Cookie-Richtlinie: Das Imperium schlägt zurück
Die Verwirrung um die Cookie-Richtlinie will kein Ende nehmen. Hat Deutschland nun die E-Privacy-Richtlinie (i.e. „Cookie-Richtlinie”) umgesetzt oder nicht? Und welche Regeln gelten nun für den Einsatz von Cookies? Nachdem uns das Bundeswirtschaftsministerium und die Europäische Kommission letztes Jahr überraschend mitgeteilt hatten, dass sie die Cookie-Richtlinie in Deutschland für umgesetzt erachten und Anfang diesen Jahres die deutschen Datenschutzbehörden das glatte Gegenteil behaupteten, gibt es nun einen neuen Baustein im Puzzle der Verwirrung.
Wie Carlo Piltz in seinem Blog berichtet, hält die Europäische Kommission in einer aktuellen Studie die Cookie-Richtlinie in Deutschland doch nicht für umgesetzt. Was ist da los?
Cookie-Studie
Die aktuelle Studie, um die es geht, untersucht die Umsetzung der Cookie-Richtlinie in der Europäischen Union und prüft, inwieweit die Richtlinie mit der geplanten Datenschutz-Grundverordnung kompatibel ist. Zur Umsetzung von Art. 5 Abs. 3 der Richtlinie, die den Gebraucht von Cookies regelt, heißt es dort:
„When looking at the way Article 5.3 has been transposed by the Member States, a first observation to make is that this provision has not been transposed by the German legislature. It has been considered in Germany that the existing rules of the “Telemediengesetz” relating to the processing of personal data by (information society) service providers are sufficient to protect users and subscribers”
Zunächst stellt die Studie also nüchtern fest, dass die Cookie-Richtlinie nicht umgesetzt ist. Bei genauerer Betrachtung ist das aber keine wirkliche Überraschung. Auch in ihrer Stellungnahme uns gegenüber gingen Bundesregierung und EU-Kommission letztes Jahr nicht davon aus, dass die Richtlinie 1:1 umgesetzt wurde. Es ging vielmehr um die Frage, ob die bestehenden Regelungen ausreichen, um die Anforderungen der Richtlinie zu erfüllen.
So stellt es auch die Studie im nächsten Satz fest, den man sich allerdings auf der Zunge zergehen lassen muss. Übersetzt heißt es da: „Es wurde in Deutschland angenommen, dass die bestehenden Regelungen des Telemediengesetzes […] ausreichend seien, um Nutzer hinreichend zu schützen.”
Damit umgeht die Studie elegant eine Aussage darüber, wer was genau annimmt. Mit dem Zusatz, dass man „in Deutschland” davon ausgehe, dass die Regelungen ausreichend sind, schleicht sich aber doch eine deutliche Distanzierung ein. Noch deutlicher wird das einige Seiten weiter. Dort heißt es:
„The German supposedly “equivalent” of Article 5.3 can be found in the “Telemediengesetz” which is, more or less, the German legal framework for information society services.”
Die deutschen Regelungen sind demnach nur ein angebliches Equivalent (um sämtliche Zweifel an der Meinung der Studienautoren auszuräumen noch in Anführungszeichen gesetzt) zu den Regelungen, die die E-Privacy-Richtlinie für Cookies vorsieht. Bonus: Dieses Equivalent entspreche „mehr oder weniger” schlicht den datenschutzrechtlichen Rahmenbedingungen.
Alle Klarheiten beseitigt
Damit erschöpfen sich jedoch die Aussagen der Studie zur Cookie-Richtlinie in Deutschland. Eine klare Aussage dazu, dass die deutschen Regelungen gerade nicht ausreichen, um die Cookie-Richtlinie umzusetzen, fehlt. Stattdessen hagelt es nur böse Seitenhiebe zwischen den Zeilen. Politisch mag man das als offenen Widerspruch interpretieren können, für die praktische Rechtsanwendung helfen solche passiv-aggressiven Randbemerkungen aber nicht weiter.
Für die Praxis gilt daher weiter: Wem das Restrisiko nichts ausmacht, der macht weiter wie bisher und weist nur in der Datenschutzerklärung auf Cookies hin. Wer ganz auf Nummer sicher gehen will, holt sich vor dem Setzen der Cookies eine Einwilligung. Und wer den goldenen Mittelweg schätzt, der weist prominent bei jedem Besuch auf die Cookies hin. Klarere Aussagen wird es bis auf Weiteres vermutlich nicht geben.
Zum Beitrag von Carlo Piltz.
Die Studie im Volltext.
Themenseite zur Cookie-Richtlinie bei Telemedicus.
