Verwendung von Cookies nur noch bei ausdrücklicher Einwilligung der Nutzer?
Achtung: Der nachfolgende Beitrag ist mittlerweile veraltet!
Aktuellere Informationen zum Thema hat die IT-Recht Kanzlei in ihrem Beitrag "EuGH: Cookie-basierte Anwendungen weitgehend einwilligungspflichtig"
veröffentlicht.
Muss der Betreiber einer Webseite ab sofort die Nutzer über die Verwendung von Cookies informieren und gleich beim Aufrufen der Webseite deren ausdrückliche Einverständnis einholen? So steht es zumindest in der sog. Cookie-Richtlinie, die die EU in Deutschland bereits als geltendes deutsches Recht ansieht, obwohl deren Vorgaben offiziell noch gar nicht ins deutsche Recht umgesetzt worden sind. Wie ist nun die Rechtslage? Was sollten Betreiber von Webseiten deshalb beachten? Die IT-Recht Kanzlei stellt die Lage dar und gibt Tipps für die Praxis.
Inhaltsverzeichnis
I. Cookies nur bei ausdrücklicher Einwilligung der Nutzer?
Nach der EU-Richtlinie 2009/136/EG zur Änderung u. a. der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (kurz sog. „Cookie-Richtlinie“) soll der Einsatz von Cookies im Internet nur noch dann erlaubt sein, wenn die Nutzer darin ausdrücklich eingewilligt haben.
1. Nur mittelbarer Wirkung von EU-Richtlinien
Allerdings entfalten die Regelungen in EU-Richtlinien keine unmittelbare Wirkung, sondern bedürfen zu ihrer Wirksamkeit der Umsetzung in das jeweilige nationale Recht durch die einzelnen EU-Mitgliedstaaten. Regelmäßig enthalten Richtlinien deshalb sog. Umsetzungsfristen, nach denen sich bestimmt, bis wann die Mitgliedstaaten die Richtlinien in ihre nationale Rechtsordnung integriert haben müssen. Versäumt ein Mitgliedstaat – bewusst oder unbewusst – die Umsetzungsfrist, so hat dies zweierlei Konsequenzen: zum einen verstößt der Mitgliedstaat dadurch gegen die EU-Verträge und muss mit einem Vertragsverletzungsverfahren der EU-Kommission rechnen. Zum anderen ist nach Ablauf der Umsetzungsfrist das nationale Recht dieses Mitgliedstaates im Sinne der Richtlinie auszulegen, soweit dies im Rahmen des Wortlauts der nationalen Gesetze möglich ist.
2. Welche Wirkung hat somit die Cookie-Richtlinie?
Die Cookie-Richtlinie hätte von Deutschland bis zum 25. Mai 2011 in das deutsche Recht umgesetzt werden müssen. Dies ist nicht geschehen. Nun steht die Behauptung der deutschen Bundesregierung und der EU-Kommission im Raum, das geltende deutsche Recht würde den Vorgaben der Cookie-Richtlinie bereits heute entsprechen – ohne dass der deutsche Gesetzgeber hierfür irgendetwas getan hat oder hätte tun müssen. Dies wirft Fragen auf:
- Sind die Bestimmungen der Cookie-Richtlinie bereits im deutschen Recht enthalten? Sind sie daher auch schon in Deutschland wirksam?
- Bedeutet dies, dass Betreiber von Webseiten bereits seit dem 25. Mai 2011 für die Verwendung von Cookies auf ihren Internetseiten die ausdrückliche Einwilligung der Nutzer benötigen?
II. Die Vorgaben aus der Cookie-Richtlinie
1. Die Datenschutzrichtlinie für elektronische Kommunikation
Am 12. Juli 2002 ist die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (kurz: Datenschutzrichtlinie für elektronische Kommunikation) erlassen worden. Darin waren bereits einige Bestimmungen zum Datenschutz im Internet enthalten. Die Vorgaben der Richtlinie hatte man jedoch so verstanden, dass Cookies von den Betreibern von Webseiten eingesetzt werden dürfen, es sei denn der jeweilige Nutzer widerspricht der Verwendung (sog. Opt-Out-Verfahren). Dies bedeutet, solange der Webseiten-Betreiber keinen Widerspruch des Nutzers erhält, darf er gegenüber diesem Nutzer Cookies verwenden.
2. Die neue Cookie-Richtlinie
Mit der Richtlinie vom 25. November 2009 zur Änderung der Datenschutzrichtlinie für elektronische Kommunikation (sog. „Cookie-Richtlinie“) war allerdings ein Paradigmenwechsel verbunden. So lautet der relevante neue Artikel 5 Absatz 3 von nun an wie folgt:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat (…).“
Nach dieser Regelung kommt es also nicht mehr darauf an, ob der Nutzer der Verwendung der Informationen widerspricht („Opt-Out“), sondern dass er (ausdrücklich) darin einwilligt („Opt-In“) – und zwar nachdem der Betreiber der entsprechenden Webseite den Nutzer „klar und umfassend“ darüber informiert hat.
Was bedeutet das genau? Wie sollten Betreiber von Webseiten seit dem Ende der Umsetzungsfrist am 25. Mai 2011 nun damit umgehen?
III. Die aktuelle Rechtslage zu Cookies in Deutschland
Die gegenwärtige Rechtslage in Deutschland zur Verwendung von Cookies ist undurchsichtig und verwirrend.
Bislang ist die Cookie-Richtlinie offiziell nicht in das deutsche Recht umgesetzt worden. Geht es jedoch nach der EU-Kommission, so ist dies auch gar nicht nötig. Auf Nachfrage bei der deutschen Bundesregierung sieht die EU-Kommission die gegenwärtige deutsche Rechtslage bereits im Einklang mit den Vorgaben aus der Cookie-Richtlinie.
Dies ist deshalb besonders irritierend, weil man in Deutschland bislang davon ausging, dass der Einsatz von Cookies durch den Betreiber einer Webseite zulässig ist, solange der betroffene Nutzer deren Verwendung nicht widersprochen hat (Opt-Out-Verfahren). Demgegenüber liest sich die Cookie-Richtlinie allerdings nun so, dass der betroffene Nutzer im Vorhinein sein ausdrückliches Einverständnis zur Verwendung der Cookies erklären muss (Opt-In-Verfahren). Wie passt das nun zusammen?
1. Bislang kein Umsetzungsgesetz in Deutschland
Klar ist zunächst, dass es weder vor Erlass der Cookie-Richtlinie noch danach ein Gesetz in Deutschland gegeben hat, in dem geschrieben steht, dass Nutzer für die Verwendung von Cookies im Vorfeld ihre ausdrückliche Einwilligung erklären müssen.
Wie und mit welcher Begründung die EU-Kommission zu der Ansicht gelangt, in Deutschland wäre bereits nach aktueller und unveränderter Gesetzeslage die Cookie-Richtlinie umgesetzt, ist bislang vollkommen unverständlich. Leider lässt sich der Hintergrund dieser Einschätzung der EU-Kommission gegenwärtig nicht weiter aufklären, da der Wortlaut der Kommunikation zwischen Bundesregierung und EU-Kommission zu dieser Sache nicht offengelegt worden ist. Erstaunlich ist jedenfalls, dass der deutsche Gesetzgeber noch vor wenigen Jahren ein Gesetz zur Umsetzung der Cookie-Richtlinie geplant und auch teilweise bereits vorgestellt hatte; das Projekt ist dann jedoch ins Stocken geraten. Danach war dann in dieser Hinsicht nichts mehr geschehen – bis die EU nun auf einmal festgestellt haben will, dass das deutsche Recht bereits im Einklang mit den Vorgaben der Cookie-Richtlinie steht.
2. Die Cookie-Richtlinie gilt – was bedeutet das?
Ob die Bestimmungen der Cookie-Richtlinie nun bereits deutsches Recht sind oder doch erst noch in deutsches Recht umgesetzt werden müssen, wird wohl erst die Zukunft zeigen – erst wenn Gerichte darüber befunden haben, wird es Rechtssicherheit geben.
Dennoch lohnt ein Blick in die Cookie-Richtlinie, um ein Bild zu bekommen, wie sich die EU die Verwendung von Cookies vorstellt. Müssen die Betreiber von Webseiten nun jeden (neuen) Nutzer beim Aufrufen der Webseite per Pop-Up-Fenster klar und deutlich über die Verwendung von Cookies informieren und um Einwilligung zu deren Verwendung bitten? Dies würde den Nutzerkomfort und auch die Möglichkeiten bei der Gestaltung von Webseiten zum Teil einschränken.
Zwar lässt sich der bereits vorgestellte Wortlaut des neuen Artikels 5 Absatz 3 tatsächlich in dieser Richtung interpretieren. Allerdings ergibt sich ein anderes Bild, wenn man den Erwägungsgrund 66 der Cookie-Richtlinie betrachtet.
Darin heißt es u. a.:
„Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. (…) die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. (…) Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. (…)“
Die Erwägungsgründe einer EU-Richtlinie gehören zwar nicht zum verbindlichen Gesetzestext der Richtlinie, stellen jedoch Erläuterungen und Hinweise des EU-Gesetzgebers zur Interpretation und zum Hintergrund einer Richtlinie dar. Somit kann daraus gefolgert werden, wie die EU die eigenen Gesetze verstanden und in die Praxis umgesetzt haben will.
Recht eindeutig liest man nun in dem dargestellten Erwägungsgrund 66 der Cookie-Richtlinie heraus, dass die EU wohl bereits in der entsprechenden Browser-Voreinstellung („Cookies akzeptieren“) die ausdrückliche Einwilligung des Nutzers sieht; dies würde auch der von der EU betonten möglichst benutzerfreundlichen Handhabung entsprechen. Betreiber von Webseiten können somit wohl davon ausgehen, dass Nutzer mit einer solchen Browser-Voreinstellung mit der Verwendung von Cookies auf ihrer Webseite einverstanden sind.
IV. Wie sollen sich Betreiber von Webseiten in der Praxis verhalten?
Tipps zum richtigen Verhalten in dieser etwas verworrenen Rechtslage können leider nicht eindeutig ausfallen. Es gibt verschiedene Möglichkeiten, wie sich Betreiber von Webseiten mit Cookies nun verhalten könnten.
1. Der sicherste Weg
Der sicherste Weg besteht darin, die Nutzer beim Aufrufen der Webseite per Pop-Up-Fenster über die Verwendung von Cookies auf der Seite zu informieren und sie aufzufordern, durch Klicken auf einen Button in deren Einsatz einzuwilligen.
Vorteil dieser Lösung ist: sie entspricht dem Wortlaut der Vorgaben aus der Cookie-Richtlinie und verstößt somit ganz sicher gegen kein Gesetz. In Großbritannien wird die Cookie-Richtlinie häufig so verstanden, so dass beim Aufrufen britischer Webseiten entsprechende Fenster aufpoppen. Nachteil ist natürlich vor allem das Handling: die meisten Nutzer werden das lästig finden, was zu weniger Zugriffs- und Klickraten führen könnte. Zudem ist das Design der Webseite eingeschränkt.
2. Der elegante und pragmatische Mittelweg?
Eine recht elegante Zwischenlösung wäre es, die Nutzer durch einen auf den ersten Blick sichtbaren Banner/Balken am oberen oder unteren Rand der Webseite auf die Verwendung von Cookies durch die Webseite hinzuweisen und darüber zu informieren, dass der Betreiber der Webseite von der Einwilligung des Nutzers ausgeht, wenn er die Nutzung der Webseite daraufhin fortsetzt. Etwa der deutsche Online-Shop zalando.de folgt aktuell dieser Lösung.
Vorteil ist: die Vorgaben der EU-Richtlinie werden – wenn man sie möglichst benutzerfreundlich interpretiert – eingehalten, insbesondere weil der Nutzer durch die entsprechende Voreinstellung seines Browsers Cookies offensichtlich ja zugelassen hat; die Einschränkungen beim Webdesign und im Handling beschränken sich zudem auf ein Minimum. Nachteil: ein kleiner Rest Rechtsunsicherheit bleibt bestehen, wenn auch rechtliche Konsequenzen bei dieser Lösung äußerst unwahrscheinlich scheinen.
3. Einfach ignorieren?
Schließlich könnten sich die Betreiber von Webseiten einfach weiterhin so verhalten wie bisher. Immerhin gibt es kein (neues) Gesetz in Deutschland, das ihnen wortwörtlich vorschreibt, dass sie von ihren Nutzern eine ausdrückliche Einwilligung für die Verwendung von Cookies einholen müssen.
Der Vorteil dieser Lösung liegt auf der Hand: sie kostet nichts, nicht einmal einen geringen Aufwand. Der Nachteil: eines Tages wird es so oder so kommen, dass die Vorgaben der Cookie-Richtlinie auch in Deutschland umgesetzt werden müssen. Lediglich der Startzeitpunkt ist gegenwärtig unklar. Zudem bleibt eine Rechtsunsicherheit: ggf. muss mit Abmahnungen durch Mitbewerber gerechnet werden, die sich dem neuen Recht bereits gebeugt haben, auch wenn sie gerade aufgrund der unklaren Rechtslage eher unwahrscheinlich sind.
V. Fazit
Rechtsunsicherheit ist undankbar. Niemand weiß, ob er zu viel oder zu wenig macht, ob unnötiges Geld ausgegeben, oder am falschen Ende gespart wird. Daher wäre es wünschenswert, wenn der deutsche Gesetzgeber möglichst bald und möglichst präzise klarstellt, wie sich Anbieter von Webseiten künftig in Bezug auf die Verwendung von Cookies verhalten sollen: welche Informationen muss ich dem Nutzer geben und auf welche Weise kann der Nutzer seine wirksame Einwilligung mir gegenüber erklären?
Solange die Klarstellung durch den Gesetzgeber nicht erfolgt ist, sollten Betreiber von Webseiten eine Zwischenlösung finden.
- Dabei ist der sicherste Weg – lästiges und unschönes Pop-Up-Fenster mit deutlicher Information über und Bitte um Einwilligung in die Verwendung von Cookies auf der entsprechenden Webseite – wahrscheinlich nicht einmal notwendig, um Abmahnungen durch Konkurrenten zu verhindern. Gerade aufgrund der unklaren Rechtslage dürfte es kaum Abmahnwillige geben, die das Kostenrisiko auf sich nehmen.
- Die pragmatischste Lösung wäre die knappe, aber deutliche Information über die Verwendung von Cookies am oberen oder unteren Rand der Webseite zusammen mit dem Hinweis für die Nutzer, dass sie sich durch das Weitersurfen auf der Webseite mit der Verwendung der Cookies einverstanden erklären. Alternativ hierzu kann der Betreiber einer Webseite auch vorsehen, dass die Nutzer zur Einwilligung auf einen Button klicken müssen, und erst danach weitersurfen können.
Bei Problemen, Rückfragen und weiteren Fragen zu diesem Thema hilft Ihnen das Team der IT-Recht Kanzlei selbstverständlich gerne auch persönlich und im Einzelfall weiter.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
© peshkova - Fotolia.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
18 Kommentare
"Ihre Privatsphäre ist uns wichtig."
Die Privatsphäre sollte doch hinter einer verschlossenen Türe sein.
Wenn web.de nicht hineingehen-, und zusehen kann, wie wir duschen, ist es nicht möglich eine E-Mail zu schreiben, oder -zu lesen.
Was nun?
Eigentlich eine Sauerei!
Sollte man da nicht einige Politiker schnellstens mit einem ordentlichen Tritt über 'n Zaun befördern?
Wenn früher einer im Internet herumspionierte, wurde er bestraft.
Aber wenn ich mir den Fortlauf anstehender Wahlen ansehe, ist es kein Wunder an einen "Riesen Saustall" zu denken.
Auf was sind denn die Politiker (Eigengeld Eintreiber) noch stolz?
Danke.
Und was die von Andreas Vent-Schmidt erwähnte fehlende Sachkenntnis betrifft, das trifft auf alles im Leben zu. Da wollen z.B. Richter über Dinge urteilen von denen sie nicht die geringste Sachkenntnis haben. Z.B. bei Eisenbahnern denen ein Fehlverhalten vorgeworfen wird. Wie will ein Richter urteilen ob solche Vorwürfe korrekt sind ohne entsprechende Sachkenntnis im Eisenbahnbetrieb? Und so ist es eben auch bei Cookies und Co., z.B. auch bei den Glühlampen. Keine Ahnung von der Materie, aber Richtlinien erstellen. Das ist ohnehin alles von der Industrie gesteuert, die Lobby hat eben mehr macht als jeder Politiker.
Aber nichts desto trotz: Abmahnungen und Bußgelder muss man zumindest in DE nicht befürchten. Abgemahnt werden kann man m.E. nicht weil es sich bei fehlenden Cookiehinweisen nicht um einen Wettbewerbsverstoß handelt und man durch das Fehlen des Hinweises keinen Wettbewerbsvorteil erringt. Ein Bußgeld ist nicht möglich da die Richtlinie noch nicht in deutsches Recht umgesetzt wurde, also garkeine Ordnungswidrigkeit vorliegen kann.
Die o.g. Seite behauptet: "Ein Cookie ist eine kleine Textdatei". Das ist falsch, und dieser Fehler hat Konsequenzen. Ein Cookie ist eine Datenmenge, die u.U. in einer Textdatei gespeichert werden KANN. Bei temporären Cookies (auch Session-Cookies genannt) macht der Browser das aber regelmäßig nicht, sondern hält die Information im RAM bereit. Sobald der Browser beendet wird, ist auch das Cookie weg. Damit greift schon das EU-Gesetz nicht mehr, da dort die Speicherung vorausgesetzt wird.
Website-Betreiber, die nur Session-Cookies einsetzen, brauchen folglich gar nichts zu unternehmen.
Zwischen Session-Cookies und dauerhaften Cookies besteht ein derart fundamentaler Unterschied, dass ich mich frage, wieso Leute Gesetze erlassen dürfen (seien es auch nur EU-Vorgaben), die offenbar nicht die geringste Sachkenntnis besitzen. Nirgendwo in Datenschutz-Regelungen usw. wird zwischen diesen beiden Cookie-Arten unterschieden, dabei sind Session-Cookies absolut harmlos, weil eine Wiedererkennung des Benutzers zwischen zwei Browsersitzungen damit technisch unmöglich wird. Gleichzeitig gibt es dafür andere Möglichkeiten (z.B. Canvas-Fingerprinting), die weitaus übler als dauerhafte Cookies sind und um die sich kein Mensch kümmert.
Daher ist die ganze Diskussion um Cookies eher irrwitzig.
http://europa.eu/cookies/index_de.htm
Diese blöde "Schelm-Floskel" nervt ehrlich gesagt tausend Mal mehr als Cookies im Internet...
@Allgemein (bzw. Betreiber der Seite hier):
Wenn dieses Pop-Up jetzt Pflicht sein soll... warum ist hier dann keins?
Gibt es einen Standard-Text für den Hinweis auf die Verwendung von Cookies?
Grüße,
Yvonne
Aber es steckt noch mehr dahinter: nämlich der Zwang, Cookies zu akzeptieren! Alle, die die Cookiespeicherung abgeschalten haben, werden nun mit diesen Hinweisen bis in alle Ewigkeit genervt - oder bis sie die Cookies dauerhaft speichern. Ein Schelm, der Arges dabei denkt...
Weil die normalen Nutzer dieser Unsinn eigentlich überhaupt nicht interessiert. Da der Gesetzgeber das Thema aber trotzdem regulieren möchte, musste er das Pferd wohl von hinten aufzäumen. Nun sind die Anbieter in der Pflicht, sich was einfallen zu lassen.
Seit 2002 habe ich einen Fragebogen für meine Kunden, in denen ich unter anderem Frage, ob sie beim Einkauf in Onlineshops die AGBs lesen, die Datenschutzbestimmungen lesen, (mittlerweile) die Widerrufsbestimmungen lesen und das Impressum lesen. 97,3% aller befragten Kunden gaben an, keins davon je gelesen zu haben. Auch wenn das mitnichten repräsentativ ist, zeigt das ziemlich deutlich, dass normale Kunden diese Informationen überhaupt nicht brauchen.
Von denjenigen, die die Informationen tatsächlich ganz oder Teilweise lesen, bzw. gelesen haben, sind übrigens 2/3 in einem Beruf der Rechtspflege tätig.
Für wen wird also wohl tatsächlich dieser irrsinnige Aufwand betrieben?
Ich favorisiere einen kleinen Hinweislink, mit einem Klick darauf erscheint dann eine Seite die aufklärt. Der Hinweislink ist deutlich hervorgehoben und immer an der gleichen Position, unten im Bowser Fixiert. Auffällig ja, aber so unaufällig wie möglich. Auf die Idee brachte mich EA (Electronic Arts) die im Battlelog für Battlefield 4 es genauso machen. Das ist aus vielerlei Sicht die für Webmaster machbarste, da sie am wenigsten Einfluss auf Rankings, Usability und Ladezeit hat.
Im Grunde wäre eine Umsetzung doch auch so denkbar, dass beim ersten Besuch des Internets der Browser die Einstellung zur Annahme von Cookies verlangt und alles wäre ok. Dann würde ein kleiner Hinweis auf der Internetseite reichen, dass Cookies gesetzt werden, sofern dies im Browser aktiviert ist.
Die meisten Seiten werden für den Fall, dass die Annahme verweigert wird, dann Session-IDs vergeben, die auch IP und Session-ID zumindest temporär in der Datenbank speichert. Wäre laut der Cookie-Richtlinie auch das reine Erfassen und speichern der IP während des Seitenbesuches schon eine datenschutzrechtlich relevante Datenerfassung?
Warum werden die Nutzer hier nicht in die Verantwortung genommen? Wer keine Cookies will, soll das einfach im Browser so einstellen. Zumal die meisten Cookies auch gar keine Tracking-Cookies sind, sondern lediglich den Nutzer wiedererkennen, um vorher getroffene Seiteneinstellungen ggf. wieder genauso einzustellen.
Insgesamt sollte man hier differenzieren zwischen Cookies, die tatsächlich das Surfverhalten aufzeichnen und Cookies, die nur der wiedererkennung dienen. Und dann sollte man auch noch Cookies mit kurzer Gültigkeit starffrei setzen dürfen, die z.B. nur an eine maximale Gültigkeit von 12 oder 24 Stunden haben.
Alles in Allem bleibt zu erwähnen, dass Cookies nicht gleich Cookie sind und das auch Nutzer und nicht nur Seitenbetreiber hier Verantwortung tragen können und sollten.
Viele Grüße, Stefan H.