Seit Ende 2009 gibt es in der Europäischen Union (EU) eine einheitliche Vorgabe was die Verwendung von Cookies betrifft. Die sog. E-Privacy-Richtlinie (Richtlinie 2009/136/EG) legt fest, dass Webseitenbetreibern und Anbietern von Diensten, die Cookies und ähnliche Techniken verwenden, die explizite Zustimmung der Nutzer vor der Datenspeicherung auf den Geräten der Nutzer einholen müssen (sog. Opt-In-Lösung).
Die EU-Mitgliedstaaten hatten bis Mai 2011 Zeit, die europäische Vorgabe umzusetzen. Dies ist bisher sehr unterschiedlich geschehen.
Rechtslage in Deutschland
In Deutschland gab es außer mehreren gescheiterten Gesetzesinitiativen bisher keinen offiziellen Umsetzungsakt, der die Richtlinie in nationales Recht umsetzt. Hier regelt also nach wie vor das Telemediengesetz (TMG) die Nutzung von Cookies. In § 15 Abs. 3 TMG ist geregelt, dass Cookies und ähnliche Techniken eingesetzt werden dürfen, soweit die Nutzer der Verwendung nicht widersprochen haben (sog. Opt-Out-Lösung). Diese Lösung steht somit grundsätzlich im Widerspruch zur EU-Vorgabe, denn die Richtlinie geht ihrem Wortlaut nach von einer Einwilligungslösung aus. Das Bundeswirtschaftsministerium und die EU-Kommission äußerten im letztes Jahr, dass sie die Umsetzung der Richtlinie in geltendes deutsches Recht als bereits erfolgt ansehen. Diese Auffassung überrascht vor dem Hintergrund der offensichtlich widersprüchlichen Formulierung der Vorschriften und lässt Webseitenbetreiber in Deutschland weiterhin in Unsicherheit.
Praktische Umsetzung
Da in Deutschland immer noch das TMG und damit die sog. Out-Out-Lösung gilt, sollten hierzulande entsprechende Hinweise in der Datenschutzerklärung über die Nutzung von Cookies, ein entsprechendes Widerspruchsrecht des Nutzers und die Möglichkeit der Anpassung der Browser-Einstellungen zum jetzigen Stand noch ausreichen. Es ist jedoch nicht zweifelsfrei ersichtlich, ob die bisherige Opt-Out-Lösung europarechtskonform ist. Um rechtlich auf der sicheren Seite zu sein ist auch deutschen Webseitenbetreibern die Cookies nutzen die Einwilligungslösung unter Verwendung von Pop-Ups oder Bannern zu empfehlen. Insgesamt bleibt abzuwarten, wie die rechtliche Entwicklung in Deutschland weitergeht und ob eine Änderung des TMG demnächst ein Opt-In vorschreiben wird.
Rechtslage in den Niederlanden
In den Niederlanden wurde die E-Privacy-Richtlinie bereits 2012 durch Änderung des niederländischen Telekommunikationsgesetzes (Telecommunicatiewet) umgesetzt, wobei die Vorschriften über das Setzen von Cookies verschärft wurden. Im März 2015 wurden nun die Regelungen bezüglich Cookies im Telekommunikationsgesetz erneut angepasst und benutzerfreundlicher gestaltet. In der aktuellen Fassung des Artikels 11.7 a Telekommunikationsgesetz ist jetzt geregelt, dass Webseiten bestimmte Cookies nicht ohne vorherige umfangreiche Information des Nutzers und seiner ausdrücklichen Einwilligung setzen bzw. auslesen dürfen (sog. Opt-In-Lösung). Der Nutzer muss ausdrücklich darüber informiert werden, welche Cookies gesetzt werden sollen und was Sinn und Zweck dieser Cookies ist. Ausnahmen hiervon nennt das Telekommunikationsgesetz für sog. „funktionelle Cookies“, die für das ordnungsgemäße Funktionieren der Webseite oder des Dienstes notwendig sind, und für bestimmte „analytische Cookies“, die verwendet werden, um die Arbeitsweise einer Webseite zu verbessern und beispielsweise die Anzahl der Besucher zu erkennen und zu zählen. Solange diese Daten nicht verwendet werden, um „Menschen anders zu behandeln“, dann ist auch bei analytischen Cookies keine vorherige Zustimmung der Nutzer notwendig. Haben die Cookies jedoch Einfluss auf den Datenschutz der Nutzer und werden dazu verwendet, um „Menschen anders zu behandeln“, ist ein Opt-In notwendig. Hierunter fallen z.B. die sog. „Tracking Cookies“, die sensible Daten über das Surfverhalten der Nutzer analysieren, oder die „Analytischen Tracking Cookies“, die zur Individualisierung von Besuchergruppen eingesetzt werden.
Praktische Umsetzung
In den Niederlanden müssen Nutzer zunächst so umfangreich wie möglich über den Einsatz von Cookies informiert werden, die einen Einfluss auf den Datenschutz der Nutzer haben. Die ausführliche Information und darauf basierte Zustimmung der Nutzer muss erfragt und erteilt werden, bevor Cookies auf dem Endgerät des Nutzers gesetzt oder ausgelesen werden können. Es gibt verschiedene Arten, um die ausdrückliche Zustimmung zu erfragen, wie z.B. mittels eines Pop-Ups oder eines Banners, welcher beim ersten Webseitenbesuch deutlich sichtbar eingeblendet werden muss (unabhängig davon, von welcher Seite aus der Nutzer zugreift). Es muss u.a. darüber informiert werden, welche Kategorien Cookies gesetzt werden, zu welchem Zweck und für welche Domains diese gesetzt werden, wie der Nutzer seine Zustimmung erteilt und wie er die Einstellungen anpassen kann.
Seit März 2015 besteht darüber hinaus nun die Möglichkeit, dass die Zustimmung für datenschutzrelevante Cookies nicht nur ausdrücklich, sondern auch implizit von den Nutzern erteilt wird. Die Zustimmung kann also auch von anderen Handlungen abgeleitet werden, wie beispielsweise das Weitersurfen nachdem der Nutzer ausführlich über Cookies informiert wurde, solange dieser (deutlich sichtbar) informiert wird, dass er mit seiner Handlung der Verwendung von Cookies zustimmt. In den Niederlanden ist derzeit noch die Pop-Up oder Banner Opt-in Lösung verbreitet und für eine gewisse Rechtssicherheit bisher wohl auch vorerst weiterhin zu empfehlen. Den Nutzern den Zugang zu einer Webseite bei Fehlen einer Zustimmung gänzlich zu verweigern oder zu blockieren (sog. „cookiemuur“) ist zumindest bei behördlichen Webseiten oder Webseiten die mit öffentlichen Mitteln finanziert werden nicht erlaubt. Neben einem Pop-Up o.ä. sollte auch die Datenschutzerklärung der Webseite von der die Cookies gesetzt werden ausführliche Informationen über den Einsatz von Cookies enthalten.
Webseitenbetreiber sollten beachten, dass diese Vorgaben auch für alle ausländischen Webseiten gelten, die sich an niederländische Nutzer richten.
Spiegeler Advocaten berät Sie gern darüber, was beim Einsatz von Cookies zu beachten ist und wie diese Vorgaben praktisch und rechtssicher umgesetzt werden können.
Franziska Pechtl