Das EU Cookie Desaster

Dieser Text ist nicht für Juristen und Datenschützer geeignet. Er ist polemisch, ungenau und erwartet zumindest das Ende der Online-Welt, wenn nicht sogar der zivilisierten Welt.

Es gibt eine relativ neue EU Richtlinie für den Umgang von Cookies.
Vorab: Cookies sind größtenteils nicht böse aber trotzdem ist genau jetzt ein guter Zeitpunkt um all deine Cookies zu löschen. Hier klicken für eine Anleitung zum Cookies löschen.

Foto: EU Privacy Directive / Changes to UK Internet Cookie Privacy Law von ssoosay. Some rights reserved

Diese neue EU Richtlinie ist in Deutschland noch nicht umgesetzt und nur vereinzelt in der Fachpresse Thema, sie wird aber ab Mai 2012 in England als erstem EU Mitglied gültig.

Ein Freund von mir arbeitet in einem global tätigen Unternehmen, auch mit Online-Auftritten in UK, und er muss sich leider mit dem Thema befassen, da er einer der wenigen im Unternehmen ist, die wissen, was ein Cookie ist.

Die EU Cookie Richtlinie wird irgendwann in Deutschland kommen und dann wird sie auch euch beschäftigen. Die SPD hat Ende Januar die entsprechende Gesetzesänderung in den Bundesrat gegeben. Siehe Bundestag Drucksache 17/8454.

Im folgenden, zu langem, Artikel beschreibe ich

1. was die EU Cookie Richtlinie, bzw. das geänderte Telemediengesetz fordert
2. was das für Menschen mit kleinen Webseiten, Blogs, etc. bedeuten kann
3. welchen Aufwand dies für die Online-Industrie mit eigener Rechtsabteilung bedeuten kann
4. suche den Nutzen der Richtlinie für den normalen Webseitenbesucher und gebe Empfehlungen zum Umgang mit Cookies.
5. Fazit

Für Experten:
Der Artikel ist in technischen Details teilweise bewusst ungenau geschrieben. Er sollte aber ausreichen, euch Online-Menschen umfassend zu informieren. Ich konzentriere mich auch bewusst auf Cookies und lasse anderes außer Acht.

Ich erhoffe mir durch diese Vereinfachung, dass auch mein Vater (aka: normaler Webseitenbesucher) diesen Beitrag zumindest im Grundsatz versteht. Er erfreut sich sehr an bekloppten EU Richtlinien.

Denn das ist klar. Die EU Richtlinie für Cookies, genauer die Richtlinie 2009/136/EG ist grenzenlos bescheuert. ‚Maximal verkackt‘ würde der bereits erwähnte Bekannte sagen.

1. was die EU Cookie Richtlinie fordert

In Deutschland geht es im Kern um die unscheinbare Gesetzesänderung in § 13 TMG.

Dem § 13 wird folgender Absatz 8 angefügt:
„(8) Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. …

In meinen Worten heißt das: Der Besucher muss vorab über Art, Umfang und Zweck der Erhebung, Verarbeitung oder Nutzung seiner Daten informiert werden und er muss eine Einwilligung abgeben, dass eine Webseite DATEN auf seinem Computer, Handy, iPad oder sonstigem Gerät speichern darf.

Nochmal zum Verständnis.

Ich besuche eine Webseite und die Webseite informiert mich vorab umfassend und fragt, ob sie ‚Daten‘ speichern darf und ich muss einwilligen.

Und noch einmal. Diesmal vom Anwalt formuliert:

… Damit ein Webseiten-Betreiber zukünftig personenbezogene Daten speichern und nutzen darf, muss
-eine Unterrichtung des Nutzers erfolgen und
-eine Einwilligung des Nutzers vorliegen. …
Quelle: Lesenswerter Artikel zum Thema. dr-bahr – eu cookie richtlinie datenschutz in social media

Und diese zwei Punkte, die Unterrichtung und die Einwilligung, sind aus vielen Gründen doof.

Erster Knackpunkt:
Es gibt keine Regelung, in welcher Form diese Einwilligung eingeholt werden soll.
Als Vorschaltseite? Mit einem Popup? Mit einem besonders Auffälligen Link zu den Datenschutzbestimmungen? Mit einer „ja, ich will“ Checkbox im Kopfbereich der Seite, die der Nutzer anklickt, ähnlich wie auf ico.gov.uk? Mit der Browser-Einstellung, dass Cookies erlaubt sind? Man weiß es nicht. Total doofe Sache.

Zweiter möglicher Knackpunkt:
Es gibt neben Cookies noch etliche andere Daten, die eine Webseite auf ihrem Computer speichern kann. Die waren aber teilweise noch nicht erfunden, als die neue EU Richtlinie konzipiert wurde. Leider haben die Spezialexperten der EU daran überhaupt nicht gedacht und es ist demnach, meiner Meinung nach, ungeklärt, ob es nur für Cookies gilt. Was ist mit Flash-Cookies, Evercookies und vor allem mit den ganzen modernen HTML5 Zaubereien? Das wird in der Richtlinie natürlich nicht besprochen, die spricht nur von ‚personenbezogenen Daten‘.
Für Experten: z.B. GMail oder, ganz aktuell, native clients Anwendungen in Chrome ansehen.

Dritter Knackpunkt, bzw. Vorlage der Datenschutzbehörde in UK:
Der Umfang der Unterrichtung des Nutzers.
Die Engländer wollen bei diesem Thema Vorreiter sein. Insbesondere die Datenschutzbehörde in UK legt vor und zeigt auf ihrer eigenen Webseite, wie eine Einwilligung und vor allem die Unterrichtung gestaltet werden kann.

Screenshot Cookies at Privacy notice from http://www.ico.gov.uk. Privacy notice

Dort wird jedes ein Teil der auf der Webseite genutzten Cookie auf einer speziellen Seite in einer Tabelle aufgelistet und beschrieben. Das in diesem Satz versteckte, extreme Drama wird später in Punkt 2. und 3. deutlich.

(Anmerkung. Selbst die Datenschützer beschreiben die Cookies unzureichend. Es fehlen Cookies und sie erwähnen die Google Analytics Cookies, schreiben aber nur, These cookies are used to collect information about how visitors use our site. Falls ihr mal sehen wollt, was die Google Analytics Cookies machen, bitte hier lang zu Cookies & Google Analytics. Vorsicht. Volle Packung Technik.)

Dieses Problem ist auch Teil des Fazit von Rechtsanwalt Dr. Sebastian Kraska.

„… dass der deutsche Gesetzgeber sich zunächst einmal um die Definition der Begriffe „Daten“ und „Information“ bemüht …“
Quelle: Umfangreich und lesenswert zum Thema: Datenschutz-Blog Die neue „Cookie-Richtlinie“ der EU –worauf sich Unternehmen bereits heute einstellen sollten

2. was das für Menschen mit kleinen Webseiten, Blogs, etc. bedeuten kann

Du schreibst ein Tagebuch im Internet? Oder du bist stolzer Besitzer einer kleinen Jimdo-Seite für dein Unternehmen? Oder du betreibst z.B. ein Hamster- Nagellack oder Landrover-Forum? Prima. Gratuliere.

Du musst dich aber, dank der EU Cookie Richtlinie, in Zukunft mit den Cookies auf deiner Webseite beschäftigen. Es wird möglicherweise erwartet, dass du deine Nutzer umfassend informierst und ihnen, z.B. auf einer Datenschutzseite, genau sagst, welche Cookies deine Webseite benutzt.

Und das ist für 99,9% der Webseitenbetreiber gar nicht möglich. Denn wer von euch weiß schon genau, welche Cookies euer Blog, Tumblr, WordPress, Jimdo, was-auch-immer beim Nutzer ablegt?

Eben. Das weiß niemand. Das will auch niemand wissen.

Wer es doch wissen will: Man sieht das mit Google Chrome relativ gut. In Chrome kann man die Cookies für pop64.com mit Druck auf die Taste F12 sehen. Das ist die Startseite von meinem Blog und ich habe verdammt nochmal keine Ahnung, wo die ganzen Cookies herkommen (natürlich weiß ich wo die Cookies herkommen, aber es ist mir so dermaßen egal, dass ich es dann schon wieder nicht mehr weiß).

Das Drama an der Sache ist, dass jedes Blog oder jede über Jahre gewachsene Firmenwebseite mit ein paar tausend Seiten überall andere Cookies benutzt.

Hier ein YouTube-Video, da eine Slideshare Präsentation, dort ein Podcast-Audio-Player, zahlreiche Google Maps, das Twitter-Widget, facebook-irgendwas, ein Newsletter Abonnieren vom Drittanbieter,ein Shirtshop, ein Vimeo-Video und was-weiß-ich für Kram noch, den ich möglicherweise vor fünf Jahren irgendwo eingebunden habe. Nicht zu vergessen die zahlreichen Werbe-Varianten auf Webseiten. Google Adsense, Amazon-Empfehlungen, Affiliate Programme oder sonstige Widgets.

Die Liste der genutzten Cookies auf einem normalen Blog wie diesem hier ist schnell sehr, sehr lang. In meinen 1.500 Artikeln finde ich garantiert mind. 50 verschiedene Cookies, ohne das jetzt genau prüfen zu wollen.

Erheblich dramatischer ist die Situation bei einer wirklich großen Webseite wie dem Spiegel oder der Süddeutschen Zeitung. Da sammelt man sicherlich schnell eine dreistellige Anzahl von unterschiedlichen Cookies zusammen.
Durch die zahlreichen Werbepartner, Whitelabel-Systeme für Bücher, Abo-Systeme, Contentpartner, u.s.w.

Und all diese Cookies auf eurer Webseite sollt ihr in Zukunft auflisten und den User vorab darüber informieren, dass ihr, bzw eure Webseite, eben diese Cookies bei dem User speichert.

Wer kurz darüber nachdenkt, merkt schnell, wie desaströs bescheuert das ist. Wie bereits erwähnt, ist das für 99,9% der Webseitenbetreiber mangels Wissen und Zeit überhaupt nicht zu leisten.

3. welchen Aufwand dies für die Online-Industrie mit eigener Rechtsabteilung bedeuten kann

Es ist ein episches Drama. Ein kafkaesker Verwaltungsaufwand biblischen Ausmaßes.

In wochenlanger Arbeit haben eure 20 Praktikanten jede einzelne Unterseite nach Cookies abgesucht und euch eine lange Liste mit den Namen und Werten der Cookies geschickt.
Und jetzt müsst ihr heraus finden, wofür all diese Cookies eigentlich da sind.
Was machen die Cookies von Google Maps, Facebook, Twitter, YouTube, Analytics, Slideshare, Vimeo, etc.? Welchen Zweck erfüllen sie? Eben. Ich habe genau wie ihr absolut keine Ahnung was die machen (ich könnte es natürlich herausfinden, aber selbst Pfandflaschen und Spülschwämme in der Küche nach Farben zu sortieren ist sinnvoller).

Ich muss nicht erklären, dass das eigentlich auch gar nicht zu leisten ist. Der Aufwand dafür ist dermaßen hoch, dass das niemand macht. Für so einen Stuss hat niemand Zeit.

Eine Richtlinie, die man gar nicht einhalten kann.

4. Was das für den normalen Webseitenbesucher bedeutet

99,9% der Menschen wissen nicht, was ein Cookie ist. Einige Datenschutzbeauftragte in Unternehmen wissen das sicherlich auch nicht. Der normale Webseitenbesucher wir in Zukunft umfassend über Themen informiert, die ihm tierisch auf den Sack gehen.
Das ist ungefähr so, als ob ihr vor jeder Autofahrt die Abgaswerte, den Verbrauch und die Unfallwahrscheinlichkeit für euer Auto in Island bei Vollmond seit 1967 lesen und bestätigen musst.

Völliger Scheiß. Wer denkt sich so etwas aus?

5. Fazit

Hoffentlich hoffentlich hoffentlich wird diese Richtlinie NIEMALS UMGESETZT.
Sie verursacht unfassbaren Verwaltungsaufwand und hat genau Null Nutzen für den User.

Im Gegenteil. Alles wird plötzlich wahnsinnig kompliziert und nervig. Die Webseitenbesucher müssen noch mehr Dinge bestätigen, die sie nicht verstehen und die gesamte Werbeindustrie funktioniert nicht mehr.

Für Menschen mit Cookieproblemen macht sicherlich Sinn, den Browser so einzustellen, dass er nur Cookies von der besuchten Webseite annimmt. Damit hat man schon sehr viel verändert.

Aber das ist Aufgabe der Browserhersteller. Warum nicht einfach bestimmen, dass als Standard immer nur Cookies vom Originalserver angenommen werden?

Aber mit dieser Richtlinie werden Milliarden Webseitenbetreiber mit Pflichten belegt, die sie gar nicht leisten können. Selbst Profis werden niemals eine Datenschutzseite schreiben können die sinnvoll informiert. Allein die bereits erwähnte Privacy notice ist ein Desaster. Unzureichende Beschreibungen und jede Menge „vielleicht“ und „möglicherweise“. Geschrieben von Juristen um einen völlig nutzlosen Verwaltungsauftrag zu erfüllen. Die verlinken dann auch noch ernsthaft auf etliche externe Datenschutzseiten, z.B. die von YouTube. Sie selbst erfüllen gar nicht ihr eigene Richtline.

Setzen. Sechs.

Für Experten:
Denkt bitte auch daran, dass es eigentlich um alle Daten geht die eine Webseite lokal beim Nutzer speichert. Ja, auch den ganzen HTML5 Kram, wenn er denn personenbezogen ist. Ein Desaster.