Die Artikel 29 Datenschutzgruppe der EU hat kürzlich eine Stellungnahme zur verhaltens- bzw. zielgruppenorientierten Werbung im Internet (sog. behavioural advertising) veröffentlicht. Danach soll beispielsweise der Einsatz von Cookies zur Sammlung von Nutzer-Daten für personalisierte Online-Werbung künftig nur noch eingeschränkt zulässig sein. Online-Portale müssten danach für diese Werbeform auf Opt-In-Lösungen umstellen.
Die Artikel 29 Datenschutzgruppe ist das unabhängige Beratungsgremium der Europäischen Gemeinschaft in Datenschutzfragen. Sie setzt sich aus je einem Vertreter der nationalen Datenschutzbehörden, dem Europäischen Datenschutzbeauftragten und einem nicht stimmberechtigten Vertreter der Europäischen Kommission zusammen. Den Vorsitz der Artikel 29 Datenschutzgruppe hält derzeit die Bundesrepublik Deutschland.
Die aktuellen Empfehlungen der Artikel 29 Datenschutzgruppe vom 22. Juni 2010 haben folgenden Hintergrund: Wenn der Betreiber einer Webseite beispielsweise mit einem Werbenetzwerk kooperiert, um auf seiner eigenen Webseite verhaltens- oder zielgruppenorientierte Werbung zu schalten, haben seine Besucher dem betreffenden Netzwerk durch den Einsatz von sog. Cookies zuvor bereits eine nicht unerhebliche Menge an eigenen personenbezogenen Daten preisgegeben. Zwar haben personalisierte Werbeformen den grundsätzlich positiven Effekt, dass dem Nutzer zielgerichtete und dadurch nützliche und für ihn durchaus interessante Angebote unterbreitet werden können. Gleichwohl sind die Datenschutzbehörden auf nationaler wie auf europäischer Ebene zunehmend sowohl hinsichtlich der kurzzeitigen als auch der langfristigen Folgen solcher verhaltensorientierten Werbemaßnahmen beunruhigt.
Nach den Bestimmungen der Datenschutzrichtlinie der EU für elektronische Kommunikation (RL 2002/58/EG, sog. E-Privacy-Richtlinie) reicht es derzeit aus, wenn ein werbefinanzierter Online-Dienst seinen Nutzern das Recht einräumt, den Einsatz von Cookies zu Werbezwecken abzulehnen (sog. Opt-Out-Lösung). Nach Ansicht der Artikel 29 Datenschutzgruppe soll dies künftig aber auf Basis der am 25. November 2009 revidierten Fassung der Richtlinie (wir berichteten hierzu) nicht mehr ausreichend sein. Ihrer Ansicht nach sei dem durchschnittlichen Nutzer nämlich nicht hinreichend bewusst, dass sein Verhalten im Netz durch den Einsatz von Cookies zu Werbezwecken umfassend ausgewertet werden kann. Daher könne auch nicht davon ausgegangen werden, dass ein Nutzer dem Einsatz von sog. Werbe-Cookies zugestimmt habe, nur weil sein Browser dies technisch zulasse.
Aus diesem Grund sollen Nutzer nach der aktuellen Stellungnahme der Artikel 29 Datenschutzgruppe zukünftig im Voraus ausdrücklich in die Installation solcher Cookies zu personalisierten Werbezwecken einwilligen. Außerdem soll nach Vorstellung der Datenschutzgruppe der Einsatz von Werbe-Cookies beim Nutzer in Zukunft zeitlich beschränkt sein (z.B. auf ein Jahr). Ferner soll der Nutzer in regelmäßigen Abständen darüber informiert werden, dass und wie sein Online-Verhalten mittels Cookies zu Werbezwecken ausgewertet wird. Letztlich sollen Werbenetzwerke und -portale auch grundsätzlich davon absehen, dass Online-Verhalten von Minderjährigen zu Werbezwecken auszuwerten. Minderjährigen könnten eine wirksame Einwilligung nur durch ihre gesetzlichen Vertreten (z.B. ihre Eltern) erteilen, diese sei im Online-Bereich nur äußerst schwierig zu gewährleisten.
Darüber hinaus bemängelt die Artikel 29 Datenschutzgruppe noch eine weitere Praxis im Online-Bereich: Um ihre Nutzer pflichtgemäß darüber zu informieren, wie deren personenbezogenen Daten konkret erhoben und verwendet werden (z.B. durch den Einsatz von Cookies), berufen sich Unternehmen typischerweise auf eine ausführliche Datenschutzerklärung, die sie auf ihrer Webseite (in der Regel per Hyperlink) verfügbar halten. Auch dies ist nach Ansicht der Datenschutzgruppe unzureichend. Die wichtigsten Informationen sollen ihrem Willen nach zukünftig nicht in einer Datenschutzerklärung auf der betreffenden Webseite „versteckt“ werden, sondern dem Nutzer deutlich, verständlich und gut sichtbar zugänglich gemacht werden. Der betreffende Nutzer soll so über alle relevanten Aspekte der betreffenden personalisierten Werbung hingewiesen werden, zumindest jedoch über die Identität des betreffenden Werbenetzwerks, die konkreten Zwecke der vorgenommenen Datenverarbeitung und die Tatsache, dass über einen Cookie Informationen über sein individuelles Verhalten im Internet gesammelt werden.
Grundsätzlich sind Stellungnahmen der Artikel 29 Datenschutzgruppe nicht bindend. Da das Gremium jedoch im Wesentlichen die Datenschutzbehörden der Mitgliedsländer repräsentiert, prägen diese Stellungnahmen maßgeblich die Gesetzesanwendung durch die Aufsichtsbehörden. Es ist deshalb für Unternehmen ratsam, sich bei ihrer Datenverarbeitung an den Rechtsansichten der Artikel 29 Datenschutzgruppe zu orientieren.
Obwohl sich die meisten der genannten neuen Anforderungen der Artikel 29 Datenschutzgruppe direkt an Werbenetzwerke und Portale, wie beispielsweise Facebook, StudiVZ, MySpace und YouTube, richten, sollten sich Website-Betreiber darüber im Klaren sein, dass es von Seiten der Datenschutzbehörden auch deutliche Anzeichen zur Annahme einer so genannten gemeinsamen Verantwortlichkeit für datenschutzrechtliche Verpflichtungen gibt. Aus diesem Grund ist Website-Betreibern, die Werbung von Dritten schalten, zu empfehlen, nicht nur zu prüfen, wie das kooperierende Werbenetzwerk konkret vorgeht, sondern auch seine eigene Datenschutzerklärung zu überprüfen und zu überlegen, wie eine ausdrückliche Einwilligung der Nutzer in den Gebrauch von Werbe-Cookies eingeholt werden kann, sofern nicht bereits das betreffende Werbenetzwerk diese Einwilligung von seinen Nutzern wirksam eingeholt hat.
Die Mitgliedsstaaten haben zwar noch bis Mai 2011 Zeit, die neuen Richtlinienvorgaben – in der Interpretation der Artikel 29 Datenschutzgruppe – in nationales Recht umzusetzen. Vorausschauende Unternehmen sollten aber schon jetzt mögliche Auswirkungen auf ihr Geschäftsmodell prüfen und berücksichtigen.