Schon im Mai 2011 hätte Deutschland die Neufassung der E-Privacy-Richtlinie 2002/58/EG (im Volksmund auch Cookie-Richtlinie genannt) in deutsches Recht umsetzen müssen. Und doch gehört Deutschland neben Slovenien und Rumänien zu den wenigen Ländern in der EU, die die europäischen Vorgaben zu Cookies bislang nicht übernommen haben.
Nachdem durch die Bundestagswahl die politischen Karten in Deutschland neu gemischt wurden, haben wir deshalb beim zuständigen Bundeswirtschaftsministerium nachgefragt, ob denn nun zeitnah mit einer Umsetzung der Richtlinie zu rechnen ist – und bekamen eine erstaunliche Antwort: Die Cookie-Richtlinie ist bereits in deutsches Recht umgesetzt. Das bestätigte uns schließlich auch die Europäische Kommission. Die Verwirrung ist perfekt.
Ende 2009 beschloss das Europäische Parlament eine Neuerung der E-Privacy-Richtlinie. Diese regelt unter anderem, unter welchen Umständen Dienste Informationen auf den Endgeräten von Nutzern speichern dürfen. Die Richtlinie erfasst also Cookies, Local Storage und ähnliche Technologien.
Während die E-Privacy-Richtlinie bis dahin ein Opt-Out-Prinzip für diese Technologien vorsah, sollte Artikel 5 Absatz 3 der E-Privacy-Richtlinie nun wie folgt geändert werden:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.”
Aus dem Opt-Out-Prinzip sollte also ein Opt-In werden. Dies stieß auf breite Kritik, vor allem weil zu befürchten war, dass User im Internet mit Einwilligungsmeldungen überflutet werden. Die Bundesrepublik Deutschland zeigte sich daher von Anfang an sehr zögerlich, die Richtlinie in deutsches Recht umzusetzen. Genauer: Eine ausdrückliche Umsetzung hat es bisher nicht gegeben. Es gibt kein deutsches Gesetz, das die Neuregleungen der EU zu Cookies explizit erfasst. Es gab Überlegungen und Entwürfe, zu einer Verabschiedung durch das Parlament kam es aber nicht.
Nun kann die Bundesrepublik Deutschland zwingende rechtliche Vorgaben der Europäischen Union nicht dauerhaft ignorieren. Wir haben deshalb beim zusändigen Bundeswirtschaftsministerium angefragt, wie Deutschland in Zukunft mit den europäischen Vorgaben zu Cookies umzugehen gedenkt. Die Antwort des Pressereferats:
„Das Bundeswirtschaftsministerium hat in der letzten Legislaturperiode einen Fragebogen der Europäischen Kommission zur Umsetzung in Deutschland beantwortet und dabei insbesondere auf die Bestimmungen des Telemediengesetzes hingewiesen. Es gibt keine Signale seitens der Europäischen Kommission, dass die dargestellte Rechtslage unzureichend sei.”
Der besagte Fragebogen ist im Netz abrufbar (PDF), die Antworten der Bundesregierung allerdings nicht. Unsere wiederholte Anfrage auf Einsichtnahme in die Antworten hat das Bundeswirtschaftsministerium bislang ignoriert. Parallel zu unserer Presseanfrage haben wir deshalb heute einen Antrag nach Informationsfreiheitsgesetz an das Ministerium gestellt.
Allerdings hat die Europäische Kommission uns gegenüber im Ergebnis bestätigt, dass sie die E-Privacy-Richtlinie in Deutschland als umgesetzt erachtet. Die Fachabteilung aus Brüssel ließ uns über die deutsche Pressestelle in Berlin wissen:
„Yes, we can confirm that Germany has transposed the revised ePrivacy Directive into national law.”
Die Verwirrung dürfte damit perfekt sein. Denn wie Bundesregierung und Kommission zu diesem Ergebnis gelangen ist kaum nachvollziehbar. Das deutsche Recht kennt keine Regelung, die direkt der europäischen Richtlinie entspricht. Im Gegenteil sieht § 15 Abs. 3 TMG für bestimmte Tracking-Mechanismen (bei denen üblicherweise auch Cookies eingesetzt werden) das Opt-Out-Prinzip vor. Dennoch scheinen die deutsche Bundesregierung und die Europäische Kommission davon auszugehen, dass in Deutschland – den Anforderungen der Richtlinie entsprechend – für Cookies bereits jetzt eine Einwilligung des Nutzers erforderlich ist.
Was bedeutet das nun für die Praxis? Eine klare Antwort auf diese Frage gibt es nicht. Denn auch in anderen Mitgliedsstaaten sind die Regelungen zu Cookies in der E-Privacy-Richtlinie sehr unterschiedlich umgesetzt. Nach einigem hin und her behalfen sich zum Beispiel viele Staaten in Europa mit einem Trick: Zwar sollten User deutlich auf die Verwendung von Cookies hingewiesen werden, eine explizite Einwilligung ist aber nicht erforderlich. Argument: Wenn der Nutzer den Hinweis ignoriert, erklärt er stillschweigend seine Einwilligung. Faktisch entspricht die Umsetzung damit einer Opt-Out-Lösung.
In welcher Variante die Cookie-Richtlinie also in Deutschland umgesetzt sein soll, ist nicht bekannt solange die genaue Begründung der Bundesrepublik nicht öffentlich ist. Denkbar ist, dass ein strenges Opt-In-Prinzip gilt und eigentlich schon jetzt jede Webseite ihre Nutzer nach einer Einwilligung fragen müsste. Möglich ist aber auch die Lösung einer stillschweigenden Einwilligung, wie sie in anderen Staaten betrieben wird. Und als dritte Option ist es auch nicht ausgeschlossen, dass sich die Kommission damit zufrieden gibt, dass sich in Deutschland einfach gar nichts ändert.
Wer absolut sicher gehen will, dass seine Webseite den deutschen Datenschutzbestimmungen entspricht, muss daher wohl oder übel umgehend auf eine Einwilligungslösung zurückgreifen. Es dürfte aber auch sehr gut vertretbar sein, zunächst abzuwarten, wie sich die Dinge weiter entwickeln. Dass man sich an nicht-öffentliche Rechtsansichten eines Ministeriums hält, können schließlich auch die Datenschutzbehörden nicht erwarten.
Telemedicus zu einem früheren Gesetzesentwurf zur Cookie-Richtlinie.
Ein Überblick über die Umsetzung der Cookie-Richtlinie in der EU.
Update:
Mittlerweile liegen uns auch die Antworten der Bundesregierung vor.
Eine Auswertung bei Telemedicus.
Die Antworten der Bundesregierung im Volltext.