E-Privacy-Richtlinie und die europarechtskonforme Umsetzung in das deutsche Recht – die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert die Bundesregierung in einer aktuellen Entschließung auf, die die E-Privacy-Richtlinie 2002/58/EG, besser bekannt als „Cookie-Richtlinie“, nun ohne weitere Verzögerungen vollständig in das nationale Recht zu überführen.
Worum geht es?
Bis zur Änderung der Cookie-Richtlinie durch die Richtlinie 2009/136/EG vom 25.11.2009 galt für Cookies das Opt-Out-Prinzip. Die neu gefasste Cookie-Richtlinie sieht nun stattdessen das Opt-In-Prinzip vor: Benutzt eine Website Cookies, so müssen deren Besucher in irgendeiner Form in die Nutzung dieser Cookies einwilligen.
Bis Mai 2011 hätte dieses Opt-In-Prinzip richtlinienkonform in das nationale Recht der EU-Mitgliedstaaten umgesetzt werden müssen. Während die Gesetzgeber in anderen Staaten, so zum Beispiel im Vereinigten Königreich, aktiv wurden, geschah in Deutschland nichts – eine gezielte Anpassung des Telemediengesetzes (TMG) im Hinblick auf die neu gefasste Cookie-Richtlinie unterblieb. Nach wie vor gibt § 15 Abs. 3 TMG dem Diensteanbieter, also dem Website-Betreiber, das Recht, für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Im Ergebnis: § 15 Abs. 3 TMG folgt dem Opt-Out-Prinzip und nicht dem Opt-In-Prinzip.
Dessen ungeachtet und für viele überraschend bestätigte die europäische Kommission im Februar des Jahres 2014 gegenüber Telemedicus, sie erachte die Cookie-Richtlinie in Deutschland als umgesetzt.
Auch die Bundesregierung sah – und sieht wohl weiterhin – keinen Handlungsbedarf.
Die Datenschutzbeauftragten dagegen beurteilen dies ganz anders:
„Das Telemediengesetz (TMG) setzt diese europarechtlichen Vorgaben allerdings nur unvollständig in deutsches Recht um. Darauf haben die Datenschutzbeauftragten von Bund und Ländern die Bundesregierung bereits wiederholt hingewiesen. Dies hat bisher jedoch nicht zu einer Änderung des TMG geführt. Die Bundesregierung hält vielmehr die derzeit geltenden Vorgaben des Telemediengesetzes für ausreichend. Diese Auffassung ist unzutreffend. So ist die europarechtlich geforderte Einwilligung bereits in den Zugriff auf in den Endgeräten der Nutzer gespeicherte Informationen (Cookies) im deutschen Recht nicht enthalten.
Die fortgesetzte Untätigkeit der Bundesregierung und des Gesetzgebers hat zur Folge, dass gegenwärtig die Betroffenen ihre Ansprüche zur Wahrung der Privatsphäre aus Art. 5 Abs. 3 der E-Privacy-Richtlinie gegenüber Anbietern in Deutschland, bei denen das TMG zur Anwendung kommt, nur unzureichend wahrnehmen können.“
Auswirkung auf die Praxis – wie Cookies rechtssicher einsetzen?
Die Bundesregierung und die EU-Kommission sehen die Cookie-Richtlinie als ausreichend umgesetzt an, die Datenschutzbeauftragten sehen sie nicht als ausreichend umgesetzt an. Schlussfolgerung: die Datenschutzbeauftragten sehen derzeit offenbar keine Möglichkeiten für datenschutzrechtliche Sanktionen in Deutschland, wenn dort eine Website Cookies verwendet, hierfür aber nicht die ausdrückliche Einwilligung des Users einholt.
Ob diese für Website-Betreiber möglicherweise erfreuliche Unklarheit Dauerzustand bleibt, ob die Cookie-Richtlinie in Deutschland also weiterhin nur als zahnloser Papiertiger angesehen wird, ist allerdings genau so unklar.
Praxislösung bis auf weiteres:
- Sämtliche Cookies werden entsprechend § 13 Abs. 1 TMG transparent in der Datenschutzerklärung beschrieben (Informationspflicht des Website-Betreibers).
- Bei Cookies, die für die Anzeige der Website nicht absolut notwendig sind, wie etwa Tracking-Cookies, wird darüber hinaus die ausdrückliche Einwilligung des Users eingeholt (Einwilligungspflicht des Website-Besuchers).