Im Vereinigten Königreich gilt neben der Privacy and Electronic Communications Regulations 2003 (PECR) das Data Protection Act (DPA) sowie die DSGVO.
Für die Durchsetzung der Vorschriften ist das Information Commissioner’s Office (ICO) als unabhängige britische Einrichtung zum Schutz der Informationsrechte zuständig.
Anforderungen an die Cookie-Einwilligung
In einem Blogbeitrag im Juli 2019 hat das ICO strengere Leitlinien für die Zustimmung und Transparenz bei der Verwendung von Cookies veröffentlicht, die auch ein Verständnis dafür vermitteln, wie die PECR im Hinblick auf die GDPR auf die Verwendung von Cookies anzuwenden ist (Blog: Cookies – what does ‘good’ look like?).
Organisationen wird daher empfohlen, unverzüglich Maßnahmen zu ergreifen und die Nutzung ihrer webbasierten Technologien zu überprüfen sowie notwendigen Änderungen vorzunehmen, siehe: Guidance on the use of cookies and similar technologies
Werden Online-Dienste, wie z.B. eine Website oder eine mobile App betrieben, ist ein tiefes Verständnis der PECR für die Verwendung von Cookies unerlässlich. Kurz dargestellt, bezieht sich die PECR nicht namentlich auf Cookies, sondern verlangt, dass eine Person keine im Endgerät eines Teilnehmers oder Benutzers gespeicherten Informationen speichern oder Zugang zu diesen erhalten darf, es sei denn:
- klare und umfassende Informationen über die Zwecke der Speicherung dieser Informationen oder des Zugangs zu diesen werden gegeben; und
- es besteht die Möglichkeit, die Speicherung dieser Informationen oder den Zugang zu ihnen zu verweigern (Artikel 6 PECR).
Im Grunde genommen müssen die Menschen bei dem Ensatz von Cookies nicht nur klar und umfassend über die Art und Weise benachrichtigt, sondern auch darüber informiert werden, warum Cookies verwendet werden. Es muss sichergestellt werden, dass für jedes nicht unbedingt erforderliche Cookie auf der Website geeignete Mittel zur berechtigten Zustimmung zu diesem Cookie gesetzt werden, die aktiv und eindeutig erteilt werden müssen. Dies gilt auch für “ähnliche Technologien” wie z.B. Fingerabdrucktechniken oder jede andere Art von Technologie, die verwendet wird, um Informationen auf dem Gerät einer Person zu speichern oder Zugang zu diesen zu erhalten.
Ausnahmen von den Cookie-Regeln
Auf der Grundlage von Artikel 6 PECR gibt es zwei Ausnahmen zu den Cookie-Regeln, die als “Kommunikations-“Ausnahme und als “strengstens erforderliche” Ausnahme bekannt sind.
Die Kommunikations-Ausnahme gilt für Cookies, deren ausschließlicher Zweck es ist, die Übertragung einer Kommunikation über ein elektronisches Kommunikationsnetz durchzuführen.
Die „strengstens notwendige“ Ausnahme gilt hingegen für Cookies, die unbedingt notwendig sind, um „Information society services (ISS)“ – d.h. über das Internet bereitgestellte Dienste – bereitzustellen, sofern sie von den Benutzern selbst angefordert werden.
Transparenz
Letztendlich müssen die Informationspflicht über die Zwecke, für die Cookies eingesetzt werden, auch mit dem Transparenz-Gebot gemäß der DSGVO entsprechen, d.h. leicht zugänglich, in klarer und verständlicher Sprache und möglichst benutzerfreundlich sein.