Das Rätselraten um die Cookie-Richtlinie

Nach wie vor ist in Deutschland keine unmittelbare Umsetzung der sog. Cookie-Richtlinie durch den Erlass eines Gesetzes erfolgt. Dies stellt die hiesigen Webseiten- und Onlineshopbetreiber vor ein Problem: Muss die Richtlinie von Shopbetreibern beachtet werden? Und wenn ja, wie sieht das in der Praxis aus?

Was sind Cookies?

Cookies, das sind kleine Textdateien, durch deren Einbindung in den Quelltext einer Webseite eine Art Markierung auf dem Gerät des Webseitenbesuchers gespeichert wird. Durch diese Markierung wird der Besucher für den Zeitraum, in dem der Cookie gesetzt ist, von der Webseite wiedererkannt.

Dies ermöglicht bestimmte Funktionen einer Webseite, wie z.B. einen Besucherzähler oder das Speichern bestimmter Artikel in einem Warenkorb, obwohl der Seitenbesucher zwischendurch den Onlineshop verlässt. Durch das Setzen eines Cookies kann nicht zwingend der Rückschluss auf eine natürliche Person erfolgen, je nach Art des Cookies werden jedoch auch personenbezogene Daten gespeichert.

Was sagt die Cookie-Richtlinie?

Aus diesem Grund und dem dahinter stehenden Gefahrenpotential für das informationelle Selbstbestimmungsrecht des Einzelnen, das von Cookies ausgeht, sieht die Cookie-Richtlinie (Richtlinie 2009/136/EG) vor, dass die Mitgliedstaaten sicherstellen, dass die Speicherung von oder der Zugriff auf Informationen, die im Endgerät eines Nutzers gespeichert werden (= Cookies), nur dann gestattet ist, wenn dieser Nutzer

"auf der Grundlage von klaren und umfassenden Informationen, die er (…) unter anderem über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“

Festzuhalten sind somit vor allem zwei Erfordernisse für die Zulässigkeit von Cookies:

  • Eine klare und umfassende Information über das Setzen von Cookies und
  • eine darauf beruhende Einwilligung des Betroffenen hierzu.

Was genau eine klare und umfassende Information darstellt, zu welchem Zeitpunkt sie stattfinden muss und wie die Einwilligung einzuholen ist, überließ der europäische Gesetzgeber dabei weitestgehend der Ausgestaltung der Mitgliedstaaten. Lediglich in Erwägungsgrund Nr. 66) zur Richtlinie wird angeführt, dass die Einwilligung unter Umständen

„auch über die Handhabung der entsprechenden Einstellungen des Browsers oder einer anderen Anwendung ausgedrückt werden“ kann.

Weiterhin wird dort klargestellt, dass die Vorgaben der Richtlinie nicht gelten, soweit eine Speicherung unverzichtbar ist, um die Nutzung eines Dienstes überhaupt erst zu ermöglichen.

Der nicht ganz eindeutige Wortlaut führte zu verschiedenen Auslegungen der EU-Mitgliedstaaten: Einige (so z.B. Tschechien, Malta und Finnland) wählten direkt die „Opt-out“-Lösung, die davon ausgeht, dass eine hinreichende Information und die Möglichkeit, der Speicherung (über die Browser-Einstellungen oder anders) zu widersprechen (= Opt-out), ausreicht.

Eine Vielzahl der Staaten (darunter Österreich, Frankreich, Niederlande und Dänemark) entschied sich dagegen für die „Opt-in“-Variante. Schließlich sei die Möglichkeit eines Widerspruchs nicht gleichbedeutend mit dem Einholen einer Einwilligung, so die Argumentation.

Teilweise wurde dabei der Wortlaut der Richtlinie unverändert übernommen. Jedoch konkretisierten einige dieser Mitgliedstaaten Ihre Anforderungen bereits bei der Umsetzung oder in der Folgezeit dahingehend, dass unter Opt-in auch eine stillschweigende oder konkludente Einwilligung zu verstehen sei, zum Beispiel, wenn der Nutzer trotz umfassender anfänglicher Information weiterhin auf der Seite verbleibe. Hierbei stützten sich die jeweiligen nationalen Gesetzgeber auf den genannten Erwägungsgrund.

Gerade die Einhaltung der vielen verschiedenen europäischen Rechtsvorschriften stellt Online-Händler vor immer wieder neue Herausforderungen. Wir beraten Sie gerne und betreuen Sie auch bei der Internationalisierung Ihres Online-Shops. Lassen Sie uns doch einmal zu dem Thema telefonieren.

Und was gilt in Deutschland?

Der deutsche Gesetzgeber blieb in Folge des Erlasses der Richtlinie auch über die Umsetzungsfrist, die 2011 endete, hinaus untätig. Auf Nachfragen der Europäische Kommission nahm die Bundesregierung jedoch Stellung und erklärte, die Richtlinie müsse nicht eigens umgesetzt werden, da die in ihr enthaltenen Neuregelungen in Deutschland bereits durch das Telemediengesetz (TMG) abgedeckt seien.

So umfasse § 13 Abs. 1 S. 2 TMG auch Cookies, das Erfordernis zur Einwilligung sei in § 12 Abs. 1 TMG enthalten, § 15 Abs. 1 bilde hierzu eine Ausnahme bei Unverzichtbarkeit eines Cookies und die Modalitäten einer wirksamen Einwilligung regele § 13 Abs. 2 TMG.

Diese Auffassung wurde in der Folgezeit stark diskutiert und in weiten Teilen der Praxis als schlicht nicht vertretbar kritisiert. Dabei wird vor allem darauf abgestellt, dass sich das TMG ausschließlich auf personenbezogene Daten bezieht, die entscheidende Regelung der Richtlinie jedoch ganz allgemein von „Informationen“ spricht, weshalb das TMG demzufolge viele Cookies, nämlich jene, die keine personenbezogenen Daten speichern, gar nicht umfassen soll.

Weiterhin wird argumentiert, das TMG gehe an anderer Stelle dagegen weiter, als die Richtlinie es erfordere, da § 13 Abs. 2 TMG eine wirksame Einwilligung unter so strenge Voraussetzungen stelle, wie es vom europäischen Gesetzgeber gar nicht gewollt gewesen sei.

Auch der Düsseldorfer Kreis, also das Gremium der Datenschutzbeauftragten des Bundes und der Länder, sieht keine Umsetzung der Richtlinie in der aktuellen Fassung des TMG und forderte die Bundesregierung daher bereits wiederholt zum Tätigwerden auf.

Folgt man dieser Ansicht der datenschutzrechtlichen Aufsichtsbehörden und der Praxis, bleibt eine große Unsicherheit. Denn was gilt dann? Auch eine direkte Anwendung der Richtlinie durch Webseitenbetreiber würde aufgrund der Unbestimmtheit des Wortlautes keine größere Rechtssicherheit bringen. Gerade wegen dieser fehlenden Bestimmtheit sind die Voraussetzungen für eine direkte Anwendung allerdings auch schon rechtlich nicht gegeben.

Was wird empfohlen?

Gänzlich untätig bleiben sollten Webseitenbetreiber jedoch nicht. Zwar ist die Gefahr einer Abmahnung mit Bezug zur Cookie-Richtlinie derzeit gering, denn die Rechtsunsicherheit führt auch dazu, dass sich potentielle Abmahner momentan nicht an das Thema heranwagen. Nichtsdestotrotz könnte ein Gericht jederzeit ein von der Auffassung der Bundesregierung und der Kommission abweichendes Urteil fällen. Darauf sollte man vorbereitet sein.

Darüber hinaus werden die Vorgaben der Cookie-Richtlinie von immer mehr Shop- und Webseitenbetreibern im EU-Ausland, aber auch im Inland direkt oder aufgrund entsprechender nationaler Regelungen umgesetzt. Sich dieser Entwicklung zu widersetzen, könnte dazu führen, als einer der wenigen „Untätigen“ bei den Verbrauchern negativ aufzufallen.

Wie kann eine Umsetzung aussehen?

Um den sichersten Weg zu wählen, könnte daher die strengste Opt-In-Variante implementiert werden, das heißt eine klare Information und ausdrückliche Einwilligung noch vor Beginn der Speicherung. In der Praxis wirft das jedoch Schwierigkeiten auf: Um die Einwilligung der Speicherung vorzulagern, wäre eine Art vorgeschaltete Webseite notwendig, die zunächst über Cookies informiert und dem Besucher die Entscheidung überlässt.

Im Ergebnis würde diese wenig benutzer- und betreiberfreundliche Alternative wahrscheinlich zu einer hohen Absprungrate und demzufolge niedrigeren Besucherzahlen führen. Das kann nicht gewollt sein.

Einen guten Mittelweg stellt dagegen ein am oberen oder unteren Rand der Webseite eingebundenes, sichtbares Banner dar, das über die Einbindung von Cookies informiert und für weitere Informationen auf eine Cookie-Erklärung oder den entsprechenden Abschnitt in der Datenschutzerklärung verlinkt.

Aus diesem detaillierten Abschnitt sollte hervorgehen, welche Cookies konkret eingebunden werden und wie dies durch entsprechende Browsereinstellungen unterbunden werden kann. Im Banner sollte der Seitenbesucher außerdem darauf hingewiesen werden, dass er durch weitere Nutzung der Webseite der Einbindung von Cookies zustimmt.

Diese Variante entspricht einer erleichterten Opt-in-Lösung, die davon ausgeht, dass die Einwilligung stillschweigend (durch Fortfahren auf der Webseite) erteilt werden kann. In Deutschland informieren Betreiber von Shops und Webseiten damit nicht nur transparent, sondern sind in derzeitiger Situation auch auf der sicheren Seite.

Richtet sich ein Shop an weitere Länder im EU-Ausland, sollte dessen Betreiber sich informieren, wie die Richtlinie dort umgesetzt wurde. Zwar reicht die hier empfohlene Lösung auch für eine Vielzahl der anderen EU-Mitgliedstaaten. Wie erläutert, wurden in einigen Ländern jedoch strengere Voraussetzungen festgelegt.

20150309_shopbetreiber-banner-abmahnschutzpaket-440x260_de-DE_2v0001

Google-Publisher aufgepasst!

Unabhängig von Herkunft oder Zielland hat Google in Anlehnung an die Cookie-Richtlinie eine eigene verbindliche Richtlinie für Publisher der Produkte „Google AdSense“, „Google DoubleClick for Publishers“ und „Google DoubleClick Ad Exchange“ veröffentlicht, die bis zum 30. September 2015 umgesetzt werden musste. Die betroffenen Publisher erhielten diesbezüglich Ende Juli 2015 eine Email, die die Änderungen ankündigte.

Nach dieser Richtlinie ist die Information und Einholung einer Einwilligung verpflichtend. Wie genau diese Erfordernisse gestaltet werden müssen, lässt auch Google zunächst offen, gibt auf der eigens hierfür erstellten Webseite http://www.cookiechoices.org/ jedoch Tipps und Empfehlungen für Tools, die bei der Einbindung der Erfordernisse helfen sollen.

Google-Publisher haben daher auch in Deutschland nicht die Wahl, welcher Auffassung sie folgen: Jedenfalls für die genannten Google-Produkte sind sie gehalten, die entsprechenden Vorgaben einzuhalten.

[poll id="80"]

Ergänzender Hinweis: Auch der Shopbetreiber-Blog setzt Richtlinien-relevante Cookies ein. Daher arbeiten wir derzeit auch an der Umsetzung der Cookie-Richtlinie hier im Blog, entsprechend der Empfehlung im Beitrag. Die Empfehlung wollten wir nichtsdestotrotz – gerade auch wegen der Aktualität im Zusammenhang mit der Google Richtlinie – schon veröffentlichen.

02.10.15
Jennifer Rost

Jennifer Rost