Die „Cookie Richtlinie“ der EU und ihre Umsetzung in Deutschland
Auf vielen Webseiten ist er derzeit zu finden und die Meisten klicken ihn unbesehen weg: Der Hinweis auf die Nutzung von Cookies, der zwischen prominent und penetrant als Banner oder Layer bei dem Aufruf der Webseite platziert wird, sodass der Nutzer nicht umhin kommt diesen wahrzunehmen und, mittlerweile meist genervt, wegzuklicken. Doch ist ein solcher Hinweis wirklich Pflicht oder genügt es, in der Datenschutzerklärung auf den Einsatz von Cookies hinzuweisen?
Was sind Cookies?
Cookies sind, kurz gesagt, kleine Textdateien, die auf Ihrem Gerät bei dem Besuch einer Webseite gespeichert werden.
Hierdurch kann Sie die Webseite wiedererkennen und so verschiedene Funktionen bereitstellen, die ohne Cookies kaum möglich wären, wie z. B. das Speichern von Produkten im Warenkorb, wenn Sie vor dem Kauf die Webseite verlassen sollten.
Andererseits können Cookies auch dazu eingesetzt werden, um Ihr Nutzungsverhalten einer Webseite an den Betreiber der Seite zu melden, um Ihnen etwa an Ihre Interessen angepasste Werbung einzublenden.
Was sagt die Cookie Richtlinie der EU dazu?
Die Richtlinie 2009/136/EG(fn), besser bekannt als die Cookie-Richtlinie, besagt in Art. 5 Abs. 3, dass die Mitgliedstaaten sicherzustellen haben, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind (= Cookies), nur gestattet ist, wenn der Nutzer
“auf der Grundlage von klaren und umfassenden Informationen, die er (…) über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“
Mithin muss der Nutzer klar und umfassend über das Setzen von Cookies informiert werden und aufgrund dieser Information seine Einwilligung hierzu abgeben. Dazu, wie genau diese Information auszusehen hat, findet sich in der Richtlinie jedoch nichts. Lediglich in den Erwägungsgründen zur Richtlinie wird ausgeführt, dass eine Einwilligung des Nutzers auch
“über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden“
kann.
Praktische Auswirkungen der Richtlinie
Der soeben angeführte Wortlaut führte dazu, dass die Mitgliedstaaten unterschiedliche Ansätze wählten, um diese Voraussetzungen zu erfüllen.
Opt-out-Lösung
So sahen manche Länder, hierunter Finnland und Tschechien, die Anforderungen der Richtlinie bereits als erfüllt an, sobald an irgendeiner Stelle auf der Webseite über den Einsatz von Cookies informiert und ein Hinweis gegeben wird, wie der Speicherung widersprochen werden kann, z. B. durch die eigenen Browsereinstellungen („Opt-out-Lösung“).
Opt-In-Lösung
Eine andere Lösung, die sog. „Opt-in-Lösung“, wählten die meisten anderen Mitgliedstaaten, hierunter Österreich, Niederlande oder Frankreich. Demnach muss der Nutzer vor dem Setzen von Cookies seine Einwilligung hierzu gegeben haben. Begründet wurde dies mit dem Argument, die Möglichkeit eines Widerspruchs sei nicht gleichbedeutend mit der Einholung einer Einwilligung. Manche Mitgliedstaaten vertreten dabei, mit Hinweis auf die Erwägungsgründe zur Richtlinie, jedoch auch die Auffassung, dass es auch als Opt-In gelte, sofern der Nutzer nach umfassender Belehrung über den Einsatz von Cookies auf der Webseite verbleibe.
Wie ist die Rechtslage in Deutschland?
Eine eindeutige Aussage, ob das Setzen von Cookies in Deutschland nun nur über eine Opt-in-Lösung zulässig ist oder ob auch die Opt-out-Variante den rechtlichen Anforderungen genügt, kann derzeit nicht gemacht werden. Der deutsche Gesetzgeber jedenfalls blieb nach dem Erlass der Richtlinie gänzlich untätig und nahm erst auf Nachfragen der EU-Kommission zu diesem Thema Stellung(fn). Aus dieser geht hervor, dass in Deutschland kein nationaler Umsetzungsakt vonnöten sei, da die Anforderungen der Richtlinie bereits durch das Telemediengesetz (TMG) abgedeckt seien.
Die Regelung der Richtlinie bzgl. dem Erfordernis der Einholung einer Einwilligung sei bereits in § 12 Abs. 1 TMG enthalten. Darüber hinaus solle § 13 Abs. 1 TMG (entgegen des Wortlauts) nicht nur personenbezogene Daten umfassen, sondern auch alle Cookies und der § 13 Abs. 2 TMG beschreibe ebenfalls bereits die Anforderungen an eine wirksame Einwilligung.
Die Aussagen stellten die EU-Kommission zwar zunächst zufrieden, wurden im Übrigen allerdings als nicht vertretbar kritisiert. Auch das Gremium der Datenschutzbeauftragten des Bundes und der Länder, der „Düsseldorfer Kreis“, forderte die Bundesregierung mehrfach auf, die Richtlinie in Deutschland endlich angemessen umzusetzen. Zum Einen befasse sich das TMG lediglich mit „personenbezogenen Daten“, die Richtlinie jedoch mit „Informationen“ allgemein, weshalb der Regelungsgehalt des TMGs viele Arten von Cookies überhaupt nicht abdecke. Darüber hinaus stelle das TMG wiederum, anders als die Richtlinie, viel zu hohe Anforderungen an eine wirksame Einwilligung. Eine Reaktion seitens des nationalen Gesetzgebers blieb aus.
Im Jahr 2015 hat die EU-Kommission nunmehr eine Studie herausgebracht, die sich mit der Umsetzung der Cookie-Richtlinie in den Mitgliedstaaten beschäftigt. In dieser stellt sie fest, dass die Richtlinie in Deutschland schlicht nicht umgesetzt worden ist:
“When looking at the way Article 5.3 has been transposed by the Member States, a first observation to make is that this provision has not been transposed by the German legislature.“
Weiterhin sei das TMG nur ein angebliches Äquivalent, welches mehr oder weniger den datenschutzrechtlichen Bedingungen entspreche:
“The German supposedly “equivalent” of Article 5.3 can be found in the “Telemediengesetz” which is, more or less, the German legal framework for information society services.“
Im Übrigen geht aus der Studie jedoch nicht hervor, ob die Regelungen in Deutschland angesichts der Anforderungen der Cookie-Richtlinie nun ausreichend sind oder nicht.
Fazit: Was ist nun zu tun?
Die Gefahr einer Bußgeldverhängung oder Abmahnung wegen einer fehlerhafter Cookie-Belehrung ist derzeit aufgrund der großen Rechtsunsicherheit als sehr gering einzustufen. Sollte es in diesem Bereich zu weiteren Entwicklungen kommen, werden wir Sie selbstverständlich zeitnah darüber informieren und entsprechende Handlungsempfehlungen geben.
Doch was sind nun die derzeitigen Optionen für Webseitenbetreiber?
Die sicherste Variante: Opt-in
Um gänzlich auf der sicheren Seite zu sein, kann eine strenge Opt-in-Lösung eingesetzt werden, durch die der Nutzer vor dem Setzen eines Cookies über deren Einsatz informiert wird und in die er ausdrücklich einwilligen muss, etwa mittels einer vorgeschalteten Webseite, die erst den Zugang zur Seite zulässt, nachdem sich der Nutzer hinsichtlich des Setzens von Cookies auf seinem Gerät entschieden hat.
Dieses Vorgehen wirft jedoch oftmals nicht nur praktische Umsetzungsschwierigkeiten auf, viel schwerwiegender ist, dass dieses nutzerunfreundliche Vorgehen zu höheren Absprungraten und mithin zu einer geringeren Anzahl von Besuchern auf der Webseite
führen dürfte.
Die klassische Opt-out-Lösung
Geht man von dem Wortlaut der Richtlinie, den Erwägungsgründen und der Praxis in der Vergangenheit aus, spricht Einiges dafür, die „klassische“ Erklärung zum Thema Cookies innerhalb der Datenschutzerklärung als ausreichend anzusehen. Nichtsdestotrotz kann sich dies in Zukunft, etwa durch entsprechende Urteile oder der Verhängung von Bußgeldern, ändern, sofern einzelne Gerichte oder Landesbehörden diese Vorgehensweise als nicht rechtskonform ansehen.
Die erleichterte Opt-In-Lösung
Eine weitere Möglichkeit, quasi ein Mittelweg zu den beiden oben genannten Alternativen, ist es, über ein auf der Webseite eingebundenes Banner an prominenter Stelle über den Einsatz von Cookies zu informieren und den Nutzer darauf hinzuweisen, dass er mit der weiteren Nutzung der Webseite deren Einsatz zustimmt.
Auf dem Banner sollte des Weiteren ein Link zum entsprechenden Abschnitt innerhalb der Datenschutzerklärung enthalten sein, der Informationen zu den eingesetzten Cookies zum Inhalt hat.
Diese Variante bietet ein gewisses Gleichgewicht zwischen Rechtssicherheit und praktischer Umsetzbarkeit.
Webseitenbetreiber, die Googles Dienste AdSense, Doubleclick for Publishers und Doubleclick Ad Exchange nutzen, sind bereits durch Google verpflichtet worden, einen solchen Hinweis auf ihren Webseiten einzubinden.
Hinweis: Webseiten, die sich an ausländisches Publikum richten
Sofern sich eine Seite an ein Publikum im EU-Ausland richtet, sollte man sich als Betreiber der Webseite darüber informieren, wie die Cookie-Richtlinie in dem jeweiligen Mitgliedstaat umgesetzt worden ist. Die letztgenannte Variante dürfte zwar in den meisten EU-Staaten als ausreichend erachtet werden, nichtsdestotrotz wurden in einigen Ländern strengere Regelungen festgelegt.
UPDATE 05.02.2016:
Mittlerweile gibt es ein Urteil des OLG Frankfurt zu diesem Thema. Folgt man der Argumentation des Gerichts ist eine “Opt-out” Lösung ausreichend.
Fall Sie weitere Fragen zu diesem Thema haben stehen wir Ihnen selbstverständlich gern zur Verfügung.