Zum Inhalt springen Zur Navigation springen
Meine Kekse, Deine Kekse – Konzernseiten unter der Lupe der EU-Cookie-Richtlinie

Meine Kekse, Deine Kekse – Konzernseiten unter der Lupe der EU-Cookie-Richtlinie

Deutschland hat die Anforderungen aus der geänderten Europäischen Datenschutzrichtlinie für elektronische Kommunikation nach Einwilligung in die Nutzung von Cookies bisher nicht in nationales Recht transformiert. Sind Konzerne und Ihre Webseiten damit aus der Schusslinie?

Die Frage: „Willst Du Cookies?“

Wie bereits berichtet sorgte die Änderung der Europäischen Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) aus dem Jahre 2009 für Aufregung. Insbesondere die Fassung des Artikels 5 Absatz 3 erregte Unmut. Diese lautet:

„(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Demnach bedarf die Verwendung von sogenannten Cookies der vorherigen Einwilligung der Betroffenen. Die EU-Richtlinie entfaltet jedoch in Deutschland keine direkte Wirkung, sondern muss hierzu in deutsches Recht umgesetzt werden. Das ist allerdings bisher trotz Ablauf der Umsetzungsfrist nicht geschehen. Andere EU-Mitgliedsstaaten haben die Richtlinie aber bereits in nationales Recht transformiert (so z.B. UK).

Cookies in der Familie – Wem gehören die eigentlich?

Was bedeutet diese Situation nun aber für eine deutsche Konzernmutter mit rechtlich selbständigen konzernangehörigen Unternehmen in anderen EU-Mitgliedsstaaten mit „eigenen“ Webseiten? Insbesondere wenn die länderspezifischen Webseiten von der Konzernmutter gespeichert und veröffentlicht werden. Für die Ländergesellschaften ist zu klären, welches Recht auf die Cookies anzuwenden ist.

Die Frage nach dem anwendbaren Datenschutzrecht ist aus sogenannten kollisionsrechtlichen Vorschriften zu beantworten.

Aus Sicht der deutschen kollisionsrechtlichen Vorschriften ist zunächst zu klären, welches Fachgebiet betroffen ist. Das ist hier vorrangig der Datenschutz. Regelungen hierzu sind das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG). Diese enthalten beide kollisionsrechtlich vorrangige Spezialregelungen (§ 3 III Nr. 4 TMG und § 1 V BDSG) soweit der Datenschutz betroffen ist. Im Ergebnis richtet sich die Anwendbarkeit deutschen Datenschutzrechts nach § 1 V BDSG welcher vorrangig darauf abstellt wo der Sitz der sogenannten verantwortlichen Stelle ist. Danach findet das BDSG

„… keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofern Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden. “

Wer ist nun verantwortlich für die Cookies?

Hier gibt es eine Definition im BDSG selbst (§ 3 VII BDSG). Danach ist verantwortliche Stelle

„…jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.“

Soweit also eine konzernangehörige eigene rechtliche Gesellschaft mit Sitz in der EU eine eigene Webseite online stellt bzw. dies durch die Konzernmutter als Dienstleiter (Landesgesellschaft mit eigenem Impressum; Konzernmutter als weisungsabhängiger Auftragsdatenverarbeiter) vornehmen lässt und hierbei Cookies einsetzt, wäre die Landesgesellschaft aus deutscher Sicht verantwortliche Stelle und somit lokales Recht der Landesgesellschaft anwendbar.

Einzige Ausnahme wäre, wenn die Nutzung der Cookies durch eine Niederlassung der Landesgesellschaft in Deutschland erfolgte.

Unabhängig von der Rechtsform kann insoweit auf die Definition der Niederlassung in § 42 II GewO a.F. zurückgegriffen werden. Danach ist eine Niederlassung vorhanden, wenn der Gewerbetreibende einen zum dauernden Gebrauch eingerichteten, ständig oder in regelmäßiger Wiederkehr vom ihm benutzten Raum für den Betrieb seines Gewerbes besitzt. Dies wird jedoch bei den meisten Landesgesellschaften nicht der Fall sein. Zwar liegen die Daten i.d.R. letztendlich bei einer Konzernmutter in Deutschland. Die Räume hierfür dienen häufig aber gerade nicht als „eigene“ Räumlichkeiten der Landesgesellschaft für den Betrieb ihres Gewerbes, sondern werden lediglich für das Hosting genutzt.

Umgang mit Cookies

Bei Cookie-Nutzung auf Webseiten im Konzern lohnt es sich also genauer hinzusehen. Ist aus der Sicht einer deutschen Konzernmutter für ihre eigenen Seiten nach deutschem Recht die Situation im Hinblick auf die noch nicht erfolgte Umsetzung der „Cookie-Richtlinie“ noch entspannt, so mag das gleiche nicht für die Landesgesellschaften in Europa gelten.

Sofern also Konzerngesellschaften in europäischen Ländern mit eigenen Webseiten auftreten, sollte geprüft werden, ob die Cookie-Richtlinie dort umgesetzt ist und die Anforderungen erfüllt werden.

Für UK sei hier auf die Formulierung auf der Startseite des ico (Information Commissioner´s Office) hingewiesen. Hier mögen sich auch noch weitere Hinweise in der privacy notice finden, auf welche verwiesen wird.

Zudem hilfreich ist auch das Hinweisdokument des Britischen Datenschützers Christopher Graham.

Merke:

Diese “Cookies“ machen zwar nicht dick, können aber durchaus Kopfschmerzen bereiten.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.