Es gibt seit ein paar Jahren eine EU Richtlinie zum Datenschutz im Bereich der elektronischen Kommunikation die, unter anderem, die Zustimmung des Webseitenbesuchers erfordert bevor ein Cookie gesetzt werden darf.
Dabei wird nicht zwischen Session Cookies, wie sie hier z.B. genutzt werden um eine Anmeldung für alle Seiten gültig zu machen statt für jeden Seitenaufruf eine neue Anmeldung zu fordern, und Tracking Cookies wie ich sie hier für die Piwik Webanalyse benutze. Auch der Cookie der gesetzt wird um die Analyse zu verhindern gehört dazu.
Kurz zusammengefasst, für jeden Cookie brauche ich die eindeutige und rechtsverbindliche Zustimmung des Webseitenbesuchers, auch von denen, die meine Seiten ohne Anmeldung ganz anonym anschauen.
So steht es in der Richtlinie:
Verwendung von Cookies
Die Richtlinie sieht vor, dass Nutzer ihre Einwilligung für die Speicherung von Informationen, die bereits in ihrem Endgerät gespeichert sind, oder für den Zugriff auf solche Informationen geben müssen. Zu diesem Zweck müssen die Nutzer klare und umfassende Informationen über die Zwecke der Speicherung oder des Zugangs erhalten. Diese Bestimmungen schützen die Privatsphäre des Nutzers vor böswilligen Eingriffen wie Viren oder Spähsoftware. Sie gelten jedoch auch für Cookies.
Cookies sind Informationen, die auf versteckte Weise zwischen dem Endgerät des Internetnutzers und einem Webserver ausgetauscht und zu diesem Zweck in einer Datei auf der Festplatte des Nutzers gespeichert werden. Diese Informationen dienten ursprünglich dazu, die Verfügbarkeit bestimmter Informationen zwischen zwei Verbindungen zu ermöglichen. Sie sind auch ein oft kritisiertes Kontrollinstrument zur Überwachung der Aktivitäten des Internetnutzers.
Die Richtlinie regt die Verwendung von Modalitäten an, die so benutzerfreundlich wie möglich sind, auch den Einsatz effizienter technischer Hilfsmittel.
http://europa.eu/legislation_summaries/information_society/legislative_framework/l24120_de.htm
Die Behörde des Bundesdatenschutzbeauftragten hat dazu natürlich auch eine Meinung:
Ein Sprecher des Bundesdatenschutzbeauftragten Peter Schaar erklärte gegenüber heise online, dass seine Behörde im Gegensatz zur Bundesregierung einen Umsetzungsbedarf sehe. So sei ins Telemediengesetz eine Ergänzung einzufügen, dass Cookies nur dann gesetzt werden dürften, wenn eine Einwilligung des Nutzer erfolge. Diese müsse auf verständlichen Informationen der Betroffenen über die Auswirkungen der Genehmigung beruhen. Die entsprechende Einwilligung könne einmalig erteilt werden. Man setze nun darauf, dass eine solche Bestimmung im parlamentarischen Beratungsverfahren der Reform der TK-Regeln noch eingeführt werde.
http://www.heise.de/newsticker/meldung/Umsetzung-der-EU-Cookie-Richtlinie-hakt-1204788.html
Also müsste ich vor mein Blog eine Seite legen in der ich genau und leicht verständlich erkläre was Cookies sind, wie sie funktionieren und wie ich sie benutze um dann eine Einverständniserklärung des Besuchers einzuholen. Wer nicht zustimmt kann mein Blog dann nur sehr eingeschränkt oder gar nicht sehen weil es ohne die Session Cookies nicht wirklich funktioniert. Witzig an der Sache, wie speichere ich denn die Einwilligung nach Datenschutzrichtlinien? Da müsste ich ja ein bisschen mehr über den Besucher wissen als die gerade benutzte IP Nummer. Wie kann ich denn nachweisen, dass genau dieser Besucher die Einwilligung gegeben hat? Vielleicht mit dem Chip im neuen Personalausweis?
Übrigens hält die Webseite der EU sich auch nicht an die Richtlinie, die setzen einen Cookie ohne mich vorher zu fragen 🙂