EU-Cookie-Richtlinie – Kekse hinter Gittern
Kommentare

Im Mai 2011 ist die Umsetzungsfrist für die Richtlinie 2009/136/EG, die so genannte „Cookie-Richtlinie“, abgelaufen. Der deutsche Gesetzgeber hat es bisher versäumt, die Regelungen der Richtlinie in nationales Recht umzusetzen. Muss man die Richtlinie trotzdem beachten?

„Was sind Cookies?“ Kaum eine Datenschutzerklärung kommt ohne die Beantwortung dieser Frage aus. Der Grund ist einfach: Kaum eine Website kommt mehr ohne Cookies aus. Die Nutzer wissen es auch: „Sie können Ihren Browser so einstellen, dass er keine Cookies mehr speichert. Allerdings können Sie dann die Website unter Umständen nicht vollumfänglich nutzen.“ So weit, so gut. Und was genau hat nun Brüssel dazu bewegt, sich mit Cookies zu beschäftigen? Eines vorweg: Dass die Krümmung von Gurken nun nicht mehr normiert werden darf, ist nicht der Grund.

Die Richtlinie 2009/136/EG hat sich unter anderem das Ziel gesetzt, dass Nutzern eine „klare und verständliche Information bereitgestellt wird“, wenn „Dritte Informationen auf der Endeinrichtung des Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen [Erwägungsgrund 66 der Richtlinie 2009/136/EG vom 25. November 2009]. Glücklicherweise steht hinter dieser weniger klaren und verständlichen Umschreibung das Wort „Cookies“ in Klammern, sodass der deutsche Gesetzgeber weiß, worum es geht. Und der Website-Betreiber auch, denn nach Ansicht der Datenschützer hierzulande müsste er sich den Text der Richtlinie nun etwas genauer ansehen.

Einwilligung muss erteilt werden

Aber fangen wir ganz vorne an. Die Cookie-Richtlinie, die ebenfalls viele andere Themen regelt, soll auch den Schutz der Privatsphäre gewährleisten. Zu diesem Zweck wurde durch diese Richtlinie eine andere, ältere Richtlinie, die Richtlinie 2002/58/EG (Datenschutzrichtlinie für die elektronische Kommunikation), geändert.

In Artikel 2 der Cookie-Richtlinie wurde nun also geregelt, dass Artikel 5, Absatz 3 der Richtlinie 2002/58/EG wie folgt lauten soll: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“ Und die Ausnahmen zu diesem Grundsatz: „Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Das ist viel Text, aus dem der wahrscheinlich wichtigste Begriff aus dem Datenschutzrecht herausgesucht werden sollte: die Einwilligung. Nach der Cookie-Richtlinie muss der Nutzer also grundsätzlich eine Einwilligung erteilen, wenn auf einer Website Cookies genutzt und auf seinem Rechner, dem Endgerät, gespeichert werden sollen. Hierzu muss er über den Zweck der Verarbeitung informiert werden. Auf der Grundlage dieser Informationen, die klar und verständlich sein müssen, muss er dann seine Einwilligung erklären. Grundsätzlich und aus datenschutzrechtlicher Sicht ist das weder etwas Neues noch etwas Weltbewegendes. Neu ist allerdings die Anwendung auf Cookies.

Die EU will mit der „Cookie“-Richtlinie“ den Schutz der Privatsphäre umfassender gewährleisten (Bildquelle: Amio Cajander, CC-BY-SA)
Die EU will mit der „Cookie“-Richtlinie“ den Schutz der Privatsphäre umfassender gewährleisten (Bildquelle: Amio Cajander, CC-BY-SA)

Auswirkungen für Website-Betreiber

Was heißt das nun für den Betreiber einer Website in Deutschland? Im Moment ist die Regelung nach deutschem Recht jedenfalls so, dass der Diensteanbieter, also der Betreiber der Website, für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien, Nutzungsprofile bei Verwendung von Pseudonymen erstellen darf, sofern der Nutzer dem nicht widerspricht (§ 15 Absatz 3 Satz 1 Telemediengesetz, TMG). Dies ist aber keine Einwilligung, wie die Richtlinie sie verlangt, sondern eine Widerspruchslösung, also ein Opt-out. Man kann also behaupten, dass die aktuelle Gesetzeslage in Deutschland der Vorgabe der Richtlinie, die ja von einer Einwilligung spricht, genau entgegenläuft. Bleibt also zu klären, ob sich der Betreiber der Website nach dem aktuellen deutschen Recht richten muss oder nach der Richtlinie, die ja nicht ohne Umsetzung in nationales Recht auf ihn anwendbar sein sollte.

Muss er jetzt die Nutzer der Website über den Zweck der Cookies klar und verständlich informieren und deren Einwilligung vorher einholen? Das ist nicht so leicht zu beantworten. Die Besonderheit liegt in der Richtlinie. Anders als eine Verordnung, die sofort mit deren Inkrafttreten Wirkungen entfaltet, muss eine Richtlinie hierzu erst noch in nationales Recht umgesetzt werden [ Artikel 288 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV)]. Das bedeutet, dass der deutsche Gesetzgeber gehalten ist, eigene Rechtsnormen zu schaffen, die den Regelungszweck der Richtlinie wiedergeben. Richtlinien sollen den Mitgliedstaaten zwar ein Ziel dessen vorgeben, was geregelt werden soll. Wie dies genau erreicht werden soll, wird jedoch den Mitgliedstaaten überlassen. Gewünscht ist ein EU-weiter Mindeststandard, möglich ist aber auch eine strengere Regelung durch die jeweiligen Mitgliedstaaten.

Umsetzungsfrist

Zu diesem Zweck gibt die Richtlinie eine genau bestimmte Umsetzungsfrist vor. In der Cookie-Richtlinie wurde diese Frist in Artikel 4 Absatz 1 festgelegt. Die Mitgliedstaaten waren danach verpflichtet, bis zum 25. Mai 2011 die Rechts- und Verwaltungsvorschriften zu erlassen, die erforderlich sind, um die Richtlinie umzusetzen. In Deutschland wurden hierzu weder Rechts- noch Verwaltungsvorschriften erlassen. Auch in der letzten, am 9. Mai 2012 im Bundesgesetzblatt veröffentlichten Novelle des Telekommunikationsgesetzes (TKG) [BGBl I, S. 958], im Zuge derer auch die Umsetzung der Richtlinie bezüglich der Cookies hätte erfolgen können, ist dies nicht geschehen. Damit ist Deutschland in guter Gesellschaft, denn viele Mitgliedstaaten haben die Richtlinie bisher noch nicht vollständig in nationales Recht umgesetzt [ Vgl. die Übersicht von DLA Piper, abrufbar unter http://www.dlapiper.com/files/Publication/8590fff4-f632-4311-9041-d7e275f756ef/Presentation/PublicationAttachment/10090f4d-aaef-47a2-b879-cdb4529d1c5b/Cookie-Richtlinie-Newsletter_Germany.pdf].

Für den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Peter Schaar, ist die Situation dennoch klar. Die Richtlinie sei hinreichend bestimmt und damit unmittelbar anwendbar, ohne dass es einer weiteren Umsetzung bedarf. Aber wenn die Regelung tatsächlich so klar ist, warum stellen sich dann mehrere Möglichkeiten dar, wie eine Umsetzung erfolgen soll? Opt-in? Opt-out? Do not track? Wie macht man es richtig? Ist eine der Ausnahmen einschlägig? Und welche Ausnahmen gelten denn nun? Führen auch hier mehrere Wege nach Rom? Offenbar schon, aber welcher ist der Richtige? Man weiß es aus der Richtlinie allein nicht wirklich.

Die Ansicht, dass die Richtlinie unmittelbar anwendbar sein soll, da die Umsetzungsfrist bereits abgelaufen ist, überzeugt jedenfalls nicht. Dazu ist der Mechanismus, wie geregelt werden soll, nicht ausreichend klar festgelegt. Voraussetzung für eine unmittelbare Anwendbarkeit ist jedoch außer der angelaufenen Umsetzungsfrist, dass die Richtlinie bereits hinreichend bestimmt ist. Darüber, ob dies bei der Cookie-Richtlinie der Fall ist, lässt sich trefflich streiten. Zu der fehlenden hinreichenden Bestimmtheit kommt hinzu, dass die Richtlinie nur im Vertikalverhältnis, also im Verhältnis Staat-Bürger, eine unmittelbare Wirkung entfalten kann, nicht jedoch im Horizontalverhältnis, wo der Begünstigung des einen Bürgers stets die Belastung eines anderen Bürgers gegenübersteht [EuGH Rs C-91/92 (Faccini Dori), Slg. 1994, I-EUGH-SLG Jahr 1994 I Seite 3325, Rn. 23 f.]. Hier würde jedoch zwischen einem Website-Betreiber und einem Nutzer gerade ein solches Horizontalverhältnis vorliegen. Auch dieses Kriterium ist also nicht erfüllt. Eine unmittelbare Anwendbarkeit der Richtlinie kommt daher wohl nicht in Betracht. Es bleibt also abzuwarten und zu beobachten, wie der deutsche Gesetzgeber mit der Situation umgehen wird.

Cookie-Herausforderung

Tatsache ist, dass die Umsetzung der Cookie-Richtlinie die Betreiber von Websites vor Herausforderungen stellen wird, die, unmittelbare Anwendbarkeit hin oder her, früher oder später umzusetzen sein werden. Dessen sollten sich die Betroffenen bewusst sein. Welche Herausforderungen sind das? Zum einen stellt sich natürlich die Frage, ob die Einwilligung des Nutzers notwendig oder eine der Ausnahmen einschlägig ist. Die Artikel-29-Datenschutzgruppe, ein Beratungsgremium der EU-Kommission, hat ein Dokument veröffentlicht, das Hinweise zur Auslegung der Ausnahmen vom Einwilligungserfordernis gibt [Opinion 04/2012 on Cookie Consent Exemption vom 7. Juni 2012, abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf]. Danach soll für bestimmte Cookies eine Einwilligung nicht notwendig sein, sofern sie nicht für weitere Zwecke eingesetzt werden. Diese sind:

  • Session-Cookies, die den Nutzer nach seinem Login identifizieren und nur für eine Session gelten oder persistente Cookies, die nur auf einige Stunden beschränkt sind
  • Authentifizierungs-Cookies, die nur für eine Session gelten
  • Cookies zum Abspielen von Multimedia Content, begrenzt auf eine Session
  • Vom Nutzer gesetzte Sicherheits-Cookies
  • Load Balancing Session Cookies
  • User Interface Customization Cookies
  • Social Plug-in Cookies für Content Sharing, die für eingeloggte Mitglieder eines sozialen Netzwerks gelten

Bei den genannten Cookies handelt es sich nach Ansicht der Artikel-29-Datenschutzgruppe um solche, bei denen entweder „der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist“ (Kriterium A) oder „dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“ (Kriterium B). Dies bringt zumindest gewisse Anhaltspunkte und damit auch ein bisschen Rechtssicherheit für Betreiber von Websites mit sich.

Mögliche Lösungen

Liegt dagegen keine Ausnahme vor und ist eine Einwilligung erforderlich, so ist noch zu klären, wie die Erteilung der Einwilligung technisch bewerkstelligt werden soll. Hierzu hat sich die Artikel-29-Datenschutzgruppe nicht geäußert. Als Beispiel können aber zur Veranschaulichung die vom Information Commissioner’s Office (ICO), dem britischen Datenschutzbeauftragten, aufgezeigten Maßnahmen herangezogen werden. Dort sind als mögliche technische Lösungen aufgeführt:

  • Das Aufrufen eine Pop-up-Fensters oder Nachrichten- oder Kopfzeilen
  • Die Zustimmung zu Nutzungsbedingungen im Rahmen der Registrierung durch den Nutzer
  • Einwilligung im Rahmen der Festlegung von Einstellungen auf der Website
  • Einwilligung im Rahmen der Information des Nutzers über bestimmte Features, die er auf der Website nutzen will

Fazit

Diese Aufzählung soll nur als Beispiel dienen, wie die Umsetzung erfolgen kann. Im Ergebnis bleibt den Betreibern und den Nutzern leider nur, abzuwarten, wie sich der deutsche Gesetzgeber entscheidet, und die in anderen Mitgliedstaaten vorgelebte Lösung als Anregung zu nehmen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -