I. Cookies
Was sind eigentlich Cookies?
Hierbei handelt es sich meist um einen kurzen Eintrag in eine kleine Datenbank oder ein spezielles Datenverzeichnis auf dem Computer des Benutzers. Sie werden meist benötigt für den Austausch von Informationen zwischen Software und bedeutet eine temporär beschränkte Archivierung von Informationen. Es sind also Informationen, die der Betreiber einer Webseite auf dem Rechner des Nutzers auf Dauer anlegen möchte. Die gängigen Web-Browser sind so eingestellt, dass das Ablegen von Cookies meist automatisch und unbemerkt erfolgt. Die meisten Webseiten, die kommerziell genutzt werden, implementieren meist solche Cookies auf den Rechnern der User. Dies hat datenschutzrechtlich erhebliche Konsequenzen. Denn diese „Kekse“ (Cookies) werden in sehr unterschiedlicher Art und Weise auf den Speichermedien der User abgelegt und können wenn überhaupt nur sehr schwer aufgefunden werden. Selbst wenn das Auffinden einem „normalen Benutzer“ gelingt, werden die angezeigten Informationen zunächst scheinbar keinen Sinn ergeben, da sie meist kryptisch und verschlüsselt sind.
Was befindet sich in diesen Cookie-Dateien?
In den meisten Fällen enthalten diese Cookies Informationen wie IP-Adresse des Webseitenbetreibers, von dem diese Cookies stammen, sowie die IP-Adresse des Internetnutzers. Auf diese Art und Weise erkennt Browser und Webseitenbetreiber, wem die dort niedergelegten Informationen bekannt sein dürfen bzw. sollen. Dabei werden diese Informationen nicht nur auf der Festplatte des Benutzers gespeichert, sondern sollen bei der nächsten Session der entsprechenden Webseite des Betreibers auch wieder verfügbar und abgefragt werden können. Der Cookie-Inhalt wird auf diese Art und Weise wieder zurück an den Betreiber der entsprechenden Webseite gegeben, damit für den Benutzer des Internetangebots ein Wiedererkennungseffekt eintreten kann.
Wie lange sind diese Cookie-Dateien auf dem Server oder Rechner gespeichert?
Diese Frage beantwortet allein der Wille des Verwenders der jeweiligen Cookies. Die große Suchmaschine Google etwa hatte bis 2007 Ihre Cookies so programmiert, dass diese Informationen für einen Zeitraum von 30 Jahren auf den lokalen Rechnern der User vorgehalten wurden. Danach wurde von Google angekündigt, die „Lebensdauer“ ihrer Cookies auf zwei Jahre zu reduzieren. Dies geschah aufgrund zum Teil heftiger Kritik von Datenschützern. Auch dieser Zeitraum erscheint aus heutiger Sicht noch enorm, zumal aufgrund der heutigen Debatte zur Vorratsdatenspeicherung schon ein Zeitraum von einigen Monaten von Datenschützern als deutlich zu lang kritisiert wird.
Die IP-Adressen hatte Google übrigens ursprünglich unbegrenzt, danach 18 Monate lang aufbewahrt. Mittlerweile ist der Zeitraum auf neun Monate geschrumpft.
Werden alle Cookies solange gespeichert?
Um diese Frage beantworten zu können, muss man sich den Cookie-Typus genau ansehen: so gibt es beispielsweise so genannte „Session-ID-Cookies“, deren Haltbarkeitsdatum meist nach dem Beenden einer entsprechenden Zeichen automatisch endet. Bei dieser Art von Cookies handelt es sich meist um „Hilfsmittel“, um mehrere zusammengehörige Anfragen eines Benutzers zu erkennen und einer Session zuzuordnen. Kauft man etwa in einem Webshop etwas ein und durchstöbert zuerst das Angebot, werden manche Artikel zunächst in den Warenkorb geschoben und führt später zur Bestellung. Dabei handelt es sich um einen recht komplizierten Vorgang. Denn dieser Vorgang wird nicht durch „HTTP“ direkt unterstützt, da eine solche Anfrage nur eine einzige Webseite beträfe und sich so nicht gemerkt werden könnte, welche Benutzer dazugehört. Wenn mehrere Anfragen zusammengefasst und einem Benutzer zugeordnet werden müssen, muss mit jeder entsprechenden Anfrage eines Session-ID mitgeschickt werden. Diese Session-ID kann sich die entsprechende Anwendung merken und mehrere Anfragen einer einzelnen Internetsitzung zuordnen. Ist dann etwa längere Zeit nichts weiter durch den Benutzer passiert, werden solche Sitzungen in der Regel durch Time-out gelöscht oder entsprechend nach dem Verlassen der Webseite beendet. Dabei wird auch die Session-ID (also die Session-Kopie-Anwendung) ebenfalls gelöscht. Diese Session-ID-Cookies werden vom Server bei Beginn einer entsprechenden Sitzung gesetzt bzw. erzeugt. Dabei muss sie mit der Antwort des Servers vom Client übertragen werden und bei jedem weiteren Serverzugriff von diesem mitgeliefert werden. Mithilfe dieser eindeutigen Session-ID dieses Session-Cookie kann etwa der Warenkorb bei jedem Zugriff einem bestimmten Benutzer eindeutig zugeordnet werden.
Rechtliche Beurteilung
In datenschutzrechtlicher Hinsicht handelt es sich hierbei um ein höchst umstrittenes Feld. Aufgrund der Tatsache, dass entsprechende Einstellungen und Aktionen des Users gespeichert und erfasst werden, kann relativ unkompliziert ein entsprechendes Nutzerprofil erstellt werden. Somit kann man etwa entsprechende Referenzen und Vorlieben eines jeweiligen Kunden leicht erfassen. Das kennt jeder, der etwa auf Amazon schon mehrfach online bestellt hat. Dieses Thema nimmt an Präsenz dann zu, wenn entsprechend auch der Name oder andere personenbezogene Daten es Benutzers mit gespeichert werden. Aber auch die Speicherung einer entsprechenden IP-Adresse lässt grundsätzlich, wenn auch zum Teil eher theoretisch, eine Identifizierung einer konkreten Person zu.
Seit einigen Jahren wird leidenschaftlich darüber gestritten, ob eine IP-Adresse ein entsprechendes personenbezogenes Datum darstelle. Die derzeit herrschende Meinung geht davon aus, dass dies der Fall ist, in jedem Falle bei den statischen IPs. Eine Bestimmbarkeit der Daten liege dann vor, wenn durch zusätzliche Informationen klare Rückschlüsse auf bestimmte Personenkreise gezogen werden könnten. Auch die „Art. 29-Datenschutzgruppe“ geht von einem entsprechenden Personenbezug von IP-Adressen aus, wenn es sich um dynamische IP-Adressen handelt.
Zitat der Gruppe:
„[…] können Internet-Zugangsanbieter und -verwalter von lokalen Netzwerken ohne großen Aufwand Internet-Nutzer identifizieren, denen sie IP-Adressen zugewiesen haben, da sie in der Regel in Dateien systematisch Datum, Zeit, Dauer und die dem Internetnutzer zugeteilte dynamische IP-Adresse einfügen. Dasselbe lässt sich von den Internet-Diensteanbietern sagen, die in ihren http-Servern Protokolle führen. In diesen Fällen besteht kein Zweifel, dass man von personenbezogenen Daten im Sinne von Art. 2 a der Richtlinie 95/46/EG reden kann“.
Die Identifizierung von statischen IP-Adressen ist technisch weniger aufwändig, als die Rückverfolgung bei dynamischen. Gleichwohl wird auch davon ausgegangen, dass die dynamischen IP-Adressen ein personenbezogenes Datum darstellen. Auch die Gerichte gehen davon aus, dass dynamische IP-Adressen in Verbindung mit den jeweiligen Cookies und deren darin gespeicherten Daten so genannte personenbezogene Daten sind. Der EuGH wird in absehbarer Zeit genau zu dieser Grundsatzfrage ein Urteil erlassen, was in der Fachwelt mit allerhöchster Spannung erwartet wird.
Somit sind auch die natürlichen Personen bestimmbar im Sinne von § 3 Abs. 1 Bundesdatenschutzgesetz. Für die Frage, wie technisch aufwändig es ist, eine Person zu bestimmen, muss die Erwägung der Richtlinie 95/46/EG herangezogen werden. Darin ist festgehalten, das bei der Frage der Bestimmbarkeit alle Mittel zu berücksichtigen sind, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einer dritten Seite her eingesetzt werden können, um eine entsprechende Person zu identifizieren. Durch die Hilfe Dritter und die Zusammenführung der personenbezogenen Daten ist es ohne Aufwand in den meisten Fällen möglich, die Internetnutzer aufgrund der IP-Adresse herauszufinden. Damit ist die Verneinung des Personenbezugs von dynamischen IP-Adressen nicht mehr aufrechtzuerhalten.
Damit kommt man zu dem Ergebnis, dass die Verwendung von Cookies mit der Erhebung bestimmter personenbezogenen Daten verbunden sind. Damit greifen die datenschutzrechtlichen Bestimmungen des Bundesdatenschutzgesetzes: nach den dort niedergelegten allgemeinen datenschutzrechtlichen Grundsätzen bedarf es daher einer vorherigen konkreten Einwilligung des Users in die Verwendung dieser Cookies (§ 4a Bundesdatenschutzgesetz bzw. § 12 Abs. 1 Telemediengesetz), oder es bedarf einer gesetzlichen ausdrücklichen Erlaubnis.
Einwilligung anhand der Einstellungen des Browsers auf dem jeweiligen Rechner des Users
Eine entsprechende notwendige Einwilligung nach den oben genannten Bestimmungen könnte man zunächst darin sehen, dass der Benutzer des Browsers, der in aller Regel so eingestellt ist, dass er Cookies erlaubt, um den vollen Nutzungsumfang von Webseiten zu garantieren, gegeben wurde. Mindestens könnte man von einer konkludenten Einwilligung ausgehen, wenn entsprechende Einstellungen im Browser nicht vorgenommen werden, die das Setzen von Cookies verhindert. Diese Argumentation lässt sich allerdings aufgrund der Datenschutzrichtlinie nicht aufrechterhalten, die einerseits zwar durchaus darauf hinweist, dass die Nutzer-Einwilligung auch über die entsprechenden Einstellungen des Browsers gehandhabt werden können. Dies soll aber nur dann gelten, wenn diese Einwilligung auch technisch durchführbar und wirksam ist. Aber genau dieses „Wirksamkeitskriterium“ ist äußerst zweifelhaft. Eine Einwilligung im Sinne des § 4a Bundesdatenschutzgesetz erfordert in datenschutzrechtlicher Hinsicht eine „bewusste und informierte Entscheidung des jeweiligen Betroffenen“. Eine solche Einwilligung erscheint allerdings fraglich, wenn dem Benutzer eines Browsers sehr oft gar nicht bewusst ist, ob von den Werkseinstellungen her das Setzen von Cookies erlaubt wird oder nicht.
Wie oben beschrieben, sind die Werkseinstellungen meist so, dass das Setzen von Cookies generell erlaubt wird. Unter normalen Umständen wird man unterstellen müssen, dass ein durchschnittlicher User die Möglichkeiten nicht kennt, entsprechend die Cookies in Bezug auf die Verfolgung des eigenen Serfverhaltens, die Zwecke der Verfolgung usw. explizit einzustellen. Sehr viele User wissen eben nicht, wie konkret die Cookies in den Browser-Einstellungen gehandhabt werden können. Solange der Standard nicht so ist, dass Browser oder andere Anwendungen standardmäßig die Verwendung von Cookies ablehnen und eine positiv bejahte Handhabung vom jeweiligen User abfordert, kann von einer stillschweigenden Einwilligung nicht ausgegangen werden.
Aber es kommt noch ein weiterer wichtiger Aspekt hinzu: selbst wenn diese „Hürde“ genommen würde und man mit einer entsprechenden Einwilligung durch die Browsereinstellungen das Setzen von Cookies als wirksamer Einwilligung im Sinne der datenschutzrechtlichen Bestimmungen sieht, wird es bei dem Erfordernis der „Bestimmtheit“ äußerst schwierig. Eine Einwilligung nach datenschutzrechtlichen Gesichtspunkten ist nämlich nur dann zulässig, wenn Sie konkret und bestimmt ist. Damit scheidet ein generelles Einverständnis in die Verwendung von Daten aus.
Wenn also entsprechende Cookies auch personenbezogene Daten beinhalten, setzt deren Verwendung eine eindeutige Zustimmung des Users voraus. Ansonsten kann nur noch eine gesetzliche Genehmigung weiterhelfen.
Genehmigung nach § § 14,15 BTMG
Wer gewerbsmäßig eine Webseite betreibt, unterliegt als „Diensteanbieter“ dem Anwendungsbereich des Telemediengesetzes. Dabei kommt es auf die Gewerbsmäßigkeit nicht an, sondern auf die Tatsache, dass elektronische Information- und Kommunikationsdienste, die nicht Telekommunikationsdienste nach Telekommunikationsgesetz darstellen, verwendet werden. Dem Telemediengesetz unterfallen damit immer Webseiten und andere Internetangebote, wie Meinungsforen, Online-Games, Weblogs usw. Auch Online-Shops und andere Bestelldienste und Plattformen sowie Internetauktionen und Suchmaschinen unterliegen diesen Regelungen. Damit greifen die §§ 11-15a Telemediengesetz. Diese gehen lex spezialis den Vorschriften des Bundesdatenschutzgesetzes vor.
Gemäß § 12 Abs. 1 Telemediengesetz darf der Diensteanbieter zur Bereitstellung von Telemedien nur personenbezogene Daten erheben und verwenden, wenn das Telemediengesetz unmittelbar oder andere entsprechende Rechtsvorschriften dies erlauben und sich ausdrücklich auf Telemedien beziehen. Außerdem muss der Nutzer explizit eingewilligt haben. Diese Einwilligung kann, wie oben bereits beschrieben, durch die Browser-Einstellungen des Users allein hinsichtlich der Verwendung von Cookies nicht angenommen werden.
Die Fortsetzung dieses Blogs folgt …
