ePrivacy – Online.Spiele.Recht

Update zur Cookie-Richtlinie: Die Argumentation der Bundesregierung

Konstantin Ewald — Mon, 24 Feb 2014 11:05:57 +0000

Die Cookie-Richtlinie gilt auch in Deutschland. Wie wir vorvergangene Woche im Blog berichtet haben, hat das die EU-Kommission überraschend bestätigt. Das Jurablog Telemedicus hat inzwischen auch die genaue Argumentation veröffentlicht, mit der die deutsche Bundesregierung und die europäische Kommission zu ihrem Urteil gelangen.

Nach Auslegung des Bundeswirtschaftsministeriums gilt danach schon jetzt in Deutschland ein strenges Opt-in für den Einsatz von Cookies. Doch überzeugend ist diese Ansicht nicht.

Welche Regeln gelten für Cookies?

Art. 5 Abs. 3 der ePrivacy-Richtlinie verlangt im Wesentlichen zwei Maßnahmen beim Einsatz von Cookies: Einen eindeutigen Hinweis und eine Einwilligung. Eine Vorschrift, die genau diese Vorgaben umsetzt gibt es in Deutschland nicht.

Hinweispflichten

Eine Pflicht, Nutzer auf den Einsatz von Cookies hinzuweisen, leitet die Bundesregierung jedoch aus § 13 Abs. 1 S. 2 TMG her. Danach hat beim Einsatz eines „automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht“ ein entsprechender Hinweis zu Beginn des Nutzungsvorgangs erfolgen.

Nach Ansicht des Bundeswirtschaftsministeriums stellen Cookies ein solches automatisiertes Verfahren dar – mit der Folge, dass beim Einsatz von Cookies ein Hinweis erfolgen muss.

Überzeugend ist das jedoch nicht. Denn nicht jeder Cookie erlaubt eine spätere Identifizierung des Nutzers. Mit Cookies lassen sich kleine Informationspakete auf der Seite des Anwenders speichern und wieder auslesen – nicht mehr und nicht weniger. Das kann je nach Art der gespeicherten Information zu einer späteren Identifizierung führen, muss es aber nicht.

§ 13 Abs. 1 S. 2 TMG erfasst also einzelne Anwendungsbereiche von Cookies – nicht aber die Technologie generell, wie es die ePrivacy-Richtlinie tut. Und doch: Die Europäische Kommission hat sich mit der Argumentation der Bundesregierung zufrieden gegeben.

Einwilligungserfordernis

Die Cookie-Richtlinie fordert weiter, dass der Nutzer in den Gebrauch von Cookies einwilligt. Auch eine solche Vorschrift gibt es in dieser Form in Deutschland nicht. Die Bundesregierung leitet das Einwilligungserfordernis aber aus § 12 Abs. 1 TMG her. Danach dürfen personenbezogene Daten nur verarbeitet werden, wenn das Gesetz dies erlaubt oder der Nutzer einwilligt. Eine gesetzliche Erlaubnis gibt es beispielsweise für Fälle, in denen die Datenverarbeitung zwingend technisch erforderlich ist. Im Übrigen muss jedoch die Einwilligung des Nutzers eingeholt werden.

Nach Ansicht der Bundesregierung erfasst das auch Cookies. In der Stellungnahme gegenüber der EU-Kommission heißt es dazu:

„Für die Speicherung und den Abruf von Informationen wie z. B. Cookies bedeutet dies, dass solche Verfahren in Deutschland ohne Einwilligung des Nutzers nur zulässig sind, wenn dies aus technischen Gründen für die Inanspruchnahme erforderlich ist. Im Übrigen dürfen solche Verfahren ohne Einwilligung des Nutzers nicht verwendet werden.“

Die Bundesregierung setzt Cookies also mit „personenbezogenen Daten“ gleich. Auch hier gilt aber das gleiche Gegenargument wie oben: Nicht alle Cookies erlauben einen Personenbezug. Doch dieses Problem wird in der Stellungnahme erst gar nicht problematisiert. Den Begriff der „Informationen“, wie er in der Richtlinie verwendet wird, verwendet das Bundeswirtschaftsministerium in seiner Stellungname synonym zu dem Begriff der „personenbezogenen Daten“.

Dabei soll die ePrivacy-Richtlinie gerade dieses Konfliktfeld lösen: Es soll keine Rolle spielen, ob die Informationen personenbezogen sind oder nicht – es soll generell die Technologie der Cookies reguliert werden. Genau das hat der Richtlinie auch viel Kritik eingebracht, weil sie dadurch zu einer Überregulierung führt. Aber die vage Argumentation der Bundesregierung löst dieses Problem nicht, sondern vermischt es mit dem Problem des Personenbezugs. Die Folge: Aus einer klaren Überregulierung wird eine schwammige Überregulierung.

Obendrein stellt die Bundesregierung klar, dass sie § 13 Abs. 2 TMG für anwendbar hält. Danach bedarf es für die Verarbeitung personenbezogener Daten einer expliziten und protokollierten Einwilligung. Während die ePrivacy-Richtlinie noch Erleichterungen für die Einwilligung beim Einsatz von Cookies vorsieht, werden diese im deutschen Recht nicht berücksichtigt. Das heißt: Nach der deutsche Argumentation braucht es ein explizites Opt-in – eine stillschweigende Einwilligung ist im Gegensatz zur Richtlinie nicht möglich.

Und auch Im Hinblick auf § 15 Abs. 3 TMG ist die Argumentation der Bundesregierung bemerkenswert: Bei der Erhebung personenbezogener Daten unter Verwendung von Cookies für Marketing-Zwecke reicht eine Opt-out-Möglichkeit, aber für alle anderen Cookies, die teilweise überhaupt keine personenbezogenen Daten enthalten, soll striktes Opt-in gelten. Konsequenz geht anders.

Was bedeutet das für die Praxis?

Dass die deutsche Bundesregierung keinen Handlungsbedarf bei der Cookie-Richtlinie sieht, ist keine neue Erkenntnis. Wie genau sie diese Ansicht aber begründet, war bislang nicht bekannt. Überraschend kommt hinzu, dass sich die Europäische Kommission mit der deutschen Ansicht auch zufrieden gibt.

Für die Praxis ändert sich durch die nun bekannt gewordene Begründung allerdings nicht viel. Es handelt sich um die Rechtsauffassung der Bundesregierung – sie hat keine Bindungswirkung für Bürger oder Gerichte. Obendrein stellt sich die Argumentation bei näherer Betrachtung als wenig durchdacht und in der Praxis kaum umsetzbar dar. Dass die Begründung des Bundeswirtschaftsministeriums eins zu eins in der Praxis ankommt, ist daher nicht zu erwarten.

Es gelten daher noch immer unsere Praxishinweise von vorletzter Woche.

Dank an unseren wissenschaftlichen Mitarbeiter Adrian Schneider für seine Mitarbeit an diesem Beitrag. Full Disclosure: Adrian schreibt auch regelmäßig für Telemedicus.

Die Cookie-Richtlinie ist umgesetzt und keiner hat’s gemerkt. Was nun?

Konstantin Ewald — Mon, 10 Feb 2014 12:45:02 +0000

Nach Auskunft der EU-Kommission und des Bundeswirtschaftsministeriums ist die ePrivacy-Richtlinie 2002/58/EG in der Fassung der Richtlinie 2009/136/EG (die sogenannte „Cookie-Richtlinie“) in Deutschland bereits umgesetzt.

Bitte was?

Die ursprüngliche ePrivacy-Richtlinie hat Deutschland schon länger umgesetzt. Was die Änderungen in der neuen Fassung der Richtlinie von 2009 betrifft, ist das aber weniger klar.

Zu den Kernthemen der Richtlinie in der neuen, geänderte Fassung gehört der Umgang mit Cookies, für die Art. 5 Abs. 3 eigentlich einen Einwilligungsvorbehalt vorsieht, der wegen des Verweises auf die Pflicht zur vorherigen Information stark nach einem Zwang zum „Opt-in“ aussieht:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Die Umsetzungsfrist der Richtlinie ist bereits 2011 abgelaufen. Eine 1:1-Entsprechung der in Art. 5 Abs. 3 der ePrivacy-Richtlinie angedeuteten Lösung findet sich im deutschen Recht nicht. Zwar ist die Richtlinie etwa in § 45n Abs. 4 TKG bereits erwähnt, aber jenseits dessen hat eine inhaltliche Umsetzung im Rahmen konkreter Gesetzesänderungen, etwa im TMG, gerade nicht stattgefunden.

Trotzdem stellt sich die EU, nach Auswertung der Antworten des Bundeswirtschaftsministerium auf einen Fragenkatalog zur Rechtslage, auf den Standpunkt, das deutsche Recht sei konform – also auch schon immer konform gewesen. In der Tat lässt sich ein Erwägungsgrund der Richtlinie 2009/136/EG so verstehen, dass auch eine Browser-Voreinstellung, die Cookies nicht ablehnt, als Einwilligung reichen könnte – hierauf weist zum Beispiel der Kollege Dr. Schirmbacher in einem Blogposting hin.

Das würde gleichzeitig bedeuten, dass die strengeren Umsetzungen der Richtlinie jedenfalls über das von der Richtlinie vorgegebene Mindestziel hinausschießen. Das Paradebeispiel für eine solche Umsetzung wäre Großbritannien, wo jede Website einem neuen Besucher zur Begrüßung erst einmal mit einem Cookie-Informations- und Einwilligungs-Popup auf den Keks gehen muss.

Die Antworten des Bundeswirtschaftsministerium auf den Fragenkatalog sind derzeit (noch) nicht bekannt. Wie das Ministerium, und damit auch die EU-Kommission, ihre Einschätzung begründen, wissen sie vorläufig also nur selbst. Das macht es natürlich auch schwer, sich an die maßgebliche – gemeinschaftsrechtskonforme – Auslegung der nationalen Vorschriften, also insbesondere des TMG zu halten.

Im Wesentlichen haben Betreiber von Onlineplattformen jetzt drei Möglichkeiten:

1. Einholung von ausdrücklichen Einwilligungserklärungen. Damit ist man auf der sicheren Seite, schmälert aber den Nutzungskomfort. Das könnte auf Kosten der Conversion Rate gehen – und in dieser Hinsicht haben Spiele- und Plattformbetreiber ja auch noch mit anderen Herausforderungen zu tun. Dieser sehr vorsichtige Ansatz erscheint zum gegenwärtigen Zeitpunkt als Übererfüllung der gesetzlichen Pflichten.

2. Unmittelbare und klare Information über die Nutzung von Cookies und eine opt-out-Möglichkeit, etwa durch ein Banner. Dies entspricht der britischen Lösung der Cookie-Problematik und könnte einen vernünftigen Kompromiss darstellen, auch wenn es natürlich die Möglichkeiten des Seitendesigns und letztlich auch das Spiel- oder Surferlebnis beschränken kann.

3. Abwarten und Tee trinken. Es erscheint gegenwärtig unwahrscheinlich, dass Gerichte und Datenschutzbehörden unmittelbar die Anpassung an neues Recht verlangen, da die Rechtslage unklar und das Bekanntwerden des Standpunkts der EU-Kommission noch ziemlich frisch ist. Es bleibt dabei ein rechtliches Risiko; uns sind aber zum jetztigen Zeitpunkt keine Anzeichen für ein unmitelbar bevorstehendes behördliches Einschreiten bekannt.

(Einen Überblick zu diesem Thema auf Englisch gibt es bei unseren Specials)

Ein Beitrag von Konstantin Ewald und Felix Hilgert.

Art. 29 Datenschutzgruppe gibt Hilfestellungen zur rechtskonformen Nutzung von Cookies

Tim Maiorino — Tue, 26 Jun 2012 05:00:04 +0000

Erst kürzlich berichteten wir über die immer noch kontrovers diskutierte Frage, ob Cookies nur noch nach vorheriger Einwilligung der Nutzer eingesetzt werden dürfen. Den Stein des Anstoßes lieferte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, mit seiner jüngst geäußerten Auffassung, wonach die in der bislang hierzulande nicht umgesetzten Richtlinie 2009/136/EC (ePrivacy Directive) festgelegten europäischen Cookie-Regeln nunmehr unmittelbar anwendbar sein sollen. Der Wortlaut der Richtlinie spricht sich weitestgehend gegen einen Einsatz von Cookies ohne ausdrückliche Einwilligung der Nutzer aus.

In der Zwischenzeit hat die Art. 29 Datenschutzgruppe in ihrer erst am 7. Juni 2012 veröffentlichten Stellungnahme einen Leitfaden zur rechtskonformen Nutzung von Cookies nach der ePrivacy Directive erstellt. Während die Gruppe in der Vergangenheit bereits in zwei ihrer Stellungnahmen (WP 171 vom 22. Juni 2010 sowie WP 188 vom 8. Dezember 2011) detailliert die Voraussetzung einer erforderlichen Zustimmung bei der Nutzung von Cookies beleuchtet hat, nimmt sie nunmehr zu den Ausnahmen dieses Zustimmungserfordernisses ausführlich Stellung und gibt somit weitere Hilfestellungen im Umgang mit Cookies.

Im Einzelfall können Cookies demnach nicht nur für die Steuerung von Multimedia-Playern, Voreinstellungen (wie Spracheinstellungen o.ä.), Eingabedaten von Usern sowie zu Authentifizierungs- und Sicherheitszwecken eingesetzt, sondern auch zur Webanalyse ohne eine erforderliche Zustimmung der Nutzer verwendet werden.

Jedoch sollten zum Zwecke der Webanalyse nur solche Cookies eingesetzt werden, die keine Daten an Drittparteien übermitteln und lediglich rein statistischen Zwecken dienen. Die Nutzer sollen auch darüber aufgeklärt werden, wie die Daten genutzt werden (beispielsweise in einer Datenschutzerklärung). Auch soll der Einbau einer „Opt-out“-Möglichkeit einen datenschutzkonformen Einsatz ermöglichen. Als besonders wichtig wurde die Verwendung von umfangreichen Anonymisierungsmaßnahmen personenbezogener Daten – wie beispielsweise IP-Adressen – angesehen. Es könnte aber auch den datenschutzrechtlichen Vorgaben genügen, wenn die Anbieter nach Möglichkeit auf die Speicherung von personenbezogenen Informationen verzichten würden.

Für die Betreiber sozialer Netzwerke gibt es dagegen auch im Falle der direkten Geltung der ePrivacy Directive zunächst Entwarnung. Wenn sie nämlich die Ein- und Auslogprozesse ihrer Migtlieder überwachen wollen und die Nutzer vorher hierüber informieren, dürfen sie Cookies auch ohne vorherige Einwilligung der Nutzer setzten. Dies gilt jedoch nicht ohne Weiteres für „Social Plug-ins“ Cookies, durch die das Surfverhalten von Nutzern in sozialen Netzwerken nachverfolgt werden kann und mit deren Hilfe eine Erfassung von Daten der Mitglieder und Nicht-Mitglieder möglich ist. Die Nutzung solcher Cookies bedarf einer ausdrücklichen vorherigen Einwilligung durch den Nutzer. Problematisch ist nach dem Leitfaden zudem die Nutzung von Cookies, mittels derer die Bewegungen von Nutzern über mehrere verschiedene Homepages im Web verfolgt oder personenbezogene Daten Dritter erfasst werden können.

Wir danken unserem wissenschaftlichen Mitarbeiter István Fancsik für die Mitarbeit an diesem Artikel.

Bewegung in Sachen Cookie-Richtlinie: Cookies nur noch nach Einwilligung zulässig?

Tim Maiorino — Thu, 31 May 2012 07:27:24 +0000

Seit längerer Zeit sorgt die ePrivacy-Richtlinie (Richtlinie 2009/236/EG, auch unter der Bezeichnung „Cookie-Richtlinie“ bekannt) in Deutschland im Hinblick auf den datenschutzkonformen Einsatz von Cookies für Rechtsunsicherheit. Nach den Vorgaben der ePrivacy-Richtlinie müssen die

Mitgliedstaaten […] sicher[stellen], dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. (Hervorhebung von uns)

Nach deutschem Recht durften Cookies ohne personenbezogene Daten bislang völlig frei eingesetzt werden und Cookies mit personenbezogenen Daten ebenfalls, solange dem Nutzer eine Widerspruchsmöglichkeit eingeräumt wurde. Dafür genügte es aber im Allgemeinen (mit Ausnahme von Flash Cookies), dass der Nutzer durch die Änderung seiner Browsereinstellungen das Setzen von Cookies verhindern konnte und der Cookie-Setzer den Nutzer darüber vorab (zum Beispiel in seiner Datenschutzerklärung) informierte.

Eine Einwilligung – wie sie die Richtlinie verlangt – muss aber vorab, das heißt vor dem Setzen des Cookies, eingeholt werden. Zudem soll dies für alle Arten von Cookies gelten, unabhängig davon, ob diese personenbezogene oder nicht-personenbezogene Daten enthalten.

Die ePrivacy-Richtlinie hätte bis Mai 2011 durch die Mitgliedsstaaten umgesetzt werden müssen. Bislang haben nur einige Mitgliedstaaten, zum Beispiel England und Frankreich, die Richtlinie tatsächlich umgesetzt. Deutschland ist noch nicht so weit. Die konkrete künftige gesetzliche Ausgestaltung ist noch völlig unklar. Daher rückte die Diskussion um den rechtskonformen Einsatz von Cookies zuletzt wieder etwas in den Hintergrund.

Auf dem 13. Datenschutzkongress am 8. und 9. Mai in Berlin bekam die Cookie-Diskussion aber neuen Zündstoff. Denn der Bundesbeauftragte für den Datenschutz, Peter Schaar, vertrat die Auffassung, dass die europäischen Cookie-Regeln hierzulande direkt anwendbar seien. Die entsprechende Klausel in der EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation von 2009 sei „hinreichend bestimmt“, was bedeute, dass sie auch ohne Umsetzung in ein deutsches Gesetz der hiesigen Aufsichtspraxis zugrunde gelegt und von den Kontrollbehörden durchgesetzt werden könnte.

Diese Auffassung lässt sich durchaus nach europäischem Recht vertreten. Jedoch gelten Bestimmungen aus Richtlinien nach erfolglosem Ablauf der Umsetzungsfrist nur dann unmittelbar in den EU-Mitgliedsstaaten, wenn sie derart hinreichend bestimmt sind, dass sie ohne weiteres angewandt werden. Dies wird jedoch bei der Cookie-Regelung der ePrivacy-Richtlinie gerade kontrovers diskutiert. Nach wie vor ist unklar, wie die Umsetzung der Einwilligung in Cookies erfolgen kann. Die Mitgliedstaaten, welche die ePrivacy Richtlinie bislang ungesetzt haben, implementierten teilweise völlig unterschiedliche Anforderungen an die Einwilligung in den nationalen Gesetzen. Es bestehen daher durchaus Zweifel, ob die Cookie-Regelung der ePrivacy-Richtlinie tatsächlich hinreichend bestimmt ist.

Nur wenn eine hinreichende Bestimmtheit vorläge, gälte die Richtlinie direkt und deutsche Webseitenbetreiber müssten den Einsatz von Cookies von einer Einwilligung abhängig machen. Tipps zum Ausgestaltung des rechtskonformen Cookie-Einsatzes gibt die Art. 29 Datenschutzgruppe in einer Empfehlung.

Fazit

Durch die von dem Bundesbeauftragten für den Datenschutz vertretene Rechtsauffassung kommt neues Leben in die Diskussion. Würde er sich mit seiner Sichtweise durchsetzen bestünde akuter Handlungsbedarf für alle Websitebetreiber. Es gilt nun, den weiteren Verlauf der Diskussion sorgfältig zu verfolgen, um vorbereitet zu sein. Wir werden weiter darüber berichten.