Man sieht sie zunehmend auf Webseiten – Hinweise wie: „Diese Seite nutzt Cookies – wenn Sie weitersurfen, erklären Sie sich damit einverstanden, dass wir Cookies in Ihrem Browser platzieren.“ Häufig gibt es dann noch einen Link zu einer Cookie-Policy, in der man mehr Informationen über eingesetzte Cookies erhalten kann. Wirklich interessieren tut das keinen User. Überraschend erscheint daher, dass die meisten Webseitenbetreiber nach deutschem Recht weder Cookie-Banner noch eine Cookie-Policy benötigen.
1. Pflicht zur Einwilligung nach der Cookie Richtlinie
Die E-Privacy-Richtlinie in der durch die Cookie-Richtlinie geänderten Fassung enthält in Art. 5 Abs. 3 eine Regelung, nach der
„die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen […] seine Einwilligung gegeben hat.“
Etwas Anderes gilt nur für Cookies, die
„[…] unbedingt erforderlich [sind], um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.“
Diese Ausnahme gilt z. B. für Session-Cookies eines Online-Shops zur Speicherung des Warenkorbinhalts oder der Spracheinstellungen, für die meisten Cookies jedoch nicht. Cookie-Banner und Cookie-Policies sind daher nach Art. 5 Abs. 3 E-Privacy-Richtlinie für den Einsatz von Cookies grundsätzlich erforderlich.
2. Alles beim Alten im deutschen Recht
Eine europäische Richtlinie, wie die E-Privacy-Richtlinie, ist jedoch in den EU-Mitgliedstaaten grundsätzlich nicht unmittelbar anwendbar. Sie muss von den Mitgliedstaaten erst in nationales Recht umgesetzt werden, um für Bürger (und private Webseitenbetreiber) geltendes Recht zu werden. In Deutschland gab es zwei Gesetzesinitiativen zur Umsetzung der Cookie-Richtlinie, mit denen Art. 5 Abs. 3 E-Privacy-Richtlinie inhaltsgleich in einen neuen § 13 Abs. 8 Telemediengesetz (TMG) überführt werden sollte. Beide Gesetzesinitiativen sind jedoch gescheitert. Obwohl die Umsetzungsfrist der Cookie-Richtlinie seit Mai 2011 abgelaufen ist, wurden die Änderung der E-Privacy-Richtlinie durch die Cookie-Richtlinie in Deutschland damit – anders als in allen anderen EU-Mitgliedstaaten – nicht umgesetzt.
Für Webseitenbetreiber gelten daher weiter die „alten“ Regelungen im TMG, wie sie bereits vor Inkrafttreten der Cookie-Richtlinie bestanden. Webseitenbetreiber müssen danach,
„[…] den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form […] zu unterrichten […]“,
indem sie den Einsatz von Cookies in der Datenschutzerklärung beschreiben. Cookie Banner müssen Sie jedoch nicht platzieren und auch keine gesonderte Cookie-Policy bereithalten.
Gemäß § 15 Abs. 3 TMG dürfen Webseitenbetreiber mit Cookies erhobene Daten in pseudonymen Profilen erheben, speichern und verarbeiten, soweit der Nutzer nicht widersprochen hat (Opt-Out). Wenn Nutzer der Erstellung von Nutzerprofilen widersprechen, müssen Webseitenbetreiber natürlich sicherstellen, dass sie von diesen Nutzern keine Profile mehr erstellen. Um diese Anforderungen zu erfüllen reicht es, wenn Webseitenbetreiber in der Datenschutzerklärung auf den Einsatz von Cookies hinweisen und eine Möglichkeit zur Deaktivierung bereithalten (Opt-Out Mechanismus).
Mögliche Opt-Out Mechanismen sind etwa der „Präferenz-Manager“ des Bundesverbands Digitale Wirtschaft e.V., mit dem Nutzer gegenüber den angeschlossenen Unternehmen erklären können, welche Cookies sie nicht akzeptieren, oder die Aktivierung eines „Do Not Track HTTP-Header-Felds“. Letzteres wurde von den deutschen Datenschutzaufsichtsbehörden und der Artikel 29 Gruppe ausdrücklich als wirksame Opt-Out-Erklärung angesehen. Darüber hinaus gibt es Mechanismen zur Erklärung des Opt-Out für einzelne Tracking-Technologien, wie das Browser-Add-on zur Deaktivierung von Google Analytics.
3. Oder gilt die Cookie-Richtlinie doch?
Zwischen der europäischen Regelung in Art. 5 Abs. 3 E-Privacy-Richtlinie und dem TMG besteht ein vom europäischen Gesetzgeber nicht beabsichtigter Widerspruch, so dass sich die Frage nach den Auswirkungen auf Rechtspflichten von Webseitenbetreibern stellt. Um das Ergebnis vorweg zu nehmen: private Webseitenbetreiber müssen keine Cookie-Banner, Cookie-Policies oder ähnliches implementieren; für sie gilt weiter die ursprüngliche deutsche Rechtslage. Für öffentlich-rechtliche Webseitenbetreiber gilt die E-Privacy-Richtlinie aber unmittelbar; sie müssen die Nutzer auf den Einsatz von Cookies hinweisen und einen Opt-In Mechanismus implementieren.
Die Bundesregierung scheint dies jedoch nicht so zu sehen. Sie meint, die Cookie-Richtlinie müsse in Deutschland nicht umgesetzt werden, da sich aus dem TMG den Vorgaben des Art. 5 Abs. 3 E-Privacy-Richtlinie entsprechende Einwilligungsvorbehalte ergäben. So folge die Pflicht zur Information der Nutzer aus § 13 Abs. 1 TMG und der Einwilligungsvorbehalt aus §§ 12 und 15 TMG. Aus § 12 TMG ergäbe sich nämlich, dass Webseitenbetreiber personenbezogene Daten nur erheben dürften, wenn eine ausdrückliche gesetzliche Erlaubnis besteht oder der Betroffene eingewilligt hat. Im Ergebnis überzeugt dieser Ansatz jedoch nicht. Webseitenbetreiber dürfen nämlich gemäß § 15 Abs. 3 TMG für Zwecke der Werbung und Marktforschung pseudonyme Nutzungsprofile erstellen. Ein Opt-In Mechanismus ist daher jedenfalls für Cookies die diesen Zwecken dienen nach der eindeutigen Regelung des TMG nicht erforderlich.
Auch die EU-Kommission folgt der Argumentation der Bundesregierung nicht und geht davon aus, dass die Cookie-Richtlinie in Deutschland nicht umgesetzt ist (Volltext der Studie als PDF):
„When looking at the way Article 5.3 has been transposed by the Member States, a first observation to make is that this provision has not been transposed by the German legislature.“
Ein Vertragsverletzungsverfahren hat die EU-Kommission aber auch noch nicht eingeleitet.
Um Widersprüche zwischen der E-Privacy-Richtlinie und dem TMG zu überwinden, käme grundsätzlich auch eine richtlinienkonforme Auslegung oder Rechtsfortbildung des TMG in Betracht. Die Voraussetzungen der richtlinienkonformen Auslegung oder Rechtsfortbildung sind jedoch nicht geeignet, um die Widersprüche zwischen der E-Privacy-Richtlinie und dem TMG zu überwinden. Nach der Rechtsprechung des EuGHs zur richtlinienkonformen Auslegung sind nationale Gerichte verpflichtet, bei der Auslegung der nationalen Gesetze den Wortlaut und Zweck europäischer Richtlinien zu berücksichtigen, um die Ziele einer Richtlinie zu erreichen. Eine Auslegung entgegen den klaren Ziel der nationalen Regelung, wie hier, ist jedoch nicht zulässig (contra legem Grenze).
Die E-Privacy-Richtlinie ist jedoch teilweise – nämlich für öffentlich-rechtliche Webseitenbetreiber – direkt anwendbar. Voraussetzung der direkten Anwendbarkeit einer EU-Richtlinie ist nach ständiger Rechtsprechung des EuGHs die fehlende Umsetzung der Richtlinie innerhalb der Umsetzungsfrist (die Umsetzungsfrist der Cookie-Richtlinie ist im Mai 2011 abgelaufen) und die hinreichende Bestimmbarkeit des Regelungsgehalts der Richtlinie. Auch diese zweite Anforderung ist erfüllt. Hierfür spricht nicht zuletzt die Tatsache, dass Art. 5 Abs. 3 E-Privacy-Richtlinie in vielen EU Mitgliedsstaaten wortgleich implementiert wurde und dies auch in Deutschland in zwei Gesetzesinitiativen so geplant war (siehe oben).
Aus der direkten Anwendbarkeit der E-Privacy-Richtlinie werden jedoch nur öffentlich-rechtliche Webseitenbetreiber verpflichtet. Die Folge der direkten Anwendbarkeit einer Richtlinie ist nämlich eine Verpflichtung des Staates gegenüber seinen Bürgern – nicht umgekehrt. Zweck der direkten Anwendbarkeit von Richtlinien ist es nämlich zu verhindern, dass Mitgliedsstaaten von der Missachtung europarechtlicher Vorgaben zu Lasten der Bürger profitieren. Eine direkte Anwendbarkeit führt daher nicht zur Begründung von Pflichten für private Stellen (keine horizontale Drittwirkung von Richtlinien).
4. Fazit und Empfehlung für die Praxis
Art. 5 Abs. 3 E-Privacy-Richtlinie in der durch die Cookie-Richtlinie geänderten Fassung ist im TMG nicht umgesetzt, gilt für öffentlich-rechtliche Webseitenbetreiber jedoch unmittelbar. Für private Webseitenbetreiber bleibt daher vorerst alles beim Alten. Für sie gelten weiter die Pflichten zur Information über den Einsatz von Cookies in der Datenschutzerklärung und die Pflicht zur Beachtung eines Widerspruchs (Opt-Out). Private Webseitenbetreiber sollten dennoch prüfen, ob der Betrieb der Webseite dem Recht eines anderen EU Mitgliedstaats unterfällt und sich daraus eine Pflicht zur Implementierung von Cookie-Bannern und Privacy-Policy ergibt. Zudem empfiehlt es sich natürlich, im Blick zu behalten, ob die Cookie-Richtlinie durch den deutschen Gesetzgeber umgesetzt wird.