Ihr Kontakt
Die sog. «Artikel 29-Datenschutzgruppe» bestehend aus Vertretern der Europäischen Datenschutzbehörden hat sich am 22. Juni 2010 in einer Stellungnahme zur Anwendung der revidierten EU-Datenschutzbestimmungen auf verhaltensbezogene Online-Werbung (sog. online behavioral advertising) geäussert. Es wird betont, dass Provider von verhaltensbezogener Online-Werbung an die Datenschutzrichtlinie für elektronische Kommunikation (EG 2002/58) und insbesondere an das darin vorgesehene Erfordernis der Einwilligung des Users zur Speicherung von und zum Zugriff auf Cookies gebunden sind. Zudem wird dargelegt, wie dieses Erfordernis bei der innerstaatlichen Umsetzung ausgelegt werden soll. Schliesslich halten die Vertreter auch fest, dass verhaltensbezogene Online-Werbung gegenüber Kindern gänzlich verboten sein sollte.
Im Rahmen der 76. Sitzung der sog. «Artikel 29-Datenschutzgruppe» haben die Vertreter der Datenschutzbehörden der EU-Mitgliedstaaten sowie der EU-Datenschutzbeauftragte eine Reihe von aktuellen Themen behandelt. Besonderes Augenmerk richtete die Arbeitsgruppe auf verhaltensbezogene Online-Werbung. Diese Werbeform basiert auf der Beobachtung des Verhaltens von Usern im Internet (besuchte Websites, eingebene Suchbegriffe oder Personalien in Formularen etc.) über eine bestimmte Zeit. In der Praxis geschieht die Beobachtung meist durch sog. Tracking-Cookies, welche beim ersten Abrufen einer bestimmten Website auf dem Computer installiert werden und das spätere Verhalten des Users nachverfolgen und festhalten. Dadurch entsteht ein User-Profil, das es den Werbetreibenden ermöglicht, dem User auf seine Person und Interessen abgestimmte Werbung anzuzeigen.
In ihrer Stellungnahme betonen die Vertreter einleitend, dass man sich der wirtschaftlichen Vorteile von verhaltensbezogener Werbung für die verschiedenen Interessengruppen bewusst sei. Jedoch dürften die damit verbundenen Aktivitäten nicht auf Kosten der individuellen Rechte auf Privatssphäre und auf Datenschutz ausgeübt werden. Vielen Konsumenten sei nicht klar, dass ihr Verhalten im Internet nachverfolgt und Daten für Werbezwecke gespeichert werden. In diesem Sinne unterstrichen die Vertreter, dass die Beteiligten an Art. 5 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation (EG 2002/58) gebunden sind. Dieser schrieb bis anhin vor, dass User die Möglichkeit zur Ablehnung der Speicherung und den Zugriff auf Cookies haben müssen und eine klare und umfassende Information über den Zweck dieser Vorgänge zu erfolgen hat. Durch die Revision im Jahre 2009 wurde die Richtlinie dahingehend abgeändert, dass künftig nicht nur eine Ablehnungsmöglichkeit, sondern eine Einwilligung vorliegen muss.
Die Frage, wie diese (Mindest-) Anforderung in den einzelnen Mitgliedsstaaten umgesetzt werden soll bzw. muss (Frist bis Mai 2011), ist äusserst kontrovers. In der Werbebranche wird teilweise vertreten, dass bereits die nicht erfolgte Abänderung der Grundeinstellung eines Browsers, wonach Cookies gespeichert bzw. abgelesen werden können, als Einwilligung zu erachten ist. Häufig wird es auch als ausreichend aufgefasst, wenn der User auf der Website des Providers von verhaltensbezogener Werbung die Möglichkeit eines opt-outs hat, d.h. die Verwendung von Cookies ablehnen kann, aber davon keinen Gebrauch macht. Im Gegensatz dazu könnte das Erfordernis der Einwilligung auch so ausgelegt werden, dass User für jedes einzelne Cookie, das auf ihrem PC platziert bzw. abgelesen wird, ihre Zustimmung aktiv erteilen müssten. Aufgrund der praktischen Schwierigkeiten bei der Umsetzung einer solchen Auslegung haben die Vertreter denn auch versucht, einen Ausgleich der Interessen von Usern und Werbern bzw. Werbeanbietern zu finden. Deshalb verlangen sie zwar, dass die User ihre Zustimmung aktiv durch einen opt-in-Mechnanismus erteilen (z.B. durch das Markieren in den Einstellungen des Browsers), bevor Cookies installiert werden oder das Verhalten der User mit Hilfe der Cookies nachverfolgt wird. Jedoch sind sie der Auffassung, dass die einzelne Zustimmung zur Speicherung von Cookies unter bestimmten Voraussetzungen auch das spätere Ablesen der Cookies mit umfassen könne. Das bedeutet, dass es zur Einhaltung von Art. 5 Abs. 3 der Richtlinie EG 2002/58 nicht erforderlich wäre, dass für jedes Ablesen des Cookies beim Abrufen einer Website eine einzelne Zustimmung vorliegt.
Demgegenüber wird in der Stellungnahme betont, dass der Erwerb bzw. die Nutzung eines Webbrowsers allein nicht als Zustimmung ausgelegt werden könne. Da die Grundeinstellung der meisten geläufigen Browser die Platzierung bzw. das Ablesen von Cookies standardmässig zulasse und es in der Regel an der erforderlichen Kenntnis des Users über die damit verbundene Datensammlung fehle, könne aus dem fehlenden «opt-out», d.h. dem Beibehalten der Grundeinstellung, nicht auf eine den Anforderungen der Datenschutzrichtlinien entsprechende Zustimmung geschlossen werden. Ebenso wenig könne die opt-out-Möglichkeit auf der Website des Providers von verhaltensbezogener Werbung als gültige Zustimmung eines durchschnittlich informierten Users angesehen werden. Die Vertreter appellieren schliesslich an die Beteiligten zur Übernahme von Verantwortung und zur Suche nach kreativen Lösungen für die Umsetzung der dargelegten rechtlichen Erfordernisse.
In Bezug auf die verhaltensbezogene Werbung gegenüber Kindern wird ferner festgehalten, dass neben den genannten Anforderungen an die Zustimmung in der Regel auch die Einwilligung der gesetzlichen Vertreter einzuholen wäre. Vor diesem Hintergrund und wegen der Verletzlichlichkeit von Kindern wird in der Stellungnahme für ein gänzliches Verbot plädiert.
Die Entwicklung in der EU ist auch aus Schweizer Sicht relevant. Denn die Vorgaben der Datenschutzrichtlinien sind auch durch Schweizer Websites einzuhalten, welche Cookies auf Rechnern in EU-Mitgliedsstaaten speichern bzw. ablesen.
Weitere Informationen zum Thema:
- Stellungnahme (nur auf Englisch)
- Pressemitteilung (nur auf Englisch)
- Richtlinie 95/46/EG des Europaeischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
- Richtlinie 2002/58/EC des Europaeischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)
Ansprechpartner: Lukas Bühlmann