Vor mehr als vier Jahren wurde die Cookie-Richtlinie (RICHTLINIE 2009/136/EG) verabschiedet. Seit Jahren wird diskutiert, ob und auf welche Weise die Vorgaben aus der Richtlinie in Deutschland umgesetzt werden sollen.
Die Frist zur Umsetzung ist seit dem 25. Mai 2011 abgelaufen. Während die meisten Mitgliedsstaaten die Vorgaben in nationales Recht umgesetzt haben, wurde in Deutschland diskutiert. Als Optionen wurden Gesetzesentwürfe, die Möglichkeit der Selbstregulierung, aber auch die direkte Anwendbarkeit der Richtlinie genannt.
Der Inhalt im Überblick
Überraschende Auskunft des Bundeswirtschaftsministeriums
Nun die überraschende Wendung: der juristische Blog Telemedicus hat beim Bundeswirtschaftsministerium angefragt und eine verblüffende Antwort bekommen:
„Das Bundeswirtschaftsministerium hat in der letzten Legislaturperiode einen Fragebogen der Europäischen Kommission zur Umsetzung in Deutschland beantwortet und dabei insbesondere auf die Bestimmungen des Telemediengesetzes hingewiesen. Es gibt keine Signale seitens der Europäischen Kommission, dass die dargestellte Rechtslage unzureichend sei.“
Begründung unklar
Der angesprochene Fragebogen ist online verfügbar. Die von der Bundesrepublik gegebenen Antworten allerdings nicht, dabei wären diese äußerst spannend. Wie wurden plötzlich die Anforderungen umgesetzt? Schließlich gab es keine Gesetzesänderungen. Warum die zahlreichen Diskussionen, wenn die Vorschriften des Telemediengesetzes längst ausreichten?
Ohne die Antworten des Bundeswirtschaftsministeriums bleibt es ein Rätsel, wie die Umsetzung erfolgt sein soll. Diese Nachricht wirft mehr Fragen auf als sie löst. Hieran ändert auch die Bestätigung der Europäischen Kommission nichts.
Die Vorgabe
Der Wortlaut der Cookie- Richtlinie ist eindeutig. Der Einsatz von Cookies ist nur möglich,
„wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/E G u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“
Bisher gilt in Deutschland jedoch der § 15 Abs. 3 TMG, der eindeutig eine Opt-Out-Lösung vorgibt. Der Nutzer muss im Rahmen der Datenschutzerklärung über die Verwendung von Cookies aufgeklärt werden. Durch entsprechende Browsereinstellungen kann der Nutzer der Setzung von Cookies widersprechen.
Welcher Maßstab gilt nun?
Werden Aufsichtsbehörden bald beginnen, Überprüfungen von Internetseiten durchzuführen? Welche Vorgaben müssen Webseitenbetreiber erfüllen? Ist die Richtlinie bei der Auslegung des TMG zu berücksichtigen? Alle diese Fragen sind immer noch ungeklärt. Wer das Risiko scheut, dem bleibt nur die Möglichkeit, den Nutzer nach seiner Einwilligung zu fragen.
Die Meldung ist nicht neu. Bereits am 26. Januar 2012 hat dies der CDU-Abgeordnete Andreas Lämmel dies in seiner Rede vor dem Bundestag berichtet.
Auch ist die Behauptung, die Cookie-Bestimmung sei bereits im TMG umgesetzt, gar nicht so abwegig, wie es auf den ersten Blick erscheinen mag. Dazu muss man sich zwei Dinge vor Augen halten. Erstens: Cookies sind keineswegs mit Nutzungsprofilen gleichzusetzen. Nutzungsprofile befinden sich auf den Servern von Website-Anbietern oder von Dritten wir Google oder Facebook. Cookies dagegen sind auf den Endgeräten der Nutzer gespeichert und ihr Inhalt, Identifikatoren, werden bei jedem URL-Abruf zum Server übertragen. § 15 Abs. 3 TMG regelt Nutzungsprofile, keine Cookies. Die Cookie-Bestimmung, Art. 5 Abs. 3 der ePrivacy-Richtlinie, dagegen regelt alle Vorgänge, die Informationen vom Endgerät des Nutzers nach außen übertragen oder von außen auf dem Endgerät speichern. Dazu gehören auch Cookies, aber keine Nutzungsprofile. § 15 Abs. 3 TMG so zu verschärfen, dass für die Erstellung von Nutzungsprofilen eine Einwilligung verlangt wird, wäre also keine Umsetzung der Cookie-Bestimmung.
Die Cookie-Bestimmung kann auf zwei verschiedene Arten ausgelegt werden. Die enge Auslegung nach dem Wortlaut geht aus von den Begriffsbestimmungen Verarbeitung, Einwilligung und Unterrichtung, die in der EU-Datenschutz-Richtlinie im Kontext der Verarbeitung personenbezogener Daten definiert sind. Nach dieser Interpretation verlangt die Cookie-Bestimmung nur dann eine Einwilligung, wenn ein personenbezogenes Datum übertragen wird. Wird ein personenbezogener Identifikator im Cookie übertragen, entsteht auf dem Server ein personenbezogenes Nutzungsprofil, das nicht mehr von der Erlaubnis von § 15 Abs. 3 TMG, Nutzungsprofile unter Pseudonym zu erstellen, abgedeckt ist. Dafür ist bereits nach geltendem Recht eine Einwilligung erforderlich. Die Bundesregierung kann daher mit Recht behaupten, hinsichtlich der Umsetzung der Cookie-Bestimmung bestehe nach dem TMG kein Handlungsbedarf.
Die Absicht des EU-Gesetzgebers war es dagegen, alle Informationen zu erfassen, die vom Endgerät des Nutzers nach außen übertragen oder von außen auf dem Endgerät gespeichert wird, unabhängig davon, ob es sich dabei um personenbezogene Daten oder anonyme Daten handelt oder um Daten, die überhaupt keine Information über eine natürliche Person enthalten. Folgt man dieser weiten Auslegung, so besteht tatsächlich Umsetzungsbedarf in Deutschland. Für die Verarbeitung von nicht personenbezogenen Daten aber Unterrichtung und Einwilligung zur Verarbeitung von personenbezogenen Daten zu verlangen, ist absurd. Die deutsche Regierung hat klug gehandelt und uns – bisher jedenfalls – diesen Unsinn erspart.
Details siehe den Aufsatz: Stefan Schleipfer: Die sog. Cookie-Bestimmungen in der ePrivacy-Richtlinie und ihre Umsetzung in deutsches Recht. RDV 4/2011 S. 170–177
Hallo Herr Dr. Datenschutz, vielen Dank für Ihre wertvollen Tipps und Informationen auf dieser Seite!
Heute wende ich mich an Sie, da ich eine Abschlussarbeit zum Thema Datenschutz schreibe und insbesondere auf die Informationspflicht beim Cookie-Einsatz eingehe. In diesem Rahmen möchte ich gerne die deutsche Umsetzung der RL 2009/136/EG mit der italienischen und französischen Umsetzung vergleichen, finde aber leider keine deutschen Quellen. Können Sie mir hier vielleicht einen Tipp geben, wie ich diese Informationen bekommen kann?
Vielen Dank bereits vorab und herzliche Grüße
Hallo,
Gesetze der EU finden Sie am besten auf dem Portal von EUR-Lex. Nachstehende Link führt Sie zu einer Seite mit den verfügbaren europäischen Fassungen (in den jeweiligen Landessprachen) der Cookie-Richtlinie.
http://eur-lex.europa.eu/legal-content/de/ALL/?uri=CELEX%3A32009L0136
Einen Überblick über den Stand der Umsetzung der Cookie-Richtlinie gibt folgendes Papier:
https://www.dlapiper.com/~/media/Files/Insights/Publications/2012/07/How%20the%20EU%20has%20implemented%20the%20new%20law%20on%20cookie__/Files/CookieRichtlinieNewsletter_Germany/FileAttachment/CookieRichtlinieNewsletter_Germany.pdf
Bzgl. des Stands der Umsetzung würde ich Kontakt mit der Aufsichtsbehörde der Länder aufnehmen und dort auch nach einer deutschen Fassung des Umsetzungsgesetzes anfragen.
Italien:
https://www.bfdi.bund.de/SharedDocs/Adressen/EuropaeischeDatenschutzbeauftragte/DatenschutzbeauftragterItalien.html
Frankreich:
https://www.cnil.fr/fr/la-cnil-en-france
Viele Grüße,
Dr. Datenschutz