Cookie-Richtlinie: Nutzlos aber ungefährlich?
Das Chaos rund um die Umsetzung der E-Privacy-Richtlinie in Deutschland nimmt kein Ende. Wie Carlo Piltz in seinem Blog meldet, haben nun die Datenschutzbehörden des Bundes und der Länder erneut die unzureichende Umsetzung der Richtlinie in Deutschland kritisiert – und stellen sich damit gegen die deutsche Bundesregierung und die Europäische Kommission.
Zur Erinnerung: Schon im Mai 2011 hätte Deutschland die Neufassung der E-Privacy-Richtlinie 2002/58/EG (im Volksmund auch Cookie-Richtlinie genannt) in deutsches Recht umsetzen müssen. Passiert ist seitdem nichts. Vor ziemlich genau einem Jahr bestätigte dann überraschend die EU-Kommission gegenüber Telemedicus: Eine Umsetzung ist in Deutschland gar nicht erforderlich. Die Kommission halte das bestehende Recht für ausreichend, um den Anforderungen der Richtlinie zu genügen. Genauso sieht das die deutsche Bundesregierung.
Dem widersprechen nun die deutschen Datenschutzbehörden: Das deutsche Recht reiche nicht aus, um die Richtlinie umzusetzen. Die absurde Geschichte der Cookie-Richtlinie ist um ein weiteres kurioses Kapitel reicher.
Der Hintergrund
Ende 2009 beschloss das Europäische Parlament eine Neuerung der E-Privacy-Richtlinie. Diese regelt unter anderem, unter welchen Umständen Dienste Informationen auf den Endgeräten von Nutzern speichern dürfen. Die Richtlinie erfasst also Cookies, Local Storage und ähnliche Technologien.
Während die E-Privacy-Richtlinie bis dahin ein Opt-Out-Prinzip für diese Technologien vorsah, sollte die Richtlinie nun ein Opt-In-Verfahren vorsehen. Internetnutzer müssen demnach in irgendeiner Form in die Nutzung von Cookies einwilligen – andernfalls ist der Einsatz der Technologie verboten.
Dieser Richtungswechsel stieß auf breite Kritik, vor allem weil zu befürchten war, dass User im Internet mit Einwilligungsmeldungen überflutet werden. Die Bundesrepublik Deutschland zeigte sich daher von Anfang an sehr zögerlich, die Richtlinie in deutsches Recht umzusetzen. Genauer: Eine ausdrückliche Umsetzung hat es bisher nicht gegeben. Es gibt kein deutsches Gesetz, das die Neuregleungen der EU zu Cookies explizit erfasst.
Vor einem Jahr haben wir uns deshalb bei der Bundesregierung nach dem Stand der Umsetzung erkundigt. Antwort: Eine Umsetzung sei nicht notwendig, die bestehenden Regelungen reichen aus. Überraschenderweise schloss sich dieser Interpretation auch die EU-Kommission auf Anfrage an. „Yes, we can confirm that Germany has transposed the revised ePrivacy Directive into national law”, so die sehr klare Antwort der Kommission.
Opt-In oder Opt-Out?
Was das für die Praxis bedeutet, ist seitdem unklar. Bundesregierung und EU-Kommission gehen davon aus, dass schon heute für Cookies eine ausdrückliche Einwilligung aller Internetnutzer erforderlich ist. Im Detail bleiben aber sehr viele Fragen unklar und es ergeben sich schwer aufzulösende Widersprüche. Praktisch hat sich deshalb ein Opt-In für Cookies in Deutschland bisher kaum durchgesetzt – vor allem auch deshalb, weil die Datenschutzbehörden – soweit bekannt – bisher nie gegen einen Verstoß gegen das „Cookie-Opt-In” vorgegangen sind.
Das wird vermutlich auch so bleiben. Denn anders als Bundesregierung und EU-Kommission sehen die Datenschutzbehörden die E-Privacy-Richtlinie in Deutschland in keiner Weise umgesetzt, wie sie in einer jüngst veröffentlichten Entschließung betonen:
„Die Bundesregierung hält vielmehr die derzeit geltenden Vorgaben des Telemediengesetzes für ausreichend. Diese Auffassung ist unzutreffend. So ist die europarechtlich geforderte Einwilligung bereits in den Zugriff auf in den Endgeräten der Nutzer gespeicherte Informationen (Cookies) im deutschen Recht nicht enthalten.”
Damit ergibt sich die absurde Situation, dass die Bundesregierung keinen Handlungsbedarf und die Aufsichtsbehörden keine Vollstreckungsmöglichkeit des Gesetzes sehen. Faktisch läuft die Cookie-Richtlinie damit in Deutschland ins Leere.
Was bedeutet das für die Praxis?
Wie Cookies rechtssicher eingesetzt werden können, ist für die Praxis nach wie vor unklar. Nach der Entschließung der Datenschutzbehörden deutet aber Vieles darauf hin, dass man zumindest von den Aufsichtsbehörden im Moment nichts zu befürchten hat, wenn man von seinen Usern keine Einwilligung für Cookies einholt. Ob man sich darauf verlassen will, dass das auch dauerhaft so bleibt, ist allerdings eine andere Frage.
Analyse des Beschlusses der Datenschutzbehörden von Carlo Piltz.
