Großbritannien setzt Beschränkung von Nutzertracking um
Großbritannien hat am vergangenen Samstag jenen Teil der EU-Richtlinie 2009/136/EG umgesetzt, der vereinfacht gesagt Webseiten-Betreiber dazu verpflichtet, Cookies nur nach einer Einverständniserklärung von seiten des Nutzers setzen zu dürfen. Bislang hält sich die Befolgung allerdings noch in Grenzen.
Die Richtlinie 2009/136/EG, die ihrerseits die Vorgänger-Richtlinie 2002/22/EG modifiziert, sieht eigentlich eine nationale Umsetzungsfrist bis zum 25. Mai 2011 vor, jedoch haben viele Mitgliedsstaaten die Richtlinie nicht oder nur teilweise – wie etwa Großbritannien – in nationales Recht transformiert.
Wie in den nachstehenden Klapptexten zu sehen ist, schreibt die Richtlinie vor, dass jeder, der Informationen auf einem Gerät eines Nutzers speichern beziehungsweise darauf zugreifen will, dessen Erlaubnis benötigt. Bei der Einholung dieser muss der Nutzer klar und deutlich informiert werden, worum es bei dieser Abfrage genau geht. Gemeinhin wird das als „Opt-In“-Lösung bezeichnet. Als Ausnahme wird aufgeführt, dass derlei bei technisch zwingend notwendigen Vorgängen entfallen kann. Hierbei sei jedoch angemerkt, dass diese „technische Notwendigkeit“ von einem objektiven Standpunkt aus gegeben sein muss und nicht in der Definitionshoheit des jeweiligen Dienstleisters liegt.
„(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Als Beweggründe für diese rechtliche Festlegung findet sich in der Richtlinie folgender im Klapptext verborgener Grund.
Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereit gestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.
In Großbritannien ist mit der praktischen Umsetzung und Überwachung dieses Gesetzes das Informations Commissioner's Office – ICO - beauftragt. Derzeit handhabt es diese Position aber noch recht nachsichtig und bemüht sich nach eigenen Angaben vorerst darum, Firmen bei der Umsetzung dieser Pflichten beizustehen und sie zu unterstützen. Eine rigidere Kontrolle wird mit der Zeit aber wohl dennoch kommen, dann drohen säumigen Firmen Geldstrafen von bis zu 500.000 Britischen Pfund. Einem Bericht der BBC zufolge sind derzeit jedoch noch viele britische Webauftritte mit der Umsetzung säumig, darunter auch jene der britischen Regierung. Diese gab hierzu bekannt, dass man eine Umsetzung am nächst möglichen Termin anstrebe. Hierbei ist zu erwähnen, dass es in Großbritannien seit dem 26. Mai 2011 eine insgesamt zwölfmonatige Umsetzungsfrist für die betroffenen Personen und Unternehmen gab, die, wie schon erwähnt, vergangenes Wochenende ablief.
Jene, die diese Vorgaben erfüllt haben, wählten laut BBC überwiegend Pop-Up-Abfragen, mit denen die Nutzer um ihr Einverständnis gefragt und in denen näher erläutert wird, welche Cookies im Falle einer Zustimmung gespeichert werden.
In Deutschland wurde die Richtlinie ebenfalls nur teilweise umgesetzt, der Teil betreffend der Zustimmung des Nutzers zu Informationsspeichervorgängen auf seinen Geräten befindet sich nicht darunter. Von so mancher Seite wird das dem Einfluss der Onlinewerbebranche zugeschrieben. Diese soll sich vorerst erfolgreich für eine Aussparung dieses Teiles von der Umsetzung der Richtlinie eingesetzt haben. Auch soll die Werbewirtschaft anstatt der vorgeschriebenen „Opt-In“-Regelung eine „Opt-Out“-Variante vorziehen. Bei dieser müssten Nutzer dann nicht explizit zustimmen, sondern explizit ablehnen, dass beispielsweise Cookies oder andere Informationen auf ihren Systemen gespeichert oder abgerufen werden. Diese Haltung dürfte darin gegründet sein, dass bei einer „Opt-Out“-Lösung viele Nutzer mangels Kenntnis dieser Möglichkeit sie wohl erst gar nicht nutzen würden.
Eine Richtlinie ist ein mittelbarer Sekundärrechtsakt der Union, er entfaltet (außer in Ausnahmefällen) keine direkten Wirkungen auf Unionsbürger. Dafür müssen die Mitgliedsstaaten eigene Akte der Umsetzung erlassen, das Unionsrecht also in innerstaatliches Recht „transformieren“. Zur Umsetzung aller Richtlinien haben sich die Mitgliedsstaaten bei ihrem Beitritt zur EU verpflichtet. Das hat zur Folge, dass bei Säumigkeit bei der Umsetzung ein von der Kommission initiiertes Vertragsverletzungsverfahren nach Artikel 258 ff AEUV drohen kann. Das kann in letzter Konsequenz auch zu Geldstrafen durch die Kommission führen.
Im Podcast erinnern sich Frank, Steffen und Jan daran, wie im Jahr 1999 alles begann.