Wie Carlo Piltz in seinem Blog berichtet, hält die Europäische Kommission in einer aktuellen Studie die Cookie-Richtlinie in Deutschland doch nicht für umgesetzt. Was ist da los?
Cookie-Studie
Die aktuelle Studie, um die es geht, untersucht die Umsetzung der Cookie-Richtlinie in der Europäischen Union und prüft, inwieweit die Richtlinie mit der geplanten Datenschutz-Grundverordnung kompatibel ist. Zur Umsetzung von Art. 5 Abs. 3 der Richtlinie, die den Gebraucht von Cookies regelt, heißt es dort:
„When looking at the way Article 5.3 has been transposed by the Member States, a first observation to make is that this provision has not been transposed by the German legislature. It has been considered in Germany that the existing rules of the “Telemediengesetz” relating to the processing of personal data by (information society) service providers are sufficient to protect users and subscribers”
Zunächst stellt die Studie also nüchtern fest, dass die Cookie-Richtlinie nicht umgesetzt ist. Bei genauerer Betrachtung ist das aber keine wirkliche Überraschung. Auch in ihrer Stellungnahme uns gegenüber gingen Bundesregierung und EU-Kommission letztes Jahr nicht davon aus, dass die Richtlinie 1:1 umgesetzt wurde. Es ging vielmehr um die Frage, ob die bestehenden Regelungen ausreichen, um die Anforderungen der Richtlinie zu erfüllen.
So stellt es auch die Studie im nächsten Satz fest, den man sich allerdings auf der Zunge zergehen lassen muss. Übersetzt heißt es da: „Es wurde in Deutschland angenommen, dass die bestehenden Regelungen des Telemediengesetzes [...] ausreichend seien, um Nutzer hinreichend zu schützen.”
Damit umgeht die Studie elegant eine Aussage darüber, wer was genau annimmt. Mit dem Zusatz, dass man „in Deutschland” davon ausgehe, dass die Regelungen ausreichend sind, schleicht sich aber doch eine deutliche Distanzierung ein. Noch deutlicher wird das einige Seiten weiter. Dort heißt es:
„The German supposedly “equivalent” of Article 5.3 can be found in the “Telemediengesetz” which is, more or less, the German legal framework for information society services.”
Die deutschen Regelungen sind demnach nur ein angebliches Equivalent (um sämtliche Zweifel an der Meinung der Studienautoren auszuräumen noch in Anführungszeichen gesetzt) zu den Regelungen, die die E-Privacy-Richtlinie für Cookies vorsieht. Bonus: Dieses Equivalent entspreche „mehr oder weniger” schlicht den datenschutzrechtlichen Rahmenbedingungen.
Alle Klarheiten beseitigt
Damit erschöpfen sich jedoch die Aussagen der Studie zur Cookie-Richtlinie in Deutschland. Eine klare Aussage dazu, dass die deutschen Regelungen gerade nicht ausreichen, um die Cookie-Richtlinie umzusetzen, fehlt. Stattdessen hagelt es nur böse Seitenhiebe zwischen den Zeilen. Politisch mag man das als offenen Widerspruch interpretieren können, für die praktische Rechtsanwendung helfen solche passiv-aggressiven Randbemerkungen aber nicht weiter.
Für die Praxis gilt daher weiter: Wem das Restrisiko nichts ausmacht, der macht weiter wie bisher und weist nur in der Datenschutzerklärung auf Cookies hin. Wer ganz auf Nummer sicher gehen will, holt sich vor dem Setzen der Cookies eine Einwilligung. Und wer den goldenen Mittelweg schätzt, der weist prominent bei jedem Besuch auf die Cookies hin. Klarere Aussagen wird es bis auf Weiteres vermutlich nicht geben.
Zum Beitrag von Carlo Piltz.
Die Studie im Volltext.
Themenseite zur Cookie-Richtlinie bei Telemedicus.
( ) Restrisiko macht nichts aus
( ) Nummer sicher
( ) Goldener Mittelweg
Ich persönlich glaube, dass man die User mit immer mehr wegzuklickenden Bannern und Checkboxen nur zu Klickvieh erzieht und dazu konditioniert, ungelesen Einwilligungen abzugeben.
Ich halte es daher für den sinnvolleren Weg, seine Energie in möglichst transparente Datenschutzerklärungen und Opt-Out-Lösungen zu stecken.
Cookies sind sowieso ein unsäglicher Nebenkriegsschauplatz. Denn Tracking ist längst nicht mehr von Cookies abhängig. Das Setzen von Cookies von einer Einwilligung abhängig zu machen, ist ein völlig falsches Signal, weil es die User in einer falschen Sicherheit wiegt und Anreize schafft, um andere Technologien zu entwickeln, die von der Cookie-Richtlinie aber nicht erfasst sind (Fingerprinting zum Beispiel).
Was hat euch dazu bewogen, nun doch den „(X) goldenen Mittelweg“ zu beschreiten und Cookie-Warnungen einzublenden? Wirtschaftlicher Druck durch Google AdSense?
Wir hatten die Lösung schon länger in der Schublade, aber Google war das Zünglein an der Waage.
Ich halte die Lösung allerdings nach wie vor für rechtlich nicht zwingend in Deutschland und rechtspolitisch für falsch und kontraproduktiv.
Von solchen Regelungen profitieren eigentlich nur wieder Webdesigner und die Hersteller von Web/Shop-Software, die dadurch wieder teure Updates verkaufen können. :(
Ich bin selbst Shop-Betreiber und dürfte aufgrund des EU-Aktionismus im Bereich des Internet-Rechts in den letzten zwei Jahren wieder einige tausend Euro berappen. Ich sage nur unterschiedliche "Widerrufsbelehrungen" für Waren, Dienstleistungen und digitale Güter. Da blicken selbst Fachanwälte kaum noch durch, ganz zu schweigen von den Programmierern, die diesen Schwachsinn in Ihre Shop Software integrieren müssen. Ich glaube, dass mittlerweile fast jeder kleine Shop-Betreiber "mit einem Bein im Knast steht". Ich kenne einige, die schon das Handtuch geworfen haben, weil man ohne eigene Rechts- und Steuerabteilung eigentlich nicht mehr agieren kann!
Wenn die EU das Internet nur noch für die großen Anbieter interessant machen möchte, dann braucht sie nur so weitermachen. Aber die Heuchelei von wegen "Verbraucherschutz" soll sich wenigstens sparen! :(
Hat sich jetzt irgendetwas getan, oder ist alles beim alten geblieben und wir drehen uns immer noch im Kreis?
Siehe hier die Analyse der Kollegen vom EU Data Reg Blog.
Wir dürfen wohl davon ausgehen, dass sich in Deutschland bis zum Inkrafttreten der Verordnung auch nichts mehr tun wird. Im Aussitzen ist die Bundesregierung ja Profi. ;-)