Für und Wider der Cookie-Entscheidung des EUGH

Der EuGH hat in der vergangenen Woche in einer aufsehenerregenden Entscheidung entschieden, dass die deutsche Umsetzung der sog. „Cookie-Richtlinie“ nicht den Bestimmungen des Europarechts entspricht. 

Laut dem Telemediengesetz ist es derzeit ausreichend, wenn Benutzer  über die Speicherung von Cookies nur informiert werden, das Gericht verlangt eine ausdrückliche Zustimmung durch die Benutzer*in.

Auslöser war eine Klage des Vereins Verbraucherzentrale Bundesverband (vzbv) gegen den Gewinnspielanbieter Planet49. Dieser verwendet auf seiner Seite Cookies zum Tracking, hat aber das Häkchen, das anzeigt, dass die Anwenderin mit der Speicherung der Cookies einverstanden ist bereits vorausgefüllt. Somit war von Benutzerseite eine Aktion erforderlich um das akzeptieren der Cookies zu unterbinden. 

Der EUGH hat nun entschieden, dass dieses Vorgehen keine aktive Einwilligung darstellt, wie sie in der  Datenschutzgrundverordnung (DSGVO) festgelegt ist.

Das ist auf den ersten Blick zunächst mal gut, und entspricht auch für mich als juristischen Laien dem, was ich als Geist der Verordnung sehe, nämlich das die Benutzer*in eines Angebots, der Speicherung jeglicher Daten die bei diesem Vorgang anfallen explizit zustimmen muss. Im vorliegenden Fall ist das völlig richtig, hier hatte der Anbieter das Ich-bin-mit-der-Speicherung-einverstanden-Häkchen bereits gesetzt, sodass sich die User*in aktiv gegen eine Speicherung entscheiden muss. 

Dem Gericht zufolge ist diese Einwilligung notwendig, auch dann wenn die gespeicherten Daten weder persönlicher Natur sind, noch an Dritte übertragen werden. 

Damit steht diese Lesart im Widerspruch zum Telemediengesetz, dass bei Cookies, die keine persönlichen Daten enthalten, eine Information ausreichend ist.

Und genau hier beginnt das Problem: Was im beurteilten Fall logisch erscheint, entpuppt sich bei näherem Hinsehen als ziemlich kompliziert. Fangen wir mit der Frage an, was Cookies eigentlich sind.

Was sind diese Cookies, von denen alle reden?

In der Informatik gibt es verschiedene Arten von Daten. Einige Daten sind persistent und werden inner halb einer, oder auch mehrere Programme hinweg verwendet. Andere, wie zum Beispiel persönliche Einstellungen von Benutzer*innen, sind für jeden Fall in dem das Programm verwendet wird anders. Um mit solchen Daten umzugehen, gibt es verschiedene Möglichkeiten. Bei Daten, die nur für die Dauer der Anwendung benötigt werden ist ein gebräuchliches Entwurfsmuster die Verwendung einer sog. Cookie-Jar (dt. Keksdose). In einem dafür vorgesehenen Speicher werden, unter einem Namen, der dem Programm bekannt ist, Werte abgelegt, die bei Bedarf wieder ausgelesen werden können. Der Untertschied zu einer einfachen Liste von Schlüssel-Wert-Paaren (engl. Key-Value-Store) ist, dass ein Cookie zusätzlich zu seinem Wert in der Regel ein Verfallsdatum hat. Es ist also festgelegt zu welchem Zeitpunkt der Cookie ungültig wird, und der darin verwendete Wert nicht mehr benutzt werden darf. In diesem Fall muss das Programm dann eine alternative Methode anwenden, um die Daten zu erneuern. Dieses Entwurfsmuster wird in vielen Fällen verwendet, bei denen eine volatile Information gespeichert werden soll, deren Wert nach einer bestimmten Zeit keine Gültigkeit mehr besitzt. 

Eine besondere Rolle kommt den Cookies in der Web-Programmierung zu: Das Hypertext-Transfer-Protokoll (HTTP) ist ein zustandsloses Protokoll. Fordert ein Webbrowser ein Dokument von einem Server an, so baut er zunächst eine TCP/IP-Verbindung zu dem Zielserver auf. Dann schickt er über diese Verbindung eine Zeichenkette, den sog. Request-String in der angegeben ist, welches Dokument der Client gerne hätte. Der Server sucht das gewünschte Dokument heraus, und überträgt es zurück an den Client. Sobald dieser die Antwort vollständig erhalten hat, wird die TCP/IP-Verbindung wieder abgebaut. 

Klickt die Benutzer*in nun z.B. auf einen Link, wiederholt sich der Vorgang. Der Server weiß dabei nicht, dass genau dieser Client gerade eben schon einmal ein Dokument angefordert hat. Dieses Vorgehen ist besonders bei stark frequentierten Servern sehr wichtig, da offene TCP/IP-Verbindungen Arbeitsspeicher und Netzwerkressourcen benötigen, und selbst der leistungsfähigste Server kaum in der Lage wäre tausende oder gar Millionen gleichzeitige Verbindungen zu unterhalten.

Bei der bloßen Auslieferung eines einzelnen Dokuments ist das kein Problem, aber was wenn sich die Benutzer*in bei der Seite anmelden möchte? In diesem Fall schickt der Server in der Antwort einer erfolgreichen Anmeldung ein Cookie mit. Dieses Cookie wird auf dem Rechner der Benutzer*in gespeichert, und bei allen folgenden Anfragen wieder mitgeschickt. So weiß der Server, dass diese Benutzer*in angemeldet ist, und stellt die entsprechenden Dienste zur Verfügung. Die Gültigkeit des Cookies endet in der Regel, wenn die Benutzer*in den Abmelden-Knopf bedient oder den Browser schließt. Die meisten Cookies laufen auch nach einigen Minuten der Untätigkeit aus, sodass ein vergessenes Logout Dritten keinen Zugriff auf das Konto erlaubt. 

Ein anderes Beispiel für die sinnvolle Verwendung von Cookies sind Warenkörbe in Online-Shops: Hier werden die Artikelnummern der von der Kundi*in ausgewählten Waren in einem Cookie gespeichert, damit diese nacheinander ausgewählt und dann in einem einzelnen Vorgang gemeinsam bezahlt werden können. 

Tracking

Alle diese Cookies lassen sich auch zum Verfolgen der Nutzeraktivitäten, auch  über die Grenzen von Webseiten hinweg, verwenden. Das funktioniert ganz einfach so, das an einem Tracking teilnehmende Webseiten, sofern dies noch nicht vorhanden ist, ein Cookie setzen, dass einen zufällig generierten Wert enthält. Der Name dieses Cookies wird mit allen anderen Teilnehmer geteilt. Jeder Server lässt sich dann bei einem Aufruf seiner Seite den Inhalt dieses Cookies vom Browser zeigen. Im einfachsten Fall erkennt der Server dann den Client wieder und weiß, diese Benutzer*in war hat zuvor die Seite XYZ besucht. 

Natürlich lassen sich, wenn die Benutzer*in auf XYZ persönliche Daten hinterlassen hat, diese mit Hilfe des Cookies auch an den Betreiber der zweiten Webseite übertragen. So kommt es dann, dass eine Benutzer*in, die sich eben noch in einem Webshop Bettwäsche angesehen hat auf der Seite ihres Social-Media-Anbieters plötzlich Werbung für Kopfkissenbezüge angezeigt bekommt.

Komplikationen

Das EUGH-Urteil erklärt nun alle diese Cookies für Einwilligungspflichtig, wobei eine Grenze für technisch notwendige Cookies (wie z.B. Anmelde-Seiten) nicht klar gezogen wird. Im harmlosesten Fall führt dies zu weiteren Clickorgien für die Benutzer*innen von Webseiten, weil das Cookie-Banner nun jedes einzelne Cookie einzeln per Häkchen bestätigt haben will. Im schlimmsten Fall führt es dazu, dass gerade datensparsame Dienste gar nicht mehr legal angeboten werden können. 

Als Beispiel sei diese Seite genannt: Jeder der will kann hier einen Kommentar hinterlassen. Ich moderiere diese Kommentare zwar, um Spam- und auch strafwürdige Hasskommentare zu entfernen bevor sie erscheinen, im Grunde kann hier aber jeder kommentieren. 

Die DSGVO zwingt mich alledings dazu, von Benutzer*innen, deren Daten ich speichere, ein explizites Einverständnis zu verlangen, damit ich den geschriebenen Kommentar auf meinem Server speichern darf. Das ist an sich schon widersinnig, da die wenigsten Benutzer*innen wohl auf Speichern klicken, wenn sie nicht wollen, dass ihr Kommentar hier erscheint. 

Da ich mir irgendwie merken muss, dass die Benutzer*in das Einverständnis gegeben hat, muss ich eigens dafür ein Cookie anlegen, was wiederum dazu führt, dass diese Seite ein Cookie-Banner anzeigt, bei dem die Benutzer*in akzeptieren muss, dass diese Seite Cookies verwendet. Auch diese Entscheidung wird wiederum in einem Cookie gespeichert. Auf dieser Webseite sind das tatsächlich die einzigen beiden Cookies, die überhaupt gesetzt werden. Die Cookie-Regelung der DSGVO, deren Ziel es ist die Verwendung von Cookies möglichst einzuschränken, zwingt mich also, Cookies zu verwenden, die ansonsten nicht gebraucht würden. Durch die Erhebung der Daten bin ich dazu gezwungen in meiner Datenschutzerklärung zu erklären, welche Daten ich nicht erhebe, und wie ich die nicht erhobenen Daten an Dritte weitergebe (nämlich gar nicht). Wie man so etwas juristisch wasserdicht formuliert, ohne sich in eine Abmahnfalle zu begeben, weiß ich noch nicht. 

Aber es geht noch absurder: Ich binde gelegentlich in meine Artikel You-Tube Videos ein. Damit You-Tube eure Daten nicht bekommt, wenn euch die Videos nicht interessieren, ist da ein Plugin eingebaut, dass die Verbindung zu Youtube erst zulässt, wenn ihr auf das Vorschaubild klickt. 

Mit dem Urteil im Hinterkopf müsste ich euch eigentlich Fragen, ob ihr damit einverstanden seid, dass es diese Links gibt, die potentiell eine Verbindung zu Youtube aufbauen, und euch darüber belehren was passiert, wenn ihr das anklickt. Und wenn ihr dann auf ein Video klickt, hieße das, dass erneut eine Box auftaucht, die euer Einverständnis für die tatsächlich auftretenden Cookies einholt. Und das bei jedem Video erneut. 

Meine Voraussage ist, dass die Benutzer*innen, wenn das so kommt, dazu erzogen werden überall nur Haken zu setzen und auf OK zu klicken, damit sie endlich den gewünschten Inhalt zu sehen bekommen. Dieser Effekt ist jetzt schon zu bemerken, und mehr Haken machen das nicht besser. 

Zudem komme ich als Webseitenbetreiber in die Bredouille: Selbst wenn ich mich Datenschutzkonform verhalten will, werde ich das in Zukunft wohl nicht mehr können. Das Gericht stellt nämlich fest, dass die Ablehnung von Cookies nicht zur Folge haben darf, dass die Funktion der Webseite in irgendeiner Weise eingeschränkt ist. Bei Tracking-Cookies ist das noch leicht machbar, der oben beschriebene Mechanismus Anmelde-Sitzungen zu verfolgen oder Warenkörbe anzulegen ist dann schlicht nicht mehr umsetzbar. 

Die Richter des EUGH merken dazu lapidar an, es sei die Pflicht von Softwareentwicklern Lösungen zu schaffen, die ohne eine Austausch von Cookies oder Cookie-Ähnlichen Daten zwischen Server und Client auskommt. Das ist in etwa so, als würde der EUGH beschließen, dass die Kreis-Zahl Pi ab morgen gleich 3 ist, und dann sagt es sei die Aufgabe der Mathematiker einen Weg zu finden, wie man trotzdem einen Kreis zeichnen kann; mit der Maßgabe dass der Rest der Mathematik davon unangetastet zu sein hat. 

Welche Auswirkungen das am Ende auf das Internet hat, bleibt abzuwarten. So wichtig es ist, gegen das uferlose Tracking von Benutzer*innen vorzugehen, so wenig sehe ich in der derzeitigen europäischen Rechtslage ein geeignetes Werkzeug dazu. Anstatt die Erhebung von Daten zu Werbezwecken generell strikt einzuschränken, wird die Verantwortung auf Nutzer*innen abgewälzt, die immer komplexere Formulare ausfüllen müssen, nur um eine Webseite zu besuchen. 

Und letztlich trifft es auch kleine, private Webseitenbetreiber (disclaimer: ich fühle mich da auch betroffen), die diverse juristische Rollen rückwärts machen müssen, um sich gegen die Szenarien abzusichern, die Daten betreffen, die sie gar nicht erheben. 

So gesehen hat meine anfängliche Freude über die DSGVO sich inzwischen in eine recht ausgeprägte Skepsis verwandelt, da ich befürchte das der Betrieb einer eigenen Webseite bald nur noch Unternehmen möglich sein wird, die sich eine Rechtsabteilung leisten können. Die gewünschte Pluralität im Internet erzeugt das jedenfalls nicht.

 

DGSVO – Der große Wurf?

Kaum ein Thema hat die Netzgemeinde in den letzten Wochen so in Atem gehalten wie die neue Datenschutz Grundverordnung der Europäischen Union. In der Folge ihres Inkrafttretens haben viele kleine Blogger in schierer Panik ihre Blogs geschlossen, Accounts gelöscht und dies medienwirksam mitgeteilt.

Manche Anwälte wittern das große Geschäft mit Beratungsleistungen, und die Abmahnindustrie reibt sich auch schon die Hände.

Die Befürworter der DGSVO dagegen behaupten, es gäbe überhaupt kein Problem.

Beides stimmt so sicher nicht. Fest steht, viele Menschen sind verunsichert, und die derzeit geführte Debatte über die DSGVO oft eher auf diffusen Gefühlen aufbaut, als auf tatsächlichen Fakten.

Auf der anderen Seite ist die DSGVO tatsächlich ein ziemliches Bürokratiemonster geworden, dass oft mehr Unsicherheit schafft, als es löst.

Nur an die Großen gedacht

Die Schöpfer der DSGVO hatten vor allem die großen Datenkonzerne im Auge, als sie die Verordnung geschrieben haben. Natürlich ging es auch um Unternehmen, die mit persönlichen Daten hantieren, was speziell im Dienstleistungssektor nicht wenige sind.

Grundsätzlich ist das richtig, auch kleine und mittlere Unternehmen sollten mit den Daten ihrer Kunden vorsichtig umgehen, und sich an die gesetzlichen Regelungen halten.

Um sich nicht an bestimmten Diensten abzuarbeiten, wirkt die DSGVO aber sehr breit, und -im vernetzten Zeitalter noch mehr als davor- betreffen die Regeln eben nicht nur Unternehmen, sondern auch die privaten Bürger. Es gibt in der DSGVO aber keine Ausnahmeregelungen, und eine Unterscheidung der Datenerhebung zu kommerziellen oder nicht kommerziellen Zwecken ist nicht vorgesehen.

Nur im ganz engen privaten Rahmen (Familie und ganz enge Freunde) greifen die Regelungen nicht.

Das beginnt mit Kleinigkeiten: Ich bin Übungleiter im Sportverein. Natürlich habe ich eine Liste mit Telefonnummern und E-Mail-Adressen der Mitglieder meiner Gruppe. Unter anderem damit ich den Mitgliedern der Gruppe mitteilen kann, wenn z.B. weil ich krank bin, das Training ausfällt. Zunächst einmal muss ich, damit ich diese Liste führen darf, mit eine erneute Zustimmung aller Mitglieder einholen. Und dies schriftlich, damit ich diese Zustimmung auch belegen kann.

Ich muss ein Protokoll darüber führen, wann ich wen von der Liste angerufen habe, und warum, damit ich die bestimmungsgemäße Verwendung der Daten bei Bedarf nachweisen kann.

Außerdem, und jetzt wird es kompliziert, darf ich die Telefonnummern nicht im gleichen Handy speichern wie meine privaten Kontakte. Ich muss also für Vereinsangelegenheiten ein Diensthandy anschaffen, dass dann auch nur für Vereinsangelegenheiten benutzt werden darf, und entsprechend die Kosten dafür tragen. Wenn ich mit einigen der Gruppenmitglieder auch privat Kontakt habe, wird es schwierig: In welchem Handy speichere ich die Nummer? Kann ich sie in beiden speichern? Rausgefunden habe ich das bisher nicht. Gut, in der Praxis hat das wenig Relevanz, weil meine privaten Handygespräche wohl kaum von der Datenschutzbehörde überwacht werden. Das sieht bei einer privaten Webseite schon anderes aus.

Wann ist eine Webseite privat?

Laut der DSGVO sind nur „ausschliesslich private“ Webseiten von der Umsetzung der DSGVO ausgenommen. Das betrifft vielleicht meine private NextCloud Seite. Aber schon die Fotos von den Blumen im Garten könnten sich an ein größeres Publikum richten.

Ein privates Blog wie dieses ist ohne Zweifel im Sinne der DSGVO „gewerblich“, obwohl diese Seite keine Gewinnerzielungsabsicht hegt. Damit trifft die DSGVO praktisch jeden Betreiber eine Webseite, und die Liste der Dinge, die man tun muss, um diese Umzusetzen, ist lang.

  • In einer Datenschutzerklärung müssen in „verständlicher Sprache“ alle Daten aufgelistet werden, die die Seite erhebt.
  • Es muss -bereits nach der E-Privacy Richtline eine Information über die Verwendung von Cookies angegeben werden
  • Der Benuzter muss die Möglichkeit haben, alle über ihn gespeicherten Daten einzusehen, und deren Löschung oder Anonymisierung zu verlangen.
  • Immer wenn persönliche Daten, dazu zählen auch Kommentare, abgefragt werden, muss das explizite Einverständnis eingeholt werden.
  • Mit allen Organisationen, mit denen der Seitenbetreiber Daten austauscht, muss ein Vertrag über eine Auftragsdatenverarbeitung abgeschlossen werden.
  • Webseiten, die persönliche Daten verwenden, müssen Transportverschlüsselung (SSL/TLS) einsetzen.

Tatsächlich ist die Einhaltung dieser Richtlinen für eine kleine Webseite gar nicht so schwer umzusetzen wie es sich anhört. Für die Datenschutzerklärung gibt es Mustergeneratoren (hier die von der Rechtsanwaltskanzlei Dr. Schwenke). Die meisten Content-Management-Systeme bieten Plugins an, die die entsprechenden Einverständnis-Klickboxen an der richtigen Stelle einblenden.

Trotzdem ist die Verunsicherung so groß, dass nicht wenige Webseitenbetreiber aufgegeben haben. Das hängt zum einen natürlich mit einer gewissen Panikmache in den Medien zusammen, aber auch mit dem Problem der Definition bestimmter Begriffe.

Die Informationspolitik war schlecht

So stellt sich die Frage, wann der Forderung nach einer „verständlichen Sprache“ genüge getan ist. Die eigene Datenschutzerklärung muss einerseits so formuliert sein, dass auch juristische Laien verstehen, was da gespeichert wird und warum, sie muss aber andererseits den strengen Ansprüchen formaljuristischer Korrektheit entsprechen. Selbst Anwälte tun sich derzeit schwer damit. Wie „Oma Erna’s Kochblog“ das rechtssicher Umsetzen sollen, ist unklar.

Dagegen drohen neben horrenden Bußgeldern in Millionenhöhe auch noch teure Abmahnungen wegen Verstößen gegen die DSGVO. Die Datenschutzbehörden haben zwar angekündigt einen kleine Sportverein nicht mit Bußgeldern in Höhe von 200 Millionen Euro wegen eines falsch gesetzten Kommas zu kommen, aber das liegt im Ermessen des Sachbearbeiters. Beim deutschen Durchschnittsverdiener wäre die zu verbüßende Ersatzfreiheitsstrafe bei Zahlungsunfähigkeit schnell mal bei 60 oder 70 Jahren.

Ob man sich angesichts solch drakonischer Strafandrohungen für einen Formfehler darauf verlassen will, dass ein Gericht die Verhältnismäßigkeit in Frage stellt, muss jeder für sich entscheiden.

Die Bundesregierung hat indes gar nichts unternommen, um diesen Ängsten entgegenzuwirken. Weder wurden Anpassungen z.B. im Kunsturheberrecht vorgenommen, die klären, ob man noch Fotos mit zufällig durchs Bild laufenden Passanten noch anfertigen darf (die DSGVO sieht dafür eine Öffnungsklausel vor), noch hat sie die Bürger über die Folgen der Verordnung aufgeklärt.

Ein Statement des zuständigen Bundesjustizministeriums, wie strittige Punkte der DSGVO zu interpretieren sind, das auch Gerichten helfen könnte Entscheidungen zu treffen, ist bisher ausgeblieben.

Alles im Web

Gänzlich problematisch wird es, wenn es um Dienste geht, die nicht Webbasiert, oder dezentral organisiert sind. Während Facebook seinen Nutzern die Pistole auf die Brust setzt, und von seinen Benutzern die Einverständniserklärung für die umstrittene Gesichtserkennung verlangt, fragt man sich bei Diensten  wie Mastodon, wie sich die Verordnung überhaupt umsetzen lässt. Hier ist das Problem, dass die Löschpflichten sich auch auf die Daten erstrecken, die an Dritte übertragen wurden.

Bei Mastodon betrifft das also die Informationen, die ein Benutzer an Mastodonnutzer geschickt hat, die einen anderen Knoten verwenden. Da der Betreiber eines Knotens nicht weiß, mit welchen Knoten seine Nutzer kommunizieren, und dies auch gar nicht wissen darf, ist eine Rechtskonforme Nuztung von Diensten wie Mastodon oder auch Jabber schlicht nicht möglich.

Das liegt sicher nicht daran, dass der Gesetzgeber diese Dienste explizit verbieten wollte. Da sehe ich eher das Problem, dass das Prinzip des Internets hier nicht verstanden wurde, Im Endeffekt nutzt die Regelung aber vor allem den großen Playern mit ihren zentralistischen Diensten, also genau jene Plattformen, die man zu mehr Datenschutz zwingen wollte.

Dienste, die nicht webbasiert sind, kommen in der Regelung praktisch gar nicht vor: Die Informationspflichten sind vollkommen auf die Darstellung von Webinhalten ausgelegt, was den rechtskonformen Betrieb von anderen Diensten sehr erschwert.

Zusammenfassend lässt sich sagen, dass die DSGVO nicht der große Wurf ist, als der sie verkauft wird. Im Bereich des tatsächlichen Datenschutzes geht sie nur wenig über die bisherigen Standards in Deutschland hinaus. Zwar haben die Behörden nun bessere Sanktionsmöglichkeiten, aber gerade die fehlenden Ausnahmen und Vereinfachungen für private und kleine Anbieter erzeugen einen gigantischen Aufwand, und eine große Rechtsunsicherheit bewirkt.