Die neue "Cookie-Richtlinie" der EU – worauf sich Unternehmen bereits heute einstellen sollten

Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska (externer Datenschutzbeauftragter) und Frau Rechtsanwältin Alma Lena Fritz

13.05.2010 - Das EU-Parlament hat Ende letzten Jahres in Richtlinie 2009/136/EG eine Änderung der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) beschlossen, die auch die Nutzung von Cookies betrifft. Ziel der Änderung der Richtlinie ist die Schaffung von mehr Transparenz und Sicherheit für die Verbraucher. In diesem Artikel sollen die Änderungen untersucht werden, die das EU-Parlament hinsichtlich der Verwendung von Cookies getroffen hat.

Bedeutung von Cookies

Cookies sind heutzutage vor allem für die Werbewelt relevant. Sie sind nützlich um Daten über die Nutzung einzelner Webseiten und das Nutzverhalten im Allgemeinen zu sammeln. Insbesondere das Kaufverhalten der Nutzer kann basierend auf einer geschickten Cookiesetzung analysiert werden. Gerade deswegen sind auch diverse Verbraucherschutzgruppen sowie öffentliche Institutionen auf den Gebrauch von Cookies aufmerksam geworden.

Rechtliche Bewertung

Es wird durch den Änderungsbeschluss unter anderem ein neuer Art. 5 Absatz 3 in die bestehende Datenschutzrichtlinie für elektronische Kommunikation eingefügt:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet wird, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.”

Was bedeutet „Speicherung von Informationen oder der Zugriff auf Informationen“?

Die neue oben zitierte Richtline spricht von „Speicherung von Informationen oder der Zugriff auf Informationen“. Damit ist maßgeblich, wie der deutsche Gesetzgeber den Begriff „Information“ auslegen wird. Denn die Speicherung personenbezogener Daten in Cookies bedarf bereits nach derzeit geltender Rechtlage einer datenschutzrechtlichen Erlaubnis (also beispielsweise einer Einwilligung oder einer datenschutzrechtlichen Gestattungsnorm). Setzt der deutsche Gesetzgeber die Begriffe „Information“ und „personenbezogene Daten“ gleich, wird sich daher nicht viel ändern. Folgt er aber der Intention der Richtlinie und fasst den Begriff „Information“ weiter, wird die Abspeicherung sämtlicher Cookie-Inhalte künftig grundsätzlich einwilligungsbedürftig.

Was kritisieren Datenschützer an der momentanen Cookiehandhabung?

Kritisiert wird vor allem, dass der Nutzer keinerlei Einfluss auf den Inhalt der Cookiedaten hat. Inhalt, Umfang, Sendezeit und Speicherungsdauer entziehen sich in der Regel seinem Wissen. Daneben kann der Webserver, der den Cookie setzen lässt, bestimmen, wer den Cookie später empfangen soll. Dies ist damit wiederum dem Einflussbereich des Nutzers entzogen.

Welche Gestaltungsmöglichkeiten würden künftig verbleiben?

Es bestünden verschiedene Möglichkeiten, wie den Forderungen der Richtlinie nach einer gesetzeskonformen Verwendung von Cookies entsprochen werden könnte. Exemplarisch seien drei Möglichkeiten genannt:

  1. Einwilligung direkt bei Aufruf der Webseite: Beim Aufruf der Webseite erhält der Nutzer einen Link, der ihn direkt auf die Datenschutzerklärung der Seite verweist. In dieser Erklärung wird die Nutzung und Setzung der Cookies genau erläutert. Daneben wird erläutert werden, welche Browsereinstellungen der Nutzer vornehmen muss, damit keine Cookies gesetzt werden. Kehrt der Nutzer dennoch auf die Webseite zurück, so zeigt er sich als mit der Cookiesetzung einverstanden.
  2. Einwilligung in Pop-Up-Fenster: Beim Aufruf der Webseite erscheint ein Popup Fenster, in diesem Fenster wird über die Setzung der Cookies informiert. In diesem Pop-Up-Fenster befindet sich eine Opt-out-Box (bereits gesetztes Häkchen, das der Nutzer entfernen kann), nach welcher der Nutzer die Setzung von Cookies ablehnen kann, indem er das bereits gesetzte Häkchen entfernt. Entfernt der Nutzer das Häkchen nicht und kehrt zur Webseite zurück, kann der Webseitenbetreiber seine Cookies setzen. Auch so wird im Sinne der Richtlinie die Einwilligung konkludent ausgedrückt.
  3. Nach der Richtline soll es auch möglich sein, anhand der Browsereinstellungen eine generelle Einwilligung zu erteilen: „Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“ Damit ist zwar eine generalisierende Einwilligung über eine Browser-Einstellung denkbar. Allerdings genügen die Browser mit ihren derzeitigen Standardeinstellungen zur Cookieverwendung noch nicht diesen Anforderungen.

Ausnahme: Session-Cookies

Gemäß Satz 2 der neuen Vorschrift ist eine Einwilligung auch in Zukunft bei solchen Cookies entbehrlich, die technisch erforderlich sind, um den jeweiligen Dienst zu erbringen. Dies heißt, dass für das Setzen von Session-Cookies normalerweise auch in Zukunft keine spezifische Einwilligung eingeholt werden muss.

Wann kommt die neue Regelung?

Momentan müssen die Unternehmen ihre Webseiten noch nicht umgestalten. Die Richtline bindet zuerst nur die Mitgliedstaaten, welche die Richtlinie bis zum 25.5.2011 in nationales Recht umzusetzen haben. Auch der deutsche Gesetzgeber muss hier tätig werden. Es ist den Unternehmern jedoch klar zu empfehlen, sich über das Thema informiert zu halten.

Fazit

Die Verwendung von Cookies zu Werbezwecken ist ein in der Internetwirtschaft nahezu unverzichtbares Hilfsmittel geworden. Sollten hier künftig grundsätzlich Einwilligungen der Nutzer oder Anpassungen der Browsereinstellungen erforderlich sein, um Cookies datenschutzkonform zu verarbeiten, werden zahlreiche Anpassungen an Webseiten erforderlich sein. Es bleibt zu hoffen, dass der deutsche Gesetzgeber sich zunächst einmal um die Definition der Begriffe „Daten“ und „Information“ bemühen und darauf aufbauend eine Kompromisslösung entwickeln wird, damit der Schaden begrenzt bleibt. Wir werden uns mit den Begrifflichkeiten „Daten“ und „Information“ in einem gesonderten Artikel befassen.

Sebastian Kraska Var2

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Jetzt beraten lassen

Rückrufservice

 

Beratung vereinbaren