Die EU schreibt seit dem 25. Mai 2011 ein einheitliches Europäisches Rezept für Cookies vor. Seit diesem Tag ist die Frist für die Umsetzung der Richtlinie 2009/136/EG über den Schutz personenbezogener Daten in der elektronischen Kommunikation, die sogenannte “Cookie Richtlinie” oder “E-Privacy Richtlinie” in nationales Recht abgelaufen.
Als Cookies bezeichnet man kleine Dateien, die beim Besuch einer Internetseite auf dem Rechner eines Nutzers installiert werden und die so beispielsweise für einen reibungslosen Online Einkauf sorgen. Cookies können aber auch das Surfverhalten des Nutzers protokollieren. Grundsätzlich muss man zwischen den so genannten Tracking-Cookies zu Werbezwecken und solchen Cookies, die der Dienste-Erbringung im Internet dienen, unterscheiden. Die winzigen Dateien, die als Tracking-Cookies bezeichnet werden, sind eines der wichtigsten Instrumente der Internet-Werbewirtschaft.
Diese “digitalen Krümel” sind in der Lage, das Surf-Verhalten eines Nutzers über einen langen Zeitraum und über völlig unterschiedliche Domains zu verfolgen. So werden auch Nutzerprofile erstellt, die lukrativ an Dritte verkauft werden können. Es verwundert daher nicht, dass diese Cookies inzwischen auf nahezu allen gängigen Internetseiten Verwendung finden. Datenschutzrechtlich ist deren Einsatz sehr kritisch.
Vor diesem Hintergrund hat der europäische Gesetzgeber 2009 die Cookie Richtlinie erlassen. Sie bestimmt unter anderem, dass die Verwendung von Cookies, die nicht dem alleinigen Zweck der Übertragung von Nachrichten über ein elektronisches Kommunikationsnetz oder der von einem Nutzer ausdrücklichen gewünschten Dienste-Erbringung dienen, nur noch mit vorheriger Einwilligung des Nutzers erlaubt sein soll (Art. 5 (3) der Richtlinie). Eine weitere Voraussetzung ist die umfassende Information des Nutzers über den Einsatz der Cookie-Technologien und die Verwendung der damit generierten Daten.
“Opt-in” oder “Opt-out”?
Damit ist beispielsweise das Setzen eines Cookies im Rahmen eines Online-Shops, um den “Einkaufswagen” einem bestimmten Nutzer zuzuordnen, weiterhin ohne Einwilligung möglich. Der Einsatz von Cookies, die dem Zweck der Auswertung des Surfverhaltens des Nutzers dienen, aber nicht. Die nationalen Gesetzgeber in Europa, die die Richtlinie in nationales Recht umzusetzen haben, stellte und stellt (je nachdem, ob eine Umsetzung bereits erfolgt ist oder nicht) insbesondere der unklare Wortlaut des Art. 5 (3) der Richtlinie vor Probleme.
Indem die Richtlinie offen lässt, wie genau eine solche Einwilligung eingeholt werden muss, damit sie wirksam ist, wird dem nationalen Gesetzgeber ein Gestaltungsspielraum eingeräumt. Das hat in der Praxis zu erheblichen Problemen geführt. Gestritten wird insbesondere darüber, ob ein Nutzer aktiv in die Verwendung von Cookies einwilligen muss (“Opt-in”) oder ob es – beispielsweise über ein Anpassen der Browsereinstellungen – ausreicht, wenn Nutzer die Möglichkeit haben, einer Verwendung zu widersprechen (“Opt-out”).
Die Mitgliedstaaten der EU haben diesen Gestaltungsspielraum ausgenutzt und Art 5 (3) der Richtlinie unterschiedlich umgesetzt. Während sich die Mehrheit für eine “Opt-in-Lösung” entschieden hat, lassen einige Staaten, unter anderem Finnland und Portugal, ein “Opt-out” des Nutzers genügen. Einige nationale Umsetzungsgesetze haben den Text der Richtlinie direkt übernommen und legen sich dementsprechend nicht eindeutig fest. Hier ist die Rechtsunsicherheit groß. Diskutiert wird außerdem, mit welchen technischen Mitteln das Einwilligungserfordernis am praktikabelsten auf einer Webseite umgesetzt werden kann.
Hier setzten die meisten Staaten auf “Pop-Ups” oder Banner, die beim ersten Besuch auf einer Webseite angeklickt werden müssen. Auch über die Nutzungsbedingungen einer Webseite soll die Einwilligung teilweise eingeholt werden können. Einheitlich setzten alle Staaten lediglich voraus, dass der Nutzer eindeutig und klar verständlich über den Zweck der Speicherung und Nutzung seiner Daten, sowie die Möglichkeit der Verweigerung der Speicherung zu informieren ist. Webseitenbetreiber müssen also unbedingt ihre Nutzungsbedingungen und Datenschutzrichtlinien überprüfen und gegebenenfalls umfassend ergänzen. Für den Nutzer bedeutet das mehr Transparenz.
Deutschland hinkt hinterher
Durch die umfassenden Informationen und die Einwilligungsmöglichkeiten wird er wieder “Herr seiner Daten”. Aber auch für Unternehmen bedeuten die Änderungen nicht nur einen erheblichen Aufwand, sondern können durchaus auch eine Chance sein. Je transparenter eine Webseite ist, desto nutzerfreundlicher ist sie. Und dies ist in jedem Fall ein Qualitätsmerkmal, das sich schnell herumspricht.
Einige Staaten, darunter Deutschland, haben die Richtlinie bisher noch gar nicht in nationales Recht umgesetzt, obwohl die Frist hierfür bereits am 25. Mai 2011 endete. Jetzt besteht die Gefahr, dass die Richtlinie unmittelbar anwendbar ist. Dies ist ein Europarechtlicher Grundsatz, der jedoch nur dann gilt, wenn der Text der Richtlinie hinreichend konkret ist. Das bedeutet, dass sich ein Nutzer unter Umständen gegenüber einem Webseitenbetreiber auf dessen Pflichten zur Information und zum Einholen der Einwilligung in die Cookie-Verwendung direkt auf Grundlage der Richtlinie berufen kann. Ob ein Nutzer im Rahmen einer Beschwerde bei einer Datenschutzbehörde mit dieser Argumentation Erfolg hätte, hinge dann davon ab, ob die Behörde die Richtlinie als hinreichend konkret einstufen würde. Der Bundesbeauftragte für den Datenschutz, Peter Schaar, ist zumindest dieser Ansicht.
Zudem droht Staaten, die ihrer Umsetzungspflicht nicht nachkommen früher oder später ein Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof, das die Europäische Kommission einleiten kann.
Festzuhalten bleibt, dass die Rechtslage in Europa zumindest derzeit alles andere als einheitlich ist. Bei Webseitenbetreibern führt das zu erheblicher Rechtsunsicherheit. In Europa tätige Unternehmen mit Sitz außerhalb des Europäischen Wirtschaftsraumes haben es angesichts dessen besonders schwer. Sie haben unter Umständen verschiedene nationale Vorgaben für ein und dieselbe Webseite zu beachten. Hier empfiehlt es sich in der Regel, dem strengsten Schutzstandard zu folgen. Welche EU-Länder Vorreiter in der Umsetzung der Cookie-Richtlinie sind, zeigt die nachfolgende Übersicht.
Cookie-Gesetz in Nationales Recht umgesetzt? | |
Österreich | JA |
Litauen | JA |
Belgien | NEIN |
Luxembourg | JA |
Bulgarien | JA |
Malta | NEIN |
Zypern | NEIN |
Niederlande | JA |
Tschechien | JA/NEIN |
Norwegen* | NEIN |
Dänemark | JA |
Polen | NEIN |
Estland | JA |
Portugal | JA |
Finnland | JA |
Rumänien | NEIN |
Frankreich | JA |
Slowakei | JA |
Deutschland | NEIN |
Slowenien | NEIN |
Griechenland | NEIN |
Spanien | JA |
Ungarn | JA |
Schweden | JA |
Irland | JA |
Großbritanien | JA |
Italien | NEIN |
Lettland | JA |
*Norwegen ist zwar kein EU-Mitglied, aber als Folge der Mitgliedschaft in der EEA (European Economic Area (Nw: EØS)) ist das Land verpflichtet alle EU-Richtlinien umzusetzen.
Hinweis: Lesen Sie Artikel von silicon.de ab sofort auch in Google Currents. Jetzt abonnieren.
Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…
Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…