Telemedicus Logo
Weiterempfehlen Drucken

Schon im Mai 2011 hätte Deutschland die Neufassung der E-Privacy-Richtlinie 2002/58/EG (im Volksmund auch Cookie-Richtlinie genannt) in deutsches Recht umsetzen müssen. Und doch gehört Deutschland neben Slovenien und Rumänien zu den wenigen Ländern in der EU, die die europäischen Vorgaben zu Cookies bislang nicht übernommen haben.

Nachdem durch die Bundestagswahl die politischen Karten in Deutschland neu gemischt wurden, haben wir deshalb beim zuständigen Bundeswirtschaftsministerium nachgefragt, ob denn nun zeitnah mit einer Umsetzung der Richtlinie zu rechnen ist – und bekamen eine erstaunliche Antwort: Die Cookie-Richtlinie ist bereits in deutsches Recht umgesetzt. Das bestätigte uns schließlich auch die Europäische Kommission. Die Verwirrung ist perfekt.

Die Cookie-Richtlinie


Ende 2009 beschloss das Europäische Parlament eine Neuerung der E-Privacy-Richtlinie. Diese regelt unter anderem, unter welchen Umständen Dienste Informationen auf den Endgeräten von Nutzern speichern dürfen. Die Richtlinie erfasst also Cookies, Local Storage und ähnliche Technologien.

Während die E-Privacy-Richtlinie bis dahin ein Opt-Out-Prinzip für diese Technologien vorsah, sollte Artikel 5 Absatz 3 der E-Privacy-Richtlinie nun wie folgt geändert werden:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.”

Aus dem Opt-Out-Prinzip sollte also ein Opt-In werden. Dies stieß auf breite Kritik, vor allem weil zu befürchten war, dass User im Internet mit Einwilligungsmeldungen überflutet werden. Die Bundesrepublik Deutschland zeigte sich daher von Anfang an sehr zögerlich, die Richtlinie in deutsches Recht umzusetzen. Genauer: Eine ausdrückliche Umsetzung hat es bisher nicht gegeben. Es gibt kein deutsches Gesetz, das die Neuregleungen der EU zu Cookies explizit erfasst. Es gab Überlegungen und Entwürfe, zu einer Verabschiedung durch das Parlament kam es aber nicht.

Die unerkannt umgesetzte Richtlinie


Nun kann die Bundesrepublik Deutschland zwingende rechtliche Vorgaben der Europäischen Union nicht dauerhaft ignorieren. Wir haben deshalb beim zusändigen Bundeswirtschaftsministerium angefragt, wie Deutschland in Zukunft mit den europäischen Vorgaben zu Cookies umzugehen gedenkt. Die Antwort des Pressereferats:
„Das Bundeswirtschaftsministerium hat in der letzten Legislaturperiode einen Fragebogen der Europäischen Kommission zur Umsetzung in Deutschland beantwortet und dabei insbesondere auf die Bestimmungen des Telemediengesetzes hingewiesen. Es gibt keine Signale seitens der Europäischen Kommission, dass die dargestellte Rechtslage unzureichend sei.”

Der besagte Fragebogen ist im Netz abrufbar (PDF), die Antworten der Bundesregierung allerdings nicht. Unsere wiederholte Anfrage auf Einsichtnahme in die Antworten hat das Bundeswirtschaftsministerium bislang ignoriert. Parallel zu unserer Presseanfrage haben wir deshalb heute einen Antrag nach Informationsfreiheitsgesetz an das Ministerium gestellt.

Allerdings hat die Europäische Kommission uns gegenüber im Ergebnis bestätigt, dass sie die E-Privacy-Richtlinie in Deutschland als umgesetzt erachtet. Die Fachabteilung aus Brüssel ließ uns über die deutsche Pressestelle in Berlin wissen:
„Yes, we can confirm that Germany has transposed the revised ePrivacy Directive into national law.”

Die Verwirrung dürfte damit perfekt sein. Denn wie Bundesregierung und Kommission zu diesem Ergebnis gelangen ist kaum nachvollziehbar. Das deutsche Recht kennt keine Regelung, die direkt der europäischen Richtlinie entspricht. Im Gegenteil sieht § 15 Abs. 3 TMG für bestimmte Tracking-Mechanismen (bei denen üblicherweise auch Cookies eingesetzt werden) das Opt-Out-Prinzip vor. Dennoch scheinen die deutsche Bundesregierung und die Europäische Kommission davon auszugehen, dass in Deutschland – den Anforderungen der Richtlinie entsprechend – für Cookies bereits jetzt eine Einwilligung des Nutzers erforderlich ist.

Was bedeutet das für die Praxis?


Was bedeutet das nun für die Praxis? Eine klare Antwort auf diese Frage gibt es nicht. Denn auch in anderen Mitgliedsstaaten sind die Regelungen zu Cookies in der E-Privacy-Richtlinie sehr unterschiedlich umgesetzt. Nach einigem hin und her behalfen sich zum Beispiel viele Staaten in Europa mit einem Trick: Zwar sollten User deutlich auf die Verwendung von Cookies hingewiesen werden, eine explizite Einwilligung ist aber nicht erforderlich. Argument: Wenn der Nutzer den Hinweis ignoriert, erklärt er stillschweigend seine Einwilligung. Faktisch entspricht die Umsetzung damit einer Opt-Out-Lösung.

In welcher Variante die Cookie-Richtlinie also in Deutschland umgesetzt sein soll, ist nicht bekannt solange die genaue Begründung der Bundesrepublik nicht öffentlich ist. Denkbar ist, dass ein strenges Opt-In-Prinzip gilt und eigentlich schon jetzt jede Webseite ihre Nutzer nach einer Einwilligung fragen müsste. Möglich ist aber auch die Lösung einer stillschweigenden Einwilligung, wie sie in anderen Staaten betrieben wird. Und als dritte Option ist es auch nicht ausgeschlossen, dass sich die Kommission damit zufrieden gibt, dass sich in Deutschland einfach gar nichts ändert.

Wer absolut sicher gehen will, dass seine Webseite den deutschen Datenschutzbestimmungen entspricht, muss daher wohl oder übel umgehend auf eine Einwilligungslösung zurückgreifen. Es dürfte aber auch sehr gut vertretbar sein, zunächst abzuwarten, wie sich die Dinge weiter entwickeln. Dass man sich an nicht-öffentliche Rechtsansichten eines Ministeriums hält, können schließlich auch die Datenschutzbehörden nicht erwarten.

Telemedicus zu einem früheren Gesetzesentwurf zur Cookie-Richtlinie.
Ein Überblick über die Umsetzung der Cookie-Richtlinie in der EU.

Update:
Mittlerweile liegen uns auch die Antworten der Bundesregierung vor.
Eine Auswertung bei Telemedicus.
Die Antworten der Bundesregierung im Volltext.
Anzeige:

Kommentare

* 2002/58/EG 05.02.2014 19:07
Zumindest in aktuellen Änderungen wurde auf diese Richtlinie bezug genommen. Wirkliche Regelungen kann ich nicht finden, die Ermächtigung zur Rechtsverordnung in § 45n Abs. 4 TKG wurde noch nicht in Anspruch genommen http://www.buzer.de/s2.htm?v=%222002%2F58%2FEG%22 jedenfalls nicht im Zusammenhang mit Cookies. Die Richtlinie in den Treffern zeigt als Link auf eur-lex, wo auch ein Abschnitt "nationale Umsetzungsmaßnahmen" existiert. Da findet sich bei "Deutschland" tatsächlich nichts aktuelles.
* Adrian 05.02.2014 19:18
Danke für die Ergänzung!

Nach Auskunft des Ministeriums hat die Bundesrepublik Deutschland "insbesondere auf die Regelungen des Telemediengesetzes" hingewiesen. Ich vermute, damit ist § 13 Abs. 1 TMG gemeint: Entweder Satz 1 wenn man alle Cookies als personenbezogene Daten behandelt oder Satz 2 wenn man Cookies als Vorbereitungshandlung erfassen will. Aus diesem Hinweis nach § 13 Abs. 1 TMG könnte man dann eine konkludente Einwilligung herleiten.

Aber das ist hochspekulativ und vor allem auch eine sehr wackelige Konstruktion, weil gerade nicht alle Cookies und vergleichbare Technologien erfasst sind.

Ich hoffe, dass wir bald genauere Informationen vom BMWi erhalten.
* Schirmbacher 10.02.2014 22:24
So überraschend finde ich das nicht.

Die Regierungsfraktionen der letzten Regierung haben doch den SPD-Entwurf zur Umsetzung von Art. 5 Abs. 3 gerade mit der Begründung abgelehnt, die Richtlinie sei im TMG bereits umgesetzt. Dort gibt es auch eine Erläuterung, inwiefern eine Umsetzung im TMG erfolgt sei (Nüßlein: "Steht doch alles in §§ 12, 13, 15 TMG").

Ich habe mal die protokollierten Reden der CDU-Abgeordneten verlinkt:

http://www.online-marketing-recht.de/2014/02/cookies-in-deutschland-nichts-neues-aus-berlin
* Adrian 10.02.2014 23:06
@Schirmbacher:

Den Artikel bei OMR hab ich schon gelesen, gute Hinweise und toll, dass Sie die Zitate einzeln rausgesucht haben. Ich wusste, dass es Äußerungen in die Richtung gab, aber die genauen Zitate kannte ich nicht. Danke dafür!

Dass die Bundesregierung keinen Handlungsbedarf sieht wundert mich auch nicht. Anders hätte man es wohl auch kaum vertreten können, die Richtlinie auch nach bald drei Jahren immer noch nicht umgesetzt zu haben.

Entscheidend ist für mich, dass die Kommission mitspielt. Der Fragebogen ging wohl an die Generaldirektion Kommunikation. Wie man so hört, gibt es da auch innerhalb der Kommission diametral unterschiedliche Auffassungen.

Denn wie man es dreht und wendet: Es wird schwierig, mit der bestehenden Rechtslage eine 1:1 Umsetzung der Richtlinie aus dem Hut zu argumentieren. Zumal die Regulierungspraxis in Deutschland faktisch nicht existent ist was Cookies betrifft. Dass die Kommission das einfach so hinnimmt, finde ich schon bemerkenswert.

Zu dem Erwägungsgrund 66: Wie genau dieser Hinweis auf die Browser-Einstellungen zu verstehen ist, ist ja ausgesprochen umstritten und auch in den Europäischen Mitgliedsstaaten sehr unterschiedlich umgesetzt. Oben habe ich einen Link zu Cookiepedia gesetzt, da gibt es einiges dazu (stichprobenartig habe ich das bei einigen Ländern auch geprüft). Es gibt auch eine ältere Übersicht von DLA Piper dazu, die Sie sicher kennen. Der Erwägungsgrund 66 ist deshalb meiner Einschätzung nach kein sicherer Pfad, auf den man sich allein zurückziehen könnte.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.