Häufige Fragen zur Umsetzung der Cookie-Richtlinie
Am 25. Mai 2011 ist die Frist abgelaufen, bis zu der die so genannten “Cookie-Richtlinie” in deutsches Recht umgewandelt werden sollte. Dr. Thomas Jansen von der Wirtschaftskanzlei DLA Piper hat die häufigsten Fragen und Antworten zusammengestellt, die sich Website-Betreibern und Unternehmen bei der Umwandlung stellen.
1. Was bedeutet der Fristablauf konkret für die Online-Wirtschaft?
Nach den Bestimmungen der so genannten Cookie-Richtlinie sollte diese bis zum 25. Mai 2011 in deutsches Recht umgewandelt werden. Hierzu ist es allerdings nicht gekommen. Diese “Nichtumsetzung” hat für Unternehmen in der Online-Wirtschaft keine direkten Auswirkungen im Verhältnis zu ihren Nutzern oder Kunden. Die Richtlinie kann nur durch den deutschen Gesetzgeber in nationales Recht umgesetzt werden. Nach dem Grundsatz der so genannten richtlinienkonformen Auslegung müssen deutsche Gerichte die Grundsätze der Richtlinie und deren Regelungszweck bereits vor ihrer Umsetzung im Rahmen ihrer Entscheidungen beachten. Im Einzelfall können so die Vorschriften der Richtlinie Einfluss nehmen.
2. Worüber muss der Nutzer aufgeklärt werden bzw. worin muss er einwilligen, um profilbezogene Werbung erhalten zu können? (Muss der Nutzer zum Beispiel in jedes einzelne Cookie einwilligen)? Wie sieht die praktische Einholung einer Cookie-Einwilligung aus?
In Zukunft sollen “Cookies” nicht ohne die Zustimmung des Nutzers auf dessen PC installiert werden dürfen. Eine solche Zustimmung zur Datenerhebung soll gegebenenfalls dann als erteilt gelten, wenn der Nutzer die Browser-Einstellungen so gewählt hat, dass Cookies akzeptiert werden.
Allerdings regelt die Richtlinie in diesem Zusammenhang, dass der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat.
Diese Informationen umfassen z.B. die Identität des Verantwortlichen, den Zweck der Datenverarbeitung sowie unter anderem die Datenkategorien, die verarbeitet werden. Nutzer müssen ferner auf das Recht zur Verweigerung der Verarbeitung hingewiesen werden.
Eine Ausnahme vom Einwilligungserfordernis sieht die Richtlinie vor, wenn z.B. die Verwendung des Cookies unbedingt erforderlich ist, damit der Anbieter den jeweiligen Dienst, der vom Nutzer ausdrücklich gewünscht wurde, zur Verfügung stellen kann.
3. Was muss der Nutzer tun, wenn er dies nicht möchte?
Nutzer haben das Recht, die Verarbeitung ihrer Daten zu verweigern. Hiervon sollten sie Gebrauch machen. Darüber hinaus sollten die Browser-Einstellungen entsprechend der jeweiligen Vorstellungen konfiguriert werden.
4. Wann begeht das werbetreibende Unternehmen einen Rechtsverstoß? Was sind die Folgen bei Nichteinhaltung der Richtlinie?
Wann das werbetreibende Unternehmen einen Rechtsverstoß begeht, lässt sich mit letzter Gewissheit erst nach der Umsetzung der Richtlinie in nationales Recht sagen.
Nach der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) kann der nationale Gesetzgeber festlegen, welche konkreten Sanktionen bei einem Verstoß gegen die noch zu erlassenden nationalen Vorschriften, die auf die Cookie-Richtlinie zurückgehen, drohen. Dabei können auch strafrechtliche Sanktionen verhängt werden. Die vorgesehenen Strafen müssen wirksam, verhältnismäßig und abschreckend sein.
5. Beinhaltet die Richtlinie noch weitere Schutzmechanismen für Nutzer?
Neben den Regelungen, die Cookies betreffen, werden Nutzer künftig mehr Möglichkeiten haben, gegen die Versender von unerbetenen Reklamebotschaften per E-Mail, Fax, SMS oder MMS vorzugehen. So soll sogar ein gerichtliches Vorgehen ermöglicht werden.
6. Was sollten werbetreibende Unternehmen der Onlinewirtschaft bis zur Umsetzung der Richtlinie tun?
Bis zur Umsetzung der Richtlinie besteht noch kein akuter Bedarf, die Inhalte auf der Website der Richtlinie entsprechend zu gestalten. Denn gewisse Begriffe der Richtlinie benötigen noch einer Ausgestaltung und Definition durch den deutschen Gesetzgeber. Nach derzeit geltender Rechtlage muss der Nutzer über die Verwendung von Cookies in der Datenschutzerklärung des Webseitenbetreibers informiert werden. Daneben muss er die Möglichkeit haben, der Verwendung von Cookies zu widersprechen. Dennoch sollten sich Unternehmen mit den Inhalten der Richtlinie und der aktuellen Entwicklung bezüglich ihrer Umsetzung auseinandersetzen und entsprechende Vorbereitungen treffen, um den rechtlichen Anforderungen umgehend nach der Umsetzung der Richtlinie zu genügen.