A. Die Vorgeschichte: Die EU-Privacy-Richtlinie
Wir erinnern uns ganz dunkel: Da war doch irgendetwas mit einer merkwürdigen europäischen Richtlinie, die die rechtlichen Rahmenbedingungen von Cookies im Internet grundlegend verändern sollte.
Das Gesetzesvorhaben basiert auf der EU-Privacy-Richtlinie, umgangssprachlich auch häufig EU-Cookie-Richtlinie genannt. Die Umsetzung hätte in Deutschland bis Mai 2011 passieren müssen, bislang trat jedoch nichts in Kraft.
In der letzten Legislaturperiode wurde zwar ein Gesetzesentwurf vorgelegt, der jedoch durch die Neuwahl des Bundestages seine Gültigkeit verlor. Bislang gibt es seitens der Bundesregierung keinen neuen Entwurf.
Ein Inkrafttreten der Reform ist somit noch ungewisser als in der Vergangenheit.
Ein Blick ins Ausland zeigt, dass Deutschland damit zwar nicht ganz allein dasteht, jedoch haben die meisten anderen europäischen Länder, allen voran England, Frankreich und Holland, die Reformen bereits umgesetzt.
B. Inhalt der (angedachten) Neuregelungen
Die angedachte Neuregelung in Deutschland hatte folgenden Wortlaut:
„Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.“
Der Anwendungsbereich der Vorschrift betrifft also nicht nur PC, sondern alle Formen von mobilen und nicht mobilen Endgeräten (PC, Smartphones, Tablets). Die Neuregelung ist bewusst technik- und hardwareneutral ausgestaltet. Sie ist somit nicht auf Cookies begrenzt, sondern auf jede Form von personenbezogenen Daten.
Diese offene Formulierung ist eine bewusste gesetzgeberische Absicht, um neuen technischen Entwicklungen gerecht zu werden.
Die Vorschriften sehen vor, dass das Setzen von Cookies nur unter zwei Voraussetzungen erlaubt ist:
- Voraussetzung: Unterrichtung des Nutzers
- Voraussetzung: Einwilligung des Nutzers (Opt-in)
Zwar sieht der Entwurf für bestimmte einzelne Cookies Ausnahmen vor, jedoch sind diese eng begrenzt und für den Bereich des Online-Marketings kaum relevant.
Art des Cookies | Von Ausnahme erfasst? |
Secure Login Session Cookie/Security Cookie | Ja |
Shopping Basket Cookie | Ja |
Social Media Plug-ins | Nein |
Third Party Cookie | Nein |
Statistik Cookie | Nein |
Die marketingtechnisch interessanten Bereiche – Social Media, Third Party und Statistik – sind nach dem Entwurf nicht von der Ausnahme erfasst, sondern benötigen immer eine ausdrückliche Einwilligung des Users.
Kritische Stimmen sprechen daher seit Jahren vom Untergang des Online-Marketings in seiner herkömmlichen Form, denn mit Einführung eines Opt-ins für das Setzen von Cookies würden z. B. weite Teile des Affiliate-Marketings nicht mehr funktionieren.
C. Februar 2014: Die neuesten Entwicklungen
Im Februar 2014 passierte nun etwas, mit dem kein vernünftiger Mensch rechnen konnte. Blickt man heute auf diese Rechtsentwicklung, so offenbart sich, wie absurd der bisherige Verlauf war.
Im Februar 2014 äußerte sich das Bundeswirtschaftsministerium nun auf Nachfrage wie folgt:
„Das Bundeswirtschaftsministerium hat in der letzten Legislaturperiode einen Fragebogen der Europäischen Kommission zur Umsetzung in Deutschland beantwortet und dabei insbesondere auf die Bestimmungen des Telemediengesetzes hingewiesen. Es gibt keine Signale seitens der Europäischen Kommission, dass die dargestellte Rechtslage unzureichend sei.”
Und die Europäische Kommission bestätigt diese Einschätzung. Auf Anfrage teilt sie im gleichen Monat mit:
„Yes, we can confirm that Germany has transposed the revised ePrivacy Directive into national law.”
Wie? Was? Häh …?
Soll das jetzt heißen, dass die Richtlinie still und heimlich in Deutschland umgesetzt ist? Nur, dass es eben keiner gemerkt hat?
Spulen wir die aktuellen Ereignisse zeitlich ein wenig zurück und schauen uns einmal näher an, was genau da passiert ist.
Im Jahr 2011 bat die Europäische Kommission Deutschland um Beantwortung eines Fragebogens zur Umsetzung der EU-Cookie-Richtlinie. Die damalige Bundesregierung füllte das Formular aus und stellte fest, dass die Richtlinie bereits durch bestehende Gesetze ausreichend umgesetzt sei.
Die aktuellen Äußerungen sowohl des Bundeswirtschaftsministeriums als auch der Europäischen Kommission basieren auf eben diesem Fragebogen.
Ähnliche Stimmen hatte es bereits im Gesetzgebungsverfahren im Jahr 2012 gegeben, wo im Parlament von einzelnen Rednern angemerkt wurde:
„Steht doch alles in §§ 12, 13 und 15 TMG.“
„Die Bundesregierung hat übrigens die geltende Fassung des TMG als Umsetzung der E-Privacy-Richtlinie nach Brüssel gemeldet. Von der EU-Kommission kam dazu bisher kein Widerspruch.“
„Im Übrigen darf ich die Genossen der SPD darauf hinweisen, dass die Bundesregierung, konkret das zuständige Bundeswirtschaftsministerium, dieses Instrumentarium der Europäischen Kommission als Umsetzung des Art. 5 Abs. 3 der E-Privacy-Richtlinie in aller Ausführlichkeit vorgestellt hat. Dabei hat die EU-Kommission unseren nationalen Regelungen inhaltlich und formell nicht widersprochen.“
Ehrlicherweise muss man anmerken, dass kein ernst zu nehmender Jurist diese Äußerungen damals für bare Münze nahm, sondern vielmehr als politisches Wortgeplänkel abtat.
Angesichts der aktuellen Entwicklungen scheint aber eine Neubewertung dieser Einschätzung dringend erforderlich.
D. Ausblick: Und was ist nun davon zu halten?
Und was ist nun von diesen aktuellen Entwicklungen zu halten?
Die Antwort fällt kurz und knapp aus: Nichts. Rein gar nichts.
Die ganz überwiegende Meinung in der Rechtswissenschaft teilt die Einschätzung des Bundeswirtschaftsministeriums und der Europäischen Kommission nicht. Denn anders, als die EU-Privacy-Richtlinie dies verlange, existiere gerade eben kein Opt-in-Zwang, so die Einschätzung.
Ein deutsches Gericht, das z. B. einen Rechtsstreit zwischen zwei Wettbewerbern zu beurteilen hat, ist in keiner Weise an die Einschätzungen der Bundesregierung oder der Europäischen Kommission gebunden, sondern muss vielmehr die Rechtslage rein nach dem Wortlaut des Gesetzes beurteilen. Es ist also nicht sehr unwahrscheinlich, dass nationale Robenträger feststellen, dass die Privacy-Richtlinie eben nicht umgesetzt wurde.
Für das im Online-Marketing tätige Unternehmen bringen diese aktuellen Entwicklungen somit zwar keine endgültige Rechtssicherheit. Jedoch lassen die Ereignisse der letzten Zeit eines immer wahrscheinlicher werden: Dass nämlich gesetzgeberisch sich in Deutschland in puncto EU-Cookie-Richtlinie rein gar nichts ändern wird.