Update EU Cookie-Richtlinie

Die sogenannte EU Cookie-Richtlinie (ePrivacy Richtlinie, 2009/136/EG) verpflichtet Websitebetreiber, vor der Verwendung von Cookies grundsätzlich Einwilligungen der Nutzer einzuholen. Die Umsetzungsfrist für die Cookie-Richtlinie ist bereits im Mai 2011 abgelaufen; als eines von wenigen EU-Ländern hat der deutsche Gesetzgeber die Richtlinie allerdings nach wie vor nicht umgesetzt. Deutsche Websitebetreiber mit Zielgruppen im EU-Ausland sind möglicherweise dennoch daran interessiert, die Anforderungen der Richtlinie bereits jetzt umzusetzen oder sogar dazu verpflichtet, weil sie Daten auch durch eine Niederlassung im EU-Ausland verarbeiten (eine Übersicht der Mitgliedsstaaten, die die Richtlinie umgesetzt haben, finden sie auf unserer Website). Hilfreiche Informationen zur Frage, welche Cookies nicht unter das Einwilligungserfordernis fallen, hat jüngst die Artikel-29-Datenschutzgruppe (ein Gremium, das die Europäische Kommission im Datenschutz berät) veröffentlicht (00879/12/EN, WP 194). Von Verena Grentzenberg

Cookies

Cookies sind Informationen, die der Anbieter einer Website auf dem Computer eines Nutzers hinterlegt und die dem Anbieter oder Dritten so erlauben, den Nutzer bei einem späteren Besuch wiederzuerkennen. Cookies sind daher ein zentraler Bestandteil von Werbenetzwerken, die personalisierte Werbung einblenden. Cookies haben allerdings noch eine Vielzahl anderer Funktionen – sie werden etwa dazu verwendet, Präferenzen von Nutzern zu speichern (z. B. Sprachwahl) oder die in einem Online-Shop in den Warenkorb gelegten Produkte zwischenzuspeichern. Dabei wird zwischen permanenten Cookies, die für eine bestimmte Zeit oder dauerhaft auf der Festplatte abgelegt werden, und temporären Cookies, die das Schließen des Browserfensters meist nicht überleben, unterschieden.

Widerspruchslösung vs. Einwilligungslösung

Die deutschen telemedienrechtlichen Bestimmungen verlangen von Websitebetreibern lediglich eine Information der Nutzer über Cookies und – bei der Bildung von Nutzungsprofilen unter einem Pseudonym – zusätzlich die Eröffnung einer Widerspruchsmöglichkeit (gemäß § 15 Abs. 3 Telemediengesetz, TMG).

Im Gegensatz dazu schreibt die EU-Cookie-Richtlinie vor, dass grundsätzlich eine Einwilligung des Besuchers einer Website eingeholt werden muss, bevor Informationen auf dessen Festplatte gespeichert werden.

Dabei wird u. a. kontrovers diskutiert, ob das Einwilligungserfordernis ausschließlich Cookies erfasst, die auch personenbezogene Daten enthalten. Die Artikel-29-Datenschutzgruppe ist der Ansicht, dass allein die Tatsache, dass Informationen auf einem Endgerät eines Nutzers abgespeichert werden, für die Anwendbarkeit ausreicht. Ob deutsche Datenschutzbehörden diese Auffassung vertreten werden, wird (auch) von der konkreten Umsetzung der Richtlinie durch den deutschen Gesetzgeber abhängen, ist aber zu erwarten.

Ausnahmen vom Einwilligungserfordernis

Die Cookie-Richtlinie sieht zwei Ausnahmen vom Einwilligungserfordernis vor: Die erste Ausnahmeregelung, auf die hier nicht näher eingegangen werden soll, betrifft Cookies, die ausschließlich dafür verwendet werden, eine Nachricht über ein elektronisches Kommunikationsnetz zu übertragen. Insbesondere für Websitebetreiber interessant ist die zweite Ausnahmeregelung. Diese erfasst Cookies, die zwingend erforderlich sind, um einen bestimmten, vom Besucher der Website angeforderten Service erbringen zu können. Typische Sachverhalte, für die nach Auffassung der Artikel-29-Datenschutzgruppe auf Basis dieser Ausnahmeregelung keine Einwilligung erforderlich ist, sind nachfolgend dargestellt:

User Input Cookies: Cookies, die verwendet werden, um die Eingaben eines Nutzers während eines fortlaufenden Austauschs von Informationen zwischen Nutzer und Anbieter zu speichern; hierunter fallen z. B. „Warenkorb“- Cookies, wie sie typischerweise von Online-Shops verwendet werden.

Authentifizierungs-Cookies: Cookies, die ausschließlich verwendet werden, um einen Nutzer zu identifizieren, sobald und solange er sich in einen Telemediendienst eingeloggt hat (z. B. in den geschlossenen Nutzerbereich einer Website).

User Interface Customization Cookies: Cookies zur Speicherung von Nutzerpräferenzen, z. B. zur bevorzugten Sprache oder für die bevorzugte Darstellungsweise („10 Ergebnisse pro Seite“).

Social Plug-In (Content Sharing) Cookies: Cookies, mit denen Websitebetreiber ihren Nutzern ermöglichen, über soziale Netzwerke Informationen auszutauschen; diese Ausnahme gilt nach Auffassung der Artikel-29-Datenschutzgruppe aber nur für aktuell beim jeweiligen sozialen Netzwerk eingeloggte Nutzer. Für ausgeloggte Nutzer des Netzwerks sowie sonstige Besucher der Website bedarf die Datenübermittlung an den Netzwerkbetreiber einer Einwilligung (dies deckt sich weitgehend mit der Auffassung der deutschen Datenschutzbehörden, die grundsätzlich eine Einwilligung verlangen, bevor es zu einer Übermittlung von Daten an den Betreiber kommt).

Multimedia Cookies: Cookies, die für die Zwischenspeicherung technischer Daten zum Zweck der Wiedergabe von Videos oder Audio Dateien erforderlich sind.

Nutzerzentrierte Sicherheits-Cookies: Cookies, die aus Sicherheitsgründen verwendet werden (etwa zur Speicherung einer eindeutigen Kennung, damit der Dienst bei der Erkennung von wiederkehrenden Nutzern zusätzliche Sicherheit bieten kann).

Nach Auffassung der Artikel-29-Datenschutzgruppe müssen Cookies, um unter die genannten Ausnahmen zu fallen, zwingend gelöscht werden, sobald sie ihren Zweck erfüllt haben. In der Regel wird es sich daher um temporäre Cookies handeln, die regelmäßig spätestens mit Schließen des Browserfensters gelöscht werden. Wenn ein Cookie mehrere Funktionen erfüllt, fällt er nach Ansicht der Artikel-29-Datenschutzgruppe nur dann unter die Ausnahme, wenn alle Funktionen auch für sich genommen vom Einwilligungserfordernis befreit sind. Die Verwendung eines Cookies sowohl für die Speicherung einer Sprachauswahl des Nutzers als auch für personalisierte Werbung wäre damit ohne Einwilligung unzulässig.

Einwilligungspflichtige Cookies

Typischerweise einwilligungspflichtig sind nach Ansicht der Artikel-29-Datenschutzgruppe Cookies, die verwendet werden, um die Aktivitäten der Nutzer sozialer Netzwerke bei ihren Besuchen auf anderen Websites zu erfassen (Social Plug-In Tracking Cookies) oder der Steuerung der Werbung durch Dritte dienen (Third Party Advertising Cookies). Auch Cookies, die für die Websiteanalyse (First Party Tracking Cookie) verwendet werden, erfordern derzeit eine Einwilligung. Die Datenschutzgruppe hält diese Cookies allerdings – zu Recht – für unkritisch und schlägt daher vor, die Richtlinie um eine dritte Ausnahme zu ergänzen, die diese Konstellation abdeckt.

Empfehlungen für Anbieter von Websites

Auch wenn der Bundesbeauftragte für Datenschutz und Informationsfreiheit Peter Schaar sowie Vertreter von Landesdatenschutzbehörden erklärt haben, dass sie die Richtlinie seit Ablauf der Umsetzungsfrist für direkt anwendbar halten, hat dies jedenfalls für Unternehmen keine Konsequenzen: Nach der Rechtsprechung des EuGH können Richtlinien keine Verpflichtungen für Einzelne begründen; allenfalls sind nationale Gerichte verpflichtet, die bestehenden Gesetze richtlinienkonform auszulegen (EuGH, Urteil vom 14.07.1994, Az. Rs. C-91/92). Ein Bußgeld könnte auf dieser Basis aber – schon mangels hinreichender Bestimmtheit (Art. 103 Grundgesetz) – nicht verhängt werden. Es fehlt hierfür schlicht an entsprechenden Ordnungswidrigkeitstatbeständen im europäischen bzw. deutschen Recht.

Jedenfalls die geltenden telemedienrechtlichen Bestimmungen („Widerspruchslösung“, s.o.) sollten aber konsequent umgesetzt werden. Insbesondere muss jede Website über eine Datenschutzerklärung verfügen, die von jeder Unterseite aus erreichbar ist, und in der der Nutzer transparent über die Verwendung sämtlicher personenbezogener Daten sowie über den Einsatz von Cookies und Möglichkeiten, diese zu blockieren, informiert wird. Wenn die Blockierung von Cookies für den Nutzer mit konkreten Nachteilen verbunden ist, sollte hierauf ebenfalls hingewiesen werden.

Weiterhin sollten die Nutzer über ggf. verwendete Webanalysedienste (z. B. Google Analytics) informiert werden. Wenn mithilfe dieser Dienste (pseudonyme) Profile erstellt werden, muss eine Widerspruchsmöglichkeit vorgesehen werden.

Kommentare sind geschlossen.