Bundeswirtschaftsministerium: Cookie-Richtlinie längst in Deutschland umgesetzt

Artikel von Dr. Datenschutz·7. Februar 2014

Vor mehr als vier Jahren wurde die Cookie-Richtlinie (RICHTLINIE 2009/136/EG) verabschiedet. Seit Jahren wird diskutiert, ob und auf welche Weise die Vorgaben aus der Richtlinie in Deutschland umgesetzt werden sollen.

Die Frist zur Umsetzung ist seit dem 25. Mai 2011 abgelaufen. Während die meisten Mitgliedsstaaten die Vorgaben in nationales Recht umgesetzt haben, wurde in Deutschland diskutiert. Als Optionen wurden Gesetzesentwürfe, die Möglichkeit der Selbstregulierung, aber auch die direkte Anwendbarkeit der Richtlinie genannt.

Der Inhalt im Überblick

Überraschende Auskunft des Bundeswirtschaftsministeriums
Begründung unklar
Die Vorgabe
Welcher Maßstab gilt nun?

Überraschende Auskunft des Bundeswirtschaftsministeriums

Nun die überraschende Wendung: der juristische Blog Telemedicus hat beim Bundeswirtschaftsministerium angefragt und eine verblüffende Antwort bekommen:

„Das Bundeswirtschaftsministerium hat in der letzten Legislaturperiode einen Fragebogen der Europäischen Kommission zur Umsetzung in Deutschland beantwortet und dabei insbesondere auf die Bestimmungen des Telemediengesetzes hingewiesen. Es gibt keine Signale seitens der Europäischen Kommission, dass die dargestellte Rechtslage unzureichend sei.“

Begründung unklar

Der angesprochene Fragebogen ist online verfügbar. Die von der Bundesrepublik gegebenen Antworten allerdings nicht, dabei wären diese äußerst spannend. Wie wurden plötzlich die Anforderungen umgesetzt? Schließlich gab es keine Gesetzesänderungen. Warum die zahlreichen Diskussionen, wenn die Vorschriften des Telemediengesetzes längst ausreichten?

Ohne die Antworten des Bundeswirtschaftsministeriums bleibt es ein Rätsel, wie die Umsetzung erfolgt sein soll. Diese Nachricht wirft mehr Fragen auf als sie löst. Hieran ändert auch die Bestätigung der Europäischen Kommission nichts.

Die Vorgabe

Der Wortlaut der Cookie- Richtlinie ist eindeutig. Der Einsatz von Cookies ist nur möglich,

„wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/E G u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“

Bisher gilt in Deutschland jedoch der § 15 Abs. 3 TMG, der eindeutig eine Opt-Out-Lösung vorgibt. Der Nutzer muss im Rahmen der Datenschutzerklärung über die Verwendung von Cookies aufgeklärt werden. Durch entsprechende Browsereinstellungen kann der Nutzer der Setzung von Cookies widersprechen.

Welcher Maßstab gilt nun?

Werden Aufsichtsbehörden bald beginnen, Überprüfungen von Internetseiten durchzuführen? Welche Vorgaben müssen Webseitenbetreiber erfüllen? Ist die Richtlinie bei der Auslegung des TMG zu berücksichtigen? Alle diese Fragen sind immer noch ungeklärt. Wer das Risiko scheut, dem bleibt nur die Möglichkeit, den Nutzer nach seiner Einwilligung zu fragen.

- Bundesregierung
  Für den „Geheimnisschutz“: Der Staat pfeift auf TransparenzFachbeitrag·10. August 2021
- Das Thema Datenschutz bei der neuen elektronischen PatientenakteFachbeitrag·18. Februar 2021
- Bundeskabinett treibt die automatisierte Kfz-Kennzeichenerfassung voranNews·22. Januar 2021
Mehr zum Thema
- Cookie
  Google Consent Mode: Datenschutz bei der ImplementierungFachbeitrag·21. März 2024
- Cross Device Tracking: Nutzerverfolgung vs. DatenschutzFachbeitrag·27. Februar 2024
- Top 5 DSGVO-Bußgelder im Januar 2024News·1. Februar 2024
Mehr zum Thema
- Cookie-Richtlinie
  Das neue TTDSG – Die wichtigsten Änderungen im ÜberblickFachbeitrag·15. Dezember 2021
- Webinar Cookiecalypse – Fragen und AntwortenFachbeitrag·11. August 2020
- Google Analytics und Co. nur noch mit Einwilligung der Nutzer?Fachbeitrag·17. Januar 2020
Mehr zum Thema
- Einwilligung
  EU-Kommission prüft Digital Markets Act bei PlattformbetreibernFachbeitrag·15. April 2024
- EuGH-Urteil zum TCF mit Folgen für die Online-WerbungUrteil·27. März 2024
- Google Consent Mode: Datenschutz bei der ImplementierungFachbeitrag·21. März 2024
Mehr zum Thema
- EU-Kommission
  EU-Kommission prüft Digital Markets Act bei PlattformbetreibernFachbeitrag·15. April 2024
- EU-Kommission überprüft AngemessenheitsbeschlüsseNews·19. März 2024
- Amazon Web Services (AWS) datenschutzkonform nutzenFachbeitrag·5. März 2024
Mehr zum Thema
- Widerspruch
  Google Analytics datenschutzkonform einsetzenFachbeitrag·5. August 2023
- Das Recht auf Einschränkung der VerarbeitungFachbeitrag·12. Juli 2023
- Konflikt im Verein – Datenschutz der MitgliederlistenFachbeitrag·26. Juni 2023
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Die Meldung ist nicht neu. Bereits am 26. Januar 2012 hat dies der CDU-Abgeordnete Andreas Lämmel dies in seiner Rede vor dem Bundestag berichtet.

Auch ist die Behauptung, die Cookie-Bestimmung sei bereits im TMG umgesetzt, gar nicht so abwegig, wie es auf den ersten Blick erscheinen mag. Dazu muss man sich zwei Dinge vor Augen halten. Erstens: Cookies sind keineswegs mit Nutzungsprofilen gleichzusetzen. Nutzungsprofile befinden sich auf den Servern von Website-Anbietern oder von Dritten wir Google oder Facebook. Cookies dagegen sind auf den Endgeräten der Nutzer gespeichert und ihr Inhalt, Identifikatoren, werden bei jedem URL-Abruf zum Server übertragen. § 15 Abs. 3 TMG regelt Nutzungsprofile, keine Cookies. Die Cookie-Bestimmung, Art. 5 Abs. 3 der ePrivacy-Richtlinie, dagegen regelt alle Vorgänge, die Informationen vom Endgerät des Nutzers nach außen übertragen oder von außen auf dem Endgerät speichern. Dazu gehören auch Cookies, aber keine Nutzungsprofile. § 15 Abs. 3 TMG so zu verschärfen, dass für die Erstellung von Nutzungsprofilen eine Einwilligung verlangt wird, wäre also keine Umsetzung der Cookie-Bestimmung.

Die Cookie-Bestimmung kann auf zwei verschiedene Arten ausgelegt werden. Die enge Auslegung nach dem Wortlaut geht aus von den Begriffsbestimmungen Verarbeitung, Einwilligung und Unterrichtung, die in der EU-Datenschutz-Richtlinie im Kontext der Verarbeitung personenbezogener Daten definiert sind. Nach dieser Interpretation verlangt die Cookie-Bestimmung nur dann eine Einwilligung, wenn ein personenbezogenes Datum übertragen wird. Wird ein personenbezogener Identifikator im Cookie übertragen, entsteht auf dem Server ein personenbezogenes Nutzungsprofil, das nicht mehr von der Erlaubnis von § 15 Abs. 3 TMG, Nutzungsprofile unter Pseudonym zu erstellen, abgedeckt ist. Dafür ist bereits nach geltendem Recht eine Einwilligung erforderlich. Die Bundesregierung kann daher mit Recht behaupten, hinsichtlich der Umsetzung der Cookie-Bestimmung bestehe nach dem TMG kein Handlungsbedarf.

Die Absicht des EU-Gesetzgebers war es dagegen, alle Informationen zu erfassen, die vom Endgerät des Nutzers nach außen übertragen oder von außen auf dem Endgerät gespeichert wird, unabhängig davon, ob es sich dabei um personenbezogene Daten oder anonyme Daten handelt oder um Daten, die überhaupt keine Information über eine natürliche Person enthalten. Folgt man dieser weiten Auslegung, so besteht tatsächlich Umsetzungsbedarf in Deutschland. Für die Verarbeitung von nicht personenbezogenen Daten aber Unterrichtung und Einwilligung zur Verarbeitung von personenbezogenen Daten zu verlangen, ist absurd. Die deutsche Regierung hat klug gehandelt und uns – bisher jedenfalls – diesen Unsinn erspart.

Details siehe den Aufsatz: Stefan Schleipfer: Die sog. Cookie-Bestimmungen in der ePrivacy-Richtlinie und ihre Umsetzung in deutsches Recht. RDV 4/2011 S. 170–177

Stefan Schleipfer am 12. Februar 2014, 22:44 Uhr

Antworten
Hallo Herr Dr. Datenschutz, vielen Dank für Ihre wertvollen Tipps und Informationen auf dieser Seite!
Heute wende ich mich an Sie, da ich eine Abschlussarbeit zum Thema Datenschutz schreibe und insbesondere auf die Informationspflicht beim Cookie-Einsatz eingehe. In diesem Rahmen möchte ich gerne die deutsche Umsetzung der RL 2009/136/EG mit der italienischen und französischen Umsetzung vergleichen, finde aber leider keine deutschen Quellen. Können Sie mir hier vielleicht einen Tipp geben, wie ich diese Informationen bekommen kann?

Vielen Dank bereits vorab und herzliche Grüße

Hanni am 10. März 2016, 20:28 Uhr

Antworten
- Hallo,
  
  Gesetze der EU finden Sie am besten auf dem Portal von EUR-Lex. Nachstehende Link führt Sie zu einer Seite mit den verfügbaren europäischen Fassungen (in den jeweiligen Landessprachen) der Cookie-Richtlinie.
  
  http://eur-lex.europa.eu/legal-content/de/ALL/?uri=CELEX%3A32009L0136
  
  Einen Überblick über den Stand der Umsetzung der Cookie-Richtlinie gibt folgendes Papier:
  
  https://www.dlapiper.com/~/media/Files/Insights/Publications/2012/07/How%20the%20EU%20has%20implemented%20the%20new%20law%20on%20cookie__/Files/CookieRichtlinieNewsletter_Germany/FileAttachment/CookieRichtlinieNewsletter_Germany.pdf
  
  Bzgl. des Stands der Umsetzung würde ich Kontakt mit der Aufsichtsbehörde der Länder aufnehmen und dort auch nach einer deutschen Fassung des Umsetzungsgesetzes anfragen.
  
  Italien:
  
  https://www.bfdi.bund.de/SharedDocs/Adressen/EuropaeischeDatenschutzbeauftragte/DatenschutzbeauftragterItalien.html
  
  Frankreich:
  
  https://www.cnil.fr/fr/la-cnil-en-france
  
  Viele Grüße,
  Dr. Datenschutz
  
  Dr. Datenschutz am 23. März 2016, 11:02 Uhr
  
  Antworten