Menü

EU Kommission zur Cookie-Richtlinie: Vorgaben für Cookies gelten in Deutschland

Die komplexe Situation um die von Deutschland noch nicht umgesetzte Cookie-Richtlinie ist um eine Wendung reicher. Webseitenbetreiber müssen sich einmal mehr nach dem Handlungsbedarf fragen.

Die EU-Kommission überrascht deutsche Webseitenbetreiber in Sachen Cookies. Deutsches Recht regele schon heute den Einsatz von Cookies, Web-Bugs & Co, heißt es in einer Stellungnahme der Kommission, die heise online vorliegt. Die komplexe Situation um die von Deutschland noch nicht umgesetzte Cookie-Richtlinie ist damit um eine Wendung reicher. Webseitenbetreiber müssen sich einmal mehr nach dem Handlungsbedarf fragen.

Die Betreiber des Blogs Telemedicus hatten nachgefragt, wie denn die EU-Kommission die Sache heute sieht. In der Antwort vom 5. Februar vertritt die EU-Kommission die Auffassung, Deutschland habe die Richtlinie korrekt in deutsches Recht umgesetzt. Einschränkungen für Cookies gelten deshalb bereits heute auch für deutsche Webseitenbetreiber. Brüssel geht offensichtlich davon aus, dass die bisherigen Regelungen im deutschen Telemediengesetz und im deutschen Bundesdatenschutzgesetz so zu verstehen seien, dass schon heute Cookies den Einschränkungen unterfielen.

Die Rechtslage um den Einsatz von Cookies war bisher insbesondere in Deutschland wenig klar. Schon am 25. November 2009 hatten das Europäische Parlament und der Rat der Europäischen Union beschlossen, die alte E-Privacy-Richtlinie um neue Regelungen für Cookies zu ergänzen.

Dazu trat die meist als Cookie-Richtlinie bezeichnete Richtlinie 2009/136/EG am 19. Dezember 2009 in Kraft. Sie verschärfte die Voraussetzungen für das Setzen von Cookies in einem zentralen Punkt: Danach ist die Speicherung nur noch zulässig, wenn der Surfer "seine Einwilligung gegeben hat" (Opt-in).

Fraglich ist, wie der europäische Gesetzgeber das wirklich gemeint hat. Ein ausdrückliches Zustimmungserfordernis der Surfer läge nahe, wenn da nicht der Erwägungsgrund 66 der Richtlinie wäre. Darin wird festgehalten, dass die nun in vielen Fällen verlangte Einwilligung des Nutzers "über die (...) Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden" kann. Die Einwilligung muss zwar vorab vorliegen, aber eben nicht ausdrücklich.

Wie für eine Richtlinie üblich, gilt auch die Cookie-Regelung zunächst einmal nicht direkt. Adressat sind nicht die Webseitenbetreiber, sondern die EU-Mitgliedsstaaten. Diese hatten lange Zeit, um die geänderten Vorgaben der Richtlinie in nationales Recht umzusetzen. Der Erwägungsgrund 66 ist dabei ein Problem. Denn Erwägungsgründe sind nicht Teil der von den Mitgliedsstaaten umzusetzenden Vorgaben, sondern erläutern die Überlegungen und Absichten von Rat und Parlament. Damit sollen also Erwägungsgründe helfen, eine Richtlinie besser zu verstehen, ohne selbst bindend zu sein.

Die Richtlinie schreibt also einen strengen Mechanismus verbindlich vor, relativiert dann jedoch in unverbindlicher Weise diese strenge Vorgabe. Entsprechend groß war die Diskussion in den Mitgliedsstaaten, was denn nun auf nationaler Ebene in Bezug auf Cookies eigentlich von Webseitenbetreibern verlangt werden sollte.

Während einige Länder ein ausdrückliches Opt-in verlangten, entspricht die Umsetzung in anderen EU-Mitgliedssaaten eher dem Erwägungsgrund 66: Die Browserkonfiguration soll’s richten. Es gibt aber noch eine dritte Gruppe von Mitgliedsstaaten: die, die gar nichts umgesetzt haben. Dazu gehört Deutschland. Bis spätestens im Mai 2011 wäre Deutschland verpflichtet gewesen, die unklaren Vorgaben der Cookie-Richtline in deutsches Recht umzusetzen. Tatsächlich existierte zwischenzeitlich ein Gesetzentwurf, verabschiedet wurde aber noch nichts.

Die Unklarheiten rund um die Cookie-Richtlinie waren damit in Deutschland um eine Wendung reicher. Die Frage kam in Spiel, ob dann vielleicht die Richtlinie in Deutschland doch direkt gelte. Wenn Berlin versäume, für den Schutz der deutschen Bürger zu sorgen, gilt die Vorgabe aus Brüssel eben doch direkt als Verbot für Webseitenbetreiber. Dies meint etwa der frühere Bundesdatenschutzbeauftragte Peter Schaar.

Während jüngst etwa in Spanien die Aufsichtsbehörde erste Unternehmen für den falschen Einsatz von Cookies mit Bußgeldern belegte, ist solcherlei von den 16 Landesdatenschutzbehörden in Deutschland bisher nicht bekannt. Nun ist jedoch auch für deutsche Webseitenbetreiber Vorsicht geboten. Denn mit dem Rückenwind aus Brüssel ist gut vorstellbar, dass nun deutsche Aufsichtsbehörden die vorhandenen Gesetze entsprechend der Cookie-Richtlinie auslegen und gegen das unzulässige Platzieren von Cookies, Web-Bugs & Co. vorgehen.

Webseitenbetreiber sollten deshalb den Einsatz solcher Techniken überprüfen. Notwendige Cookies bleiben zulässig, hinsichtlich Flash-Cookies und generell Tracking-Cookies, Zählpixel und ähnlichen Techniken braucht der Webseitenbetreiber nun aber das Einverständnis.

Der Autor berät Unternehmen zu Fragen des Datenschutzes. (Dr. Marc Störing) / (anw)

Anzeige
Zur Startseite
Anzeige