Seit die Beamten in den Tintenburgen der EU von der Existenz des Internets erfuhren, versuchten diese es zu regulieren. Das gewisse Staaten dies längst taten und zur Spionage nutzte, war denen egal.
Der Regulierungswahn der Eurokraten füllt Bände, aber ich möchte hier beim Internet bleiben und über einen alten Coup berichten der nun wieder neu aufgewärmt wird.
Konkret geht´s darum uns vor sog. “Cookies (s. unten *)“, kleinen Textdateien, zu schützen, man stuft das anscheinend gefährlicher als Spionage und Hacker ein…
Ich gestehe diese “EU-Cookie-Richtlininen” nie besonders beachtet zu haben, es war auch nie wirklich nötig weil keine Kunde oder man selbst die digitalen Kekse zu mehr nützte als sie gedacht waren. Das hat sich geändert, spätestens seit Global-Player mitmischen. Denn viele kleine Site-Betreiber bauen schnell mal irgend ein Feature ein welches eigentlich von großen Anbietern kommt. Und damit holt man sich auch etwas mächtigere Cookies ins Web.
Chronologie eines Regulierungswahns
Mitte 2002 gingen die EU Experten mit ganz guten Vorsätzen an die Sache heran und beschlossen etliche Maßnahmen zur Sicherheit und Wahrung der Privatsphäre im Netz.
Dabei auch ein Satz bez. Cookies: “… Nutzer vor dem Setzen eines Cookies klare und ausführliche Informationen über die Verwendung im Voraus erhalten und somit auch ablehnen können...”
Natürlich, solange dies keine exekutierbare Maßnahme war sondern als Empfehlung angesehen wurde, setzte es fast kein Betreiber um.
2008 orteten die Politiker und Juristen auf EU-Ebene einen “gravierenden Rückschritt“. Die Jahre zuvor gegebenen Empfehlungen setzte keiner um und die, zu der Zeit im EU-Parlament zu beratenden Vorschläge stellten keinen Fortschritt dar.
Bez. Cookies hielt man fest “… bei der Verwendung von Browser-Cookies, die vor allem bei Online-Werbern beliebt sind, gäbe es kaum noch Einschränkungen.”
Eine Woche später beschloss man den Reformentwurf zur “E-Privacy-Richtlinie” und meinte bez. Cookies: “Dabei würde aber etwa auch eine Browser-Voreinstellung zur Akzeptanz von Cookies als Zustimmung zur Datenerhebung gelten. Alles andere wäre nicht praktikabel gewesen. Bei Informationskrümeln zur Speicherung von Nutzerdaten mit dem Multimediaprogramm Flash sei aber künftig dem Entwurf nach eine gesonderte Einwilligung einzuholen.”
Hier sehe ich die Bestätigung meiner These: Wir haben es wieder mal einen der großen Player zu verdanken: ADOBE! Denn der Software-Gigant hatte Macromedia und dessen Animationsprogramm FLASH Jahre zuvor gekauft. Man setzte nun mittels FLASH sehr schwer zu entfernende Super-Cookies ein. Das bewog die EU zu strengeren Regeln!
Mitte 2011 sah der britische Datenschutzbeauftrage einige “schwammige Formulierungen” in den Richtlinien und meint, “es sei nicht ausreichend, die in Cookies hinterlegten Daten über die Browser-Voreinstellungen zu steuern, da das noch nicht ausgereift genug sei. Vor allem bei Cookies, die etwa ein Werbenetzwerk von dritter Seite aus setze, seien Webseitenbetreiber angewiesen, ihre Besucher darüber aufzuklären und eine “informierte Einwilligung” zu ermöglichen.”
Doch: Es war auch damals ausreichend im Browser bei “keine Cookies annehmen” eine Haken zu setzen und Ruhe war. Außer für FLASH-Cookies die bis heute ein Problem sind.
Dennoch hatte man an diesen Tag alle Cookies für böse erklärt und der Welt die unsäglich hässlichen und störenden Banner zur Zustimmung aufgezwungen. Fortan durfte man bei jeder größeren Website jedes mal bis zu 1 Drittel der Fläche erst sehen wenn man die Zustimmung zum Cookie setzten gab.
Dennoch sind die so verunstalteten Websites noch in der Minderheit und alle anderen sind ein Ziel für Abmahnungen.
Das liegt ev. daran das man in den schwammig formulierten Richtlinien genügend Umgehungen findet: zb. wären Cookies welche für den Betrieb der Site unerlässlich sind, die das Surferlebnis verbessern – erlaubt. So erlaubt das man sie nicht Kennzeichnen muss und auch keine Bestätigung vom Besucher einholen müsste.
EU Werk und GOOGLE´s Beitrag
Am 27.7.15 schrieb GOOGLE allen seinen Partnern, so auch uns – das alle Site-Betreiber welche gewisse Google-Dienste integriert haben bis 30.09.2015 einige verpflichtende Hinweise und Mechanismen einbauen müssen um dieser EU-Cookie-Richtlinie zu entsprechen. (sa.: https://www.cookiechoices.org/
… hiermit möchten wir Sie auf eine neue Richtlinie zur Einholung der Zustimmung der Endnutzer in der EU hinweisen, mit der den geltenden gesetzlichen Vorgaben und Best Practices Rechnung getragen wird. Diese Richtlinie sieht vor, dass Sie zur Einholung der Zustimmung des Endnutzers verpflichtet sind, wenn Sie Produkte wie Google AdSense, DoubleClick for Publishers und DoubleClick Ad Exchange einsetzen.
Das ist auch der Anlaß zum Artikel, denn diese Botschaft lässt momentan die Wogen hochgehen und viele beschuldigen GOOGLE einer EU-Hörigkeit usw.
Doch man kennt ja die vielen Prozesse welche Verbände, Staaten und Vereinigungen schon gegen den Internet-Riesen laufen hatten. Dabei gings eben um divergierende Rechtsauslegungen in solchen Dingen. Auch wenn der Konzern alle Strafen mit Links zahlte, irgendwann wollen die auch nicht mehr und geben den Druck an die Partner wie Nutzer weiter.
Dh. zB. für AdSense Nutzer, also Werbepartner das nun jeder diese Richtlinien einbauen muss und egal wie aufwändig, auch Mechanismen zur Bestätigung.
Eine Kritik an GOOGLE & CO ist aber sicher berechtigt: Warum wälzt man die Verantwortung auf die kleinen Site-Betreiber ab, anstatt die Hinweise und Buttons global zu integrieren? Wäre für GOOGLE ein Klacks!
Und wie gesagt: Das haben uns die Global-Player eingebrockt, jetzt sollen wir es richten?
Länderspezifische Auslegung – Die EU als der “REGULATOR” der Welt
Die Frist zur Anpassung des nationalen Rechts in den EU-Ländern endete am 25. Mai 2011 und einen Tag darauf traten die Richtlinien in Kraft.
Detail am Rande: Damals hatte noch kein Land hat diese Dinge in nationales Recht übernommen.
Die EU glaubte aber das ihre Empfehlung in allen Ländern umgesetzt und ins nationale Recht übernommen wurden. Was aber eher selten der Fall ist…
Wo man es versucht, gibt es Dauerdiskussionen zwischen allen Daten- und Verbraucherschützern und den Werbenetzwerkern.
So hat das Londoner Internet Advertising Bureau (IAB – s. unten **) für die Selbstregulierung der Industrie und Mittel zum technischen Datenschutz wie “Do not track” in Web-Browsern plädiert.
Ebenfalls ein Kritikpunkt ist das sich die EU als “Regulator” der Welt aufspielt: denn die Richtlinien gelten zwar nur für EU-Bürger, aber was wenn Sites irgendwo in Amerika gehostet (gespeichert) sind? Dann müssten diese auch die EU-Richtlinie befolgen nur weil sich ein Surfer aus der EU an den ach so gefährlichen Keksen verschlucken könnte?
Wird das zu Kennzeichnungspflichten führen wie es jetzt schon bei vielen Lebensmitteln ist? Wo man Länderspezifische Formulierungen, etwa zu Inhaltsstoffen separat anführen muss. Dann sieht man auf der Website so was wie “Datenschutz nur für EU-Bürger: … blabla ….” + Datenschutzbestimmungen für die übrige Welt…
Österreich
WKO Artikel zum Thema (s. insb. den Teil “Sonderfall „Cookies”)
“Auch wenn der Artikel 29-Gruppe (ein europäisches Datenschutzgremium, dem Vertreter der nationalen Datenschutzbehörden angehören http://ec.europa.eu/justice/data-protection/article-29/index_de.htm) rein beratende und keine gesetzgebende Kompetenz zukommt, haben die in ihren „Arbeitspapieren“ ausgeführten Erwägungen große praktische Relevanz!”
*) Was sind Cookies?
Im Grunde genommen, harmlose winzige Textdateien welche von Websites auf dem Rechner des Besuchers gespeichert werden. Das ermöglicht zb. das man beim Besuch einer Website wieder erkannt wird, mit den, früher einmal dort hinterlegten Namen begrüßt wird, usw.
Es gibt 1000e harmlose und nützliche Dinge welche die digitalen Kekse ermöglichen.
Wer das nicht will kann die Speicherung in jeden Browser abstellen und zahlreiche Tools helfen dabei die wichtigen automatisch zu behalten und andere zu löschen. ()
Löschen, oder gar nicht annehmen, sollte man jene welche von Anbietern stammen die meist eins im Sinn haben: Unser Nutzerverhalten zu dokumentieren. Natürlich, wer auf seine Interessen abgestimmte Werbebanner mag, kann das alles lassen wie es ist, denn auch dafür sind Cookies verantwortlich.
Leider geht das “Tracking” der Surfer oft zu weit, Konzerne verkaufen die damit gewonnenen Daten sehr teuer an andere Konzerne oder stellen noch schlimmere Dinge damit an. Schließlich ist es der Boden auf dem SPAM gedeiht und zb. unsere Mails mit Müll vollstopft.
”) IAB:
Das IAB hat einigen Einfluß auf die Internet Branche, wir alle kennen Werbebanner und sehen das diese meistens gewisse Größen haben, zb. der Standardbanner mit 468×60. Das IAB hat diese Standards einst eingeführt und Werbetreibende sollten sich an diese halten.
Das Ganze wurde ohne jeden technischen Hintergrund schon sehr lang, aber die Tipps und Tricks zur Implementierung der Techniken würden den 100-fachen Platz brauchen.
Nur soviel zur Technik: Vor der Zustimmung darf die Site kein einziges Cookie setzen. Wer die Zustimmung nicht gibt wird bis in alle Ewigkeit genervt weil man keine Ablehnungs-Buttons einbauen kann. Denn wer könnte die Ablehnung speichern? Richtig: Ein Cookie! Das man nun nicht setzen darf.
PS: Selbst ohne Fachchinesisch klingt das alles kompliziert, ist es auch und wer braucht das schon? Nun, da dieses Blog auch eine Art “Tagebuch” ist, eine Medium wo man sich private Dinge von der Seele schreibt, daher ist das hier als Notiz festgehalten.
Denn mit dieser völlig unnötigen Cookie Sache verlor das Erstellen und betreiben von Websites wieder etwas an Spaß an der Freude und bringt Schatten auf den wunderschönen Beruf als Webdesigner…