Die EU schreibt seit dem 25. Mai 2011 ein einheitliches Europäisches Rezept für Cookies vor. Seit diesem Tag ist die Frist für die Umsetzung der Richtlinie 2009/136/EG über den Schutz personenbezogener Daten in der elektronischen Kommunikation, die sogenannte „Cookie Richtlinie“ oder „E-Privacy Richtlinie“, in nationales Recht abgelaufen. Grundsätzlich muss man zwischen den so genannten Tracking Cookies zu Werbezwecken und solchen Cookies, die der Diensteerbringung im Internet dienen, unterscheiden. Die winzigen Dateien, die als Tracking Cookies bezeichnet werden, sind eines der wichtigsten Instrumente der Internet-Werbewirtschaft. Sie sind in der Lage, das Surf-Verhalten eines Nutzers über einen langen Zeitraum und über völlig unterschiedliche Domains zu verfolgen. So werden auch Nutzerprofile erstellt, die lukrativ an Dritte verkauft werden können. Es verwundert daher nicht, dass diese Cookies inzwischen auf nahezu allen gängigen Internetseiten Verwendung finden. Datenschutzrechtlich ist deren Einsatz sehr kritisch.
Opt-in oder Opt-out?
Vor diesem Hintergrund hat der europäische Gesetzgeber 2009 die Cookie Richtlinie erlassen. Sie bestimmt unter anderem, dass die Verwendung von Cookies, die nicht dem alleinigen Zweck der Übertragung von Nachrichten über ein elektronisches Kommunikationsnetz oder der von einem Nutzer ausdrücklichen gewünschten Diensteerbringung dienen, nur noch mit vorheriger Einwilligung des Nutzers erlaubt sein soll (Art. 5 (3) der Richtlinie). Eine weitere Voraussetzung ist die umfassende Information des Nutzers über den Einsatz der Cookie-Technologien und die Verwendung der damit generierten Daten.
Damit ist beispielsweise das Setzen eines Cookies im Rahmen eines Onlineshops, um den „Einkaufswagen“ einem bestimmten Nutzer zuzuordnen, weiterhin ohne Einwilligung möglich. Der Einsatz von Cookies, die dem Zweck der Auswertung des Surfverhaltens des Nutzers dienen, aber nicht. Die nationalen Gesetzgeber in Europa, die die Richtlinie in nationales Recht umzusetzen haben, stellte und stellt (je nachdem, ob eine Umsetzung bereits erfolgt ist oder nicht) insbesondere der unklare Wortlaut des Art. 5 (3) der Richtlinie vor Probleme. Indem die Richtlinie offen lässt, wie genau eine solche Einwilligung eingeholt werden muss, damit sie wirksam ist, wird dem nationalen Gesetzgeber ein Gestaltungsspielraum eingeräumt. Das hat in der Praxis zu erheblichen Problemen geführt. Gestritten wird insbesondere darüber, ob ein Nutzer aktiv in die Verwendung von Cookies einwilligen muss (Opt-in) oder ob es – beispielsweise über ein Anpassen der Browsereinstellungen – ausreicht, wenn Nutzer die Möglichkeit haben, einer Verwendung zu widersprechen (Opt-out).
Verständliche Informationen für die Nutzer
Die Mitgliedstaaten der EU haben diesen Gestaltungsspielraum ausgenutzt und Art 5 (3) der Richtlinie unterschiedlich umgesetzt. Während sich die Mehrheit für eine Opt-in-Lösung entschieden hat, lassen einige Staaten, darunter Finnland und Portugal, ein Opt-out des Nutzers genügen. Einige nationale Umsetzungsgesetze haben den Text der Richtlinie direkt übernommen und legen sich dementsprechend nicht eindeutig fest. Hier ist die Rechtsunsicherheit groß. Diskutiert wird außerdem, mit welchen technischen Mitteln das Einwilligungserfordernis am praktikabelsten auf einer Webseite umgesetzt werden kann.
Hier setzten die meisten Staaten auf „Pop-Ups“ oder Banner, die beim ersten Besuch auf einer Webseite angeklickt werden müssen. Auch über die Nutzungsbedingungen einer Webseite soll die Einwilligung teilweise eingeholt werden können. Einheitlich setzten alle Staaten lediglich voraus, dass der Nutzer eindeutig und klar verständlich über den Zweck der Speicherung und Nutzung seiner Daten, sowie die Möglichkeit der Verweigerung der Speicherung zu informieren ist. Webseitenbetreiber müssen also unbedingt ihre Nutzungsbedingungen und Datenschutzrichtlinien überprüfen und gegebenenfalls umfassend ergänzen. Für den Nutzer bedeutet das mehr Transparenz. Durch die umfassenden Informationen und die Einwilligungsmöglichkeiten wird er wieder „Herr seiner Daten“. Aber auch für Unternehmen bedeuten die Änderungen nicht nur einen erheblichen Aufwand, sondern können durchaus auch eine Chance sein. Je transparenter eine Webseite ist, desto nutzerfreundlicher ist sie. Und dies ist in jedem Fall ein Qualitätsmerkmal, das sich herumspricht.
Richtlinie in Deutschland unmittelbar anwendbar?
Einige Staaten, darunter Deutschland, haben die Richtlinie bisher noch gar nicht in nationales Recht umgesetzt, obwohl die Frist hierfür bereits am 25. Mai 2011 endete. Jetzt besteht die Gefahr, dass die Richtlinie unmittelbar anwendbar ist. Dies ist ein Europarechtlicher Grundsatz, der jedoch nur dann gilt, wenn der Text der Richtlinie hinreichend konkret ist. Das bedeutet, dass sich ein Nutzer unter Umständen gegenüber einem Webseitenbetreiber auf dessen Pflichten zur Information und zum Einholen der Einwilligung in die Cookie-Verwendung direkt auf Grundlage der Richtlinie berufen kann. Ob ein Nutzer im Rahmen einer Beschwerde bei einer Datenschutzbehörde mit dieser Argumentation Erfolg hätte, hinge dann davon ab, ob die Behörde die Richtlinie als hinreichend konkret einstufen würde. Der Bundesbeauftragte für den Datenschutz, Peter Schaar, ist zumindest dieser Ansicht. Zudem droht Staaten, die ihrer Umsetzungspflicht nicht nachkommen früher oder später ein Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof, das die Europäische Kommission einleiten kann.
Festzuhalten bleibt, dass die Rechtslage in Europa zumindest derzeit alles andere als einheitlich ist. Bei Webseitenbetreibern führt das zu erheblicher Rechtsunsicherheit. In Europa tätige Unternehmen mit Sitz außerhalb des Europäischen Wirtschaftsraumes haben es angesichts dessen besonders schwer. Sie haben unter Umständen verschiedene nationale Vorgaben für ein und dieselbe Webseite zu beachten. Hier empfiehlt es sich in der Regel, dem strengsten Schutzstandard zu folgen. Welche EU-Länder Vorreiter in der Umsetzung der Cookie-Richtlinie sind und in welchen noch Handlungsbedarf besteht, zeigt die nachfolgende Übersicht.
- Österreich, Dänkemark, die Niederlande und Spanien wählen Opt-in.
- Bulgarien, Tschechien, Finnland, Luxemburg und die Slowakei wählen Opt-out.
- Die Datenschutzbehörden in Großbritannien, Frankreich und Schweden empfehlen Opt-in.
- Lettland und Portugal haben die Richtlinie noch nicht vollständig umgesetzt.
- Deutschland hat die Richtlinie noch gar nicht umgesetzt.
- Estland beruft sich auf bereits geltendes Recht.
- Ungarn und Irland lassen die Anforderungen offen.