Das deutsche Recht in Bezug auf Cookies
Die datenschutzrechtliche Beurteilung dieser Werbeform ist komplex und hängt maßgeblich von der jeweils eingesetzten Cookie-Technologie ab. Generell schützt das Datenschutzrecht nur personenbezogene Daten. Das sind nach der Definition des Bundesdatenschutzgesetzes (BDSG) "alle Einzelangaben über die persönlichen oder sachlichen Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person" (Paragraf 3 Absatz 1 BDSG).
Ein Cookie selbst enthält zunächst keine Daten, die automatisch Rückschlüsse auf die Identität eines bestimmten Nutzers erlauben. Speichert er jedoch IP-Adresse (auch dynamische IP-Adressen sind nach Ansicht einiger Datenschutzbehörden Einzelangaben über eine bestimmbare Person), E-Mail-Adresse oder Namen eines bestimmten Nutzers, enthält er eindeutig personenbezogene Informationen.
Für die Werbewirtschaft ergibt ein Tracking-Cookie nur dann einen Sinn, wenn sich möglichst viele und genaue Informationen über einen Nutzer sammeln und auslesen lassen. Deshalb kann man bei einem Großteil der verhaltensbezogenen Werbung von personenbezogenen Cookies ausgehen.
Die Verarbeitung der im Cookie gespeicherten personenbezogenen Daten ist grundsätzlich verboten. Das ändert sich nur, wenn eine gesetzliche Vorschrift die Datenverarbeitung ausdrücklich im Vorfeld erlaubt, oder wenn der Nutzer eingewilligt hat. Der erstgenannte Fall - der juristische Fachbegriff lautet hier "gesetzlicher Erlaubnistatbestand" - ist beim Verwenden von Cookies zu reinen Werbezwecken in der Regel nicht gegeben. Folglich dürfte die digitale, mit personenbezogenen Daten gespickte Minidatei nur nach vorheriger Einwilligung des Nutzers eingesetzt werden.
- Datenschützer gegen BDSG
Wenn es um vermeintlichen Datenmissbrauch seitens Konzernen wie Facebook und Google geht, sind die Hamburger Datenschützer streng. Doch laut Spiegel Online lag bei der Web-Präsenz der Aufsichtsbehörde selbst monatelang einiges im Argen: Dort wurde ein Tracking-Dienst eingesetzt, der die Nutzerinformationen nicht gesetzeskonform verarbeitet. Die Datenschützer betreiben diesen Service zwar nicht selbst, peinlich ist es trotzdem. Auch Gespräche mit Google über dessen Analyse-Dienst Google Analytics brach die Behörde aus ähnlichen Gründen ab. Die Behörde zog Konsequenzen und ließ die Website vorrübergehend abschalten. - Patientendaten auf der Straße
In Schleswig-Holstein lagerten über Monate, vielleicht sogar Jahre hinweg tausende vertrauliche Patientendaten offen und frei zugänglich auf Servern eines IT-Dienstleisters. Nach Berichten des Landesdatenschützers Thilo Weichert waren Desorganisation und die Nutzung einer handgestrickten Lösung der Grund für die Panne. Der betroffene IT-Dienstleister Rebus betreibt Datenbanken für mehrere soziale Dienste in Deutschland. - Zwölfjährige zum Bund
Die Kieler Nachrichten berichten, dass aufgrund einer Datenpanne im Rathaus Eutin das Kieler Kreiswehrersatzamt 2.300 Minderjährige angeschrieben hat. Inhalt des Postanschreibens: Werbung für eine Karriere bei der Bundeswehr. Der Grund: Die fehlerhaften Daten seien aus dem Eutiner Rathaus an das Kreiswehrersatzamt übermittelt worden. Die Datensätze stammen aus dem Einwohner-Meldesystem. Per Pressemitteilung entschuldigte sich das Rathaus für den Fehler. Ein Datenfenster sei irrtümlich falsch ausgefüllt worden. - Vertrauliche Dateien auf dem Flohmarkt
Laut eines Berichts aus der "Zeit" sind vertrauliche Dokumente der Stadtverwaltung Glücksburg durch eine schwere Panne in falsche Hände geraten. Nach Recherchen des Radiosenders NDR Info fand ein Mann aus Glücksburg die Daten offenbar auf Festplatten und Servern, die er nach eigenen Angaben auf einem Flohmarkt erworben hatte. Die Verwaltung habe den Flohmarkt selbst organisiert, weil sie in ein neues Rathaus gezogen sei. Interessierte Bürger konnten deshalb das alte Inventar erwerben.
Diese Einwilligung kann der Betreiber einer Internet-Seite mittels verschiedener Techniken einholen. In Betracht kommen ein "Pop-up-Screen", ein Klick-Feld in einem statischen Informationsbanner, ein Splash-Screen, wie es bisweilen zum Schutz Minderjähriger eingesetzt wird, und die ausdrückliche Einwilligung in die Nutzungsbedingungen, die einen entsprechenden Hinweis enthalten.
Auch wenn die Cookies keine personenbezogenen Daten speichern, müssen die Nutzer über deren Einsatz im Vorfeld informiert werden. Und nicht nur das! Erforderlich ist ein konkreter Hinweis in den Nutzungsbedingungen oder der Datenschutzrichtlinie der Website, der verdeutlicht, wie die Arbeit der Cookies via Browser-Einstellung verhindert werden kann. So ist die aktuelle rechtliche Situation in Deutschland.