+49 30 285 058 56 berlin@res-media.net
Fachanwälte in Kooperation

Der Griff in die Keksdose: Gilt die "Cookie-Richtlinie" bereits in Deutschland?

Die so genannte „Cookie-Richtlinie“ der EU (Richtlinie 2009/136/EG) hat bereits in der Vergangenheit für einigen Diskussionsstoff gesorgt – mancher befürchtete schon das juristische Aus der einfachen Informationsspeicherung im Browser. Die Richtlinie wurde auch bereits in einigen EU-Ländern in nationales Recht umgesetzt, die Umsetzung in Deutschland steht jedoch nach wie vor aus.
Nun hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, am 08. Mai 2012 auf dem 13. Datenschutzkongress in Berlin die Auffassung geäußert, die Richtlinie sei in Deutschland unmittelbar anwendbar – auch ohne Umsetzung in nationales Recht. Dies hätte zur Folge, dass die weitreichenden Regelungen ab sofort auch für deutsche Websitebetreiber gelten würden.

Rückblick
Die fragliche Richtlinie wurde bereits am 25. September 2009 vom EU-Parlament als E-Privacy-Richtlinie verabschiedet. Unter anderem ist darin vorgesehen (Art. 5 Abs. 3), dass die Speicherung von Daten oder der Zugriff auf Daten im Endgerät des Nutzers der Unterrichtung und Einwilligung des Betroffenen bedürfen. Die Erteilung der Einwilligung ist bereits vorab erforderlich.
Demnach geht der Anwendungsbereich der Richtlinie weit über die Cookies hinaus und umfasst sämtliche Datenspeicherungen oder Zugriffe auf Endgeräten – da die Cookies in der Praxis jedoch der relevanteste Anwendungsfall sein dürften, entstand in der Öffentlichkeit schnell der Name „Cookie-Richtlinie“. Die Verwendung von Cookies ist unter Anwendung der Richtlinie nur noch zulässig, wenn der Nutzer vor ihrem Einsatz über diese Datenspeicherung konkret informiert wird und in diese auch ausdrücklich einwilligt.
Da diese Regelung für fast alle Websitebetreiber Europas gravierende Einschnitte – vor allem in technischer Hinsicht – bedeutet, war der Aufschrei nach der Bekanntgabe in der Öffentlichkeit entsprechend groß. Vor allem in der Marketingbranche sieht man durch die Einschränkungen der Richtlinie ganze Geschäftsmodelle gefährdet und rechnet mit immensen wirtschaftlichen Schäden. Von Datenschützern werden die Regelungen hingegen ausdrücklich begrüßt.
Die SPD-Fraktion legte am 24. Januar 2012 einen Gesetzesentwurf zur Umsetzung der Richtlinie im Bundestag vor, nachdem die EU den säumigen Mitgliedsländern bereits Zwangsgelder angedroht hatte. In diesen Entwürfen wurde der Wortlaut der Richtlinie fast unverändert übernommen. So sollte der neue § 13 Abs. 8 des Telemediengesetzes
(TMG) lauten:
„Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.“
Der Entwurf der SPD wurde jedoch am 29. Februar 2012 vom Bundestag abgelehnt, da in Details noch weiterer Klärungsbedarf gesehen wurde.
Somit besteht weiterhin Unsicherheit darüber, wann und wie die Richtlinie in Deutschland in nationalem Recht umgesetzt wird.

Seitenblick
Da die Richtlinie in Frankreich und Großbritannien bereits in nationale Gesetze umgesetzt ist, lohnt sich ein Blick darauf, wie dort in der Praxis mit den neuen Regelungen umgegangen wird. Es ist gut möglich, dass sich Deutschland bei der fälligen Umsetzung an den Vorgehensweisen der anderen Mitgliedsländer orientiert.
In Frankreich wurde der Wortlaut der Richtlinie tatsächlich unverändert in ein nationales Gesetz übernommen. Die oberste französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL) hat einen Leitfaden veröffentlicht, wie mit dem Gesetz in der Praxis umzugehen ist.
Zunächst einmal wird darin klargestellt, dass eine automatische Einholung der Einwilligung durch entsprechende Browser-Plug-ins nicht rechtskonform ist, da die Verwaltungsmöglichkeiten zu Cookies in aktuellen Browsern unzureichend seien. Es wurde jedoch nicht kategorisch ausgeschlossen, dass man diese Lösung bei entsprechenden technischen Voraussetzungen zukünftig einsetzen könne.
Von der Einwilligungspflicht ausgenommen seien zudem etwa Session-Cookies oder Cookies, die für die Ausführung des gewünschten Dienstes unbedingt benötigt werden (z. B. Warenkorb-Cookies).
Ausdrücklich von der Einwilligungspflicht umfasst seien jedoch Tracking-Cookies und sonstige Cookies, die zu Marketingzwecken verwendet werden.
Das Einholen der Einwilligung solle über ein Opt-in entweder mittels einer vorgeschalteten Seite oder mittels eines Banners erfolgen, das in die Seite integriert ist und erst mit der Erteilung der Einwilligung ausgeblendet wird. Solange der Nutzer die Einwilligung nicht erteilt hat, dürfen die Cookies entsprechend nicht aktiviert werden. Von der Verwendung von Pop-Ups wird indessen abgeraten, da diese häufig geblockt werden.
Auch in Großbritannien wurde die Richtlinie ähnlich umgesetzt und interpretiert. Dort wurde Websitebetreibern aber zunächst einmal eine Frist von einem Jahr eingeräumt, um die Änderungen verbindlich umzusetzen.

Direkte Anwendbarkeit
Schon heute könnte die Richtlinie unmittelbar für alle EU-Länder gelten, sollte der Bundesdatenschutzbeauftragte mit seiner Auffassung richtig liegen. Es ist jedoch fraglich, ob die Richtlinie überhaupt direkte Anwendung in Deutschland finden kann.
In der Regel sind nur EU-Verordnungen in Mitgliedsländern unmittelbar anwendbar, ohne dass diese in nationale Gesetze umgesetzt werden müssen. EU-Richtlinien müssen dagegen regelmäßig entsprechend umgesetzt werden, um Wirksamkeit zu entfalten. Es gibt jedoch eine Ausnahmeregelung, die unter gewissen Voraussetzungen eine unmittelbare Wirksamkeit von EU-Richtlinien unter anderem dann zulässt, wenn in einem Mitgliedsland die Frist zur Umsetzung überschritten wird.
Im konkreten Fall ist jedoch heftig umstritten, ob die Voraussetzungen hierfür vorliegen, da viele – entgegen dem Bundesdatenschutzbeauftragten – die E-Privacy-Richtlinie nicht für klar und detailliert genug halten, um eine direkte Anwendbarkeit zuzulassen.
Aus diesem Grund sieht auch der deutsche Gesetzgeber selbst noch Klärungsbedarf – die momentan diskutierten Lösungen reichen von den in den Nachbarländern initiierten Mechanismen bis hin zur möglichen Einwilligung über Voreinstellungen und der Einrichtung von „Do Not Track“-Verfahren.

Fazit
Es ist also weiterhin alles offen und somit besteht auch noch kein unmittelbarer Handlungsbedarf für Websitebetreiber. Es besteht zumindest die Möglichkeit, dass die Richtlinie letztlich doch nicht in dem für Websitebetreiber befürchtet schweren Ausmaß umgesetzt wird, sondern eine nationale Umsetzung vielmehr flexible Lösungsmöglichkeiten bieten könnte, die den Interessen aller Beteiligten gerecht werden.
Zuerst erschienen in <kes> – Die Zeitschrift für Informations-Sicherheit (www.kes.info), Ausgabe 2012 #3, S. 50

Bildnachweis: © Stocksnapper  – Fotolia.com

An den Anfang scrollen