Prüfung von Wearables: Kein Gerät erfüllt die datenschutzrechtlichen Anforderungen

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Ende 2016 haben die Datenschutzbehörden Fitness-Armbänder unter die Lupe genommen und hierzu eine Pressemitteilung heraus gegeben:

Im Rahmen einer deutschlandweiten Prüfaktion hat die Landesbeauftragte für den Datenschutz Niedersachsen zusammen mit sechs weiteren Datenschutzaufsichtsbehörden 16 Wearables und Smart Watches mit Gesundheitsfunktionen geprüft. Das Ergebnis ist besorgniserregend: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.

Unter Laborbedingungen wurden insbesondere die Datenflüsse der Geräte analysiert. Die Prüfung ergab, dass fast alle Hersteller und Betreiber so genannte Tracking-Tools US-amerikanischer Unternehmen einsetzen und damit Programme nutzen, mit denen sie das Nutzerverhalten nachvollziehen können.

„Die Nutzerinnen und Nutzer von Wearables müssen wissen, dass ihre sensiblen Gesundheitsdaten regelmäßig an Dritte weitergeleitet werden und unklar bleibt, was mit den Informationen im Einzelnen geschieht“, so die Landesdatenschutzbeauftragte Barbara Thiel.

Zwar sind die einzelnen Informationen wie Körpergewicht, zurückgelegte Schritte, Herzfrequenz oder Dauer des Schlafes für sich betrachtet oft wenig aussagekräftig. Aufgrund der Fülle der über einen längeren Zeitraum erfassten Daten und der möglichen Verknüpfung mit Standortdaten entsteht aber ein erstaunlich präzises Bild über den Gesundheitszustand und über den Tagesablauf der Nutzer.

„Permanente Übermittlungen der Daten an den Hersteller oder sogar an Dritte sind für die Funktionen der Wearables nicht erforderlich. Indem dies dennoch geschieht, signalisieren die Hersteller ein eigenes Interesse an den sensiblen Daten. Das macht misstrauisch“, so Thiel.

Problematisch ist auch, dass die meisten der den Geräten beigefügten Datenschutzerklärungen nicht die gesetzlichen Anforderungen erfüllen. So erfährt der Nutzer oftmals nicht, wer konkret Zugriff auf die Daten hat und wie lange sie gespeichert werden. Oft bleibt es bei dem pauschalen Hinweis, dass die Hersteller die Fitness-Daten für eigene Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Thiel: „Aufgrund der mangelnden Transparenz ist der Nutzer nicht mehr Herr seiner Daten. Das ist ein klarer Verstoß gegen das Datenschutzrecht.““ – Quelle: Pressemitteilung, Landesbeauftragte für den Datenschutz Niedersachsen

Das Ergebnis überrascht nicht wirklich, ich hatte schon früher auf die Problematik in aller Kürze hingewiesen: Wer in diesem Bereich Produkte anbietet muss dringend auf die datenschutzrechtlichen Vorgaben achten. Spätestens mit der Datenschutzgrundverordnung und ihren erheblichen Bussgeldmöglichkeiten, die „Privacy by Design“ als Vorgabe enthält, droht hier ein böses Erwachen der Hersteller. Zugleich müssen sich Nutzer über die Missbrauchsmöglichkeiten derlei Geräte im Klaren sein.

Kurz-URL:

Datenschutz: Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Die einzelnen Datenschutzaufsichtsbehörden der Bundesländer starten eine gemeinsame Aktion zur Prüfung datenschutzrechtlicher Vorgaben, wie etwa die Landesdatenschutzbeauftragte NRW mitteilt:

In einer koordinierten schriftlichen Prüfaktion nehmen zehn deutsche Datenschutzaufsichtsbehörden Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland genauer unter die Lupe. Angeschrieben werden bundesweit rund 500 Unternehmen unterschiedlicher Größe und verschiedener Branchen. Die Prüfung soll die Unternehmen auch für den Datenschutz sensibilisieren.

Bei der Anzahl von 500 Unternehmen handelt es sich angesichts einer Zusammenarbeit aller 16 datenschutzrechtlichen Aufsichtsbehörden, um eine eher kleine Zahl, es ist wohl davon auszugehen, dass es sich um einen Pilotversuch handelt, um – ggfs. im Vorgriff auf die ab 2018 geltende Datenschutzgrundverordnung – umfassendere Aktionen abzustecken. Unternehmen die angeschrieben werden, erhalten dann als erstes ein Auskunftsersuchen der Aufsichtsbehörde an das sich gegebenenfalls eine verwaltungsrechtliche Anordnung anknüpft. Dabei zeigen die bisherigen derartigen Vorgehen, dass man jedenfalls aktuell bei ordnungsgemäßer Mitarbeit weniger mit Bussgeldern rechnen muss, weil die Behörden in erster Linie (öffentliche) Aufklärung betreiben möchten, auf der anderen Seite für sich aber auch breit gestreute Informationen über das Prozedere bei nicht-öffentlichen Datenverarbeitungsstellen sammeln möchten. Gleichwohl müssen derartige Anfragen entsprechend ernsthaft bearbeitet werden.

Dazu auch: Bericht bei Heise-Online
Datenschutz: Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen weiterlesen

Kurz-URL:

Datenschutzrecht: Übermittlung personenbezogener Daten in das Ausland

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - Vereinbaren Sie einen Termin unter 02404-92100!

In der digitalen Welt ist die Übermittlung von Daten ans Ausland und Speicherung von Daten im Ausland nichts besonderes mehr. Es stellt sich aber die Frage, ob und unter welchen Voraussetzungen dies zulässig ist. Dazu ein kurzer Überblick.
Datenschutzrecht: Übermittlung personenbezogener Daten in das Ausland weiterlesen

Kurz-URL:

EUGH: Safe Harbor Abkommen ist unwirksam

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Mit dem „Safe Harbor Abkommen“ (Dazu hier bei uns) soll eine Datenübermittlung in die USA aus dem europäischen Raum ermöglicht werden. Nachdem der Generalanwalt bereits geäußert hatte, dass er Zweifel an der Wirksamkeit des Abkommens hat, hat am 06.10.2015 dann – sehr zeitnah nach dem Antrag des Generalanwalt – der EUGH entschieden, dass das Safe Harbor Abkommen unwirksam ist. Dies hat durchaus einige beachtliche Konsequenzen.
EUGH: Safe Harbor Abkommen ist unwirksam weiterlesen

Kurz-URL:

Safe Harbor: Generalanwalt am EUGH bezweifelt Wirksamkeit von Safe Harbor

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Nach Ansicht von Generalanwalt Bot hindert die Entscheidung der Kommission, mit der die Angemessenheit des Schutzes personenbezogener Daten in den Vereinigten Staaten festgestellt wird, die nationalen Behörden nicht daran, die Übermittlung der Daten europäischer Nutzer von Facebook an Server, die sich in den Vereinigten Staaten befinden, auszusetzen – er ist vielmehr sogar der Auffassung, dass diese Entscheidung ungültig ist. (EUGH, Rechtssache C-362/14)

Hinweis: Zu Safe Harbor finden Sie hier meinen Übersichtsartikel. Für den 06. Oktober 2015 hat das Gericht bereits eine Entscheidung angekündigt, was man durchaus so verstehen kann, dass eine gewisse Wahrscheinlichkeit besteht, dass man den Schlussanträgen (wie ohnehin üblich) folgt.
Safe Harbor: Generalanwalt am EUGH bezweifelt Wirksamkeit von Safe Harbor weiterlesen

Kurz-URL:

Datenschutzgrundverordnung

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Es ist soweit: Am 14.04.2016 wurde die „Datenschutzgrundverordnung“ durch das europäische Parlament beschlossen. Der Datenschutz steht damit ab 2018 vor tiefgreifenden Änderungen, Betriebe und Datenschützer haben nun noch gut 1 Jahr Zeit, um sich auf die Änderungen einzustellen.

Bereits im Juni 2015 kam die bis dahin stockende „Datenschutzgrundverordnung“ einen wesentlichen Schritt voran durch den einigenden Beschluss der EU-Justizminister. Damit wurde die Datenschutzgrundverordnung auch in der Öffentlichkeit ein Stück weit bekannter. Im Dezember 2015 kam dann der „Durchbruch“ in dem man sich auf einen Verordnungstext einigen konnte, seit April 2016 stand die finalisierte und beschlossene Fassung der Datenschutzgrund hinsichtlich der verschiedenen Sprachen fest, wobei Ende Oktober 2016 einige redaktionelle Änderung publiziert wurde.

Unternehmen sollten sich auf die Datenschutzgrundverordnung einstellen und ihre Prozesse umstellen. Der vorliegende Beitrag soll als erster kleiner Stichwort-Beitrag mit einer sehr kurzen Einführung dienen.
Datenschutzgrundverordnung weiterlesen

Kurz-URL:

EUGH und ein Recht auf Vergessen: Anspruch auf Löschung personenbezogener Daten bei Suchmaschinen und Informationsmittlern

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - Datenschutzrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Der EUGH (C-131/12) hat sich mit der Frage des Schutzes personenbezogener Daten beschäftigt und eine viel beachtete und viel diskutierte Entscheidung gefällt. Es kann dabei dahin stehen, ob der EUGH entschieden hat, dass man ein „Recht auf Vergessen“ (durch andere) hat oder ob es um ein „Recht auf Vergessenwerden“ (der eigenen Person) geht – letztlich ist der Tenor scheinbar klar: Es gibt, zumindest unter Umständen, einen Anspruch dahin gehend, dass bei einer Suchmaschine ein Link zu Informationen über die eigene Person gelöscht wird. Selbst dann, wenn die Informationen als solche rechtmäßig veröffentlich sind und nicht gelöscht werden müssen. Ein Blick auf die Entscheidung und darauf, was sie (vielleicht) bedeutet.
EUGH und ein Recht auf Vergessen: Anspruch auf Löschung personenbezogener Daten bei Suchmaschinen und Informationsmittlern weiterlesen

Kurz-URL:

Anwendbarkeit deutschen Datenschutzrechts auf ausländische Unternehmen

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Das OVG Schleswig-Holstein (4 MB 11/13) hat entschieden:

  1. Niederlassung im Sinne des § 1 Abs. 5 Satz 1 2. HS BDSG und des Art. 4 Abs. 1 a) RL 95/46/EG ist eine feste Einrichtung, die tatsächlich personenbezogene Daten erhebt, verarbeitet oder nutzt. Eine Niederlassung muss nicht notwendig auch verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG bzw des Art. 2 d) S. 1 RL 95/46/EG sein.
  2. Maßgebend für die Anwendbarkeit einzelstaatlichen materiellen Rechts ist nicht der Sitz der verantwortlichen Stelle, sondern der Sitz der Niederlassung. Hat die verantwortliche Stelle nur eine für die Verarbeitung der relevanten personenbezogenen Daten zuständige Niederlassung in der EU bzw. im EWR, findet nur das Recht, das sich nach dem Ort der Niederlassung bestimmt, Anwendung (hier: das materielle irische Datenschutzrecht).
  3. Ist die Anwendung deutschen Datenschutzrechts nach § 1 Abs. 5 S. 1 BDSG ausgeschlossen, findet § 1 Abs. 5 S. 2 BDSG, der Art. 4 Abs. 1 c RL 95/46/EG umsetzt, keine Anwendung.

Diese Entscheidung dürfte europäischer Rechtsprechung entsprechen, der EUGH hat inzwischen festgestellt, dass eine Niederlassung die Anwendbarkeit nationalen Datenschutzrechts eröffnet.

Kurz-URL:

Kein deutsches Datenschutzrecht für Facebook (?)

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Das Schleswig-Holsteinische Verwaltungsgericht (8 B 60/12 und 8 B 61/12) hat im Zuge des Eilrechtsschutzes festgestellt, dass deutsche Datenschutzbehörden für Facebook nicht zuständig sind. Dabei hat das Verwaltungsgericht folgenden Sachverhalt angenommen:

Die Facebook Ltd. Ireland erfülle mit dem dort vorhandenen Personal und den dortigen Einrichtungen alle Voraussetzungen einer Niederlassung in diesem Sinne mit der Folge, dass ausschließlich irisches Datenschutzrecht Anwendung finde. Die Facebook Germany GmbH hingegen sei ausschließlich im Bereich der Anzeigenaquise und des Marketing tätig.

Unter dieser Voraussetzung käme deutsches Datenschutzrecht nicht zur Anwendung, sondern irisches Datenschutzrecht. Dies ergibt sich insoweit wohl u.a. aus der europäischen Datenschutz-Richtlinie (Richtlinie 95/46/EG), dort Artikel 4. Dementsprechend ist bei einer Niederlassung der verarbeitenden Stelle in einem Mitgliedsstaat der EU die Anwendbarkeit des dortigen Datenschutzrechts eröffnet. Sofern es also dabei bleibt, dass in einem anderen Mitgliedsstaat die Niederlassung von Facebook bezüglich der Datenverarbeitung erkannt wird, ist diese Entscheidung wohl korrekt.

Auch wenn es sich um eine Entscheidung im Zuge des Eilrechtsschutzes handelt, wo nur summarisch alles geprüft wird, gehe ich davon aus, dass es bei der Entscheidung inhaltlich bleiben wird.

Update: Es gab eine kurzzeitige erste Fassung dieses Artikels, in der die Entscheidung falsch dargestellt wurde und die Zuständigkeit der Behörde in Frage gestellt wurde. Dies ist natürlich falsch, selbstverständlich ist die nationale Aufsichtsbehörde zuständig (was in der Entscheidung auch noch einmal ausdrücklich klar gestellt ist, insofern ist Artikel 28 der Datenschutzrichtlinie auch zu beachten), die Frage ist vielmehr, welches Recht anwendbar ist. Ich bitte, die Problematik richtig zu erfassen und entschuldige den Fehler der ersten Fassung der dem Zeitdruck beim Abfassen geschuldet war.

 

Hinweis:

Kurz-URL:

Datenschutzerklärung von Google in Teilen rechtswidrig

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - IT-Recht - IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

Google hat seine Datenschutzerklärung seit dem 01.03.2012 geändert. Registrierte Nutzer mussten dieser Erklärung zwingend zustimmen. Im Folgenden eine Analyse der Datenschutzerklärung von Google, was beispielhaft auch anderen Datenschutzerklärungen eine Hilfestellung sein soll. Der Artikel ist auf dem Stand der zum 01.03.2013 gefassten Datenschutzerklärung von Google.

Update: Das Landgericht Berlin (15 O 402/12) erkannte inzwischen, dass einige der Klauseln in der Datenschutzerklärung von Google tatsächlich rechtswidrig sind.

Datenschutzerklärung von Google in Teilen rechtswidrig weiterlesen

Kurz-URL:

Das Anti-Counterfeiting Trade Agreement (ACTA) und das deutsche Recht (2012)

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

Man liest – endlich will man sagen – zunehmend Inhalte über das „Anti-Counterfeiting Trade Agreement“, oder kurz „ACTA“. Dabei wird sehr schnell vom Ende des freien Internet gesprochen, je nachdem wo man etwas über ACTA nachliest. Andere sind da entspannter. Ich möchte im Folgenden einige wesentliche Punkte von ACTA kurz mit Blick auf das bestehende deutsche Recht betrachten. Vielleicht ein wenig überraschend.

Dazu auch:

Vorab Hinweise zu drei typischen Kritikpunkten:

  1. Ständiger, m.E. berechtigter, Kritikpunkt ist die Verhandlungsführung hinter verschlossenen Türen. Das hat mit der folgenden Betrachtung des ACTA-Textes aber nichts zu tun.
  2. Weiterhin wird immer wieder darauf verwiesen, dass ACTA nur noch von „Geistigem Eigentum“ spricht und dies zu weit geht. Hier setzt bereits der erste Trugschluss an: Zwar ist die Rede von „intellectual property“ („geistiges Eigentum“), aber nicht im Luftleeren Raum! Dieser Begriff ist ausweislich Artikel 5h (Artikel = Section) an den des TRIPS-Abkommens angelehnt und diesem zu entnehmen, also: Urheberrechte, Marken, Geographische Angaben, Gewerbliche Muster & Modelle, Patente, Schaltkreis-Designs. Also all das, was auch nach aktuellem deutschen Recht bereits einen Schutz genießt. Die Schutzfähigkeit der reinen Idee etwa ergibt sich daraus keinesfalls.
  3. Als drittes ist schon an dieser Stelle darauf hinzuweisen: ACTA ist ein Vertrag, der von den Staaten zu ratifizieren ist. Die einzelnen Staaten müssen sodann eventuell eingegangene Verpflichtungen durch nationale Gesetze umsetzen – keineswegs entfaltet ACTA nach einer Ratifikation aber unmittelbare Wirkung für die jeweiligen Bürger.

Hinweis: Ich gehe im Folgenden die wesentlichen Artikel der deutschen Übersetzung von ACTA durch. Der Artikel ist dementsprechend naturgemäß sehr lang und erzwingt zugleich das Lesen weiter Teile des ACTA-Textes. In 3 Minuten wird man das nicht lesen können. Am Ende findet sich ein Fazit. Beim kopieren der Textstellen aus dem ACTA-PDF wurden die Umlaute zerstört (ein typisches UTF8 Problem). Ich sehe von einer Korrektur ab, da dies zu Zeitaufwändig wäre und der Leser insgesamt problemlos verstehen müsste, worum es geht.

Das Anti-Counterfeiting Trade Agreement (ACTA) und das deutsche Recht (2012) weiterlesen

Kurz-URL:

Deutsches Datenschutzrecht findet bei Speicherung auf ausländischen Servern Anwendung

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Das OLG Hamburg (7 U 134/10) hat festgestellt:

Nach § 1 Abs. 5 Satz 2 BDSG finden die Bestimmungen des BDSG Anwendung, sobald eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt; nach dem klaren Wortlaut des Gesetzes kommt es hierfür nicht darauf an, ob die betreffende Stelle über im Inland belegene Speicher oder Datenleitungen verfügt (Dammann in Simitis, BDSG, 7. Aufl., § 1 Rdnr. 217). Diese Regelung mag über den Inhalt der europäischen Richtlinie, die den Regelungen in § 1 Abs. 5 BDSG zugrundeliegt, hinausgehen (dazu kritisch Dammann aaO.); europarechtlich problematisch ist das indessen nicht, weil § 1 Abs. 5 Satz 2 BDSG gerade nicht innereuropäisches Kollisionsrecht betrifft. Die Beklagte hat die den Kläger betreffenden Angaben auch dann im Inland verarbeitet, wenn die von ihr betriebenen Server, auf denen die streitigen Inhalte gespeichert sind, sich ausnahmslos in den Vereinigten Staaten von Amerika befinden; denn nach § 3 Abs. 4 BDSG umfasst das Verarbeiten neben dem Speichern u.a. auch das Übermitteln personenbezogener Daten, und das Übermitteln ist nach § 3 Abs. 4 Nr. 3 b) BDSG das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten u.a. in der Weise, dass der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Eine solche Übermittlung der Angaben erfolgt aber auch – und bezogen auf die hier streitigen Angaben – gerade in und nach Deutschland, da sie in Deutschland abgerufen werden können und sollen. Damit ist deutsches Datenschutzrecht anwendbar […]

Kurz-URL:

Cookierichtlinie: Wird es für Webmaster, Cookies & Apps schwer(er)?

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

Weiterhin ist sie in der Schwebe: Die Cookie-Richtlinie. Diese hätte bis zum 25. Mai 2011 durch Gesetz umgesetzt werden müssen (zur Frage der Umsetzung und unmittelbaren Wirkung der Richtlinie siehe hier bei uns) – doch passiert ist bisher nichts, ein bisheriger Gesetzentwurf wurde nicht beschlossen. Anders in Europa insgesamt, die meisten Länder haben bereits reagiert, wie hier zu sehen ist.

Hinweis: Dieser Artikel wird laufend aktualisiert und dient als Übersicht über das Thema auf unserer Seite.

Die umzusetzende Richtlinie 2009/136/EG, die in Art.5 III der Datenschutzrichtlinie für die elektronische Kommunikation (2002/58/EG) eine kleine Änderung vornimmt: U.a. Cookies sind demnach nur noch mit ausdrücklicher Einwilligung des Nutzers zulässig. Wobei man aber genau lesen muss, um zu verstehen, wie weit dies geht – dort ist nämlich zu lesen:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Das ist doch mal ein Absatz den wohl kaum einer beim ersten (oder zweiten) Lesen versteht. Im Kern steht dort: (1) Wer einen Cookie setzen möchte, der hat ausdrücklich vorher um Erlaubnis zu bitten. Aber (2) wenn es gar nicht anders geht und der angebotene Dienst an diesem Cookie hängt, dann wird das ausnahmsweise OK sein, so der letzte Satz, der bis heute gerne übersehen wird in Analysen zum Thema. Fraglich nur, wann das anzunehmen sein wird – eine Vielzahl der heute üblichen Cookies, etwa des WordPress-Systems, ist in dieser Form alles andere als unabdingbar. Grenzwertig werden Session-Cookies sein, ich tendiere hier, diese noch als zulässig einzustufen, da sie bis heute für ein funktionierendes Session-System unabdingbar sind. Ein paar Probleme sehe ich im Ergebnis, vor allem für Online-Shop Betreiber angesichts aktueller Abmahnungen wegen Verstössen gegen das Datenschutzrecht, im Ergebnis also in jedem Fall.

Doch die so genannte „Cookie-Richtlinie“ wird ihrem Namen nicht gerecht – denn es geht nicht um Cookies alleine. Wer genau liest, merkt, dass es um Informationen „die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ geht. Also geht es auch um Apps, etwa für das iPhone, die auf das Telefonbuch zugreifen wollen. Das nur als einfachstes Beispiel. Im Ergebnis werden wohl in naher Zukunft Apps und Webseiten ein etwas ausgefeilteres Regelwerk bei der Installation entwickeln müssen, um die Einwilligung des Nutzers einzuholen.

Ebenfalls interessant wird es mit der Einbindung externer Dienste auf der Webseite, etwa dem Facebook-Like-Button oder bei Youtube-Videos, da diese Inhalte gleichsam auf Cookies des Clients zugreifen. Die Problematik der Vergangenheit wird sich hier unter einem bisher nicht gesehen Aspekt für Webmaster noch weiter verkomplizieren. Es bleibt abzuwarten, wie die Richtlinie national umgesetzt wird. Ich sehe allerings für Webmaster keine guten Vorzeichen.

Nun ist fraglich, wann Deutschland das auch umsetzen wird – bisher ist mir dazu nichts bekannt (eine Anfrage habe ich gestellt und berichte, wenn sich was ergibt). Als Webmaster und Shop-Betreiber ist man jedenfalls schlecht Beraten, den Kopf in den Sand zu stecken, da sich erfahrungsgemäß auch „von heute auf morgen“ in diesem Bereich etwas ändern kann.

Zum Thema:

Kurz-URL: