Die Cookie-Richtlinie ist umgesetzt und keiner hat’s gemerkt. Was nun?


10. Februar 2014 Hinterlasse einen Kommentar
Nach Auskunft der EU-Kommission und des Bundeswirtschaftsministeriums ist die ePrivacy-Richtlinie 2002/58/EG in der Fassung der Richtlinie 2009/136/EG (die sogenannte “Cookie-Richtlinie”) in Deutschland bereits umgesetzt.

Bitte was?

Die ursprüngliche ePrivacy-Richtlinie hat Deutschland schon länger umgesetzt. Was die Änderungen in der neuen Fassung der Richtlinie von 2009 betrifft, ist das aber weniger klar.

Zu den Kernthemen der Richtlinie in der neuen, geänderte Fassung gehört der Umgang mit Cookies, für die Art. 5 Abs. 3 eigentlich einen Einwilligungsvorbehalt vorsieht, der wegen des Verweises auf die Pflicht zur vorherigen Information stark nach einem Zwang zum “Opt-in” aussieht:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Die Umsetzungsfrist der Richtlinie ist bereits 2011 abgelaufen. Eine 1:1-Entsprechung der in Art. 5 Abs. 3 der ePrivacy-Richtlinie angedeuteten Lösung findet sich im deutschen Recht nicht. Zwar ist die Richtlinie etwa in § 45n Abs. 4 TKG bereits erwähnt, aber jenseits dessen hat eine inhaltliche Umsetzung im Rahmen konkreter Gesetzesänderungen, etwa im TMG, gerade nicht stattgefunden.

Trotzdem stellt sich die EU, nach Auswertung der Antworten des Bundeswirtschaftsministerium  auf einen Fragenkatalog zur Rechtslage, auf den Standpunkt, das deutsche Recht sei konform – also auch schon immer konform gewesen. In der Tat lässt sich ein Erwägungsgrund der Richtlinie 2009/136/EG so verstehen, dass auch eine Browser-Voreinstellung, die Cookies nicht ablehnt, als Einwilligung reichen könnte – hierauf weist zum Beispiel der Kollege Dr. Schirmbacher in einem Blogposting hin.

Das würde gleichzeitig bedeuten, dass die strengeren Umsetzungen der Richtlinie jedenfalls über das von der Richtlinie vorgegebene Mindestziel hinausschießen. Das Paradebeispiel für eine solche Umsetzung wäre Großbritannien, wo jede Website einem neuen Besucher zur Begrüßung erst einmal mit einem Cookie-Informations- und Einwilligungs-Popup auf den Keks gehen muss.

Die Antworten des Bundeswirtschaftsministerium auf den Fragenkatalog sind derzeit (noch) nicht bekannt. Wie das Ministerium, und damit auch die EU-Kommission, ihre Einschätzung begründen, wissen sie vorläufig also nur selbst. Das macht es natürlich auch schwer, sich an die maßgebliche – gemeinschaftsrechtskonforme – Auslegung der nationalen Vorschriften, also insbesondere des TMG zu halten.

Im Wesentlichen haben Betreiber von Onlineplattformen jetzt drei Möglichkeiten:

1. Einholung von ausdrücklichen Einwilligungserklärungen. Damit ist man auf der sicheren Seite, schmälert aber den Nutzungskomfort. Das könnte auf Kosten der Conversion Rate gehen - und in dieser Hinsicht haben Spiele- und Plattformbetreiber ja auch noch mit anderen Herausforderungen zu tun. Dieser sehr vorsichtige Ansatz erscheint zum gegenwärtigen Zeitpunkt als Übererfüllung der gesetzlichen Pflichten.

2. Unmittelbare und klare Information über die Nutzung von Cookies und eine opt-out-Möglichkeit, etwa durch ein Banner. Dies entspricht der britischen Lösung der Cookie-Problematik und könnte einen vernünftigen Kompromiss darstellen, auch wenn es natürlich die Möglichkeiten des Seitendesigns und letztlich auch das Spiel- oder Surferlebnis beschränken kann.

3. Abwarten und Tee trinken. Es erscheint gegenwärtig unwahrscheinlich, dass Gerichte und Datenschutzbehörden unmittelbar die Anpassung an neues Recht verlangen, da die Rechtslage unklar und das Bekanntwerden des Standpunkts der EU-Kommission noch ziemlich frisch ist. Es bleibt dabei ein rechtliches Risiko; uns sind aber zum jetztigen Zeitpunkt keine Anzeichen für ein unmitelbar bevorstehendes behördliches Einschreiten bekannt.

(Einen Überblick zu diesem Thema auf Englisch gibt es bei unseren Specials)

Ein Beitrag von Konstantin Ewald und Felix Hilgert.

Print Friendly

Konstantin Ewald

Konstantin Ewald

Partner at Osborne Clarke
Konstantin Ewald leitet die deutsche Interactive Entertainment Practice Group von Osborne Clarke. Er berät die Games-Branche seit 2001 in allen Rechtsfragen – on- und offline. Das Branchenmagazin JUVE schreibt über ihn: “führender Name im Games-Sektor”.

Füge einen Kommentar hinzu: