So behalten Sie den Überblick im europäischen Cookie-Wirrwarr
© Foto:

Cookie-Richtlinie | | von Annette Mattgey

So behalten Sie den Überblick im europäischen Cookie-Wirrwarr

Die Umsetzung der europäischen Cookie-Richtlinie lässt den Ländern viele Spielräume. Wer grenzübergreifend tätig sein will, sollte die aktuelle Gesetzeslage unserer Nachbarn kennen, empfiehlt Britta Hinzpeter, IT-Anwältin und Datenschutzexpertin bei DLA Piper in München. Webseitenbetreiber müssen ihre Nutzungsbedingungen und Datenschutzrichtlinien überprüfen und gegebenenfalls umfassend ergänzen. Für sie steckt darin durchaus eine Chance:Je transparenter eine Webseite ist, desto nutzerfreundlicher ist sie. Und dies ist in jedem Fall ein Qualitätsmerkmal, das sich schnell herumspricht, meint Hinzpeter.

 „Opt-in“ oder „opt-out“?
Die EU schreibt seit dem 25. Mai 2011 ein einheitliches Europäisches Rezept für Cookies vor. Seit diesem Tag ist die Frist für die Umsetzung der Richtlinie 2009/136/EG über den Schutz personenbezogener Daten in der elektronischen Kommunikation, die sogenannte "Cookie Richtlinie" oder "E-Privacy Richtlinie", in nationales Recht abgelaufen. Grundsätzlich muss man zwischen den so genannten Tracking-Cookies zu Werbezwecken und solchen Cookies, die der Diensteerbringung im Internet dienen, unterscheiden. Die winzigen Dateien, die als Tracking-Cookies bezeichnet werden, sind eines der wichtigsten Instrumente der Internet-Werbewirtschaft. Diese "digitalen Krümel" sind in der Lage, das Surf-Verhalten eines Nutzers über einen langen Zeitraum und über völlig unterschiedliche Domains zu verfolgen. So werden auch Nutzerprofile erstellt, die lukrativ an Dritte verkauft werden können. Es verwundert daher nicht, dass diese Cookies inzwischen auf nahezu allen gängigen Internetseiten Verwendung finden. Datenschutzrechtlich ist deren Einsatz sehr kritisch.

Vor diesem Hintergrund hat der europäische Gesetzgeber 2009 die Cookie-Richtlinie erlassen. Sie bestimmt unter anderem, dass die Verwendung von Cookies, die nicht dem alleinigen Zweck der Übertragung von Nachrichten über ein elektronisches Kommunikationsnetz oder der von einem Nutzer ausdrücklichen gewünschten Diensteerbringung dienen, nur noch mit vorheriger Einwilligung des Nutzers erlaubt sein soll (Art. 5 (3) der Richtlinie). Eine weitere Voraussetzung ist die umfassende Information des Nutzers über den Einsatz der Cookie-Technologien und die Verwendung der damit generierten Daten.

Damit ist beispielsweise das Setzen eines Cookies im Rahmen eines Online-Shops, um den "Einkaufswagen" einem bestimmten Nutzer zuzuordnen, weiterhin ohne Einwilligung möglich. Der Einsatz von Cookies, die dem Zweck der Auswertung des Surfverhaltens des Nutzers dienen, aber nicht.

Die nationalen Gesetzgeber in Europa, die die Richtlinie in nationales Recht umzusetzen haben, stellt insbesondere der unklare Wortlaut des Art. 5 (3) der Richtlinie vor Probleme. Indem die Richtlinie offen lässt, wie genau eine solche Einwilligung eingeholt werden muss, damit sie wirksam ist, wird dem nationalen Gesetzgeber ein Gestaltungsspielraum eingeräumt. Gestritten wird insbesondere darüber, ob ein Nutzer aktiv in die Verwendung von Cookies einwilligen muss (sog. „opt-in“) oder ob es - beispielsweise über ein Anpassen der Browsereinstellungen - ausreicht, wenn Nutzer die Möglichkeit haben, einer Verwendung zu widersprechen (sog. „opt-out“). Diskutiert wird außerdem, mit welchen technischen Mitteln das Einwilligungserfordernis am praktikabelsten auf einer Webseite umgesetzt werden kann.

Hier setzten die meisten Staaten auf „Pop-Ups“ oder Banner, die beim ersten Besuch auf einer Webseite angeklickt werden müssen. Auch über die Nutzungsbedingungen einer Webseite soll die Einwilligung teilweise eingeholt werden können. Einheitlich setzten alle Staaten lediglich voraus, dass der Nutzer eindeutig und klar verständlich über den Zweck der Speicherung und Nutzung seiner Daten, sowie die Möglichkeit der Verweigerung der Speicherung zu informieren ist. Webseitenbetreiber müssen also unbedingt ihre Nutzungsbedingungen und Datenschutzrichtlinien überprüfen und gegebenenfalls umfassend ergänzen. Für den Nutzer bedeutet das mehr Transparenz. Durch die umfassenden Informationen und die Einwilligungsmöglichkeiten wird er wieder „Herr seiner Daten“. Aber auch für Unternehmen bedeuten die Änderungen nicht nur einen erheblichen Aufwand, sondern können durchaus auch eine Chance sein. Je transparenter eine Webseite ist, desto nutzerfreundlicher ist sie. Und dies ist in jedem Fall ein Qualitätsmerkmal, das sich schnell herumspricht.

Ist die Richtline unmittelbar anwendbar?

Einige Staaten, darunter Deutschland, haben die Richtlinie bisher noch gar nicht in nationales Recht umgesetzt, obwohl die Frist hierfür bereits am 25. Mai 2011 endete. Jetzt besteht die Gefahr, dass die Richtlinie unmittelbar anwendbar ist. Dies ist ein europarechtlicher Grundsatz, der jedoch nur dann gilt, wenn der Text der Richtlinie hinreichen konkret ist. Das bedeutet, dass sich ein Nutzer unter Umständen gegenüber einem Webseitenbetreiber auf dessen Pflichten zur Information und zum Einholen der Einwilligung in die Cookie-Verwendung direkt auf Grundlage der Richtlinie berufen kann. Ob ein Nutzer im Rahmen einer Beschwerde bei einer Datenschutzbehörde mit dieser Argumentation Erfolg hätte, hinge dann davon ab, ob die Behörde die Richtlinie als hinreichend konkret einstufen würde. Der Bundesbeauftragte für den Datenschutz, Peter Schaar, ist zumindest dieser Ansicht.

Zudem droht Staaten, die ihrer Umsetzungspflicht nicht nachkommen früher oder später ein Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof, das die Europäische Kommission einleiten kann. Festzuhalten bleibt, dass die Rechtslage in Europa zumindest derzeit alles andere als einheitlich ist. Bei Webseitenbetreibern führt das zu erheblicher Rechtsunsicherheit. In Europa tätige Unternehmen mit Sitz außerhalb des Europäischen Wirtschaftsraumes haben es angesichts dessen besonders schwer. Sie haben unter Umständen verschiedene nationale Vorgaben für ein und dieselbe Webseite zu beachten. Hier empfiehlt es sich in der Regel, dem strengsten Schutzstandard zu folgen.

Deutschland hat noch nicht umgesetzt

Deutschland hat die Richtlinie bisher nicht in nationales Recht umgesetzt. Der im März 2011 veröffentlichte Entwurf zur Ergänzung des Telemediengesetzes ("TMG") wurde durch den Bundestag nicht angenommen. Im Januar 2012 hat die SPD-Fraktion einen neuen Entwurf zur Änderung des TMG in den Bundestag eingebracht, der jedoch im Ausschuss für Wirtschaft und Technologie mit den Stimmen der Regierungskoalition abgelehnt wurde. Ein inhaltsgleicher Antrag liegt aktuell dem Bundesrat - eingebracht durch das Land Hessen - vor. Wann über diese Gesetzesinitiative entschieden wird, steht zum aktuellen Zeitpunkt noch nicht fest.
Sicher ist vorerst nur, dass das Setzen von Cookies in Deutschland in Zukunft die Einwilligung des Nutzers voraussetzen wird. Weiterhin fraglich bleibt, welche Anforderungen der deutsche Gesetzgeber an das Einwilligungserfordernis stellen wird. D.h. ob er weiterhin die Möglichkeit, eine Einwilligung über das Anpassen der Browsereinstellungen ausreichen lassen oder dem Beispiel andere Mitgliedstaaten folgen und eine opt-in Lösung wählen wird. Diese wäre dann wohl im Wege von Pop-up Fenstern und automatischen Bannern praktisch umzusetzen.

Das gilt in den Nachbarländern Deutschlands:

Österreich wählt Opt-in: Österreich hat die E-Privacy Richtlinie mit Ergänzungen des Telekommunikationsgesetzes ("TKG") umgesetzt, die am 22. November 2011 in Kraft getreten sind. Nach dem neuen österreichischen TKG  empfiehlt sich der Einsatz einer Pop-Up- oder Click-Through-Vereinbarung ("opt-in"). Eine Einwilligung durch die Einstellung des Browsers reicht nicht aus, da u.a. die notwendigen Informationen auf diese Art nicht erteilt werden können.

Tschechien wählt Opt-out: Der tschechische Gesetzgeber setzte die E-Privacy Richtlinie mit Wirkung zum 1. Januar 2011 durch Änderungen am Gesetz über elektronische Kommunikation in nationales Recht um und führte dabei  das opt-out-Prinzip ein. Anbieter elektronischer Kommunikationsdienstleistungen, die personenbezogene Daten speichern oder Zugang zu bereits gespeicherten Daten erhalten wollen, müssen den Nutzer vor Beginn der Datenerhebung nachweisbar über Umfang und Zweck der Speicherung und Nutzung unterrichten. Der Nutzer muss zudem über die Möglichkeit informiert werden, seine Zustimmung zu verweigern.

Dänemark wählt Opt-in: Die Richtlinie wurde am 25. Mai 2011 durch das  neue dänische Gesetz über elektronische Kommunikationsdienstleistungen umgesetzt. Konkrete Regelungen über die Verwendung von Cookies finden sich jedoch nur in einer Anordnung des Dänischen Wissenschafts- und Technologieministeriums vom 14. Dezember 2011. Nach dieser Anordnung muss der Nutzer in die spezifische Verwendung von Cookies ausdrücklich und freiwillig einwilligen ("opt-in"), nachdem er umfassend über den Cookie-Einsatz informiert und über die Folgen seiner Einwilligung unterrichtet wurde. Eine Einwilligung kann durch die Bestätigung eines Auswahlfeldes (Tick-Box) erfolgen. Das wäre ein opt-in. Unter Umständen kann auch die Nutzung einer Internetseite nach hinreichender Unterrichtung als Einwilligung verstanden werden. Dies ist jedoch einzelfallabhängig.

Frankreich - Datenschutzbehörde empfiehlt Opt-in: Frankreich setzte die Richtlinie mit Wirkung zum 24. August 2011 um. Das französische Gesetz bestimmt, dass die verantwortliche Stelle (das ist in der Regel der Webseitenbetreiber) die Nutzer elektronischer Kommunikationsdienstleistungen umfassend und klar über den Zweck der verwendeten Cookies (d.h. hinsichtlich des Zugangs oder der Speicherung auf dem Computer des Nutzers) und über die Möglichkeiten zur Ablehnung von Cookies zu informieren hat. Weiterhin ist die ausdrückliche Einwilligung des Nutzers in die Verwendung von Cookies erforderlich. Diese kann nach dem Gesetz zwar über die Verbindungseinstellungen des Nutzers (z.B. Browsereinstellungen) erfolgen. Die Französische Datenschutzbehörde (CNIL) ist jedoch der Ansicht, dass die aktuell verfügbaren Browser die an eine wirksame Einwilligung zu stellenden Anforderungen nicht erfüllen (Richtlinie der CNIL über die Anwendung des neuen Cookiegesetzes aus November 2011). Die CNIL empfiehlt stattdessen ausdrücklich, die Einwilligung durch den Einsatz von Bannern oben auf der Seite, über eine vorgeschaltete Seite im Rahmen eines Registrierungsprozesses oder durch Anklicken von Bestätigungsfeldern (Tick-Boxes) einzuholen.

Holland wählt Opt-in: Die Umsetzung der Richtlinie in den Niederlanden erfolgte durch Änderungen des Telekommunikationsgesetzes mit Wirkung vom 5. Juni 2012. Dabei wurden die Regeln für das Setzen von Cookies verschärft. Nutzer müssen nun zuvor eindeutig und vollständig informiert werden und ihre Einwilligung erklären. Die Einwilligungserklärung kann durch die Nutzung von Bannern, Pop-up-Menüs oder einer Startseite erfolgen, auf der der Nutzer durch Bestätigung eines Auswahlfeldes (tick-box) einwilligt. Eine Einwilligung durch Browsereinstellungen ist nicht mehr möglich.

Britta Hinzpeter ist IT-Anwältin bei der Wirtschaftskanzlei DLA Piper in München. Sie verfügt über breite Kenntnisse im IT-, Handels- sowie Datenschutzrecht und hat umfangreiche Erfahrung bei der gerichtlichen und außergerichtlichen Beratung von deutschen und internationalen Mandanten in allen technologiebezogenen Angelegenheiten. Britta Hinzpeter spricht Englisch und Französisch. Sie ist Mitglied im Deutschen Anwaltsverein.

So behalten Sie den Überblick im europäischen Cookie-Wirrwarr

Artikel bewerten

Vielen Dank, Ihre Bewertung wurde registriert!

Sie können leider nur einmal pro Seite bewerten.

Ihre Bewertung wurde geändert, vielen Dank!

Leserkommentar

Wir freuen uns über Ihre Kommentare.

* Pflichtfeld
** Pflichtfeld, wird nicht veröffentlicht