Update zur Cookie-Richtlinie: Die Argumentation der Bundesregierung

Die Cookie-Richtlinie gilt auch in Deutschland. Wie wir vorvergangene Woche im Blog berichtet haben, hat das die EU-Kommission überraschend bestätigt. Das Jurablog Telemedicus hat inzwischen auch die genaue Argumentation veröffentlicht, mit der die deutsche Bundesregierung und die europäische Kommission zu ihrem Urteil gelangen.

Nach Auslegung des Bundeswirtschaftsministeriums gilt danach schon jetzt in Deutschland ein strenges Opt-in für den Einsatz von Cookies. Doch überzeugend ist diese Ansicht nicht.

Welche Regeln gelten für Cookies?

Art. 5 Abs. 3 der ePrivacy-Richtlinie verlangt im Wesentlichen zwei Maßnahmen beim Einsatz von Cookies: Einen eindeutigen Hinweis und eine Einwilligung. Eine Vorschrift, die genau diese Vorgaben umsetzt gibt es in Deutschland nicht.

Hinweispflichten

Eine Pflicht, Nutzer auf den Einsatz von Cookies hinzuweisen, leitet die Bundesregierung jedoch aus § 13 Abs. 1 S. 2 TMG her. Danach hat beim Einsatz eines „automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht“ ein entsprechender Hinweis zu Beginn des Nutzungsvorgangs erfolgen.

Nach Ansicht des Bundeswirtschaftsministeriums stellen Cookies ein solches automatisiertes Verfahren dar – mit der Folge, dass beim Einsatz von Cookies ein Hinweis erfolgen muss.

Überzeugend ist das jedoch nicht. Denn nicht jeder Cookie erlaubt eine spätere Identifizierung des Nutzers. Mit Cookies lassen sich kleine Informationspakete auf der Seite des Anwenders speichern und wieder auslesen – nicht mehr und nicht weniger. Das kann je nach Art der gespeicherten Information zu einer späteren Identifizierung führen, muss es aber nicht.

§ 13 Abs. 1 S. 2 TMG erfasst also einzelne Anwendungsbereiche von Cookies – nicht aber die Technologie generell, wie es die ePrivacy-Richtlinie tut. Und doch: Die Europäische Kommission hat sich mit der Argumentation der Bundesregierung zufrieden gegeben.

Einwilligungserfordernis

Die Cookie-Richtlinie fordert weiter, dass der Nutzer in den Gebrauch von Cookies einwilligt. Auch eine solche Vorschrift gibt es in dieser Form in Deutschland nicht. Die Bundesregierung leitet das Einwilligungserfordernis aber aus § 12 Abs. 1 TMG her. Danach dürfen personenbezogene Daten nur verarbeitet werden, wenn das Gesetz dies erlaubt oder der Nutzer einwilligt. Eine gesetzliche Erlaubnis gibt es beispielsweise für Fälle, in denen die Datenverarbeitung zwingend technisch erforderlich ist. Im Übrigen muss jedoch die Einwilligung des Nutzers eingeholt werden.

Nach Ansicht der Bundesregierung erfasst das auch Cookies. In der Stellungnahme gegenüber der EU-Kommission heißt es dazu:

„Für die Speicherung und den Abruf von Informationen wie z. B. Cookies bedeutet dies, dass solche Verfahren in Deutschland ohne Einwilligung des Nutzers nur zulässig sind, wenn dies aus technischen Gründen für die Inanspruchnahme erforderlich ist. Im Übrigen dürfen solche Verfahren ohne Einwilligung des Nutzers nicht verwendet werden.“

Die Bundesregierung setzt Cookies also mit „personenbezogenen Daten“ gleich. Auch hier gilt aber das gleiche Gegenargument wie oben: Nicht alle Cookies erlauben einen Personenbezug. Doch dieses Problem wird in der Stellungnahme erst gar nicht problematisiert. Den Begriff der „Informationen“, wie er in der Richtlinie verwendet wird, verwendet das Bundeswirtschaftsministerium in seiner Stellungname synonym zu dem Begriff der „personenbezogenen Daten“.

Dabei soll die ePrivacy-Richtlinie gerade dieses Konfliktfeld lösen: Es soll keine Rolle spielen, ob die Informationen personenbezogen sind oder nicht – es soll generell die Technologie der Cookies reguliert werden. Genau das hat der Richtlinie auch viel Kritik eingebracht, weil sie dadurch zu einer Überregulierung führt. Aber die vage Argumentation der Bundesregierung löst dieses Problem nicht, sondern vermischt es mit dem Problem des Personenbezugs. Die Folge: Aus einer klaren Überregulierung wird eine schwammige Überregulierung.

Obendrein stellt die Bundesregierung klar, dass sie § 13 Abs. 2 TMG für anwendbar hält. Danach bedarf es für die Verarbeitung personenbezogener Daten einer expliziten und protokollierten Einwilligung. Während die ePrivacy-Richtlinie noch Erleichterungen für die Einwilligung beim Einsatz von Cookies vorsieht, werden diese im deutschen Recht nicht berücksichtigt. Das heißt: Nach der deutsche Argumentation braucht es ein explizites Opt-in – eine stillschweigende Einwilligung ist im Gegensatz zur Richtlinie nicht möglich.

Und auch Im Hinblick auf § 15 Abs. 3 TMG ist die Argumentation der Bundesregierung bemerkenswert: Bei der Erhebung personenbezogener Daten unter Verwendung von Cookies für Marketing-Zwecke reicht eine Opt-out-Möglichkeit, aber für alle anderen Cookies, die teilweise überhaupt keine personenbezogenen Daten enthalten,  soll striktes Opt-in gelten. Konsequenz geht anders.

Was bedeutet das für die Praxis?

Dass die deutsche Bundesregierung keinen Handlungsbedarf bei der Cookie-Richtlinie sieht, ist keine neue Erkenntnis. Wie genau sie diese Ansicht aber begründet, war bislang nicht bekannt. Überraschend kommt hinzu, dass sich die Europäische Kommission mit der deutschen Ansicht auch zufrieden gibt.

Für die Praxis ändert sich durch die nun bekannt gewordene Begründung allerdings nicht viel. Es handelt sich um die Rechtsauffassung der Bundesregierung – sie hat keine Bindungswirkung für Bürger oder Gerichte. Obendrein stellt sich die Argumentation bei näherer Betrachtung als wenig durchdacht und in der Praxis kaum umsetzbar dar. Dass die Begründung des Bundeswirtschaftsministeriums eins zu eins in der Praxis ankommt, ist daher nicht zu erwarten.

Es gelten daher noch immer unsere Praxishinweise von vorletzter Woche.

Dank an unseren wissenschaftlichen Mitarbeiter Adrian Schneider für seine Mitarbeit an diesem Beitrag. Full Disclosure: Adrian schreibt auch regelmäßig für Telemedicus.


Beitrag veröffentlicht

in

von

Kommentare

Eine Antwort zu „Update zur Cookie-Richtlinie: Die Argumentation der Bundesregierung“

  1. Avatar von Bjorn

    Gibt es Beispiele, wie diese Formulierung aussehen muss ? Danke für einen Hinweis

Schreibe einen Kommentar