Bisher hatte ich mich zum Thema Umsetzung der EU Cookie Richtlinie in deutsches Recht eher vorsichtig und zweifelnd geäußert. Damit wird es jetzt Zeit, diesen Sachverhalt einmal näher zu beleuchten. Die EU-Richtlinie 2009/136/EG stammt aus dem Jahr 2009 und die Mitgliedstaaten hatten bis 2011 Zeit, die Richtlinie in nationales Recht zu überführen. Was ist im Falle Deutschland daraus geworden?
Achtung: Dieser Artikel stellt keine Rechtsberatung dar, dafür wäre ich überhaupt nicht qualifiziert. Das ist alles lediglich als meine persönliche Meinung zu werten.
Eigentlich hätte man erwarten können, dass aus der EU Cookie Richtlinie irgendwann einmal auch ein konkretes deutsches Gesetz wird. So wie in anderen EU Ländern auch. Entwürfe soll es wohl mal gegeben haben, Gesetze sind daraus allerdings nicht geworden.
Ausgiebig und mit mehreren Artikeln hat sich der Blog Telemedicus – Recht in der Informationsgesellschaft mit diesem Thema befasst, so dass ich mir hier die Einzelheiten erspare und auf diese sehr lesenswerten Beiträge verweise.
EU-Kommission: Cookie-Richtlinie ist in Deutschland umgesetzt vom Februar 2014 geht zuerst kurz auf die EU Cookie Richtlinie ein. Telemedicus hat seinerzeit aufgrund der fehlenden Umsetzung beim Bundeswirtschaftsministerium nachgefragt und als Antwort erhalten, dass sowohl Bundesregierung, als auch die EU-Kommission der Ansicht sind, dass die EU Cookie Richtlinie bereits durch ältere Passagen des deutschen Telemediengesetzes umgesetzt ist. Ein entsprechender Fragebogen der EU Kommission wurde von der Bundesregierung beantwortet. Zu dieser Stellungnahme der Bundesregierung zur Cookie Richtlinie gibt es bei Telemedicus einen weiteren sehr umfangreichen Artikel.
Und auch der Fragebogen selbst mit den Antworten der Bundesregierung ist bei Telemedicus als PDF abrufbar. Interessanterweise wird diese PDF-Datei auch von Google auf cookiechoices.org als Ressource für die Richtlinienumsetzung in Deutschland verlinkt.
Die beiden wichtigsten Punkte kopiere ich hier mal heraus:
1. Transparenzanforderungen von Art. 5 Abs. 3 E-Privacy-Richtlinie: “ auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält”
Umgesetzt in § 13 Abs. 1 TMG: “Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.”
Erläuterung: Die Bezeichnung “automatisierte Verfahren” ist umfassend und bezieht sich auch auf das Speichern von und den Zugriff auf Informationen auf dem Rechner des Nutzers entsprechend Art. 5 Abs. 3 E-privacy-Richtlinie.
und
2. Erfordernis der Einwilligung gemäß Art. 5 Abs. 3 E-privacy-Richtlinie: “Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist wenn der betreffende Teilnehmer oder Nutzer (…), seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.”
Umgesetzt in § 12 und § 15 TMG:
§ 12: “Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.“ „Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.“
§ 15 Abs. 1 Satz 1: „Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten).”
Erläuterung: § 12 stellt klar, dass personenbezogene Daten im Zusammenhang mit der Bereitstellung von Telemedien ohne Einwilligung nur verarbeitet werden dürfen, wenn der Gesetzgeber dies ausdrücklich erlaubt. Eine solche gesetzliche Erlaubnis enthält § 15 TMG, der regelt, dass Nutzerdaten bei Inanspruchnahme von Telemedien ohne Einwilligung nur verarbeitet werden dürfen, wenn das für diesen Zweck erforderlich ist. Für die Speicherung und den Abruf von Informationen wie z. B. Cookies bedeutet dies, dass solche Verfahren in Deutschland ohne Einwilligung des Nutzers nur zulässig sind, wenn dies aus technischen Gründen für die Inanspruchnahme erforderlich ist. Im Übrigen dürfen solche Verfahren ohne Einwilligung des Nutzers nicht verwendet werden.
Richtig glücklich machen diese Aussagen nicht und für Klarheit sorgen sie noch weniger. Sind Cookies nun personenbezogene Daten oder nicht? Oder sind Cookies Nutzungsprofilen gleichzusetzen, für die nach § 15 Abs. 3 TMG eine Opt-Out-Lösung reicht?
Auch Telemedicus sieht gravierende Unterschiede und Widersprüche zwischen den Anforderungen der EU Cookie Richtlinie und der Umsetzung im Telemediengesetz und wundert sich über die Einigkeit mit der Bundesregierung und EU Kommission keinen weiteren Handlungsbedarf sehen.
Und was bedeutet das jetzt?
Die Unsicherheit bleibt, die Meinungen gehen auseinander und wirkliche Antworten gibt es nicht. Ob dieser Wirrwarr bleiben wird, oder doch noch eine Angleichung der Bestimmungen erfolgen wird, das kann heute niemand sagen.
Naheliegend ist, dass über die Verwendung von Cookies auf Webseiten informiert werden muss. Und auch die Verwendung einer Einwilligungslösung drängt sich auf, wenn man seine Webseiten gesetzeskonform halten möchte. Wie die aber aussehen könnte, das bleibt offen.
Vielleicht hat die unsichere Rechtslage aber ja auch etwas Gutes – sie erhöht das Prozessrisiko für diejenigen, die es gerne mal mit Abmahnungen probieren.
Weitere Artikel in dieser Kategorie:
- EU Cookie Richtlinie – Google sorgt für Aufruhr
- EU Cookie Richtlinie – Was steckt dahinter?
- EU Cookie Richtlinie – Test: Cookie Consent
- EU Cookie Richtlinie – Test: Cookie Control
- EU Cookie Richtlinie – Cookie Audit
- EU Cookie Richtlinie – Handlungsalternativen
- EU Cookie Richtlinie – Weiter mit AdSense Geld verdienen
- EU Cookie Richtlinie – Was machen die Anderen?
- EU Cookie Richtlinie – Test: WordPress Plugins
- EU Cookie Richtlinie – Test: EU Cookiehinweis PHP-Klasse
- EU Cookie Richtlinie – Meine eigene Multi-Site-Lösung
Pingback: Google AdSense fordert Cookie-Einwilligung - Infos und Tipps > Google AdSense, Recht, Web Analytics > Selbständig im Netz