Solche oder ähnliche Hinweise findet man beim Surfen im Internet seit einiger Zeit immer häufiger: „Diese Website benutzt Cookies, um Ihre Benutzererfahrung zu verbessern. Außerdem benutzt diese Website Google Analytics. Wir gehen davon aus, dass dies für Sie in Ordnung ist. Sie können außerdem ein Opt-out durchführen.“ Und von Ende September an werden wohl nur noch sehr wenige Websites ohne derartige Texte auskommen. Denn bis dahin fordert der Internetkonzern Google Nutzer von bestimmten Produkten des Hauses dazu auf, den entsprechenden Programmcode mitsamt der dazugehörigen Datenschutzerklärung in den jeweiligen Internetauftritt einzubauen.

Worum geht es? Cookies sind kleine Dateien, die es ermöglichen, auf dem Gerät, mit dem von einem Nutzer auf das Internet zugegriffen wird, spezifische, auf das Gerät bezogene Informationen zu speichern. Sie dienen zum einem der Benutzerfreundlichkeit von Websites, zum Beispiel, wenn es um die Speicherung von Login-Daten geht. Zum anderen helfen sie dabei, statistische Daten der Internetseitennutzung zu erfassen und diese zugleich auch zu analysieren.

In einigen Ländern der Europäischen Union sind Anbieter von Websites und Apps schon gesetzlich dazu verpflichtet, die Besucher ihrer Produkte darüber zu informieren, wie sie Cookies und andere Formen der lokalen Speicherung verwenden. In vielen Fällen machen diese Gesetze auch das Einholen einer Zustimmung erforderlich. Verpflichtend wird der Hinweis aus der Sicht von Google zum Beispiel dann, wenn eine Website das marktführende Anzeigen-Auslieferungsprogramm „Google Adsense“ nutzt, aber auch, wenn der Anbieter die Zugriffe und die Herkunft der Nutzer mit dem Programm „Google Analytics“ auswertet.

Gerade für Deutschland gilt dies zwar eigentlich nicht, da die Bundesregierung die entsprechende EU-Richtlinie gar nicht umgesetzt hat und in dieser Hinsicht auf die Verabschiedung der umfassenden EU-Datenschutzgrundverordnung wartet. Aber Google hat beschlossen, die Hinweise schon jetzt in der gesamten EU zu verlangen. Das Unternehmen hat deshalb in den vergangenen Wochen an alle seine Partner entsprechende E-Mails verschickt: „Wenn Google-Produkte genutzt werden, bei denen diese Richtlinie Anwendung findet, müssen Endnutzern in der Europäischen Union bestimmte Informationen offengelegt und Einwilligungen von ihnen eingeholt werden, sofern das Datenschutzrecht der Europäischen Union diese Offenlegungen und Einwilligungen erfordert“, heißt es dort. Das heißt, dass man „wirtschaftlich vertretbare Maßnahmen ergreifen muss“, damit jegliche Datenerfassung, -weitergabe und -nutzung klar offengelegt wird, die auf Websites, in Apps, E-Mails oder anderen Inhalten infolge der Verwendung von Google-Produkten erfolgt. Dafür muss nun also eine entsprechende Einwilligung eingeholt werden.

Speichern von Cookies kann verhindert werden

Zudem müsse der Betreiber der Website Maßnahmen ergreifen, um sicherzustellen, dass ein Endnutzer „verständliche und umfassende Informationen“ zur Speicherung von und zum Zugriff auf Cookies und Daten auf dem Gerät des Endnutzers erhält und diesen Aktivitäten zustimmt. Google gibt seinen Nutzern verschiedene Werkzeuge an die Hand, um die Bedingungen zu erfüllen – mancher kleine Website-Anbieter dürfte damit dennoch schnell an seine technischen Grenzen stoßen. Google lässt aber keinen Spielraum für eine Nichtbefolgung der entsprechenden Datenschutzrichtlinien, jedenfalls nicht auf den ersten Blick: „Wenn Sie Google-Produkte wie Google Adsense verwenden, sind Sie vertraglich dazu verpflichtet, die EU-Richtlinie zum Einholen der Zustimmung von Google zu befolgen“, heißt es lapidar. Um dieser Pflicht nachzukommen, könne man „einen gut sichtbaren Link“ einbinden, der den entsprechenden Hinweis enthalte.

Ein Sprecher von Google räumt auf Nachfrage aber ein, dass man wegen der Rechtslage in Deutschland die hiesigen Websitebetreiber „nicht ins Hauptaugenmerk von Kontrollmaßnahmen“ nehmen werde. Mit anderen Worten: Solange Deutschland keine EU-Datenschutzgrundverordnung umsetzt, hat Google wohl wenig Handhabe, tatsächlich etwas zu unternehmen. Grundsätzlich behält sich das Unternehmen aber Stichproben zur Überprüfung vor.

Die individuellen Nutzer selbst können auf den Einsatz der Cookies sogar relativ einfach Einfluss nehmen. Denn die meisten Browser verfügen über eine Option, mit der das Speichern von Cookies eingeschränkt oder komplett verhindert werden kann. Wer aber so richtig in die neue Welt der Datenschutzerklärungen einsteigt, kann inzwischen sehr viel darüber lernen, wie das Internet auf der Ebene der Datensammlung für Werbezwecke funktioniert. Interessant ist es auch zu sehen, welche Konsequenzen es hat, wenn man Texte, Bilder oder Videos auf sozialen Netzwerken empfiehlt oder teilt: zum Beispiel über die sogenannten Social-Plugins etwa von Facebook, Google+ oder Twitter.

Das liest sich dann so: „Wenn ein Nutzer eine Website aufruft, die ein solches Plugin enthält, baut sein Browser eine direkte Verbindung mit den Servern von Facebook auf. Der Inhalt des Plugins wird von Facebook direkt an Ihren Browser übermittelt und von diesem in die Website eingebunden. Der Anbieter dieser Website hat daher keinen Einfluss auf den Umfang der Daten, die Facebook mit Hilfe dieses Plugins erhebt, und informiert die Nutzer daher entsprechend seinem Kenntnisstand.“ Und weiter: „Durch die Einbindung der Plugins erhält Facebook die Information, dass ein Nutzer die entsprechende Seite des Angebots aufgerufen hat. Ist der Nutzer bei Facebook eingeloggt, kann Facebook den Besuch seinem Facebook-Konto zuordnen. Wenn Nutzer mit den Plugins interagieren, zum Beispiel den Like Button betätigen oder einen Kommentar abgeben, wird die entsprechende Information von Ihrem Browser direkt an Facebook übermittelt und dort gespeichert. Falls ein Nutzer kein Mitglied von Facebook ist, besteht trotzdem die Möglichkeit, dass Facebook seine IP-Adresse in Erfahrung bringt und speichert. Laut Facebook wird in Deutschland nur eine anonymisierte IP-Adresse gespeichert.“

Solche Texte stellt zum Beispiel Rechtsanwalt Thomas Schwenke bereit, der im Internet einen eigenen „Datenschutz-Generator“ betreibt. Ob der Nutzer von allen diesen Vorsichtsmaßnahmen allerdings irgendetwas hat und ob hier die wahren Probleme des Datensammelns im Internet adressiert werden, die nicht nur von privaten Unternehmen, sondern auch von staatlichen Stellen vorgenommen werden, steht auf einem ganz anderen Blatt.