Das Europäische Parlament hat vor einiger Zeit die sogenannte EU-Cookie-Richtlinie erlassen. Der deutsche Gesetzgeber hätte diese EU-Richtlinie bereits bis spätestens zum 25. Mai 2011 umsetzen müssen. Dies ist aber bislang nicht geschehen. Der Gesetzgeber hat jedoch Mitte Juni einen Gesetzesentwurf zur Änderung des Telemediengesetzes (TMG) vorgelegt. Der folgende Artikel beleuchtet die angedachten Änderungen.
Das Ende der Kekse? Oder: Was bringt die neue EU-Cookie-Richtlinie?
1. Die angedachten Änderungen
In dem geplanten Gesetzesvorhaben finden sich nur an einer einzigen Stelle die durch die EU-Cookie-Richtlinie angedachten Änderungen, nämlich in § 13 Abs. 8 TMG n. F.:
Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.
2. Anwendungsbereich: Weit über Cookies hinausgehend
Die Norm betrifft alle Formen mobiler und nicht mobiler Endgeräte (z. B. PC, Smartphones, Tablet-Computer) und alle Arten von Daten, die auf dem Endgerät gespeichert werden. Die Regelung ist demnach nicht begrenzt auf bloße Cookies, sondern betrifft jede Form personenbezogener Daten, die lokal auf dem Gerät des Users gespeichert werden und auf die der Betreiber Zugriff nimmt.
3. Zukünftige Voraussetzungen für eine Speicherung
Damit ein Webseiten-Betreiber zukünftig personenbezogene Daten speichern und nutzen darf, muss
- eine Unterrichtung des Nutzers erfolgen und
- eine Einwilligung des Nutzers vorliegen.
a. Unterrichtung des Nutzers
Die Unterrichtung des Nutzers muss vor Beginn der Speicherung erfolgen, eine spätere, nachträgliche Genehmigung ist nicht ausreichend.
b. Einwilligung des Nutzers
aa. Der Grundfall: Einwilligung des Nutzers
Grundsätzlich muss eine Einwilligung des Nutzers vorliegen. Hierfür gelten die allgemeinen datenschutzrechtlichen Regelungen, wie sie bisher in § 4 a BDSG und § 13 TMG festgelegt sind. Teilweise wird behauptet, dass diese Form der Einwilligung nicht in den AGB platziert werden darf, sondern dass es einer eigenständigen Zustimmungshandlung bedürfe. Diese Rechtsansicht ist falsch. Sowohl das Gesetz (§ 4 a Abs. 1 S. 3 BDSG) als auch die ständige höchstrichterliche Rechtsprechung erlaubt die Platzierung derartiger Einwilligungen z. B. in AGB. Einzige Bedingung: Die Einwilligung muss dann optisch besonders hervorgehoben sein, z. B. durch Fettdruck, Umrandung etc.
Anders als im Direktmarketing bedarf es keiner gesonderten Einwilligungserklärung, da in diesem Fall nur die Daten datenschutzrechtlich genutzt werden. Der Nutzer erhält jedoch keine Nachricht in Form von E-Mail- oder Telefonwerbung.
Die große Gretchenfrage ist nun: Wann liegt online eine solche Einwilligung vor?
Normalerweise bedarf eine Einwilligung einer ausdrücklichen Zustimmungshandlung des Nutzers. Dies würde bedeuten, dass der Nutzer bei Betreten einer jeden Webseite zuvor zugestimmt haben müsste. In der Praxis ist das ein ziemlich schwachsinniges und kontraproduktives Unterfangen, zumal sich in einem solchen Fall zahlreiche Nachfolgeprobleme ergeben: Gilt die Einwilligung des Sohnes auch für den Vater, weil beide den gleichen Rechner benutzen?
Hier ist nun die Frage: Reicht es unter Umständen bereits aus, wenn der Browser des Nutzers so eingestellt ist, dass er standardmäßig Cookies akzeptiert? Dann könnte man ja die Ansicht vertreten, der Nutzer hätte durch diese Browser-Einstellung eine ausdrückliche Zustimmung erteilt.
Die deutsche Regelung schweigt sich dazu aus. Im Gesetzestext findet sich hierzu kein Wort. Auch die Gesetzesbegründung äußert sich diesbezüglich nicht, sondern beschränkt sich auf die kurze Aussage, dass die Neuregelung der Umsetzung der EU-Cookie-Richtlinie dient.
Wenigstens die EU-Richtlinie selbst äußert sich dazu:
Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.
Der EU-Normgeber sagt, dass – zumindest theoretisch – in einer entsprechenden Browser-Einstellung eine Einwilligung liegen kann, dies jedoch nur dann, wenn es „technisch durchführbar und wirksam ist“.
Aha. Alles klar?
Wann eine solche „technische Durchführbarkeit und Wirksamkeit“ vorliegt, darüber schweigt sich auch der EU-Gesetzgeber beharrlich aus.
bb. Die Ausnahmen: Wann keine Einwilligung vorliegen muss
Kein modernes deutsches Gesetz kommt natürlich ohne Ausnahmen aus, andernfalls würde der Gesetzestext auch Gefahr laufen, vom juristischen Laien verstanden zu werden. Nach § 13 Abs. 8 TMG n. F. muss in zwei Ausnahmefällen keine Einwilligung vorliegen:
- wenn alleiniger Zweck die Nachrichtenübertragung ist oder
- wenn dies unbedingt erforderlich ist, um einen Informations- oder Kommunikationsdienst zur Verfügung zu stellen.
(1) Erste Ausnahme: Alleiniger Zweck ist die Nachrichtenübermittlung
Einer Einwilligung bedarf es nicht, wenn der alleinige Zweck die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist.Hier hat der Gesetzgeber insbesondere an E-Mails gedacht. Die Formulierung ist jedoch mehr als misslungen, da nach dem Wortlaut hierunter auch Chat-Nachrichten, private Nachrichten in einem Forum oder einer Social-Media-Plattform fallen.
(2) Zweite Ausnahme: Unbedingt erforderlich für Informations- oder Kommunikationsdienste
Noch schwachsinniger ist die zweite Ausnahme. Danach bedarf es keiner Einwilligung, wenn „dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können".
Auch an dieser Stelle versagt der Gesetzgeber auf ganzer Linie. Bereits die Einschränkung „unbedingt erforderlich“ offenbart, dass es so gut wie keine Fälle gibt, in denen eine solche Speicherung zwingend notwendig ist. Im Hinterkopf hatte man hier vermutlich die Warenkorb-Cookies, die im Rahmen einer Shop-Bestellung gespeichert werden. Diese Form der Speicherung ist jedoch keineswegs „unbedingt erforderlich“, die Warenkorb-Funktion und der Bestellprozess können auch auf andere technische Weise abgebildet werden.
4. Rechtsfolgen im Falle des Verstoßes
Ein Verstoß gegen die Regelung ist eine Datenschutzverletzung. Die zuständige Aufsichtsbehörde kann zwar die Beseitigung des Verstoßes vom Unternehmer verlangen, jedoch kein Bußgeld verhängen.
Ob Mitbewerber eine Abmahnung aussprechen können, ist umstritten. Zu dieser Frage fehlt jede höchstrichterliche Rechtsprechung. Die instanzgerichtliche Rechtsprechung entscheidet uneinheitlich. So gibt es Gerichte, die einen Wettbewerbsverstoß ablehnen. Erst vor Kurzem hatte das KG Berlin (Beschl. v. 29.04.2011 - Az.: 5 W 88/11) im Falle des „Gefällt mir“-Buttons von Facebook entschieden, dass es an einer Marktbezogenheit fehlt. Jedoch gibt es genauso häufig Rechtsprechung, die bei Datenschutzverletzungen ein wettbewerbswidriges Handeln bejaht.
Dabei hält sich der Datenschutzbeauftragte aber selbst nicht zu 100 % an das Gesetz, denn ohne Rückfrage werden bereits zu Beginn vereinzelt Cookies gesetzt. In dem Hinweistext heißt es:
The ICO would like to use cookies to store information on your computer, to improve our website. One of the cookies we use is essential for parts of the site to operate and has already been set. You may delete and block all cookies from this site, but parts of the site will not work. To find out more about the cookies we use and how to delete them, see our privacy notice.
Der englische SEO-Experte David Naylor hat eine interessante Beispielseite ins Netz gestellt, die anschaulich demonstriert, was für ein Pop-up-Gewitter die Besucher einer Homepage zukünftig erwartet.
6. Unsere Einschätzung und Empfehlung
Auch im Jahre 2011 gelingt es dem Gesetzgeber nicht, praktikable Regelungen im Bereich des Online-Datenschutzes einzuführen. Vielmehr versagt er – wieder einmal – auf voller Linie. Durch die Neuregelungen werden keine Fragen geklärt, sondern es werden vielmehr Dutzende von neuen rechtlichen Baustellen eröffnet. Das Nachsehen hat wieder einmal der Unternehmer, der Webseiten betreibt. Auch wenn das Gesetz noch nicht in Kraft getreten ist: Es ist kaum zu erwarten, dass sich hier noch entscheidende Verbesserungen ergeben werden.
Auch wenn die Neuregelungen viele Ungewissheiten und Unklarheiten enthalten – von einem Ende der Cookies zu sprechen, wäre weit übertrieben. Vielmehr dürfte es so weitergehen wie bereits in den letzten fünfzehn Jahren Online-Datenschutzrecht: Aufgrund der Schwachsinnigkeit der Bestimmungen werden die Regelungen geflissentlich von allen Beteiligten ignoriert.
Unsere Einschätzung und Empfehlung ist: Viel Lärm um nichts. Ein neues, sinnloses Gesetz, an das sich keiner halten wird.