1. Der Sachverhalt
Alle Nutzer von Google AdSense, DoubleClick for Publishers und DoubleClick Ad Exchange bekamen vor Kurzem Post von Google. Die Nachricht lautete:
„Lieber Publisher,
hiermit möchten wir Sie auf eine neue Richtlinie zur Einholung der Zustimmung der Endnutzer in der EU hinweisen, mit der den geltenden gesetzlichen Vorgaben und Best Practices Rechnung getragen wird. Diese Richtlinie sieht vor, dass Sie zur Einholung der Zustimmung des Endnutzers verpflichtet sind, wenn Sie Produkte wie Google AdSense, DoubleClick for Publishers und DoubleClick Ad Exchange einsetzen.
Bitte lesen Sie möglichst bald unsere Richtlinie zur Zustimmung der Nutzer in der EU. Gemäß diesen Richtlinien müssen Sie die Zustimmung der Endnutzer in der EU einholen, wenn Sie Google-Produkte einsetzen und dabei Cookies und andere Daten gespeichert und abgerufen sowie Daten erfasst, weitergegeben und genutzt werden. Die Richtlinie hat keine Auswirkungen auf die in Ihrem Vertrag enthaltenen Bestimmungen über das Eigentum an Daten.
Bitte setzen Sie diese Richtlinie so bald wie möglich um, spätestens jedoch bis zum 30. September 2015.
Falls Ihre Website oder App über keinen der Richtlinie entsprechenden Zustimmungsmechanismus verfügt, implementieren Sie bitte jetzt einen solchen. Um Ihnen die Implementierung zu erleichtern, haben wir einige hilfreiche Ressourcen unter cookiechoices.org für Sie zusammengestellt.
Diese Richtlinienänderung erfolgte in Reaktion auf die Best Practices und rechtlichen Vorgaben der europäischen Datenschutzbehörden. Entsprechend diesen Vorgaben wurden vor Kurzem auch Änderungen an Googles eigenen Websites vorgenommen.
Vielen Dank für Ihr Verständnis und Ihre Mithilfe
Mit freundlichen Grüßen
Ihr Google-Richtlinienteam“
Die Frage vieler Webmaster ist nun: Wozu genau bin ich denn jetzt gesetzlich verpflichtet? Wie ist die Rechtslage?
2. Die Rechtslage
a. Was bislang geschah
Wir erinnern uns: Da war doch irgendwann einmal etwas mit einer EU-Cookie-Richtlinie oder so. Was war das bloß noch alles?
Richtig. Die Erinnerung kehrt langsam wieder zurück: Das Europäische Parlament erließ vor vielen, vielen Jahren die sogenannte EU-Cookie-Richtlinie. Der deutsche Gesetzgeber war verpflichtet, diese EU-Richtlinie bis Mitte 2011 umzusetzen. Doch nichts geschah. Während in vielen anderen europäischen Ländern die nationalen Datenschutzgesetze geändert wurden, passierte in Deutschland nicht wirklich etwas.
Der Gesetzgeber konnte sich zwar zu einem ersten Gesetzesentwurf durchringen, mehr aber auch nicht. § 13 Abs. 8 TMG (Telemediengesetz) sollte lauten:
„Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.“
Die Norm betraf alle Formen mobiler und nicht mobiler Endgeräte (z. B. PC, Smartphones, Tablet-Computer) und alle Arten von Daten, die auf dem Endgerät gespeichert werden. Die Regelung war demnach nicht begrenzt auf bloße Cookies, sondern betraf jede Form personenbezogener Daten, die lokal auf dem Gerät des Users gespeichert wurden und auf die der Betreiber Zugriff nahm.
Das Vorhaben kam jedoch nie über das Entwurfsstadium hinaus und verfiel dann bei der nächsten Bundestagswahl aufgrund der parlamentarischen Diskontinuität.
Dann geschah lange Zeit rein gar nichts. Es wurde Sommer, dann Winter. Dann wieder Sommer und danach wieder Winter. Während man im EU-Ausland sich redlich abmühte, die Cookie-Richtlinie in der Praxis umzusetzen, ohne viel Conversion zu verlieren, schlief man in der Bundesrepublik den Dornröschenschlaf.
Aus heiterem Himmel, im Februar 2014, überraschte das Bundeswirtschaftsministerium dann plötzlich die Öffentlichkeit mit nachfolgendem Statement:
„Das Bundeswirtschaftsministerium hat in der letzten Legislaturperiode einen Fragebogen der Europäischen Kommission zur Umsetzung in Deutschland beantwortet und dabei insbesondere auf die Bestimmungen des Telemediengesetzes hingewiesen.
Es gibt keine Signale seitens der Europäischen Kommission, dass die dargestellte Rechtslage unzureichend sei.”
Und die Äußerung der Europäischen Kommission dazu war:
„Yes, we can confirm that Germany has transposed the revised ePrivacy Directive into national law.”
Bedeutet im Klartext: Nach Meinung der Bundesregierung und der Europäischen Kommission sei somit die EU-Richtlinie bereits durch die nationalen deutschen Gesetze hinreichend umgesetzt, sodass kein Anpassungsbedarf bestehe.
Auch wenn Anfang 2014 die Ansichten der Bundesregierung und der EU-Kommission (scheinbar) überraschend kamen, so sind sie nicht gänzlich neu. Bereits im Gesetzgebungsverfahren 2012 hieß es in der parlamentarischen Diskussion wörtlich:
- „Steht doch alles in §§ 12, 13 und 15 TMG.“
- „Die Bundesregierung hat übrigens die geltende Fassung des TMG als Umsetzung der E-Privacy-Richtlinie nach Brüssel gemeldet. Von der EU-Kommission kam dazu bisher kein Widerspruch.“
- „Im Übrigen darf ich die Genossen der SPD darauf hinweisen, dass die Bundesregierung, konkret das zuständige Bundeswirtschaftsministerium, dieses Instrumentarium der Europäischen Kommission als Umsetzung des Art. 5 Abs. 3 der e-Privacy-Richtlinie in aller Ausführlichkeit vorgestellt hat. Dabei hat die EU-Kommission unseren nationalen Regelungen inhaltlich und formell nicht widersprochen.“
Die Cookie-Richtlinie muss nach Ansicht der Bundesregierung und der EU-Kommission somit gar nicht mehr umgesetzt werden.
Im April 2015, also vor wenigen Monaten, überraschte dann ein gemeinsames Statement der deutschen Datenschutzbehörden. Deren Standpunkt war exakt diametral. Danach sei die Meinung der Bundesregierung klar falsch und die deutsche Rechtslage noch nicht ausreichend. Vielmehr müsse die Cookie-Richtlinie noch in deutsches Recht umgesetzt werden.
Damit aber noch nicht genug. Im Juni dieses Jahres tauchte eine vom Januar 2015 stammende Studie für die Europäische Kommission auf. Und dort hieß es dann urplötzlich:
„When looking at the way Article 5.3 has been transposed by the Member States, a first observation to make is that this provision has not been transposed by the German legislature.”
Ist die Kommission nun auch der Ansicht, dass es in Deutschland einer Umsetzung bedürfe? Keiner weiß es so genau …
Und das Allerschönste zuletzt: Auch wenn in vielen anderen EU-Ländern die EU-Cookie-Richtlinie umgesetzt wurde, herrscht dort keineswegs Rechtssicherheit. Viele Probleme harren nach wie vor einer grundsätzlichen Klärung. Die wichtigste Frage ist dabei vor allem: Statuiert die Richtlinie denn nun ein Opt-in- oder ein Opt-out-Modell? Auch hier die Antwort: Keiner weiß das so genau …
Während im Land X gesetzlich eine Opt-in-Pflicht eingeführt wurde, herrscht in Land Y das Opt-out-Prinzip vor. Von europaweiter Rechtsharmonisierung also weit entfernt.
b. Bewertung des bisherigen Verlaufs: Lachnummer erstes Grades
Man kann es nicht anders sagen: Der Wahnsinn hat einen Namen und es ist der Umgang mit der Cookie-Richtlinie in Europa. Das gesamte Thema Online-Datenschutzrecht ist in Deutschland inzwischen zur absoluten Lachnummer verkommen. Dies ist insbesondere deswegen so traurig, weil die Thematik an und für sich außerordentlich hohe Praxisrelevanz hat und inzwischen die Verbraucher mehr als berechtigt sehr sensibilisiert sind.
Diese wichtige Bedeutung steht aber im absolut krassen Widerspruch zum rechtlichen Umgang mit dieser Thematik. Traurig, aber wahr.
c. Rechtliches Zwischenergebnis
Der bisherige Verlauf offenbart: Hält sich der Webseiten-Betreiber an die Vorgaben des TMG, so verhält er sich – jedenfalls nach dem Standpunkt der Bundesregierung – rechtskonform und kann nicht juristisch angegriffen werden. Um die EU-Cookie-Richtlinie muss der Nutzer sich also nach dieser Meinung nicht weiter kümmern.
3. Verhalten gegenüber Google
Viele Webmaster werden sich nun fragen: Wenn sich an der Rechtslage in Deutschland nichts geändert hat, warum schickt Google mir dann solche Mails und will mich verpflichten, entsprechende Hinweise aufzunehmen?
Die Antwort ist relativ einfach: Google liegt wegen zahlreicher Themen im Dauer-Clinch mit der EU-Kommission. Bevor hier der Europäische Gesetzgeber harte Gesetze und Sanktionen erlässt, praktiziert Google vorausseilenden Gehorsam und stellt eine Art Selbstregulierung auf – quasi als „Blitzableiter“ für die zum Teil massive Kritik an dem Datenschutz-Verhalten von Google.
Das aktuelle Vorgehen von Google basiert also nicht auf irgendwelchen gesetzlichen Änderungen und ist schon gar nicht bedingt durch die EU-Cookie-Richtlinie.
Gleichwohl verpflichtet Google die Nutzer der genannten Dienste dazu, bestimmte datenschutzrechtliche Vorgaben einzuhalten. Es handelt sich um eine vertragliche Pflicht, die Google gegenüber seinen Nutzern aufstellt. Als Vertragspartner kann Google eine solche Verpflichtung verlangen. Nach deutschem Recht steht den Parteien eines Vertragsverhältnisses grundsätzlich frei, welchen Inhalt ihre Vereinbarung hat. Somit können problemlos auch Vorschriften aufgestellt werden, die schärfere Regeln festlegen als die gesetzlichen Bestimmungen.