Fehlende Umsetzung der E-Privacy-Richtlinie: Einwillingung (Opt-in) bei der Verwendung von Cookies
Hintergrund:
Mit der EU-Richtlinie 2009/136/EG von 2009 (25.11.2009) werden einige Regelungen der ursprünglichen e-Privacy Richtlinie von 2002 (2002/58/EG) angepasst. Eine der wesentlichen Änderungen betrifft die Speicherung bzw. der Zugriff auf Informationen auf Endgeräten der Nutzer, wobei hierfür im Grundsatz generell die vorherige Einwilligung der Nutzer erforderlich sein soll. Dies betrifft im Wesentlichen die Verwendung von Cookies. Die EU-Richtlinie 2009/136/EG wird daher auch „Cookie-Richtlinie“ genannt. Bislang gilt nach deutschem Recht weitestgehend die Opt-Out-Lösung, d.h. der Nutzer muss über die Verwendung von Cookies in der Datenschutzerklärung der Website informiert werden (§ 13 Abs.1 S.2 TMG) und muss die Möglichkeit haben, dem Setzen von Cookies zu widersprechen (§ 15 Abs. 3 S.2 TMG).
Unmittelbare Anwendbarkeit des Einwilligungserfordernisses?
Die Umsetzung der e-Privacy-Richtlinie obliegt den einzelnen Mitgliedsstaaten. Allerdings lief die Frist zur Umsetzung in nationales Recht bereits am 25.05. 2011 ab, ohne dass Deutschland die Richtlinie umgesetzt hat. Auch andere Mitgliedsstaaten haben die Regelungen bislang nur zögerlich umgesetzt. Eine Umsetzung der EU-Vorgaben ist bislang unter anderem in Großbritannien, Spanien, Frankreich, Dänemark, Estland, Finnland, der Niederlande und Irland erfolgt.
Aktuell gewinnt die Debatte jedoch in Deutschland an neuer Brisanz, seitdem der Bundesbeauftragte für den Datenschutz Peter Schaar Anfang Mai nach Medienberichten öffentlich die Auffassung äußerte, die europäischen Regeln zum Cookie-Opt-In seien in Deutschland auch ohne Umsetzung in ein nationales Gesetz unmittelbar anwendbar. Dies bedeute, dass sie auch ohne Umsetzung in ein deutsches Gesetz der hiesigen Aufsichtspraxis zugrunde gelegt und von den Datenschutzbehörden durchgesetzt werden könnten, so Peter Schaar. Drohen nun allen Anbietern, die nicht mit Opt-In-Cookies arbeiten, direkt Bußgeldverfahren? Wohl kaum. Es bestehen nach unserer Einschätzung gewichtige Zweifel, ob die Regeln zum Cookie-Opt-In tatsächlich hinreichend bestimmt sind. Eine unmittelbare Anwendung von EU-Richtlinien in den Mitgliedsländern setzt voraus, dass die Umsetzungsfrist abgelaufen und die Richtlinie unbedingt sowie hinreichend bestimmt ist. Schaut man sich die in Frage stehende Regelung an, lässt diese große Auslegungsspielräume zu, sodass eine „hinreichende Bestimmtheit“ keineswegs auf der Hand liegt.
So hat Artikel 5 Absatz 3 der Richtlinie folgenden Wortlaut:
„(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Wenn daraus auch zunächst klar hervorgehen zu scheint, dass eine Einwilligung erforderlich ist, wird nicht näher definiert, wie die Einwilligung konkret erteilt werden kann. Außerdem wird der Grundsatz des Einwilligungserfordernisses im zweiten Satz der Regelung wiederum deutlich eingeschränkt. Hierbei ist allerdings relativ unklar, in welchen Fällen eine Speicherung bzw. der Zugriff auf Informationen „unbedingt erforderlich“ ist.
Nach Auffassung der Artikel 29 Datenschutzgruppe – dem Beratungsgremium der EU in Datenschutzfragen – kann die erforderliche Einwilligung nicht allein durch ein Pop-Up-Fenster vor Setzen des Cookies sondern auch auf anderem Wege eingeholt werden. Die Artikel 29 Datenschutzgruppe nennt hierfür folgende Beispiele:
Ein statisches Banner auf dem Kopf einer Website, in dem die erforderliche Einwilligung der Nutzer für das Setzen von Cookies angeklickt werden kann und welches zu den Datenschutzbestimmungen verlinkt (wie von den Datenschutzbehörden in Großbritannien bereits angewandt)
Ein „splash screen“, sprich ein dem Besuch einer Website vorgeschaltete Startseite, welche den Besucher über die Cookies, welche im Folgenden gesetzt werden, aufklärt
Eine Einstellung, welche ein aktives Anklicken der Nutzer für Tracking bzw. Like-Buttons etc. erfordert, wie die sog. 2-Klick-Lösung von Heise
Eine technische Grundeinstellung im Browser, welche das Sammeln von Benutzerdaten nur nach aktiver Änderung durch den Nutzer ermöglicht
Auch in den Erwägungsgründen der e-Privacy-Richtlinie (Erwägungsgrund 66) werden technische Möglichkeiten wie die Grundeinstellung des Browsers als Möglichkeit genannt, um den Anforderungen der Richtlinie gerecht zu werden.
Fazit und Ausblick:
Betrachtet man die aufgezählten Möglichkeiten der Artikel 29 Datenschutzgruppe, wird auch allein hieraus deutlich, dass das Einwilligungserfordernis nach der e-Privacy-Richtlinie erhebliche Auslegungsspielräume zulässt und daher von einer für die unmittelbare Anwendbarkeit erforderlichen „hinreichenden Bestimmtheit“ nicht ohne Weiteres ausgegangen werden kann. Bislang handelt es sich bei der von Peter Schaar geäußerten Rechtsauffassung der unmittelbaren Anwendbarkeit des Einwilligungserfordernisses in Deutschland um eine (weitgehende) Einzelmeinung. Würde er sich jedoch mit seiner Sichtweise durchsetzen, bestünde akuter Handlungsbedarf für alle Websitebetreiber. Wir empfehlen daher, den weiteren Verlauf der Diskussion zu verfolgen, um gegebenenfalls vorbereitet zu sein.
Autor: Anwaltskanzlei Schürmann ▪ Wolschendorf ▪ Dreyer
Kontakt
Schürmann ▪ Wolschendorf ▪ Dreyer Rechtsanwälte
Neue Grünstraße 17/18
10179 Berlin (Mitte)
www.medienundmarken.de
Mit der EU-Richtlinie 2009/136/EG von 2009 (25.11.2009) werden einige Regelungen der ursprünglichen e-Privacy Richtlinie von 2002 (2002/58/EG) angepasst. Eine der wesentlichen Änderungen betrifft die Speicherung bzw. der Zugriff auf Informationen auf Endgeräten der Nutzer, wobei hierfür im Grundsatz generell die vorherige Einwilligung der Nutzer erforderlich sein soll. Dies betrifft im Wesentlichen die Verwendung von Cookies. Die EU-Richtlinie 2009/136/EG wird daher auch „Cookie-Richtlinie“ genannt. Bislang gilt nach deutschem Recht weitestgehend die Opt-Out-Lösung, d.h. der Nutzer muss über die Verwendung von Cookies in der Datenschutzerklärung der Website informiert werden (§ 13 Abs.1 S.2 TMG) und muss die Möglichkeit haben, dem Setzen von Cookies zu widersprechen (§ 15 Abs. 3 S.2 TMG).
Unmittelbare Anwendbarkeit des Einwilligungserfordernisses?
Die Umsetzung der e-Privacy-Richtlinie obliegt den einzelnen Mitgliedsstaaten. Allerdings lief die Frist zur Umsetzung in nationales Recht bereits am 25.05. 2011 ab, ohne dass Deutschland die Richtlinie umgesetzt hat. Auch andere Mitgliedsstaaten haben die Regelungen bislang nur zögerlich umgesetzt. Eine Umsetzung der EU-Vorgaben ist bislang unter anderem in Großbritannien, Spanien, Frankreich, Dänemark, Estland, Finnland, der Niederlande und Irland erfolgt.
Aktuell gewinnt die Debatte jedoch in Deutschland an neuer Brisanz, seitdem der Bundesbeauftragte für den Datenschutz Peter Schaar Anfang Mai nach Medienberichten öffentlich die Auffassung äußerte, die europäischen Regeln zum Cookie-Opt-In seien in Deutschland auch ohne Umsetzung in ein nationales Gesetz unmittelbar anwendbar. Dies bedeute, dass sie auch ohne Umsetzung in ein deutsches Gesetz der hiesigen Aufsichtspraxis zugrunde gelegt und von den Datenschutzbehörden durchgesetzt werden könnten, so Peter Schaar. Drohen nun allen Anbietern, die nicht mit Opt-In-Cookies arbeiten, direkt Bußgeldverfahren? Wohl kaum. Es bestehen nach unserer Einschätzung gewichtige Zweifel, ob die Regeln zum Cookie-Opt-In tatsächlich hinreichend bestimmt sind. Eine unmittelbare Anwendung von EU-Richtlinien in den Mitgliedsländern setzt voraus, dass die Umsetzungsfrist abgelaufen und die Richtlinie unbedingt sowie hinreichend bestimmt ist. Schaut man sich die in Frage stehende Regelung an, lässt diese große Auslegungsspielräume zu, sodass eine „hinreichende Bestimmtheit“ keineswegs auf der Hand liegt.
So hat Artikel 5 Absatz 3 der Richtlinie folgenden Wortlaut:
„(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Wenn daraus auch zunächst klar hervorgehen zu scheint, dass eine Einwilligung erforderlich ist, wird nicht näher definiert, wie die Einwilligung konkret erteilt werden kann. Außerdem wird der Grundsatz des Einwilligungserfordernisses im zweiten Satz der Regelung wiederum deutlich eingeschränkt. Hierbei ist allerdings relativ unklar, in welchen Fällen eine Speicherung bzw. der Zugriff auf Informationen „unbedingt erforderlich“ ist.
Nach Auffassung der Artikel 29 Datenschutzgruppe – dem Beratungsgremium der EU in Datenschutzfragen – kann die erforderliche Einwilligung nicht allein durch ein Pop-Up-Fenster vor Setzen des Cookies sondern auch auf anderem Wege eingeholt werden. Die Artikel 29 Datenschutzgruppe nennt hierfür folgende Beispiele:
Ein statisches Banner auf dem Kopf einer Website, in dem die erforderliche Einwilligung der Nutzer für das Setzen von Cookies angeklickt werden kann und welches zu den Datenschutzbestimmungen verlinkt (wie von den Datenschutzbehörden in Großbritannien bereits angewandt)
Ein „splash screen“, sprich ein dem Besuch einer Website vorgeschaltete Startseite, welche den Besucher über die Cookies, welche im Folgenden gesetzt werden, aufklärt
Eine Einstellung, welche ein aktives Anklicken der Nutzer für Tracking bzw. Like-Buttons etc. erfordert, wie die sog. 2-Klick-Lösung von Heise
Eine technische Grundeinstellung im Browser, welche das Sammeln von Benutzerdaten nur nach aktiver Änderung durch den Nutzer ermöglicht
Auch in den Erwägungsgründen der e-Privacy-Richtlinie (Erwägungsgrund 66) werden technische Möglichkeiten wie die Grundeinstellung des Browsers als Möglichkeit genannt, um den Anforderungen der Richtlinie gerecht zu werden.
Fazit und Ausblick:
Betrachtet man die aufgezählten Möglichkeiten der Artikel 29 Datenschutzgruppe, wird auch allein hieraus deutlich, dass das Einwilligungserfordernis nach der e-Privacy-Richtlinie erhebliche Auslegungsspielräume zulässt und daher von einer für die unmittelbare Anwendbarkeit erforderlichen „hinreichenden Bestimmtheit“ nicht ohne Weiteres ausgegangen werden kann. Bislang handelt es sich bei der von Peter Schaar geäußerten Rechtsauffassung der unmittelbaren Anwendbarkeit des Einwilligungserfordernisses in Deutschland um eine (weitgehende) Einzelmeinung. Würde er sich jedoch mit seiner Sichtweise durchsetzen, bestünde akuter Handlungsbedarf für alle Websitebetreiber. Wir empfehlen daher, den weiteren Verlauf der Diskussion zu verfolgen, um gegebenenfalls vorbereitet zu sein.
Autor: Anwaltskanzlei Schürmann ▪ Wolschendorf ▪ Dreyer
Kontakt
Schürmann ▪ Wolschendorf ▪ Dreyer Rechtsanwälte
Neue Grünstraße 17/18
10179 Berlin (Mitte)
www.medienundmarken.de