Bewegung in Sachen Cookie-Richtlinie: Cookies nur noch nach Einwilligung zulässig?

Seit längerer Zeit sorgt die ePrivacy-Richtlinie (Richtlinie 2009/236/EG, auch unter der Bezeichnung „Cookie-Richtlinie“ bekannt) in Deutschland im Hinblick auf den datenschutzkonformen Einsatz von Cookies für Rechtsunsicherheit. Nach den Vorgaben der ePrivacy-Richtlinie müssen die

Mitgliedstaaten […] sicher[stellen], dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. (Hervorhebung von uns)

Nach deutschem Recht durften Cookies ohne personenbezogene Daten bislang völlig frei eingesetzt werden und Cookies mit personenbezogenen Daten ebenfalls, solange dem Nutzer eine Widerspruchsmöglichkeit eingeräumt wurde. Dafür genügte es aber im Allgemeinen (mit Ausnahme von Flash Cookies), dass der Nutzer durch die Änderung seiner Browsereinstellungen das Setzen von Cookies verhindern konnte und der Cookie-Setzer den Nutzer darüber vorab (zum Beispiel in seiner Datenschutzerklärung) informierte.

Eine Einwilligung – wie sie die Richtlinie verlangt – muss aber vorab, das heißt vor dem Setzen des Cookies, eingeholt werden. Zudem soll dies für alle Arten von Cookies gelten, unabhängig davon, ob diese personenbezogene oder nicht-personenbezogene Daten enthalten.

Die ePrivacy-Richtlinie hätte bis Mai 2011 durch die Mitgliedsstaaten umgesetzt werden müssen. Bislang haben nur einige Mitgliedstaaten, zum Beispiel England und Frankreich, die Richtlinie tatsächlich umgesetzt. Deutschland ist noch nicht so weit. Die konkrete künftige gesetzliche Ausgestaltung ist noch völlig unklar. Daher rückte die Diskussion um den rechtskonformen Einsatz von Cookies zuletzt wieder etwas in den Hintergrund.

Auf dem 13. Datenschutzkongress am 8. und 9. Mai in Berlin bekam die Cookie-Diskussion aber neuen Zündstoff. Denn der Bundesbeauftragte für den Datenschutz, Peter Schaar, vertrat die Auffassung, dass die europäischen Cookie-Regeln hierzulande direkt anwendbar seien. Die entsprechende Klausel in der EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation von 2009 sei „hinreichend bestimmt“, was bedeute, dass sie auch ohne Umsetzung in ein deutsches Gesetz der hiesigen Aufsichtspraxis zugrunde gelegt und von den Kontrollbehörden durchgesetzt werden könnte.

Diese Auffassung lässt sich durchaus nach europäischem Recht vertreten. Jedoch gelten Bestimmungen aus Richtlinien nach erfolglosem Ablauf der Umsetzungsfrist nur dann unmittelbar in den EU-Mitgliedsstaaten, wenn sie derart hinreichend bestimmt sind, dass sie ohne weiteres angewandt werden. Dies wird jedoch bei der Cookie-Regelung der ePrivacy-Richtlinie gerade kontrovers diskutiert. Nach wie vor ist unklar, wie die Umsetzung der Einwilligung in Cookies erfolgen kann. Die Mitgliedstaaten, welche die ePrivacy Richtlinie bislang ungesetzt haben, implementierten teilweise völlig unterschiedliche Anforderungen an die Einwilligung in den nationalen Gesetzen. Es bestehen daher durchaus Zweifel, ob die Cookie-Regelung der ePrivacy-Richtlinie tatsächlich hinreichend bestimmt ist.

Nur wenn eine hinreichende Bestimmtheit vorläge, gälte die Richtlinie direkt und deutsche Webseitenbetreiber müssten den Einsatz von Cookies von einer Einwilligung abhängig machen. Tipps zum Ausgestaltung des rechtskonformen Cookie-Einsatzes gibt die Art. 29 Datenschutzgruppe in einer Empfehlung.

Fazit

Durch die von dem Bundesbeauftragten für den Datenschutz vertretene Rechtsauffassung kommt neues Leben in die Diskussion. Würde er sich mit seiner Sichtweise durchsetzen bestünde akuter Handlungsbedarf für alle Websitebetreiber. Es gilt nun, den weiteren Verlauf der Diskussion sorgfältig zu verfolgen, um vorbereitet zu sein. Wir werden weiter darüber berichten.

Kommentare

Schreibe einen Kommentar