FPLP bloggt – The Next Generation Law Firm
Der Einsatz von Behavioral Targeting – Beobachtung des Verhaltens von Nutzern im Internet, um basierend auf diesem Surfverhalten ein konkretes Profil des Nutzers zu erstellen, sodass der Nutzer dann zielgerichtet beworben werden kann – ist aus der Werbung nicht mehr wegzudenken. Beiden dazu verwendeten Werbestrategien, entweder über prädiktive Profile basierend auf der Überwachung der besuchten und angeklickten Werbung, oder über explizite Profile basierend auf personenbezogenen Daten, die bei der Registrierung bekannt gegeben werden, ist gemein, dass oftmals Cookie-basierte Technologien – mit Data-Mining-Software kombiniert oder auch nicht – verwendet werden. Was für die einen ein unerlässliches Tool für die zielgerichtete Werbung darstellt, wird von Datenschützern, Verbraucherorganisationen und den einzelnen Nutzern oftmals als Ausspionieren ihrer Persönlichkeit aufgefasst, samt dem verpönten Weiterverkauf „ihrer“ Daten für Werbezwecke.
Genau in diesem Spannungsfeld bewegt sich die Richtlinie 2009/136/EG, die den Schutz der Privatsphäre in der elektronischen Kommunikation regelt und Anfang 2012 in Österreich in Kraft trat. Ein wohl für die Unternehmen wesentlicher Punkt der Richtlinie ist, dass sie den Einsatz von Cookies reglementiert, indem sie grundsätzlich fordert, dass der Einsatz von Cookies erst nach Einwilligung und ausreichender Information des Nutzers erfolgen darf. Was aber viele Unternehmen vor eine Herausforderung stellt, ist, dass die Richtlinie wiederum Ausnahmen vorsieht, ohne zu erläutern, wie diese Ausnahmen in der Praxis funktionieren sollen.
Keine Zustimmung muss eingeholt werden, wenn das Cookie den alleinigen Zweck hat, die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz zu ermöglichen: z.B. können Webpages, bei denen zigtausende Zugriffe zu erwarten sind, die Anfragelast nur mehr über Serverfarmen bewältigen. Eine Serverfarm besteht aus einem virtuellen Server, auf den der Nutzer zugreift, der wiederum von mehreren realen Servern unterstützt wird. Wenn es daher zu einer Überlastung eines Servers kommt, wird der Nutzer auf einen anderen Server umgeleitet. Dazu bedarf es Cookies, die die korrekte Zuordnung zum Nutzer aufrecht erhalten. Das Cookie dient also in diesem Fall einzig und alleine dazu, die weiterhin ungestörte Kommunikation zum Nutzer zu gewährleisten.
Weniger einfach erweist sich in der alltäglichen Praxis die Handhabung der zweiten Ausnahme, nämlich wenn Cookies zur Verwendung bestimmter Funktionen unbedingt erforderlich sind, und zusätzlich der Nutzer diese Dienste des Anbieters explizit angefordert hat: Unbedenklich sind normale User-Input-Cookies. Jeder kennt diese, der öfter über das Internet shoppt. Ein Klick auf das Einkaufswagensymbol, und das gewünschte Produkt wird elektronisch in den Warenkorb transferiert. Bei solchen User-Input-Cookies handelt es sich um Cookies, die selbst vom Betreiber der Webpage platziert werden und eine Session-ID generieren, die spätestens am Ende der Sitzung abläuft.
Multimedia-Player-Sitzungscookies wie auch Authentifizierungs-Cookies, solange sie ausschließlich als Sitzungs-Cookies ausgestaltet sind, und nicht für andere Zwecke wie zielgerechte Werbung verwendet werden, bedürfen auch keiner Zustimmung. Eine der wenigen Ausnahmen für Cookies, deren Anwendung sich über die einzelne Sitzung erstrecken darf, und für die trotzdem keine Zustimmung notwendig ist, sind nutzerorientierte Sicherheits-Cookies, die z.B. die missbräuchliche Verwendung des Login-Systems unterbinden sollen. Auch beim Einsatz des „Like-Button“ (Content-Sharing-Cookies) ist darauf zu achten, dass hier die Einwilligung von Nicht-Mitgliedern vorab eingeholt wird, und diese für Mitglieder gelöscht werden, wenn sich der Nutzer vom sozialen Netzwerk abmeldet. Sonst gilt: Die User entsprechend informieren und die Zustimmung einholen.
Nicht immer ist es so, dass das Cookie, das verwendet wird, auch selbst vom Betreiber der Website gesetzt worden ist. Wenn dies der Fall ist, spricht man von sogenannten Third-Party-Cookies. Wenn nun Unternehmen Third-Party-Cookies für die Produktverbesserung, für Marktforschungszwecke, Fehlerbehebungen oder für das Marketing von ihren eigenen Tochterunternehmen einsetzen, dann ist immer die Zustimmung des Nutzers einzuholen. Auch wenn viele Unternehmen diese Funktion als unerlässlich für die Entwicklung ihres Produktportfolios ansehen, ist diese Funktion aber nicht unerlässlich für den Nutzer: Den Nutzer interessiert nur, ob er das Produkt bestellen kann, nicht wie es weiterverbessert wird.
Auch die Cookie-Technologie entwickelt sich weiter. Flash Cookies werden z.B. eingesetzt, wenn Cookies vom Nutzer gelöscht worden sind, da er eben nicht wollte, dass sein Surfverhalten analysiert wird. Flash Cookies können Browser-Cookies quasi ausspionieren und die Informationen, die über das Surfverhalten gesammelt worden sind, wieder zum Leben erwecken und für Werbezwecke zugänglich machen. Beim Einsatz dieser Flash Cookies bedarf es jedenfalls immer einer Zustimmung. Flash Cookies werden auch gerne als Zombie-Cookies bezeichnet, und wurden z.B. von Walt Disney, Warner Bros. oder auch von Microsoft eingesetzt.
Die Funktionen von Cookies können vielfältig sein, und oftmals wird von Unternehmen übersehen: Wenn nur eine Funktion nicht nutzerseitig angefordert worden ist, bedarf es für diese Mehrzweckcookies auch der Zustimmung. Unerlässlich ist es daher für Unternehmen, die Funktionalität ihrer Cookies zu untersuchen und entsprechend die Zustimmung der Nutzer einholen, und zwar bevor das erste zustimmungspflichtige Cookie auf dem Endgerät des Nutzers installiert wird – sonst können verwaltungsrechtliche Strafen wie auch Unterlassungsklagen durch Mitbewerber drohen.
