Im Mai lief die Frist zur Umsetzung der sogenannten Cookie-Richtlinie der EU aus. Nun hat die umstrittene Regelung zur Einwilligungspflicht für Cookies tatsächlich den Weg in einen Gesetzentwurf des Bundesrates gefunden. Das Ergebnis ist ernüchternd.
Lesen Sie mehr zur geplanten Änderung des Telemediengesetzes
Am 25.05.2011 endete die Frist zur Umsetzung der sog. Cookie-Richtlinie. Auf Veranlassung der hessischen Landesregierung hat der Bundesrat am 17.06.2011 einen Entwurf zur Änderung des Telemediengesetzes (Drucksache 156/11) vorgelegt.
Ziel der Gesetzesänderung soll die Verbesserung des Datenschutzes im Internet sein, wobei der Schwerpunkt auf dem Schutz privater Daten in Online-Netzwerken oder Internet-Foren liegt.
Neben Neuregelungen zu verschärften Informationspflichten für Dienste mit nutzergenerierten Inhalten (z.B. soziale Netzwerke) und Löschungspflichten für Nutzerkonten wurde in den Entwurf auch eine Regelung zur Umsetzung der EU-Cookie-Richtlinie eingestreut.
So soll ein neuer § 13 Abs. 8 TMG-E laut Gesetzesbegründung der Umsetzung des Art. 2 Nr. 5 der Richtlinie 2009/136/EG (Cookie-Richtlinie) dienen und wie folgt lauten:
"Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können."
Es fällt auf, dass der Wortlaut der EU-Richtlinie fast unverändert übernommen wurde. Lediglich der Begriff "Informationen" wurde in "Daten" abgeändert, was die Regelung jedoch nicht unbedingt transparenter und für die Praxis handhabbarer macht.
Offenbar hat man sich wenig Gedanken über die Auswirkungen einer solchen Regelung gemacht, ein Eindruck, der auch durch die knappe Gesetzesbegründung noch verstärkt wird:
"Mit der Regelung werden Nutzer davor geschützt, dass ohne ihre Einwilligung Daten auf ihrem Endgerät gespeichert werden oder auf dort gespeicherte Daten zugegriffen wird."
Erklären lässt sich dies vielleicht damit, dass das Ziel des Gesetzentwurfes eigentlich ein ganz anderes war und die Umsetzung der EU-Richtlinie lediglich aufgrund der Empfehlungen der Ausschüsse zusätzlich eingebracht wurde.
Das eigentliche Ziel der geplanten TMG-Novelle ist die Verbesserung des Datenschutzes in sozialen Netzwerken wie Facebook, weshalb eine frühere Fassung des Entwurfs vom 21.03.2011 (der die Cookie-Regelung noch nicht enthielt) bereits den Beinamen "Lex Facebook" erhielt.
So sind vor allem neue Pflichten für Dienste mit nutzergenerierten Inhalten (soziale Netzwerke, Foren, etc.) vorgesehen, z.B. eine Informationspflicht über die möglichen Risiken für personenbezogene Daten und damit verbundenen Beinträchtigungen der Persönlichkeitsrechte (§ 13a Abs. 2 TMG-E).
Weiterhin sind neue Regelungen zu Nutzerkonten vorgesehen, die künftig über einen leicht erkennbaren "Löschknopf" jederzeit zu löschen und bei längerer Nichtnutzung regelmäßig gelöscht werden müssen (§ 13 Abs. 4 Satz 1 Nr. 3 und 4 TMG-E). Davon betroffen wären allerdings nicht nur Nutzerkonten in sozialen Netzwerken, sondern auch die in Foren oder Online-Shops.
Während die Neuregelungen zu Nutzerkonten und die verschärften Informationspflichten für soziale Netzwerke im Grundsatz vielleicht durchaus sinnvoll sind, kann man den Vorschlag zur Umsetzung der Cookie-Richtlinie nur als wenig durchdacht bezeichnen.
Keines der Probleme, die bereits zum Wortlaut der Richtlinie diskutiert wurden, ist im deutschen Entwurf berücksichtigt worden.
So bleibt nach wie vor unklar, wann ein Cookie "unbedingt erforderlich" und seine Speicherung damit nicht einwilligungspflichtig ist und es wurde auch keine weitere Spezifizierung der von der Regelung betroffenen Cookies, z.B. nach deren Funktion und Inhalt, vorgenommen.
Zwar deutet zumindest die interne Begründung der Ausschüsse darauf hin, dass der Bundesrat (wie auch das EU-Parlament) in erster Linie die sogenannten Tracking-Cookies reglementieren wollte:
"Bereits in den Erwägungsgründen der Richtlinie 2002/58/EG nimmt der europäische Gesetzgeber auf "Spyware", "Web-Bugs", "Hidden Identifiers" und ähnliche Instrumente Bezug, mit deren Hilfe man ohne Wissen des Nutzers in dessen Endgerät eindringen, Zugang zu dort gespeicherten Informationen erlangen und Nutzeraktivitäten nachverfolgen kann. Ohne ausdrückliche Einwilligung des Nutzers stelle dies eine ernsthafte Verletzung seiner Persönlichkeitsrechte dar,..."
Dem Wortlaut der neuen Vorschrift nach ist deren Anwendungsbereich jedoch nicht auf diese Art von Cookies beschränkt und auch die äußerst knappe Gesetzesbegründung enthält hierzu keine weiteren Ausführungen.
Trotz dieser ernüchternden Entwicklung in Sachen Cookie-Richtlinie besteht für Online-Händler und Seitenbetreiber aber nach wie vor noch kein Grund in Panik zu geraten.
Der Bundesrat hat den Entwurf zunächst einmal dem Bundestag und der Bundesregierung vorgelegt. Die Regierung muss innerhalb von 6 Wochen dazu Stellung nehmen.
Das Gesetzgebungsverfahren wird sich also noch eine Weile hinziehen und es bleibt abzuwarten, ob der Entwurf tatsächlich ohne Änderungen die nächsten Instanzen durchläuft, oder ob er, was zu hoffen wäre, noch Änderungen erfährt.