Werbung für Webseiten: Google Cookie-Richtlinie

Ende Juli schrieb Google zahlreiche Webseitenbetreiber an, um sie über eine neue Richtlinie zu informieren. In dieser Mail heißt es auszugsweise:

“Lieber Publisher,

hiermit möchten wir Sie auf eine neue Richtlinie zur Einholung der Zustimmung der Endnutzer in der EU hinweisen, mit der den geltenden gesetzlichen Vorgaben und Best Practices Rechnung getragen wird. Diese Richtlinie sieht vor, dass Sie zur Einholung der Zustimmung des Endnutzers verpflichtet sind, wenn Sie Produkte wie Google AdSense, DoubleClick for Publishers und DoubleClick Ad Exchange einsetzen. […]

Gemäß diesen Richtlinien müssen Sie die Zustimmung der Endnutzer in der EU einholen, wenn Sie Google-Produkte einsetzen und dabei Cookies und andere Daten gespeichert und abgerufen sowie Daten erfasst, weitergegeben und genutzt werden. […] Bitte setzen Sie diese Richtlinie so bald wie möglich um, spätestens jedoch bis zum 30. September 2015. Falls Ihre Website oder App über keinen der Richtlinie entsprechenden Zustimmungsmechanismus verfügt, implementieren Sie bitte jetzt einen solchen.”

Diese Meldung hat zunächst wenig Beachtung in den einschlägigen Foren und Blogs gefunden, vermutlich auch deswegen, weil sich die Webseitenbetreiber vermutlich im Unklaren befanden, wie sie mit der Google-Ankündigung umgehen sollen. Mittlerweile haben sich viele Betreiber etwas berappelt und man findet etliche Einschätzungen der Sachlage. Eine bereits recht früh gemachte Beitragsserie findet man etwa hier.

Meine Meinung

Da ich selbst bislang auf einigen Webseiten Google-Adsense-Werbung betreibe, habe auch ich mir einige Gedanken dazu gemacht, wie man die neue Google-Richtlinie am Besten umsetzen kann. Dabei möchte ich herausstellen, dass alle Hinweise nur meine persönliche Meinung darstellen können, die möglicherweise rechtlich fehlerhaft ist. Sie sind keine Rechtsberatung und können keine anwaltliche Rechtsberatung ersetzen.

Muss man die Anweisung umsetzen?

Aus datenschutzrechtlicher Sicht, ist die Einblendung des von Google geforderten Hinweises vermutlich nicht nötig. Zur Erfüllung der in Deutschland geltenden Datenschutzrichtlinien reicht nach Meinung vieler Seitenbetreiber und auch meiner Meinung nach der Link auf die Datenschutzhinweise der Seite, am Besten mit Beschreibung eines Opt-Out-Verfahrens, aus. Allerdings ist natürlich nicht automatisch rechtlich bindend, was die Mehrzahl der Seitenbetreiber denkt oder umsetzt. Einen ersten Einblick in die Komplexität der Materie kann man hier gewinnen. In jedem Fall sollte man sich spätestens jetzt mit den generellen Umgang mit den Datenschutzbestimmungen auf der eigenen Webseite befassen.

Trotzdem wird man die Bestimmungen von Google jedoch umsetzen müssen, da sie unabhängig von der sonstigen Rechtslage ein Teil der Google-Bestimmungen geworden sind. Es ist zwar nicht vorauszusehen, wie Google die Verstöße gegen die neue Richtlinie ahnden wird, aber es erscheint mir wahrscheinlich, dass das Nicht-Umsetzen Konsequenzen von Seiten nach sich ziehen wird, auch wenn man sich fragen kann, inwieweit Google dies verfolgen wird. Da diese Konsequenzen jedoch unter Umständen sehr hart und umfangreich sein könnten, im schlimmsten Fall halte ich auch einen Ausschluss aus dem AdSense-Partner-Programm nicht für ausgeschlossen, sollte man es nicht auf eine Konfrontation ankommen lassen.

Wie kann ich die Anweisung umsetzen?

Der einfachste Weg ist natürlich das problematische Produkt aus der Webseite zu entfernen, denn wo keine (Google-)Cookies gesetzt werden, muss man auch nicht vor ihnen warnen. Tatsächlich ist dieser harte Schnitt eine denkbare Alternative für Webseiten, wo der Aufwand für die Änderung in einem ungünstigen Verhältnis zum Nutzen steht.

Ansonsten muss der Hinweis, wie von Google gefordert, gesetzt werden. Auch wenn in der Google-Benachrichtigung von der “Zustimmung der Endnutzer” die Rede ist, reicht es nach meinen bisherigen Nachforschungen aus, eine Opt-Out-Lösung zu praktizieren. Das heisst, man blendet zusätzlich zu den bereits vorhandenen Datenschutzhinweisen einen deutlich sichtbaren Hinweis ein, dass die Webseite Cookies verwendet. Dies mit Link auf die Datenschutzhinweise, die den Nutzer über Cookies und eventuelle Opt-Out-Löungen informieren. Dies scheinen auch die von Google genannten Beispiel-Implementation auf www.cookiechoices.org teilweise so zu handhaben.

Cookiehinweis im Selbstbau

Mit den fertigen Lösungen werden sich nicht alle Webseitenbetreiber anfreunden können und eigene Lösungen umsetzen. Eine solche Warnung besteht üblicherweise aus einem <div>-Bereich mit den von Google geforderten Hinweisen, sowie zumeist einem “OK”-Button, mit dem der Nutzer den Hinweis aktiv ausblenden kann. Dabei ist der Button optional, aber letztlich wünschen sich Seitenbetreiber und Besucher wohl mehrheitlich eine Möglichkeit, die Einblendung als gelesen abzuhaken und weitere Einblendungen zu unterdrücken. Eine solche Anforderung ist für die meisten Webseiten für einen Webentwickler sehr rasch umzusetzen, für die des Programmierens unerfahrenen finden sich im Netz zahlreiche (Beispiel) mehr oder weniger gute Umsetzungen, die man als Ansatz für eigene Lösungen verwenden kann.

Bei diesen Selfmade-Umsetzungen, wie wohl auch bei den von Google eingebrachten Beispiel-Implementierungen gibt es einige prinzipielle Probleme, die man im Blick haben sollte:

1. Sichtbarkeit: Der Cookie-Hinweis muss gut sichtbar sein, um den Google-Hinweis zu genügen. Wer sich unsicher ist, wie dies umzusetzen ist, sollte sich zur Anregung die Umsetzung auf anderen Seiten anschauen. Bei absolut positionierten Hinweisen sollte man zudem vermeiden, dass dadurch andere essentielle Seitenelemente überdeckt werden könnten (eventuell erst beim Scrollen oder bei anderen Seitenauflösungen). Essentielle Seitenelemente können u.a. rechtlich relevante Links sein oder aber auch Drittanbieter-Inhalte, die laut Geschäftsbedingungen nicht überdeckt werden dürfen.
2. Form: Der Hinweis muss über Cookies die Verwendung von Cookies aufklären und sollte einen Link zur Datenschutzerklärung mit Opt-Out-Beschreibung beinhalten. Ein kurzes Diese Webseite verwendet Cookies (<a href=”meindatenschutzhinweis.html”>Datenschutzhinweise</a>) reicht dazu vermutlich aus. Auch hier kann man sich ansonsten Anregungen bei anderen Umsetzungen holen.
3. Probleme bei der Nutzung von Cookies: Die meisten Umsetzungen beinhalten einen OK-Button, mit dem sich die Anzeige des Hinweises vom Nutzer ausblenden lässt. Dabei setzt der Button zumeist selbst einen Cookie, um zu erkennen, dass ein Nutzer einen Button geklickt hat und künftig keinen Hinweis mehr bekommen soll. Das Warnen vor Cookies durch Setzen eines Cookies ist dabei nicht nur eine selbstironische Randbemerkung, sondern führt ausgerechnet bei den Nutzern, die bereits einen restriktiveren Umgang mit Cookies pflegen, zu Problemen. Da diese Cookies oftmals prinzipiell ablehnen oder nach Beendigung Ihrer Internetsitzung komplett löschen, werden diese immer wieder auf’s Neue mit dem wohlmöglich unerwünschten Hinweis konfrontiert. Hier könnte man eventuell auf weitere Identifikationsmaßnahmken wie die Speicherung der IP-Adresse oder Browserfingerprinting setzen. Solche Maßnahmen sind jedoch möglicherweise aufwändiger, weniger zuverlässig und datenschutzrechtlich fragwürdig.
4. Probleme bei Nutzung von Javascript: Die meisten Umsetzungen benutzen Javascript, schon allein, um nach Klick auf den fast immer vorhandenen OK-Button ein Cookie zu setzen und dann den Hinweis sofort und ohne Neuladen der Seite auszublenden. Wenn jedoch die Anzeige des Hinweises selbst ebenfalls über Javascript realisiert wird, erscheint dieser nicht bei Nutzern die Javascript deaktiviert haben. In der Praxis sollten bei diesen Nutzern zwar auch keine der Javascript-basierten Google-Dienste laufen und somit auch keine Cookies setzen können – ein Hinweis, der ohne Javascript angezeigt wird, könnte dennoch eventuell besser sein.

Weitere Artikel dieser kurzen Serie:

• Werbung für Webseiten: Google Cookie-Richtlinie
• Werbung für Webseiten: Amazon Ads
• Code für Google Cookie Hinweis
• Erfahrungen mit affili.net