Die Anforderungen der ePrivacy-Richtlinie Die ePrivacy-Richtlinie (2002/58/EG in der Fassung 2009/136/EG) sieht für Cookies folgende Regelung vor: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.” Im Wesentlichen bestehen die Verpflichtungen also aus zwei Teilen: Der Nutzer muss über (1) die Nutzung von Cookies & Co. aufgeklärt werden und (2) seine Einwilligung dazu geben. Die Aufklärungspflichten Nach Ansicht der Bundesregierung haben wir bereits nach geltendem Recht eine Aufklärungspflicht für den Einsatz von Cookies. Diese soll sich aus Art. 13 Abs. 1 Telemediengesetz ergeben. Dort heißt es: „(1) 1Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten [...] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. 2Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten.” Danach sollen Cookies generell ein „automatisiertes Verfahren” im Sinne von § 13 Abs. 1 S. 2 TMG darstellen. Zu Beginn des Nutzungsvorgangs soll der Nutzer daher auf den Einsatz von Cookies hingewiesen werden müssen. Im Schreiben an die Kommission heißt es knapp: „Die Bezeichnung “automatisierte Verfahren” ist umfassend und bezieht sich auch auf das Speichern von und den Zugriff auf Informationen auf dem Rechner des Nutzers entsprechend Art. 5 Abs. 3 E-privacy-Richtlinie.” Diese Aussage steht in ihrer Pauschalität auf wackeligen Füßen. Zwar ist § 13 Abs. 1 S. 2 TMG auch auf den Einsatz von Cookies ausgelegt. Ein automatisiertes Verfahren ist aber gerade nicht „umfassend” gemeint, sondern liegt nach § 13 Abs. 1 S. 2 TMG nur dann vor, wenn es eine spätere Identifizierung eines Nutzers ermöglicht. Die Vorschrift folgt der Systematik des deutschen Datenschutzrechtes: Maßgeblich ist, ob Daten einen Personenbezug aufweisen. Bei automatisierten Verfahren nach § 13 Abs. 1 S. 2 TMG wird dieser Personenbezug lediglich zeitlich nach hinten verlagert. Gemeint sind also Techniken, bei denen zunächst kein Personenbezug besteht, dieser aber später im Verarbeitungsprozess hergestellt werden kann. Damit kann auch der Einsatz von Cookies erfasst sein. Aber nicht alle Cookies führen per se zu einem späteren Personenbezug. Cookies sind eine sehr universelle Technik, die für weitreichende Tracking-Mechanismen genauso wie für datenschutzrechtlich völlig unbedenkliche Techniken eingesetzt werden kann. Einen Teilbereich dieser Einsatzmöglichkeiten deckt § 13 Abs. 1 S. 2 TMG ab – generell und umfassend sind Cookies aber nicht erfasst. Die Einwilligung Und auch eine Einwilligung für den Gebrauch von Cookies kennt das deutsche Recht nach Ansicht der Bundesregierung. Hergeleitet werden soll das aus § 12 Abs. 1 TMG, der da lautet: „Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.” Dass auch Cookies darunter fallen, erklärt die Bundesregierung wie folgt: „§ 12 stellt klar, dass personenbezogene Daten im Zusammenhang mit der Bereitstellung von Telemedien ohne Einwilligung nur verarbeitet werden dürfen, wenn der Gesetzgeber dies ausdrücklich erlaubt. Eine solche gesetzliche Erlaubnis enthält § 15 TMG, der regelt, dass Nutzerdaten bei Inanspruchnahme von Telemedien ohne Einwilligung nur verarbeitet werden dürfen, wenn das für diesen Zweck erforderlich ist. Für die Speicherung und den Abruf von Informationen wie z. B. Cookies bedeutet dies, dass solche Verfahren in Deutschland ohne Einwilligung des Nutzers nur zulässig sind, wenn dies aus technischen Gründen für die Inanspruchnahme erforderlich ist. Im Übrigen dürfen solche Verfahren ohne Einwilligung des Nutzers nicht verwendet werden.” Auch hier unterschlägt die Bundesregierung einen wichtigen Punkt: § 12 Abs. 1 TMG gilt nur für „personenbezogene Daten”, die ePrivacy-Richtlinie gilt aber für sämtliche „Informationen”. Der Unterschied ist aber ganz entscheidend. Genau darin besteht nämlich das Konzept der ePrivacy-Richtlinie. Art. 5 Abs. 3 der Richtlinie erfasst alle Verfahren, mit denen Informationen auf das Gerät des Nutzers gespeichert und wieder abgerufen werden. Erfasst sind also sämtliche Information, völlig unabhängig davon, ob sie Personenbezug aufweisen oder nicht. Die Regelungen der ePrivacy-Richtlinie lassen sich also ohne die große und schwierige Diskussion durchsetzen, ob ein Verfahren nun mit personenbezogenen Daten arbeitet oder nicht. Ist eine IP-Adresse ein personenbezogenes Datum? Ist eine eindeutige Zahlenkette personenbezogen – auch dann, wenn niemand auf der Welt sie einer natürlichen Person zuordnen kann? Ab welchen Datenmengen kann man bei Big Data von einem Personenbezug ausgehen? Auf all diese Fragen, die in der Praxis oft zu Verunsicherung bei allen Beteiligten führen, sollte die ePrivacy-Richtlinie ursprünglich verzichten und eindeutige Regelungen schaffen. Damit zeigt sich dann auch die große Schwäche der Argumentation der Bundesregierung. Sie setzt „Informationen” und „personenbezogene Daten” ohne weitere Begründung gleich. Und das ist nicht nur sachlich unrichtig. Es zeigt vielmehr, dass die deutschen Regelungen völlig an der Richtlinie vorbei gehen. Konflikte und offene Fragen Diese pauschale Einordnung von Cookies als personenbezogene Daten führt zu einigen offenen Fragen und Konflikten, die hier zunächst nur angerissen werden sollen. Es werden sicher noch einige hinzukommen und wie sie zu lösen sind, muss sich erst noch zeigen. Einwilligung Eine der wichtigsten Fragen: Welche Anforderungen sind an die Einwilligung zu stellen? Nach der ePrivacy-Richtlinie, insbesondere Erwägungsgrund 66 der Richtlinie, können für die Einwilligung in den Gebrauch von Cookies erleichterte Anforderungen gelten. Unter gewissen Umständen können sogar die Browser-Einstellungen ausreichen (kritisch dazu allerdings die Article 29 Working Party). In einigen Staaten Europas wird auch nur eine stillschweigende Einwilligung gefordert. In der Systematik des Telemediengesetzes findet sich das alles nicht wieder. Die Bundesregierung geht vielmehr ausdrücklich davon aus, dass § 13 Abs. 2 TMG greift. Danach muss die Einwilligung ausdrücklich erklärt werden; eine stillschweigende Einwilligung käme demnach nicht in Betracht. Im Gegenteil müsste die Einwilligung sogar protokolliert werden. Ironischerweise kommt dazu eigentlich nur ein technisches Mittel in Betracht: ein Cookie. § 15 Abs. 3 TMG Ein für die Praxis wahrscheinlich sehr wichtiger Konflikt besteht zu § 15 Abs. 3 TMG. Die Vorschrift sieht ausdrücklich ein Opt-Out-Verfahren für die Erstellung pseudonymer Nutzerprofile zu Werbe- und ähnlichen Zwecken vor. Für den Gebrauch von Cookies soll also eine Einwilligung des Nutzers erforderlich sein, für das Erstellen von Nutzerprofilen reicht jedoch ein Opt-Out. Reicht also für Tracking-Cookies ein Opt-Out? So sieht es derzeit sogar der Düsseldorfer Kreis. Das würde zu einem etwas seltsamen Ergebnis führen: Cookies würden generell eine Einwilligung benötigen – es sei denn, sie dienen dem pseudonymen Tracking zu Werbezwecken, dann würde das Opt-Out-Prinzip greifen. Allerdings: Mit der ePrivacy-Richtlinie ließe sich das nicht in Einklang bringen. Muss § 15 Abs. 3 TMG daher entgegen seinem Wortlaut richtlinienkonform ausgelegt werden (kritisch dazu Moos, K&R 2012, 635)? Wie lässt sich der Konflikt sonst auflösen? Eine Antwort darauf bleibt das Bundeswirtschaftsministerium schuldig. Die Folgen für die Praxis Was für Folgen hat diese Einschätzung der Bundesregierung nun? Formal zunächst keine. Es ist eine Meinungsäußerung eines Ministeriums, der sich die Europäische Kommission informell angeschlossen hat. Sie hat keine Bindungswirkungen wie ein Gesetz oder ein Urteil. Es ist möglich, dass sich die Datenschutzbehörden auf eine neue Position bei der Cookie-Regulierung einigen. Regulierungsmaßnahmen oder Abmahnungen drohen im Moment aber wohl kaum. Dennoch dürfte es an der Zeit sein, sich mit der europäischen Regulierung von Cookies genauer auseinanderzusetzen. Als Übergangslösung könnte sich ein Kompromiss nach britischem Vorbild anbieten: Ein deutlicher Hinweis an den Nutzer mit Opt-Out-Möglichkeit. Wer ganz sicher gehen will, muss aber wohl oder übel schon jetzt auf eine Einwilligungslösung setzen, auch wenn damit die Richtlinie womöglich übererfüllt wird. Aber auch einfach abzuwarten, dürfte vorerst kein besonders großes Risiko darstellen – vor allem in Anbetracht der offenen Fragen und Widersprüche der aktuellen Rechtslage. Fazit Die Argumentation der Bundesregierung ist nicht nur in der Sache wenig belastbar, sie führt auch zu unsachgemäßen Ergebnissen. Wenn man Cookies per se als personenbezogene Daten behandelt, führt dies einerseits zu einer Übererfüllung der Richtlinie mit kaum praxistauglichen Ergebnissen. Auf der anderen Seite schafft man Wertungskonflikte mit dem deutschen Recht, die wiederum an anderer Stelle zu einer Untererfüllung der Richtlinie führen. Hinzu kommt: Der wesentliche Grundgedanke der ePrivacy-Richtlinie, bestimmte Technologien unabhängig von ihrem Personenbezug zu regulieren, wird vollständig verfehlt. Es drängt sich der Eindruck auf, dass die gesamte Argumentation nicht durchdacht und überhaupt nicht darauf ausgelegt ist, jemals praktisch umgesetzt zu werden. Dass die Generaldirektion Kommunikation der Europäischen Kommission diese Situation als ausreichend erachtet hat, um die Anforderungen der Richtlinie zu erfüllen, ist ausgesprochen bemerkenswert und kaum nachzuvollziehen. Doch auch mit Rückendeckung der Kommission wird sich die Bundesregierung sicher nicht auf den bestehenden Regelungen zu Cookies ausruhen können. Denn in der Praxis werden sich die widersprüchlichen Vorgaben in dieser Form weder erfüllen noch durchsetzen lassen. Die vollständigen Antworten der Bundesregierung.  

 zurück zum Seitenanfang