Telemedicus Logo
Weiterempfehlen Drucken

Vergangene Woche haben wir berichtet, dass die ePrivacy-Richtline (auch „Cookie-Richtlinie”) nach Ansicht von Bundesregierung und EU-Kommission in Deutschland bereits umgesetzt ist – obwohl es eine formelle Umsetzung nie gegeben hat. Sowohl das zuständige Bundeswirtschaftsministerium als auch die Kommission beriefen sich dabei auf einen Fragebogen, in dem die Bundesregierung der Kommission die deutsche Rechtslage zu Cookies dargelegt hatte.

Dieser Fragebogen einschließlich der Antworten der Bundesregierung liegt uns nun vor. Daraus ergibt ist, dass nach Ansicht von Bundesregierung und Kommission für Cookies in Deutschland ein Einwilligungsvorbehalt gilt. Doch Klarheit besteht damit noch lange nicht.

Die Anforderungen der ePrivacy-Richtlinie


Die ePrivacy-Richtlinie (2002/58/EG in der Fassung 2009/136/EG) sieht für Cookies folgende Regelung vor:
„Die Mitgliedstaaten stellen sicher, dass die Speiche­rung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teil­nehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.”

Im Wesentlichen bestehen die Verpflichtungen also aus zwei Teilen: Der Nutzer muss über (1) die Nutzung von Cookies & Co. aufgeklärt werden und (2) seine Einwilligung dazu geben.

Die Aufklärungspflichten


Nach Ansicht der Bundesregierung haben wir bereits nach geltendem Recht eine Aufklärungspflicht für den Einsatz von Cookies. Diese soll sich aus Art. 13 Abs. 1 Telemediengesetz ergeben. Dort heißt es:
„(1) 1Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten [...] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. 2Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten.”

Danach sollen Cookies generell ein „automatisiertes Verfahren” im Sinne von § 13 Abs. 1 S. 2 TMG darstellen. Zu Beginn des Nutzungsvorgangs soll der Nutzer daher auf den Einsatz von Cookies hingewiesen werden müssen. Im Schreiben an die Kommission heißt es knapp:
„Die Bezeichnung “automatisierte Verfahren” ist umfassend und bezieht sich auch auf das Speichern von und den Zugriff auf Informationen auf dem Rechner des Nutzers entsprechend Art. 5 Abs. 3 E-privacy-Richtlinie.”

Diese Aussage steht in ihrer Pauschalität auf wackeligen Füßen. Zwar ist § 13 Abs. 1 S. 2 TMG auch auf den Einsatz von Cookies ausgelegt. Ein automatisiertes Verfahren ist aber gerade nicht „umfassend” gemeint, sondern liegt nach § 13 Abs. 1 S. 2 TMG nur dann vor, wenn es eine spätere Identifizierung eines Nutzers ermöglicht. Die Vorschrift folgt der Systematik des deutschen Datenschutzrechtes: Maßgeblich ist, ob Daten einen Personenbezug aufweisen. Bei automatisierten Verfahren nach § 13 Abs. 1 S. 2 TMG wird dieser Personenbezug lediglich zeitlich nach hinten verlagert.

Gemeint sind also Techniken, bei denen zunächst kein Personenbezug besteht, dieser aber später im Verarbeitungsprozess hergestellt werden kann. Damit kann auch der Einsatz von Cookies erfasst sein. Aber nicht alle Cookies führen per se zu einem späteren Personenbezug. Cookies sind eine sehr universelle Technik, die für weitreichende Tracking-Mechanismen genauso wie für datenschutzrechtlich völlig unbedenkliche Techniken eingesetzt werden kann. Einen Teilbereich dieser Einsatzmöglichkeiten deckt § 13 Abs. 1 S. 2 TMG ab – generell und umfassend sind Cookies aber nicht erfasst.

Die Einwilligung


Und auch eine Einwilligung für den Gebrauch von Cookies kennt das deutsche Recht nach Ansicht der Bundesregierung. Hergeleitet werden soll das aus § 12 Abs. 1 TMG, der da lautet:
„Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.”

Dass auch Cookies darunter fallen, erklärt die Bundesregierung wie folgt:
„§ 12 stellt klar, dass personenbezogene Daten im Zusammenhang mit der Bereitstellung von Telemedien ohne Einwilligung nur verarbeitet werden dürfen, wenn der Gesetzgeber dies ausdrücklich erlaubt. Eine solche gesetzliche Erlaubnis enthält § 15 TMG, der regelt, dass Nutzerdaten bei Inanspruchnahme von Telemedien ohne Einwilligung nur verarbeitet werden dürfen, wenn das für diesen Zweck erforderlich ist. Für die Speicherung und den Abruf von Informationen wie z. B. Cookies bedeutet dies, dass solche Verfahren in Deutschland ohne Einwilligung des Nutzers nur zulässig sind, wenn dies aus technischen Gründen für die Inanspruchnahme erforderlich ist. Im Übrigen dürfen solche Verfahren ohne Einwilligung des Nutzers nicht verwendet werden.”

Auch hier unterschlägt die Bundesregierung einen wichtigen Punkt: § 12 Abs. 1 TMG gilt nur für „personenbezogene Daten”, die ePrivacy-Richtlinie gilt aber für sämtliche „Informationen”. Der Unterschied ist aber ganz entscheidend. Genau darin besteht nämlich das Konzept der ePrivacy-Richtlinie.

Art. 5 Abs. 3 der Richtlinie erfasst alle Verfahren, mit denen Informationen auf das Gerät des Nutzers gespeichert und wieder abgerufen werden. Erfasst sind also sämtliche Information, völlig unabhängig davon, ob sie Personenbezug aufweisen oder nicht. Die Regelungen der ePrivacy-Richtlinie lassen sich also ohne die große und schwierige Diskussion durchsetzen, ob ein Verfahren nun mit personenbezogenen Daten arbeitet oder nicht. Ist eine IP-Adresse ein personenbezogenes Datum? Ist eine eindeutige Zahlenkette personenbezogen – auch dann, wenn niemand auf der Welt sie einer natürlichen Person zuordnen kann? Ab welchen Datenmengen kann man bei Big Data von einem Personenbezug ausgehen? Auf all diese Fragen, die in der Praxis oft zu Verunsicherung bei allen Beteiligten führen, sollte die ePrivacy-Richtlinie ursprünglich verzichten und eindeutige Regelungen schaffen.

Damit zeigt sich dann auch die große Schwäche der Argumentation der Bundesregierung. Sie setzt „Informationen” und „personenbezogene Daten” ohne weitere Begründung gleich. Und das ist nicht nur sachlich unrichtig. Es zeigt vielmehr, dass die deutschen Regelungen völlig an der Richtlinie vorbei gehen.

Konflikte und offene Fragen


Diese pauschale Einordnung von Cookies als personenbezogene Daten führt zu einigen offenen Fragen und Konflikten, die hier zunächst nur angerissen werden sollen. Es werden sicher noch einige hinzukommen und wie sie zu lösen sind, muss sich erst noch zeigen.

Einwilligung
Eine der wichtigsten Fragen: Welche Anforderungen sind an die Einwilligung zu stellen? Nach der ePrivacy-Richtlinie, insbesondere Erwägungsgrund 66 der Richtlinie, können für die Einwilligung in den Gebrauch von Cookies erleichterte Anforderungen gelten. Unter gewissen Umständen können sogar die Browser-Einstellungen ausreichen (kritisch dazu allerdings die Article 29 Working Party). In einigen Staaten Europas wird auch nur eine stillschweigende Einwilligung gefordert.

In der Systematik des Telemediengesetzes findet sich das alles nicht wieder. Die Bundesregierung geht vielmehr ausdrücklich davon aus, dass § 13 Abs. 2 TMG greift. Danach muss die Einwilligung ausdrücklich erklärt werden; eine stillschweigende Einwilligung käme demnach nicht in Betracht. Im Gegenteil müsste die Einwilligung sogar protokolliert werden. Ironischerweise kommt dazu eigentlich nur ein technisches Mittel in Betracht: ein Cookie.

§ 15 Abs. 3 TMG
Ein für die Praxis wahrscheinlich sehr wichtiger Konflikt besteht zu § 15 Abs. 3 TMG. Die Vorschrift sieht ausdrücklich ein Opt-Out-Verfahren für die Erstellung pseudonymer Nutzerprofile zu Werbe- und ähnlichen Zwecken vor. Für den Gebrauch von Cookies soll also eine Einwilligung des Nutzers erforderlich sein, für das Erstellen von Nutzerprofilen reicht jedoch ein Opt-Out. Reicht also für Tracking-Cookies ein Opt-Out? So sieht es derzeit sogar der Düsseldorfer Kreis. Das würde zu einem etwas seltsamen Ergebnis führen: Cookies würden generell eine Einwilligung benötigen – es sei denn, sie dienen dem pseudonymen Tracking zu Werbezwecken, dann würde das Opt-Out-Prinzip greifen. Allerdings: Mit der ePrivacy-Richtlinie ließe sich das nicht in Einklang bringen. Muss § 15 Abs. 3 TMG daher entgegen seinem Wortlaut richtlinienkonform ausgelegt werden (kritisch dazu Moos, K&R 2012, 635)? Wie lässt sich der Konflikt sonst auflösen? Eine Antwort darauf bleibt das Bundeswirtschaftsministerium schuldig.

Die Folgen für die Praxis


Was für Folgen hat diese Einschätzung der Bundesregierung nun? Formal zunächst keine. Es ist eine Meinungsäußerung eines Ministeriums, der sich die Europäische Kommission informell angeschlossen hat. Sie hat keine Bindungswirkungen wie ein Gesetz oder ein Urteil. Es ist möglich, dass sich die Datenschutzbehörden auf eine neue Position bei der Cookie-Regulierung einigen. Regulierungsmaßnahmen oder Abmahnungen drohen im Moment aber wohl kaum. Dennoch dürfte es an der Zeit sein, sich mit der europäischen Regulierung von Cookies genauer auseinanderzusetzen. Als Übergangslösung könnte sich ein Kompromiss nach britischem Vorbild anbieten: Ein deutlicher Hinweis an den Nutzer mit Opt-Out-Möglichkeit. Wer ganz sicher gehen will, muss aber wohl oder übel schon jetzt auf eine Einwilligungslösung setzen, auch wenn damit die Richtlinie womöglich übererfüllt wird. Aber auch einfach abzuwarten, dürfte vorerst kein besonders großes Risiko darstellen – vor allem in Anbetracht der offenen Fragen und Widersprüche der aktuellen Rechtslage.

Fazit


Die Argumentation der Bundesregierung ist nicht nur in der Sache wenig belastbar, sie führt auch zu unsachgemäßen Ergebnissen. Wenn man Cookies per se als personenbezogene Daten behandelt, führt dies einerseits zu einer Übererfüllung der Richtlinie mit kaum praxistauglichen Ergebnissen. Auf der anderen Seite schafft man Wertungskonflikte mit dem deutschen Recht, die wiederum an anderer Stelle zu einer Untererfüllung der Richtlinie führen. Hinzu kommt: Der wesentliche Grundgedanke der ePrivacy-Richtlinie, bestimmte Technologien unabhängig von ihrem Personenbezug zu regulieren, wird vollständig verfehlt. Es drängt sich der Eindruck auf, dass die gesamte Argumentation nicht durchdacht und überhaupt nicht darauf ausgelegt ist, jemals praktisch umgesetzt zu werden.

Dass die Generaldirektion Kommunikation der Europäischen Kommission diese Situation als ausreichend erachtet hat, um die Anforderungen der Richtlinie zu erfüllen, ist ausgesprochen bemerkenswert und kaum nachzuvollziehen. Doch auch mit Rückendeckung der Kommission wird sich die Bundesregierung sicher nicht auf den bestehenden Regelungen zu Cookies ausruhen können. Denn in der Praxis werden sich die widersprüchlichen Vorgaben in dieser Form weder erfüllen noch durchsetzen lassen.

Die vollständigen Antworten der Bundesregierung.
Die Vorgeschichte bei Telemedicus.
Die Anfrage bei fragdenstaat.de.

Mit Dank an Dr. Carlo Piltz für Austausch und Input.
Anzeige:

Kommentare

* Stefan Schleipfer 13.02.2014 19:02
Um das Thema richtig bewerten zu können, sollte man sich zwei Dinge vor Augen halten. Erstens: Cookies sind keineswegs mit Nutzungsprofilen gleichzusetzen. Nutzungsprofile befinden sich auf den Servern von Website-Anbietern oder von Dritten wie Google oder Facebook. Cookies dagegen sind auf den Endgeräten der Nutzer gespeichert und ihr Inhalt, Identifikatoren, werden bei jedem URL-Abruf zum Server übertragen. § 15 Abs. 3 TMG regelt Nutzungsprofile, keine Cookies. Die Cookie-Bestimmung, Art. 5 Abs. 3 der ePrivacy-Richtlinie, dagegen regelt alle Vorgänge, die Informationen vom Endgerät des Nutzers nach außen übertragen oder von außen auf dem Endgerät speichern. Dazu gehören auch Cookies, aber keine Nutzungsprofile. § 15 Abs. 3 TMG so zu verschärfen, dass für die Erstellung von Nutzungsprofilen eine Einwilligung verlangt wird, wäre also keine Umsetzung der Cookie-Bestimmung.

Nutzungsprofile sind sehr sensible Daten, die u.U. viel von der Persönlichkeit des Nutzers verraten. Cookies dagegen sind nur ein technischer Mechanismus, der dafür sorgt, dass der Server mehrere Abrufe desselben Nutzers einander zuordnen kann. Dass die Cookie-Bestimmung nur den technischen Mechanismus Cookies regelt, die sensiblen Nutzungsprofile aber völlig ignoriert, zeigt bereits, dass sie vom Ansatz her völlig verfehlt ist. § 15 Abs. 3 TMG dagegen regelt technologieneutral das, worauf es ankommt, Nutzungsprofile, und ist damit um Klassen besser.

Zweitens: Die Cookie-Bestimmung kann auf zwei verschiedene Arten ausgelegt werden. Die enge Auslegung nach dem Wortlaut geht aus von den Begriffsbestimmungen Verarbeitung, Einwilligung und Unterrichtung, die in der EU-Datenschutz-Richtlinie im Kontext der Verarbeitung personenbezogener Daten definiert sind. Nach dieser Interpretation verlangt die Cookie-Bestimmung nur dann eine Einwilligung, wenn ein personenbezogenes Datum übertragen wird. Wird ein personenbezogener Identifikator im Cookie übertragen, entsteht auf dem Server ein personenbezogenes Nutzungsprofil, das nicht mehr von der Erlaubnis von § 15 Abs. 3 TMG, Nutzungsprofile unter Pseudonym zu erstellen, abgedeckt ist. Dafür ist bereits nach geltendem Recht eine Einwilligung erforderlich. Die Bundesregierung kann daher mit Recht behaupten, hinsichtlich der Umsetzung der Cookie-Bestimmung bestehe nach dem TMG kein Handlungsbedarf.

Die Absicht des EU-Gesetzgebers war es dagegen, alle Informationen zu erfassen, die vom Endgerät des Nutzers nach außen übertragen oder von außen auf dem Endgerät gespeichert wird, unabhängig davon, ob es sich dabei um personenbezogene Daten oder anonyme Daten handelt oder um Daten, die überhaupt keine Information über eine natürliche Person enthalten. Folgt man dieser weiten Auslegung, so besteht tatsächlich Umsetzungsbedarf in Deutschland. Für die Verarbeitung von nicht personenbezogenen Daten aber Unterrichtung und Einwilligung zur Verarbeitung von personenbezogenen Daten zu verlangen, ist absurd. Die deutsche Regierung hat klug gehandelt und uns – bisher jedenfalls – diesen Unsinn erspart.

Details siehe den Aufsatz: Stefan Schleipfer: Die sog. Cookie-Bestimmungen in der ePrivacy-Richtlinie und ihre Umsetzung in deutsches Recht. RDV 4/2011 S. 170–177
* Adrian 13.02.2014 19:46
Herr Schleipfer, danke für die Ergänzung.

Zu § 15 Abs. 3 TMG:
So würde ich die Vorschrift auch lesen. Aber die Kommentierung erfasst größtenteils bereits den Prozess der Profilerstellung. Die genauen Fundstellen hab ich gerade nicht zur Hand, aber so steht es u.a. im Spindler/Schuster, bei Moos ist es in dem oben zitierten Artikel am Rande erwähnt und auch der Düsseldorfer Kreis sieht es so.

Aber selbst wenn § 15 Abs. 3 TMG Cookies nicht erfassen würde, sähe ich erhebliches Konfliktpotenzial. Zum Beispiel wenn sich Opt-in zum Tracking-Cookie und Opt-Out zur Profilbildung widersprechen. Und: Muss der Nutzer separat über das Opt-in zum Cooke und zum Opt-out für die Profile aufgeklärt werden? Welcher Nutzer soll das denn noch verstehen?

Ansonsten: Ich bin auch kein Freund der Cookie-Regelung der ePrivacy-Richtlinie und halte sie in weiten Teilen für eine Überregulierung die auf mangelndem Verständnis der Technologie beruht.

Aber die Richtlinie hat einen Punkt für sich: Der Ansatz, die Technologie zu regulieren ohne sich an der leidigen und wenig zielführenden Diskussion um den Personenbezug aufzuhalten, schafft die Richtlinie große Klarheit. Alles andere hat sich in der Praxis als nicht durchsetzbar erwiesen.

Mit ihrer Argumentation hat die Bundesregierung nun das Kunststück vollbracht, die Überregulierung der Cookie-Richtlinie im Grundsatz zu übernehmen, sie teils über- teils unterzuerfüllen und sie mit der Rechtsunsicherheit des Personenbezuges zu mischen. Für die Praxis ist das vorne und hinten vollkommen untauglich.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.