Die im Jahr 2009 von der Europäischen Union verabschiedete Richtlinie zur Verwendung von Cookies (Richtlinie 2009/136/EG), sollte mit einer Übergangsfrist bis Ende Mai 2011 von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Eine Richtlinie geht mit einem gewissen Gestaltungsspielraum, wie die Vorgaben im Detail auszugestalten sind, einher. Im konkreten Fall blieb von der Richtlinie unerwähnt, ob eine aktive Einwilligung auf Seiten des Nutzers in die Verwendung von Cookies geschehen muss (sog. Opt-In) oder es ausreichend ist, wenn der Nutzer hinreichend darüber informiert wird und der Speicherung im Nachhinein widersprechen kann (sog. Opt-Out).

Was sind Cookies?

Cookies sind kleine Textdateien, die auf dem Endgerät, sprich PC, Smartphone u.Ä., bei dem Besuch einer Webseite gespeichert werden. Die sog. Tracking-Cookies sind eines der wichtigsten Instrumente der Internet-Werbewirtschaft, durch sie ist der Webseitenbetreiber in der Lage, das „Surf“-Verhalten eines Nutzers über einen langen Zeitraum und über völlig unterschiedliche Domains zu verfolgen. So werden auch Nutzerprofile erstellt, anhand dieser der Webseitenbetreiber in der Lage ist passgenaue Werbung auf die jeweiligen Interessen einzublenden. Hiervon zu unterscheiden sind sog. Session-Cookies, die unbedingt erforderlich sind, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst des jeweiligen Webseitenbetreibers nutzen zu können.

Was sind die Vorgaben der Cookie Richtlinie?

Nach Art. 5 Abs. 3 der Richtlinie 2009/136/EG ist von den einzelnen Mitgliedsstaaten sicherzustellen, dass der Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung über das Setzen der Cookies gestatten oder widerrufen können soll. Wie die Informationsausgestaltung im Detail auszusehen hat, damit eine Einwilligung wirksam eingeholt werden kann, ist der Richtlinie nicht zu entnehmen.

Umsetzung in nationales Recht?

Während sich der Großteil der Mitgliedsstaaten für das Opt-In-Verfahren entschied, erfolgte auf deutscher Seite bis dato keine Umsetzung in nationales Recht. Begründet wurde dies damit, dass die Vorgaben der Cookie-Richtlinie bereits mit den derzeit geltenden Regelungen in §§12, 13 und 15 des Telemediengesetzes (TMG) erfüllt werden. Dieser Ansicht wird mehrheitlich widersprochen, weil einerseits der Anwendungsbereich des TMG grundsätzlich nur bei personenbezogenen Daten eröffnet sei und folglich viele Cookies unberücksichtigt lassen würde, die keine personenbezogenen Daten speichern würden. Andererseits würde das TMG eine wirksame Einwilligung gemäß § 13 Abs. 2 TMG unter zu strengen Voraussetzungen erlauben, weshalb hier nicht mehr vom Wille des europäischen Gesetzgebers ausgegangen werden kann. Abschließend wurde die Kritik der Nicht-Umsetzung durch das Gremium des Düsseldorfer Kreises bestätigt, welche die Bundesregierung zum wiederholten Male zum Handeln aufforderte.

Solange die europäische Richtlinie nicht in nationales Recht umgesetzt wurde, entfaltet sie für Bürger und private Webseitenbetreiber keine geltende Wirkung, weshalb hier weiterhin die Regelungen des TMG anzuwenden sind.

Was müssen nationale Webseitenbetreiber beachten?

Private Webseitenbetreiber müssen den Nutzer gemäß § 13 Abs. 1 TMG zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form unterrichten. Hierzu genügt eine Beschreibung der eingesetzten Cookies in der Datenschutzerklärung mit der Möglichkeit seine Einwilligung in die Nutzung mittels eines Opt-out-Verfahrens zu widerrufen. Diese Ansicht wurde in dem erst kürzlich erschienenen Urteil des Oberlandesgerichts Frankfurt (Urt. v. 17.12.2015, Az.: 6 U 30/15) bestätigt und schafft damit ein Stück mehr Rechtssicherheit für Webseitenbetreiber. Aus Sicht des TMG sind hingegen die mittlerweile zum Standard gewordenen Cookie Banner, ebenso wie eine gesonderte Cookie-Policy, nicht erforderlich.

Die mit den Cookies erhobenen Daten dürfen folglich von den Webseitenbetreibern gemäß § 15 Abs. 3 TMG in pseudonymen Profilen erhoben, gespeichert und verarbeitet werden. Zumindest für die Zeit, in der der Nutzer nicht mittels eines Opt-out-Verfahrens widersprochen hat.

Für öffentlich-rechtliche Webseitenbetreiber bewirkt eine europäische Richtlinie im Gegensatz zu privaten, eine direkte Anwendbarkeit. Dahinter verbirgt sich der Gedanke, dass ein Mitgliedstaat keine Vorteile durch Nicht-Beachtung europarechtlicher Vorgaben zu Lasten seiner Bürger erhalten soll.

Ausblick für internationale Webseitenbetreiber

Webseitenbetreiber die ihr Angebot zusätzlich an einen anderen Mitgliedsstaat der EU adressieren sind folglich daran gehalten, die Vorgaben des geltenden Rechts in dem jeweiligen Land zu berücksichtigen. Gegebenenfalls ergibt sich hier eine Pflicht zur Implementierung von vom TMG abweichenden Vorschriften. Will man wortwörtlich auf der sicheren Seite stehen, empfiehlt es sich von vornherein die strengere Variante der Opt-in-Regelung zu wählen.

Nutzungsänderungen für Google Produkte

Für Google Produkte wurde, unabhängig von nationalen Regelungen, verbindliche Richtlinien ausgegeben, die von den Nutzern weltweit bis zum 30. September 2015 umgesetzt werden mussten. Für Google Produkte ist demnach die Information und die Einholung einer Einwilligung verpflichtend. Genaue Informationen sind unter http://www.cookiechoices.org/ abzurufen.

Fazit

Zumindest in Deutschland könnten Webseitenbetreiber auf das Modell des Opt-out-Verfahrens zurückgreifen, wenn sie den Nutzer im Rahmen der Datenschutzerklärung umfassend, verständlich und vollumfänglich über die Nutzung von Cookies auf ihrer Webseite informieren, auf deren Grundlage der Nutzer die Möglichkeit besitzt, seine Einwilligung wirksam zu widerrufen. Allerdings empfehlen wir vor dem Hintergrund der festzustellenden Entwicklungen, frühzeitig auf das mittlerweile als „State of the Art“ geltende Opt-in-Verfahren zu wechseln, indem der Besucher unter Anwendung von einem Cookie Banner zunächst einen Hinweis über die Nutzung von Cookies erhält und mittels eines Buttons in die Nutzung einwilligen kann. Zugleich sollte der Banner einen Link auf die Datenschutzerklärung enthalten, damit dem Nutzer weitergehende Informationen zum Nachlesen zur Verfügung stehen.

 

Ihre AGOR AG

Maximilian Salzwedel