Das EU-Parlament hat Ende letzten Jahres in Richtlinie 2009/136/EG eine Änderung der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) beschlossen, die auch die Nutzung von Cookies betrifft. Ziel der Änderung der Richtlinie ist die Schaffung von mehr Transparenz und Sicherheit für die Verbraucher. In diesem Artikel sollen die Änderungen untersucht werden, die das EU-Parlament hinsichtlich der Verwendung von Cookies getroffen hat.

Zur Bedeutung und rechtlichen Bewertung von Cookies

Cookies sind heutzutage vor allem für die Werbewelt relevant. Sie sind nützlich um Daten über die Nutzung einzelner Webseiten und das Nutzverhalten im Allgemeinen zu sammeln. Insbesondere das Kaufverhalten der Nutzer kann basierend auf einer geschickten Cookiesetzung analysiert werden. Gerade deswegen sind auch diverse Verbraucherschutzgruppen sowie öffentliche Institutionen auf den Gebrauch von Cookies aufmerksam geworden.

Es wird durch den Änderungsbeschluss unter anderem ein neuer Artikel 5 Absatz 3 in die bestehende Datenschutzrichtlinie für elektronische Kommunikation eingefügt:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet wird, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.”

Die neue oben zitierte Richtline spricht von „Speicherung von Informationen oder der Zugriff auf Informationen“. Damit ist maßgeblich, wie der deutsche Gesetzgeber den Begriff „Information“ auslegen wird. Denn die Speicherung personenbezogener Daten in Cookies bedarf bereits nach derzeit geltender Rechtslage einer datenschutzrechtlichen Erlaubnis (also beispielsweise einer Einwilligung oder einer datenschutzrechtlichen Gestattungsnorm). Setzt der deutsche Gesetzgeber die Begriffe „Information“ und „personenbezogene Daten“ gleich, wird sich daher nicht viel ändern. Folgt er aber der Intention der Richtlinie und fasst den Begriff „Information“ weiter, wird die Abspeicherung sämtlicher Cookie-Inhalte künftig grundsätzlich einwilligungsbedürftig.

Was kritisieren Datenschützer an der momentanen Cookiehandhabung?

Kritisiert wird vor allem, dass der Nutzer keinerlei Einfluss auf den Inhalt der Cookiedaten hat. Inhalt, Umfang, Sendezeit und Speicherungsdauer entziehen sich in der Regel seinem Wissen. Daneben kann der Webserver, der den Cookie setzen lässt, bestimmen, wer den Cookie später empfangen soll. Dies ist damit wiederum dem Einflussbereich des Nutzers entzogen.

Welche Gestaltungsmöglichkeiten würden künftig für Cookies verbleiben?

Es bestünden verschiedene Möglichkeiten, wie den Forderungen der Richtlinie nach einer gesetzeskonformen Verwendung von Cookies entsprochen werden könnte. Exemplarisch seien drei Möglichkeiten genannt:

  1. Einwilligung direkt bei Aufruf der Webseite: Beim Aufruf der Webseite erhält der Nutzer einen Link, der ihn direkt auf die Datenschutzerklärung der Seite verweist. In dieser Erklärung wird die Nutzung und Setzung der Cookies genau erläutert. Daneben würde beschrieben werden, welche Browsereinstellungen der Nutzer vornehmen muss, damit keine Cookies gesetzt werden. Kehrt der Nutzer dennoch auf die Webseite zurück, so zeigt er sich als mit der Cookiesetzung einverstanden.
  2. Einwilligung in Pop-Up-Fenster: Beim Aufruf der Webseite erscheint ein Pop-Up-Fenster, in diesem Fenster wird über die Setzung der Cookies informiert. In diesem Pop-Up-Fenster befindet sich eine Opt-out-Box (bereits gesetztes Häkchen, das der Nutzer entfernen kann), nach welcher der Nutzer die Setzung von Cookies ablehnen kann, indem er das bereits gesetzte Häkchen entfernt. Entfernt der Nutzer das Häkchen nicht und kehrt zur Webseite zurück, kann der Webseitenbetreiber seine Cookies setzen. Auch so wird im Sinne der Richtlinie die Einwilligung konkludent ausgedrückt.
  3. Nach der Richtline soll es auch möglich sein, anhand der Browsereinstellungen eine generelle Einwilligung zu erteilen: „Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“ Damit ist zwar eine generalisierende Einwilligung über eine Browser-Einstellung denkbar. Allerdings genügen die Browser mit ihren derzeitigen Standardeinstellungen zur Cookieverwendung noch nicht diesen Anforderungen.

Ausnahme: Session-Cookies

Gemäß Satz 2 der neuen Vorschrift ist eine Einwilligung auch in Zukunft bei solchen Cookies entbehrlich, die technisch erforderlich sind, um den jeweiligen Dienst zu erbringen. Dies heißt, dass für das Setzen von Session-Cookies normalerweise auch in Zukunft keine spezifische Einwilligung eingeholt werden muss.

Wann kommt die neue Regelung?

Momentan müssen Unternehmen ihre Webseiten noch nicht umgestalten. Die Richtline bindet zuerst nur die Mitgliedstaaten, welche die Richtlinie bis zum 25. Mai 2011 in nationales Recht umzusetzen haben. Auch der deutsche Gesetzgeber muss hier tätig werden. Es ist den Unternehmern jedoch klar zu empfehlen, sich über das Thema informiert zu halten.

Fazit: Das Thema Cookies im Auge behalten

Die Verwendung von Cookies zu Werbezwecken ist ein in der Internetwirtschaft nahezu unverzichtbares Hilfsmittel geworden. Sollten hier künftig grundsätzlich Einwilligungen der Nutzer oder Anpassungen der Browsereinstellungen erforderlich sein, um Cookies datenschutzkonform zu verarbeiten, werden zahlreiche Anpassungen an Webseiten notwendig. Es bleibt zu hoffen, dass der deutsche Gesetzgeber sich zunächst einmal um die Definition der Begriffe „Daten“ und „Information“ bemühen und darauf aufbauend eine Kompromisslösung entwickeln wird, damit der Schaden begrenzt bleibt.

Wichtiger Hinweis

Der vorliegende Rechtsbeitrag stellt weder eine Rechtsberatung dar noch ersetzt er die Beratung durch einen fachkundigen Rechtsanwalt, bei der die Besonderheiten des Einzelfalls berücksichtigt werden können. Der Beitrag ist abgestimmt auf die dem Autor bei der Veröffentlichung bekannte Rechtsprechung und die herrschende Meinung in der einschlägigen Rechtsliteratur. Es ist nicht auszuschließen, dass einzelne Textpassagen im Lichte eines unbekannten oder nicht veröffentlichten Urteils zu beanstanden sind. Bitte informieren Sie sich über derartige Umstände oder holen im Zweifel fachkundigen Rat ein.

Bildmaterial von mconors
GD Star Rating
loading...
Alle Bilder in diesem Artikel unterliegen der Creative-Commons-Lizenz (Namensnennung-Keine Bearbeitung, CC BY-ND; Link zum rechtsverbindlichen Lizenzvertrag). Ausgenommen sind anders gekennzeichnete Bilder unter anderem von Panthermedia, Fotolia, Pixelio, Morguefile sowie Pressefotos oder verlagseigenes Bildmaterial.