Verwendung von Cookies nur noch bei ausdrücklicher Einwilligung der Nutzer?

Muss der Betreiber einer Webseite ab sofort die Nutzer über die Verwendung von Cookies informieren und gleich beim Aufrufen der Webseite deren ausdrückliche Einverständnis einholen? So steht es zumindest in der sog. Cookie-Richtlinie, die die EU in Deutschland bereits als geltendes deutsches Recht ansieht, obwohl deren Vorgaben offiziell noch gar nicht ins deutsche Recht umgesetzt worden sind. Wie ist nun die Rechtslage? Was sollten Betreiber von Webseiten deshalb beachten? Die IT-Recht Kanzlei stellt die Lage dar und gibt Tipps für die Praxis.

I. Cookies nur bei ausdrücklicher Einwilligung der Nutzer?

Nach der EU-Richtlinie 2009/136/EG zur Änderung u. a. der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (kurz sog. „Cookie-Richtlinie“) soll der Einsatz von Cookies im Internet nur noch dann erlaubt sein, wenn die Nutzer darin ausdrücklich eingewilligt haben.

1. Nur mittelbarer Wirkung von EU-Richtlinien

Allerdings entfalten die Regelungen in EU-Richtlinien keine unmittelbare Wirkung, sondern bedürfen zu ihrer Wirksamkeit der Umsetzung in das jeweilige nationale Recht durch die einzelnen EU-Mitgliedstaaten. Regelmäßig enthalten Richtlinien deshalb sog. Umsetzungsfristen, nach denen sich bestimmt, bis wann die Mitgliedstaaten die Richtlinien in ihre nationale Rechtsordnung integriert haben müssen. Versäumt ein Mitgliedstaat – bewusst oder unbewusst – die Umsetzungsfrist, so hat dies zweierlei Konsequenzen: zum einen verstößt der Mitgliedstaat dadurch gegen die EU-Verträge und muss mit einem Vertragsverletzungsverfahren der EU-Kommission rechnen. Zum anderen ist nach Ablauf der Umsetzungsfrist das nationale Recht dieses Mitgliedstaates im Sinne der Richtlinie auszulegen, soweit dies im Rahmen des Wortlauts der nationalen Gesetze möglich ist.

2. Welche Wirkung hat somit die Cookie-Richtlinie?

Die Cookie-Richtlinie hätte von Deutschland bis zum 25. Mai 2011 in das deutsche Recht umgesetzt werden müssen. Dies ist nicht geschehen. Nun steht die Behauptung der deutschen Bundesregierung und der EU-Kommission im Raum, das geltende deutsche Recht würde den Vorgaben der Cookie-Richtlinie bereits heute entsprechen – ohne dass der deutsche Gesetzgeber hierfür irgendetwas getan hat oder hätte tun müssen. Dies wirft Fragen auf:

• Sind die Bestimmungen der Cookie-Richtlinie bereits im deutschen Recht enthalten? Sind sie daher auch schon in Deutschland wirksam?
• Bedeutet dies, dass Betreiber von Webseiten bereits seit dem 25. Mai 2011 für die Verwendung von Cookies auf ihren Internetseiten die ausdrückliche Einwilligung der Nutzer benötigen?

II. Die Vorgaben aus der Cookie-Richtlinie

1. Die Datenschutzrichtlinie für elektronische Kommunikation

Am 12. Juli 2002 ist die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (kurz: Datenschutzrichtlinie für elektronische Kommunikation) erlassen worden. Darin waren bereits einige Bestimmungen zum Datenschutz im Internet enthalten. Die Vorgaben der Richtlinie hatte man jedoch so verstanden, dass Cookies von den Betreibern von Webseiten eingesetzt werden dürfen, es sei denn der jeweilige Nutzer widerspricht der Verwendung (sog. Opt-Out-Verfahren). Dies bedeutet, solange der Webseiten-Betreiber keinen Widerspruch des Nutzers erhält, darf er gegenüber diesem Nutzer Cookies verwenden.

2. Die neue Cookie-Richtlinie

Mit der Richtlinie vom 25. November 2009 zur Änderung der Datenschutzrichtlinie für elektronische Kommunikation (sog. „Cookie-Richtlinie“) war allerdings ein Paradigmenwechsel verbunden. So lautet der relevante neue Artikel 5 Absatz 3 von nun an wie folgt:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat (…).“

Nach dieser Regelung kommt es also nicht mehr darauf an, ob der Nutzer der Verwendung der Informationen widerspricht („Opt-Out“), sondern dass er (ausdrücklich) darin einwilligt („Opt-In“) – und zwar nachdem der Betreiber der entsprechenden Webseite den Nutzer „klar und umfassend“ darüber informiert hat.

Was bedeutet das genau? Wie sollten Betreiber von Webseiten seit dem Ende der Umsetzungsfrist am 25. Mai 2011 nun damit umgehen?

III. Die aktuelle Rechtslage zu Cookies in Deutschland

Die gegenwärtige Rechtslage in Deutschland zur Verwendung von Cookies ist undurchsichtig und verwirrend.

Bislang ist die Cookie-Richtlinie offiziell nicht in das deutsche Recht umgesetzt worden. Geht es jedoch nach der EU-Kommission, so ist dies auch gar nicht nötig. Auf Nachfrage bei der deutschen Bundesregierung sieht die EU-Kommission die gegenwärtige deutsche Rechtslage bereits im Einklang mit den Vorgaben aus der Cookie-Richtlinie.

Dies ist deshalb besonders irritierend, weil man in Deutschland bislang davon ausging, dass der Einsatz von Cookies durch den Betreiber einer Webseite zulässig ist, solange der betroffene Nutzer deren Verwendung nicht widersprochen hat (Opt-Out-Verfahren). Demgegenüber liest sich die Cookie-Richtlinie allerdings nun so, dass der betroffene Nutzer im Vorhinein sein ausdrückliches Einverständnis zur Verwendung der Cookies erklären muss (Opt-In-Verfahren). Wie passt das nun zusammen?

1. Bislang kein Umsetzungsgesetz in Deutschland

Klar ist zunächst, dass es weder vor Erlass der Cookie-Richtlinie noch danach ein Gesetz in Deutschland gegeben hat, in dem geschrieben steht, dass Nutzer für die Verwendung von Cookies im Vorfeld ihre ausdrückliche Einwilligung erklären müssen.

Wie und mit welcher Begründung die EU-Kommission zu der Ansicht gelangt, in Deutschland wäre bereits nach aktueller und unveränderter Gesetzeslage die Cookie-Richtlinie umgesetzt, ist bislang vollkommen unverständlich. Leider lässt sich der Hintergrund dieser Einschätzung der EU-Kommission gegenwärtig nicht weiter aufklären, da der Wortlaut der Kommunikation zwischen Bundesregierung und EU-Kommission zu dieser Sache nicht offengelegt worden ist. Erstaunlich ist jedenfalls, dass der deutsche Gesetzgeber noch vor wenigen Jahren ein Gesetz zur Umsetzung der Cookie-Richtlinie geplant und auch teilweise bereits vorgestellt hatte; das Projekt ist dann jedoch ins Stocken geraten. Danach war dann in dieser Hinsicht nichts mehr geschehen – bis die EU nun auf einmal festgestellt haben will, dass das deutsche Recht bereits im Einklang mit den Vorgaben der Cookie-Richtlinie steht.

2. Die Cookie-Richtlinie gilt – was bedeutet das?

Ob die Bestimmungen der Cookie-Richtlinie nun bereits deutsches Recht sind oder doch erst noch in deutsches Recht umgesetzt werden müssen, wird wohl erst die Zukunft zeigen – erst wenn Gerichte darüber befunden haben, wird es Rechtssicherheit geben.

Dennoch lohnt ein Blick in die Cookie-Richtlinie, um ein Bild zu bekommen, wie sich die EU die Verwendung von Cookies vorstellt. Müssen die Betreiber von Webseiten nun jeden (neuen) Nutzer beim Aufrufen der Webseite per Pop-Up-Fenster klar und deutlich über die Verwendung von Cookies informieren und um Einwilligung zu deren Verwendung bitten? Dies würde den Nutzerkomfort und auch die Möglichkeiten bei der Gestaltung von Webseiten zum Teil einschränken.

Zwar lässt sich der bereits vorgestellte Wortlaut des neuen Artikels 5 Absatz 3 tatsächlich in dieser Richtung interpretieren. Allerdings ergibt sich ein anderes Bild, wenn man den Erwägungsgrund 66 der Cookie-Richtlinie betrachtet.

Darin heißt es u. a.:

„Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. (…) die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. (…) Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. (…)“

Die Erwägungsgründe einer EU-Richtlinie gehören zwar nicht zum verbindlichen Gesetzestext der Richtlinie, stellen jedoch Erläuterungen und Hinweise des EU-Gesetzgebers zur Interpretation und zum Hintergrund einer Richtlinie dar. Somit kann daraus gefolgert werden, wie die EU die eigenen Gesetze verstanden und in die Praxis umgesetzt haben will.

Recht eindeutig liest man nun in dem dargestellten Erwägungsgrund 66 der Cookie-Richtlinie heraus, dass die EU wohl bereits in der entsprechenden Browser-Voreinstellung („Cookies akzeptieren“) die ausdrückliche Einwilligung des Nutzers sieht; dies würde auch der von der EU betonten möglichst benutzerfreundlichen Handhabung entsprechen. Betreiber von Webseiten können somit wohl davon ausgehen, dass Nutzer mit einer solchen Browser-Voreinstellung mit der Verwendung von Cookies auf ihrer Webseite einverstanden sind.

IV. Wie sollen sich Betreiber von Webseiten in der Praxis verhalten?

Tipps zum richtigen Verhalten in dieser etwas verworrenen Rechtslage können leider nicht eindeutig ausfallen. Es gibt verschiedene Möglichkeiten, wie sich Betreiber von Webseiten mit Cookies nun verhalten könnten.

1. Der sicherste Weg

Der sicherste Weg besteht darin, die Nutzer beim Aufrufen der Webseite per Pop-Up-Fenster über die Verwendung von Cookies auf der Seite zu informieren und sie aufzufordern, durch Klicken auf einen Button in deren Einsatz einzuwilligen.

Vorteil dieser Lösung ist: sie entspricht dem Wortlaut der Vorgaben aus der Cookie-Richtlinie und verstößt somit ganz sicher gegen kein Gesetz. In Großbritannien wird die Cookie-Richtlinie häufig so verstanden, so dass beim Aufrufen britischer Webseiten entsprechende Fenster aufpoppen. Nachteil ist natürlich vor allem das Handling: die meisten Nutzer werden das lästig finden, was zu weniger Zugriffs- und Klickraten führen könnte. Zudem ist das Design der Webseite eingeschränkt.

2. Der elegante und pragmatische Mittelweg?

Eine recht elegante Zwischenlösung wäre es, die Nutzer durch einen auf den ersten Blick sichtbaren Banner/Balken am oberen oder unteren Rand der Webseite auf die Verwendung von Cookies durch die Webseite hinzuweisen und darüber zu informieren, dass der Betreiber der Webseite von der Einwilligung des Nutzers ausgeht, wenn er die Nutzung der Webseite daraufhin fortsetzt. Etwa der deutsche Online-Shop zalando.de folgt aktuell dieser Lösung.

Vorteil ist: die Vorgaben der EU-Richtlinie werden – wenn man sie möglichst benutzerfreundlich interpretiert – eingehalten, insbesondere weil der Nutzer durch die entsprechende Voreinstellung seines Browsers Cookies offensichtlich ja zugelassen hat; die Einschränkungen beim Webdesign und im Handling beschränken sich zudem auf ein Minimum. Nachteil: ein kleiner Rest Rechtsunsicherheit bleibt bestehen, wenn auch rechtliche Konsequenzen bei dieser Lösung äußerst unwahrscheinlich scheinen.

3. Einfach ignorieren?

Schließlich könnten sich die Betreiber von Webseiten einfach weiterhin so verhalten wie bisher. Immerhin gibt es kein (neues) Gesetz in Deutschland, das ihnen wortwörtlich vorschreibt, dass sie von ihren Nutzern eine ausdrückliche Einwilligung für die Verwendung von Cookies einholen müssen.

Der Vorteil dieser Lösung liegt auf der Hand: sie kostet nichts, nicht einmal einen geringen Aufwand. Der Nachteil: eines Tages wird es so oder so kommen, dass die Vorgaben der Cookie-Richtlinie auch in Deutschland umgesetzt werden müssen. Lediglich der Startzeitpunkt ist gegenwärtig unklar. Zudem bleibt eine Rechtsunsicherheit: ggf. muss mit Abmahnungen durch Mitbewerber gerechnet werden, die sich dem neuen Recht bereits gebeugt haben, auch wenn sie gerade aufgrund der unklaren Rechtslage eher unwahrscheinlich sind.

V. Fazit

Rechtsunsicherheit ist undankbar. Niemand weiß, ob er zu viel oder zu wenig macht, ob unnötiges Geld ausgegeben, oder am falschen Ende gespart wird. Daher wäre es wünschenswert, wenn der deutsche Gesetzgeber möglichst bald und möglichst präzise klarstellt, wie sich Anbieter von Webseiten künftig in Bezug auf die Verwendung von Cookies verhalten sollen: welche Informationen muss ich dem Nutzer geben und auf welche Weise kann der Nutzer seine wirksame Einwilligung mir gegenüber erklären?

Solange die Klarstellung durch den Gesetzgeber nicht erfolgt ist, sollten Betreiber von Webseiten eine Zwischenlösung finden.

• Dabei ist der sicherste Weg – lästiges und unschönes Pop-Up-Fenster mit deutlicher Information über und Bitte um Einwilligung in die Verwendung von Cookies auf der entsprechenden Webseite – wahrscheinlich nicht einmal notwendig, um Abmahnungen durch Konkurrenten zu verhindern. Gerade aufgrund der unklaren Rechtslage dürfte es kaum Abmahnwillige geben, die das Kostenrisiko auf sich nehmen.
• Die pragmatischste Lösung wäre die knappe, aber deutliche Information über die Verwendung von Cookies am oberen oder unteren Rand der Webseite zusammen mit dem Hinweis für die Nutzer, dass sie sich durch das Weitersurfen auf der Webseite mit der Verwendung der Cookies einverstanden erklären. Alternativ hierzu kann der Betreiber einer Webseite auch vorsehen, dass die Nutzer zur Einwilligung auf einen Button klicken müssen, und erst danach weitersurfen können.

Bei Problemen, Rückfragen und weiteren Fragen zu diesem Thema hilft Ihnen das Team der IT-Recht Kanzlei selbstverständlich gerne auch persönlich und im Einzelfall weiter.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.