Analysetools und die EU-Cookie-Richtlinie

Ich bin mir relativ sicher, dass in der Europäischen Union Zutaten, Größe und Erscheinung von Keksen normiert sind. Und wenn nicht, dann erwarte ich, dass das irgendwann bald passiert. Wie sich allerdings wohl jeder denken kann, behandelt die sogenannte EU-Cookie-Richtlinie, die Ergänzung der e-Privacy-Richtlinie 2002/58/EG, genau das nicht, trotzdem konnte ich mir diesen Einstieg nicht verkneifen. Vielmehr geht es in dieser Richtlinie der DSGVO um „die Erhebung und Verarbeitung von personenbezogenen Daten„. Die Bezeichnung Cookie-Richtlinie ist eine Anlehnung an die „Cookies“ genannten kleinen Dateien, die beim Besuch einer Webseite auf dem Computer des Nutzers abgelegt werden. In diesen Dateien werden in der Regel die Aktivitäten des Nutzers auf der Seite gespeichert. Zu den weiteren Zielen der Richtlinie gehört zu verhindern, dass personenbezogene Daten erhoben werden, sowie dafür zu sorgen, dass die Nutzer über die Cookies informiert sind und ihnen auch zustimmen.

Diese Richtlinie sowie die generelle Diskussion unter Datenschützern sorgen bei vielen Seitenbetreibern für Ängste vor Abmahnungen. In einigen Branchen wird sogar der Untergang heraufbeschworen. Insbesondere dem Internet-Marketing aber auch den Analysetools wird das drohende Ende ausgemalt, da diese vor allem mit Cookies arbeiten.

Was sind Cookies?

Um noch einmal klar zu machen, worum es eigentlich geht, möchte ich hier noch kurz erläutern was Cookies eigentlich sind. Wie bereits erwähnt, handelt es sich um kleine Dateien, die beim Besuch auf einer Website auf dem eigenen Computer gespeichert werden. Es gibt verschiedene Arten von Cookies.

Auf der Website SEO Küche werden vier verschiedene Arten von Cookies beschrieben:

• Notwendige Cookies: Speichern eine ausgeführte Aktion, z.B. das Legen eines Produktes in den Warenkorb. Diese Aktion wird mit Hilfe eines Cookies gespeichert, sogar dann, wenn man den Browser schließt.
• Leistungs- und Performance-Cookies: Mit diesem Cookie werden Fehlermeldungen, Ladezeit und Website-Performance gemessen.
• Funktionscookies: Nicht notwendig, aber sehr praktisch für wiederkehrende Website-Besucher, denn der Cookie speichert beispielsweise den Standort des Nutzers oder eingetragene Daten in ein Formular.
• Werbe-Cookies: Diese Cookies dürften den meisten bekannt sein, denn diese beeinflussen die Werbung auf zahlreichen Webseiten. Wenn man sich zum Beispiel bei Amazon Mixer angeschaut hat, speichert der Cookie diese Information und dem Besucher werden auf zahlreichen anderen Webseiten Werbungen für Mixer angezeigt. Besonders diese Art von Cookies beunruhigt die meisten Menschen und wird von Datenschützern sehr kritisch beäugt.

Die Diskussion um die Cookies

In Deutschland ist die EU-Richtlinie noch nicht in nationales Recht umgesetzt worden, obwohl dies eigentlich bis zum 25. Mai 2011 hätte passieren sollen. Auch die neue DSGVO, welche am 24. Mai 2016 in Kraft getreten ist und bis zum 25. Mai 2018 angewandt werden muss, ist kein Bestandteil des nationalen Rechts. Das führt zu der verwirrenden und damit wenig beruhigenden Situation, dass die Regelung zwar eigentlich in Kraft ist, aber irgendwie dann doch wieder nicht so richtig. In Deutschland ist nach § 15 Abs.3 das Telemediengesetz (TMG) ausschlaggebend, welches lediglich besagt, dass der Nutzer unterrichtet werden muss, wenn Cookies auf einer Webseite eingesetzt werden (Opt-Out Verfahren). Dies geschieht meist über einen aufploppenden Cookie-Banner beim Besuch der Webseite. Sowohl die EU-Richtlinie, als auch der deutsche Gesetzentwurf sagen nämlich verkürzt, dass sowohl die Speicherung auf den Computern der Nutzer, als auch die Nutzung bereits gespeicherter Informationen, der Zustimmung des Nutzers bedarf. Das erste Problem ist, dass sich bei einer strengen Auslegung dies auf alle Cookies beziehen würde, die überhaupt gesetzt werden. Somit wäre für jedes Cookie eine direkte Zustimmung nötig. Das wäre wohl etwas übertrieben, denn die Datenschützer haben ja vor allem mit den Werbe-Cookies ein Problem. Diese ermöglichen auf der einen Seite verhaltensbasierte Werbung, dienen aber andererseits den sogenannten Analysetools auch dazu, das Verhalten der Nutzer auf Webseiten zu analysieren.

Die Auswirkungen auf die Analysetools

Die Analysetools registrieren, woher ein Besucher kommt und was er sich auf der Website anguckt. Damit sind diese Werkzeuge sehr wichtig für die Optimierung von Internetseiten und sind den Seitenbetreibern eine große Hilfe, dienen aber nicht zuletzt auch den Nutzern selbst, da Inhalte und Aufbau der Internetseiten nach den Interessen und Vorlieben der Nutzer gestaltet werden können. Die Analysetools sind zum einen von der EU-Richtlinie betroffen, denn sie arbeiten mit Cookies. Ein weiteres Problem ist die Tatsache, dass die Tools auch IP-Adressen analysieren und speichern. Das ist datenschutzrechtlich bedenklich, da die Tendenz dahin geht, IP-Adressen als personenbezogene Daten anzusehen. Stimmt man den Richtlinien jedoch nicht zu, muss der Webseitenbetreiber dafür Sorgen, dass die IP-Adresse gekürzt, bzw. anonymisiert wird.

Ich möchte jetzt nicht diskutieren, ob IP-Adressen personenbezogene Daten sind oder nicht. Was die Analysetools betrifft, so sieht es wohl so aus, dass sie nur legal betrieben werden, wenn die IP-Adressen anonymisiert werden. Dies geschieht indem die letzten Ziffern der Adresse gelöscht werden, wodurch eine eindeutige Identifizierung unmöglich wird, aber dennoch der Ort erfasst werden kann. Eines der bekanntesten Analysetools ist Google Analytics, welche ebenfalls auf die DSGVO reagiert. Die drei wichtigsten Änderungen sind: Ab dem 25. Mai 2018 ist es den Analytics-Nutzern möglich die Dauer für die Speicherung von Nutzer- und Ergebnisdaten auf den Analytics-Servern zu bestimmen. Zudem müssen die Datenschutzerklärungen von Webseiten, welche Google Analytics nutzen, erweitert werden. Beispielsweise muss angegeben werden, welche Daten vom Webseiten-Besucher gespeichert und wofür genutzt werden. Und zusätzlich müssen die Auftragsvereinbarungen mit Google aktualisiert werden, in denen der „Zusatz zur Datenverarbeitung“ hinzugefügt wurde.

Der Ausblick ist jedoch schwierig. Bis vor kurzem waren Webseitenbetreiber, die Analysetools verwenden und ausreichende Datenschutzhinweise anbieten, noch halbwegs auf der sicheren Seite. Aufgrund der neuen DSGVO kommt nun viel Bewegung in die Thematik, jedoch ist man bisher auf der sicheren Seite, wenn man weiter auf den bekannten Cookie-Banner mit einem Verweis zu der Datenschutzerklärung setzt. Zudem sollte darauf verwiesen werden, dass bei einem einmaligen Zustimmen der Cookie-Richtlinien diese für weitere Besuche auf der Webseite gelten. Es bleibt nur noch abzuwarten, welche Webseitenbetreiber die DSGVO verschlafen ;-)