Cookies & Co. – juristisch giftige Kekse?
Die Kontroverse rund um die US-Spionage zeigt, dass nicht alles, was technisch möglich, auch legal ist. Das gilt ebenfalls für das Marketing mit Cookies & Co. Werden aber die Datenschutzgrundsätze eingehalten, werden Cookies & Co. für Website-Betreiber nicht zu «juristisch giftigen Keksen».
Marketingleute sind hungrig, hungrig nach Kunden- und User-Daten. Das liegt in der Natur der Sache. Seit dem Einzug der Informatik erhalten sie zudem laufend neue, effizientere Tools zur Datenbeschaffung und Datenauswertung. Seit dem Internet haben diese exponentiell zugenommen. Das hat auch die Politik auf den Plan gerufen, die parallel dazu das Datenschutzgesetz eingeführt und laufend den neuen technischen Möglichkeiten angepasst hat. Das Datenschutzgesetz bildet die wesentliche juristische Grundlage für das Online-Marketing mit Cookies und anderen Tools zur Analyse des Kunden- bzw. User-Verhaltens auf dem Internet. Unter das Datenschutzgesetz fallen jedoch nur so genannt «persönliche Daten». Das sind Daten, die einen direkten Rückschluss auf eine natürliche oder juristische Person zulassen. Gemäss dem Eidg. Datenschutzbeauftragten fallen darunter auch IP-Adressen, obwohl solche in der Regel nur einen Rückschluss auf den entsprechenden Access-Provider zulassen, da die zugehörigen User-Daten von diesem nur bei begründetem Verdacht auf eine Straftat und nur an die Strafbehörden herausgegeben werden dürfen. Damit müssen Marketingleute, die sogenannte Cookies und Auswertungs-Tools für Webseiten, wie z.B. Google Analytics, einsetzen, sich ebenfalls an die Grundsätze des Datenschutzes halten. Dabei ist vor allem der Grundsatz der Rechtmässigkeit, der Transparenz, der Verhältnismässigkeit, der Zweckbindung und der Sicherheit wichtig.
Sowohl in Bezug auf Cookies wie auch auf Auswertungs- Tools bedeutet dies, dass der Betreiber einer Website in den Allgemeinen Nutzungsbedingungen explizit auf die Verwendung dieser Mittel hinweisen muss, in der Regel im Rahmen einer Datenbearbeitungserklärung. Wird die Website auch in der Europäischen Union abgerufen bzw. ist sie auch auf diesen Markt ausgerichtet, verlangt die E-Privacy-Richtlinie der EU zusätzlich, dass der User sich explizit mit der Platzierung eines Cookie auf seinem PC einverstanden erklären muss, z. B. mittels Anklicken einer Zustimmungsbox in einem Pop-up. Dies entspricht dem bereits im Zusammenhang mit kommerziellen E‑Mails bekannten Opt-in-Prinzip. Bei den Analyse-Tools von Drittanbietern ist wichtig, dass diese die vom Website-Betreiber gelieferten Daten nicht zu eigenen Zwecken verwenden und die Datensicherheit gewährleisten. Werden Tools ausländischer Anbieter verwendet, müssen auch die Bestimmungen des Datenschutzgesetzes betreffend die Lieferung von persönlichen Daten ins Ausland beachtet werden. Dabei verlangt das Datenschutzgesetz, dass das Land, in das die Daten geliefert werden, einen «angemessenen Datenschutz» gewährleistet. In den USA muss sich aus Sicht der Schweiz bzw. des Eidg. Datenschutzbeauftragten der Anbieter dem «U.S.-Swiss Safe Harbor Framework» angeschlossen haben, was insbesondere auch Google getan hat. Zudem verlangt der Eidg. Datenschutzbeauftragte, dass der Website-Betreiber durch entsprechende Einstellungen im Programmcode dafür sorgt, dass die letzten Ziffern der IP-Adresse unkenntlich gemacht werden, was insbesondere bei Google Analytics einfach möglich ist.
Wenn diese Grundsätze beachtet werden, können Cookies und Analyse-Tools sowohl für einen Website- Betreiber wie für den User zur Vereinfachung und Optimierung von Web-Angeboten beitragen, ohne für den Website-Betreiber zu «juristisch giftigen Keksen» zu werden. Weitere Infos unter www.edoeb.admin.ch und im Buch «Kommunikationsrecht.ch»
Ueli Grüter
