Die "Artikel 29"-Arbeitsgruppe der europäischen Datenschutzbeauftragten hat in ihrer jüngsten Empfehlung die Auswirkungen der "e-privacy"- Richtlinie (Richtlinie 2002/58/EG) auf den Gebrauch von "Cookies" analysiert. Laut der im Jahr 2009 überarbeiteten Richtlinie braucht man im Prinzip die Einwilligung des Nutzers damit Cookies auf dessen Computer hinterlegt werden dürfen. In ihrer Stellungnahme befasste sich die Gruppe vor allem mit den Ausnahmen zu diesem Prinzip des "Opt-in".
Was sind "Cookies"?
Cookies sind kleine Textinformationen, die auf der Festplatte des Nutzers vom Server der besuchten Seite oder von einem anderen Server (Werbenetzwerk, Webanalyse, usw.) hinterlegt werden. Der Browser (Internet Explorer, Firefox,Chrome, Safari, usw.) verwaltet die Cookies im PC und ermöglicht es dem Anwender auf diese zuzugreifen. In der Regel werden Cookies verwendet, um die spätere Nutzung einer Webseite von der gleichen Person zu erleichtern. So kann ein Nutzer bei einem zweiten Besuch "wiedererkannt" werden weil vorher seine Einstellungen gespeichert wurden, es wird sich an die gewählte Sprache "erinnert" oder an die Produkte, die er bei einem abgebrochenen Einkauf in der Warenkorb gelegt hat.
Allerdings wirft die Nutzung von Cookies viele Fragen bezüglich der Privatsphäre auf, vor allem wenn sie zu Werbezwecken oder zur Profilbildung benutzt werden. Diese Problematik wurde von der Arbeitsgruppe in ihrer Stellungnahme 2/2010 (WP 171) zur Werbung auf Basis von Behavioural Targeting im Detail analysiert. In diesem Fall spricht man von "third party cookies", weil sie von einer dritten Seite platziert werden, die nicht mit dem Website-Betreiber identisch ist.
Ausnahmen zum Prinizip der Einwilligung des Nutzers
Gemäß Artikel 5 Absatz 3 der Richtlinie "e-privacy", ist es in den folgenden zwei Fällen möglich, einen "Cookie" ohne vorherige Zustimmung des Nutzers zu platzieren:
- Der alleinige Zweck des Cookies ist "die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz";
- Der Cookie ist "unbedingt erforderlich, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen".
Zu den Ausnahmen gehören die sogenannten "user-input cookies" oder "session-id cookies" (wenn der Nutzer ein Formular ausfüllt oder einen Warenkorb füllt), die "multimedia player session cookies" (diese speichern die technischen Daten um Video- und Audioinhalte abspielen zu können), und die "user interface customization cookies" (die beispielsweise Voreinstellungen wie die Sprachpräferenzen speichern).
Im Bezug auf die Cookies, die für die Webanalyse benutzt werden, ist die Arbeitsgruppe der Ansicht daß sie kein Risiko für die Privatsphäre darstellen, wenn sie direkt von der besuchten Seite (und nicht von Drittparteien) zu rein statistischen Zwecken plaziert werden und wenn den Besucher mitgeteilt wird, wofür die Daten erhoben werden. Es bleibt allerdings nötig die Einwilligung des Nutzers zu bekommen bevor ein Cookie dieser Kategorie plaziert werden darf.
Viele soziale Netzwerke benutzen Social Plugins, die auf anderen Webseiten integriert werden um es den Besuchern zu ermöglichen Inhalte mit ihren "Freunden" zu teilen. Solche Plugins speichern und greifen auf Cookies zu und erlauben es dem sozialen Netzwerk seine Mitglieder zu identifizieren wenn diese Plugins benutzt werden. Handelt es sich um ein Mitglied, braucht man seine vorherige Zustimmung nicht. Eine Einwilligung sei jedoch erforderlich, wenn soziale Plugins von Drittparteien zu anderen Zwecken genutzt werden als dem Nutzer einen ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen. So dürfen soziale Plugins keinesfalls benutzt werden um Nutzer über mehrere Internetseiten hinweg zu verfolgen oder Daten von Nicht-Mitgliedern ohne ihre Einwilligung zu speichern.