diese mit Hilfe des Cookies auch an den Betreiber der zweiten Webseite übertragen. So kommt es dann, dass eine Benutzer*in, die sich eben noch in einem Webshop Bettwäsche angesehen hat auf der Seite ihres Social-Media-Anbieters plötzlich Werbung für Kopfkissenbezüge angezeigt bekommt.
Komplikationen
Das EUGH-Urteil erklärt nun alle diese Cookies für Einwilligungspflichtig, wobei eine Grenze für technisch notwendige Cookies (wie z.B. Anmelde-Seiten) nicht klar gezogen wird. Im harmlosesten Fall führt dies zu weiteren Clickorgien für die Benutzer*innen von Webseiten, weil das Cookie-Banner nun jedes einzelne Cookie einzeln per Häkchen bestätigt haben will. Im schlimmsten Fall führt es dazu, dass gerade datensparsame Dienste gar nicht mehr legal angeboten werden können.
Als Beispiel sei diese Seite genannt: Jeder der will kann hier einen Kommentar hinterlassen. Ich moderiere diese Kommentare zwar, um Spam- und auch strafwürdige Hasskommentare zu entfernen bevor sie erscheinen, im Grunde kann hier aber jeder kommentieren.
Die DSGVO zwingt mich alledings dazu, von Benutzer*innen, deren Daten ich speichere, ein explizites Einverständnis zu verlangen, damit ich den geschriebenen Kommentar auf meinem Server speichern darf. Das ist an sich schon widersinnig, da die wenigsten Benutzer*innen wohl auf Speichern klicken, wenn sie nicht wollen, dass ihr Kommentar hier erscheint.
Da ich mir irgendwie merken muss, dass die Benutzer*in das Einverständnis gegeben hat, muss ich eigens dafür ein Cookie anlegen, was wiederum dazu führt, dass diese Seite ein Cookie-Banner anzeigt, bei dem die Benutzer*in akzeptieren muss, dass diese Seite Cookies verwendet. Auch diese Entscheidung wird wiederum in einem Cookie gespeichert. Auf dieser Webseite sind das tatsächlich die einzigen beiden Cookies, die überhaupt gesetzt werden. Die Cookie-Regelung der DSGVO, deren Ziel es ist die Verwendung von Cookies möglichst einzuschränken, zwingt mich also, Cookies zu verwenden, die ansonsten nicht gebraucht würden. Durch die Erhebung der Daten bin ich dazu gezwungen in meiner Datenschutzerklärung zu erklären, welche Daten ich nicht erhebe, und wie ich die nicht erhobenen Daten an Dritte weitergebe (nämlich gar nicht). Wie man so etwas juristisch wasserdicht formuliert, ohne sich in eine Abmahnfalle zu begeben, weiß ich noch nicht.
Aber es geht noch absurder: Ich binde gelegentlich in meine Artikel You-Tube Videos ein. Damit You-Tube eure Daten nicht bekommt, wenn euch die Videos nicht interessieren, ist da ein Plugin eingebaut, dass die Verbindung zu Youtube erst zulässt, wenn ihr auf das Vorschaubild klickt.
Mit dem Urteil im Hinterkopf müsste ich euch eigentlich Fragen, ob ihr damit einverstanden seid, dass es diese Links gibt, die potentiell eine Verbindung zu Youtube aufbauen, und euch darüber belehren was passiert, wenn ihr das anklickt. Und wenn ihr dann auf ein Video klickt, hieße das, dass erneut eine Box auftaucht, die euer Einverständnis für die tatsächlich auftretenden Cookies einholt. Und das bei jedem Video erneut.
Meine Voraussage ist, dass die Benutzer*innen, wenn das so kommt, dazu erzogen werden überall nur Haken zu setzen und auf OK zu klicken, damit sie endlich den gewünschten Inhalt zu sehen bekommen. Dieser Effekt ist jetzt schon zu bemerken, und mehr Haken machen das nicht besser.
Zudem komme ich als Webseitenbetreiber in die Bredouille: Selbst wenn ich mich Datenschutzkonform verhalten will, werde ich das in Zukunft wohl nicht mehr können. Das Gericht stellt nämlich fest, dass die Ablehnung von Cookies nicht zur Folge haben darf, dass die Funktion der Webseite in irgendeiner Weise eingeschränkt ist. Bei Tracking-Cookies ist das noch leicht machbar, der oben beschriebene Mechanismus Anmelde-Sitzungen zu verfolgen oder Warenkörbe anzulegen ist dann schlicht nicht mehr umsetzbar.
Die Richter des EUGH merken dazu lapidar an, es sei die Pflicht von Softwareentwicklern Lösungen zu schaffen, die ohne eine Austausch von Cookies oder Cookie-Ähnlichen Daten zwischen Server und Client auskommt. Das ist in etwa so, als würde der EUGH beschließen, dass die Kreis-Zahl Pi ab morgen gleich 3 ist, und dann sagt es sei die Aufgabe der Mathematiker einen Weg zu finden, wie man trotzdem einen Kreis zeichnen kann; mit der Maßgabe dass der Rest der Mathematik davon unangetastet zu sein hat.
Welche Auswirkungen das am Ende auf das Internet hat, bleibt abzuwarten. So wichtig es ist, gegen das uferlose Tracking von Benutzer*innen vorzugehen, so wenig sehe ich in der derzeitigen europäischen Rechtslage ein geeignetes Werkzeug dazu. Anstatt die Erhebung von Daten zu Werbezwecken generell strikt einzuschränken, wird die Verantwortung auf Nutzer*innen abgewälzt, die immer komplexere Formulare ausfüllen müssen, nur um eine Webseite zu besuchen.
Und letztlich trifft es auch kleine, private Webseitenbetreiber (disclaimer: ich fühle mich da auch betroffen), die diverse juristische Rollen rückwärts machen müssen, um sich gegen die Szenarien abzusichern, die Daten betreffen, die sie gar nicht erheben.
So gesehen hat meine anfängliche Freude über die DSGVO sich inzwischen in eine recht ausgeprägte Skepsis verwandelt, da ich befürchte das der Betrieb einer eigenen Webseite bald nur noch Unternehmen möglich sein wird, die sich eine Rechtsabteilung leisten können. Die gewünschte Pluralität im Internet erzeugt das jedenfalls nicht.