Nach wie vor ist in Deutschland keine unmittelbare Umsetzung der sog. Cookie-Richtlinie durch den Erlass eines Gesetzes erfolgt. Dies stellt die hiesigen Webseiten- und Onlineshopbetreiber vor ein Problem: Muss die Richtlinie von Shopbetreibern beachtet werden? Und wenn ja, wie sieht das in der Praxis aus?
Was sind Cookies?
Cookies, das sind kleine Textdateien, durch deren Einbindung in den Quelltext einer Webseite eine Art Markierung auf dem Gerät des Webseitenbesuchers gespeichert wird. Durch diese Markierung wird der Besucher für den Zeitraum, in dem der Cookie gesetzt ist, von der Webseite wiedererkannt.
Dies ermöglicht bestimmte Funktionen einer Webseite, wie z.B. einen Besucherzähler oder das Speichern bestimmter Artikel in einem Warenkorb, obwohl der Seitenbesucher zwischendurch den Onlineshop verlässt. Durch das Setzen eines Cookies kann nicht zwingend der Rückschluss auf eine natürliche Person erfolgen, je nach Art des Cookies werden jedoch auch personenbezogene Daten gespeichert.
Was sagt die Cookie-Richtlinie?
Aus diesem Grund und dem dahinter stehenden Gefahrenpotential für das informationelle Selbstbestimmungsrecht des Einzelnen, das von Cookies ausgeht, sieht die Cookie-Richtlinie (Richtlinie 2009/136/EG) vor, dass die Mitgliedstaaten sicherstellen, dass die Speicherung von oder der Zugriff auf Informationen, die im Endgerät eines Nutzers gespeichert werden (= Cookies), nur dann gestattet ist, wenn dieser Nutzer
“auf der Grundlage von klaren und umfassenden Informationen, die er (…) unter anderem über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“
Festzuhalten sind somit vor allem zwei Erfordernisse für die Zulässigkeit von Cookies:
- Eine klare und umfassende Information über das Setzen von Cookies und
- eine darauf beruhende Einwilligung des Betroffenen hierzu.
Was genau eine klare und umfassende Information darstellt, zu welchem Zeitpunkt sie stattfinden muss und wie die Einwilligung einzuholen ist, überließ der europäische Gesetzgeber dabei weitestgehend der Ausgestaltung der Mitgliedstaaten. Lediglich in Erwägungsgrund Nr. 66) zur Richtlinie wird angeführt, dass die Einwilligung unter Umständen
„auch über die Handhabung der entsprechenden Einstellungen des Browsers oder einer anderen Anwendung ausgedrückt werden“ kann.
Weiterhin wird dort klargestellt, dass die Vorgaben der Richtlinie nicht gelten, soweit eine Speicherung unverzichtbar ist, um die Nutzung eines Dienstes überhaupt erst zu ermöglichen.
Der nicht ganz eindeutige Wortlaut führte zu verschiedenen Auslegungen der EU-Mitgliedstaaten: Einige (so z.B. Tschechien, Malta und Finnland) wählten direkt die „Opt-out“-Lösung, die davon ausgeht, dass eine hinreichende Information und die Möglichkeit, der Speicherung (über die Browser-Einstellungen oder anders) zu widersprechen (= Opt-out), ausreicht.
Eine Vielzahl der Staaten (darunter Österreich, Frankreich, Niederlande und Dänemark) entschied sich dagegen für die „Opt-in“-Variante. Schließlich sei die Möglichkeit eines Widerspruchs nicht gleichbedeutend mit dem Einholen einer Einwilligung, so die Argumentation.
Teilweise wurde dabei der Wortlaut der Richtlinie unverändert übernommen. Jedoch konkretisierten einige dieser Mitgliedstaaten Ihre Anforderungen bereits bei der Umsetzung oder in der Folgezeit dahingehend, dass unter Opt-in auch eine stillschweigende oder konkludente Einwilligung zu verstehen sei, zum Beispiel, wenn der Nutzer trotz umfassender anfänglicher Information weiterhin auf der Seite verbleibe. Hierbei stützten sich die jeweiligen nationalen Gesetzgeber auf den genannten Erwägungsgrund.
Gerade die Einhaltung der vielen verschiedenen europäischen Rechtsvorschriften stellt Online-Händler vor immer wieder neue Herausforderungen. Wir beraten Sie gerne und betreuen Sie auch bei der Internationalisierung Ihres Online-Shops. Lassen Sie uns doch einmal zu dem Thema telefonieren.
Und was gilt in Deutschland?
Der deutsche Gesetzgeber blieb in Folge des Erlasses der Richtlinie auch über die Umsetzungsfrist, die 2011 endete, hinaus untätig. Auf Nachfragen der Europäische Kommission nahm die Bundesregierung jedoch Stellung und erklärte, die Richtlinie müsse nicht eigens umgesetzt werden, da die in ihr enthaltenen Neuregelungen in Deutschland bereits durch das Telemediengesetz (TMG) abgedeckt seien.
So umfasse § 13 Abs. 1 S. 2 TMG auch Cookies, das Erfordernis zur Einwilligung sei in § 12 Abs. 1 TMG enthalten, § 15 Abs. 1 bilde hierzu eine Ausnahme bei Unverzichtbarkeit eines Cookies und die Modalitäten einer wirksamen Einwilligung regele § 13 Abs. 2 TMG.
Diese Auffassung wurde in der Folgezeit stark diskutiert und in weiten Teilen der Praxis als schlicht nicht vertretbar kritisiert. Dabei wird vor allem darauf abgestellt, dass sich das TMG ausschließlich auf personenbezogene Daten bezieht, die entscheidende Regelung der Richtlinie jedoch ganz allgemein von „Informationen“ spricht, weshalb das TMG demzufolge viele Cookies, nämlich jene, die keine personenbezogenen Daten speichern, gar nicht umfassen soll.
Weiterhin wird argumentiert, das TMG gehe an anderer Stelle dagegen weiter, als die Richtlinie es erfordere, da § 13 Abs. 2 TMG eine wirksame Einwilligung unter so strenge Voraussetzungen stelle, wie es vom europäischen Gesetzgeber gar nicht gewollt gewesen sei.
Auch der Düsseldorfer Kreis, also das Gremium der Datenschutzbeauftragten des Bundes und der Länder, sieht keine Umsetzung der Richtlinie in der aktuellen Fassung des TMG und forderte die Bundesregierung daher bereits wiederholt zum Tätigwerden auf.
Folgt man dieser Ansicht der datenschutzrechtlichen Aufsichtsbehörden und der Praxis, bleibt eine große Unsicherheit. Denn was gilt dann? Auch eine direkte Anwendung der Richtlinie durch Webseitenbetreiber würde aufgrund der Unbestimmtheit des Wortlautes keine größere Rechtssicherheit bringen. Gerade wegen dieser fehlenden Bestimmtheit sind die Voraussetzungen für eine direkte Anwendung allerdings auch schon rechtlich nicht gegeben.
Was wird empfohlen?
Gänzlich untätig bleiben sollten Webseitenbetreiber jedoch nicht. Zwar ist die Gefahr einer Abmahnung mit Bezug zur Cookie-Richtlinie derzeit gering, denn die Rechtsunsicherheit führt auch dazu, dass sich potentielle Abmahner momentan nicht an das Thema heranwagen. Nichtsdestotrotz könnte ein Gericht jederzeit ein von der Auffassung der Bundesregierung und der Kommission abweichendes Urteil fällen. Darauf sollte man vorbereitet sein.
Darüber hinaus werden die Vorgaben der Cookie-Richtlinie von immer mehr Shop- und Webseitenbetreibern im EU-Ausland, aber auch im Inland direkt oder aufgrund entsprechender nationaler Regelungen umgesetzt. Sich dieser Entwicklung zu widersetzen, könnte dazu führen, als einer der wenigen „Untätigen“ bei den Verbrauchern negativ aufzufallen.
Wie kann eine Umsetzung aussehen?
Um den sichersten Weg zu wählen, könnte daher die strengste Opt-In-Variante implementiert werden, das heißt eine klare Information und ausdrückliche Einwilligung noch vor Beginn der Speicherung. In der Praxis wirft das jedoch Schwierigkeiten auf: Um die Einwilligung der Speicherung vorzulagern, wäre eine Art vorgeschaltete Webseite notwendig, die zunächst über Cookies informiert und dem Besucher die Entscheidung überlässt.
Im Ergebnis würde diese wenig benutzer- und betreiberfreundliche Alternative wahrscheinlich zu einer hohen Absprungrate und demzufolge niedrigeren Besucherzahlen führen. Das kann nicht gewollt sein.
Einen guten Mittelweg stellt dagegen ein am oberen oder unteren Rand der Webseite eingebundenes, sichtbares Banner dar, das über die Einbindung von Cookies informiert und für weitere Informationen auf eine Cookie-Erklärung oder den entsprechenden Abschnitt in der Datenschutzerklärung verlinkt.
Aus diesem detaillierten Abschnitt sollte hervorgehen, welche Cookies konkret eingebunden werden und wie dies durch entsprechende Browsereinstellungen unterbunden werden kann. Im Banner sollte der Seitenbesucher außerdem darauf hingewiesen werden, dass er durch weitere Nutzung der Webseite der Einbindung von Cookies zustimmt.
Diese Variante entspricht einer erleichterten Opt-in-Lösung, die davon ausgeht, dass die Einwilligung stillschweigend (durch Fortfahren auf der Webseite) erteilt werden kann. In Deutschland informieren Betreiber von Shops und Webseiten damit nicht nur transparent, sondern sind in derzeitiger Situation auch auf der sicheren Seite.
Richtet sich ein Shop an weitere Länder im EU-Ausland, sollte dessen Betreiber sich informieren, wie die Richtlinie dort umgesetzt wurde. Zwar reicht die hier empfohlene Lösung auch für eine Vielzahl der anderen EU-Mitgliedstaaten. Wie erläutert, wurden in einigen Ländern jedoch strengere Voraussetzungen festgelegt.
Google-Publisher aufgepasst!
Unabhängig von Herkunft oder Zielland hat Google in Anlehnung an die Cookie-Richtlinie eine eigene verbindliche Richtlinie für Publisher der Produkte „Google AdSense“, „Google DoubleClick for Publishers“ und „Google DoubleClick Ad Exchange“ veröffentlicht, die bis zum 30. September 2015 umgesetzt werden musste. Die betroffenen Publisher erhielten diesbezüglich Ende Juli 2015 eine Email, die die Änderungen ankündigte.
Nach dieser Richtlinie ist die Information und Einholung einer Einwilligung verpflichtend. Wie genau diese Erfordernisse gestaltet werden müssen, lässt auch Google zunächst offen, gibt auf der eigens hierfür erstellten Webseite http://www.cookiechoices.org/ jedoch Tipps und Empfehlungen für Tools, die bei der Einbindung der Erfordernisse helfen sollen.
Google-Publisher haben daher auch in Deutschland nicht die Wahl, welcher Auffassung sie folgen: Jedenfalls für die genannten Google-Produkte sind sie gehalten, die entsprechenden Vorgaben einzuhalten.
[poll id=”80″]
Ergänzender Hinweis: Auch der Shopbetreiber-Blog setzt Richtlinien-relevante Cookies ein. Daher arbeiten wir derzeit auch an der Umsetzung der Cookie-Richtlinie hier im Blog, entsprechend der Empfehlung im Beitrag. Die Empfehlung wollten wir nichtsdestotrotz – gerade auch wegen der Aktualität im Zusammenhang mit der Google Richtlinie – schon veröffentlichen.
Mich würde dazu mal eine Befragung der Nutzer interessieren, wie die dieses Vorgehen finden und ob sie es für nötig halten.
Aus persönlicher Erfahrung als Nutzer kann ich nur sagen, dass ich diese ganzen Cookie-Banner (egal wo, ob oben, unten, links, rechts oder in der Mitte) und vor allem auch “Fensterschen”, die einem förmlich beim Betreten einer Seite ins “Gesicht springen”, einfach nur als absolut NERVEND empfinde.
Ich kann mir nicht vorstellen, dass Nutzer (ich schreibe absichtlich nicht Verbraucher, da es m.M. jeden Nutzer und nicht nur jeden Verbraucher angeht) es für nötig erachten, auf jeder Seite die sie besuchen diesen blöden Banner wegklicken zu müssen (damit er nicht das Gesamtbild der Seite zerstört), ich schätze mal, dass es ohnehin kaum einer liest.
Auch ist es doch so, dass derjenige der sich da bewußt vor “schützen” möchte, bestimmt selbst Maßnahmen ergreifen könnte, mittels irgendwelcher Add-Ons für den Browser, für Javascript und Flash gibt es das ja schließlich auch.
Da kann ich Frau P nur voll und ganz zustimmen! Diese ganzen Cookiehinweise sind einfach nur penetrant nervig, kein Webseitenbesucher möchte diese und ich denke mal 100% der Nutzer ist es völlig egal, was Cookies sind, man möchte eigentlich einfach nur ungehindert surfen und das eine Webseite zügig lädt. Die EU in ihrer unsäglichen Regulierungswut, jeder hart arbeitende, seriöse Webseitenbetrieber hat alles andere zu tun, als Kundendaten zu mißbrauchen/zu verkaufen und jeder der es drauf anlegt, wird es trotzdem tun, ob nun mit oder ohne Hinweis!
Leider ist das Technische immer eine Einzellösung und für den Nutzer wirklich störend, wenn bald fast jede Seite in unterschiedlicher Form diese Abfrage zu den Cookies gestaltet. Wir versuchen das gerade auch auf unserer Webseite umzusetzen, aber möglichst unauffällig für den Nutzer, was wirklich schwierig ist.
Laut den Datenschutzerklärungen verwenden sowohl der shopbetreiber-Blog als auch trustedshops.de Cookies, ich bekomme jedoch auf beiden Seiten keinen Hinweis.
@Peter, es kommt ja darauf an, wofür die Cookies verwendet werden. Sind Cookies für Betrieb und Funktionalität einer Website unabdinglich erforderlich, braucht man keinen extra zu betätigenden Cookiehinweis, hier reicht ein Hinweis in der Datenschutzerklärung. Werden Cookies jedoch zur Auswertung von Nutzerverhalten oder anderweitig verwendet und die erhobenen Daten lassen sich eindeutig jeweils einem bestimmten Besucher zuordnen, bedarf es einer aktiven Zustimmung durch den Besucher.
@Dunkelwelt:
Das steht das oben so nicht, darüberhinaus schreibt der Shopbetreiber-Blog in seiner Datenschutzerklärung von persistenten Cookies die zur Wiedererkennung dienen.
Auch etracker und Google Analytics verwenden wohl entsprechende Cookies.
Insgesamt etwas merkwürdig, dass hier vom Shopbetreiber-Blog bzw. Trusted Shops empfohlen wird, entsprechende Banner zu verwenden, diese jedoch bei beiden Seiten nicht zu finden sind. Hier würde mich eine Erklärung der Blogbetreiber schon interessieren.
“Practice what you preach?”
@Peter @Dunkelwelt @Frau P @rufname.com: Der Hinweis von Peter ist grundsätzlich richtig, auch der Shopbetreiber-Blog setzt Richtlinien-relevante Cookies ein. Daher arbeiten wir derzeit auch an der Umsetzung der Cookie-Richtlinie entsprechend der Empfehlung im Beitrag. Wie rufname.com schon sagte, ist es immer eine technische Einzellösung und daher entsprechend aufwändig. Dabei gilt es auch im Rahmen des Layouts einen guten Mittelweg zu finden, sodass Seitenbesucher informiert, aber im Lesefluss nicht gestört werden. Auch diese Problematik wurde hier in den Kommentaren bereits verdeutlicht. Die Empfehlung wollten wir nichtsdestotrotz – gerade auch wegen der Aktualität im Zusammenhang mit der Google Richtlinie – schon veröffentlichen.
@Frau P:
Selbstverständlich kann man in seinem Browser Cookies verbieten und ich mache das auch. Dummerweise rechnen WWW-Programmierer in der Regel nicht damit und es kommt zu merkwürdigem Verhalten der WWW-Seiten. Also statt Nutzer mit Cookie-Hinweisen zu nerven, sollten Programmierer ihre Zeit investieren, um WWW-Seiten zu programmieren, die auch bei abgelehnten Cookies funktionieren.
Hallo,
mich würde interessieren woher sie die Informationen zu Ihren Beiträgen zum Thema Cookie-Richtlinien und deren Umsetzung in den verschiedenen EU-Ländern bekommen. Stammen diese ausschließlich von anderen Internetquellen oder gibt es dazu auch Literatur? Schreibe meine Bachelorarbeit zu diesem Thema.
Vielen Dank im Voraus für Ihre Antwort
MfG
Wir haben ein Team von Länderexperten und es gibt wie in Deutschland auch im Ausland verschiedene juristische Datenbanken mit juristischer Literatur und Rechtsprechung. Diese nutzen wir natürlich für Recherchern.