Aktuelles zum EU-Datenschutz

Cookie-Nutzung auf Webseiten

21.03.2014 von Sebastian Kraska  IDG ExpertenNetzwerk
Details zum derzeitigen Sachstand der Diskussion um die Anwendbarkeit und inhaltliche Ausgestaltung der "Cookie-Richtlinie".
Um Cookies entstehen häufig Diskussionen, die den Datenschutz betreffen.
Foto: Jens Hertel - Fotolia.com

Die "Artikel-29-Datenschutzgruppe”, ein Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, hat in einer Veröffentlichung Empfehlungen zur Auslegung der zuletzt 2009 geänderten Datenschutzrichtlinie für elektronische Kommunikation (verkürzt auch "Cookie-Richtlinie" genannt) dargelegt.

Hintergrund

Die 2009 geänderte EU-Richtlinie forderte von den europäischen Mitgliedstaaten, im Rahmen der EU-Richtlinie nationale Gesetze zu erlassen, die unter anderem die Nutzung von Cookies betrifft. Unter anderem heißt es in Art. 5 Absatz 3 der Richtlinie seitdem:

"Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet wird, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.”

Kritik in der Unternehmenspraxis

Der Hauptkritikpunkt an der EU-Richtlinie seitens der Unternehmen besteht darin, dass die EU-Richtlinie dem Wortlaut nach sämtliche Cookies erfasst unabhängig davon, ob diese personenbezogene oder personenbeziehbare Daten beinhalten oder nicht. Es werde im Ergebnis mit Cookies abstrakt eine Technologie unter den Einwilligungsvorbehalt gestellt - unabhängig von der Frage der Ausgestaltung im Einzelfall.

Umsetzung durch die Mitgliedstaaten

Die europäischen Mitgliedstaaten haben geteilt auf die europäischen Vorgaben reagiert. Circa ein Drittel der Mitgliedstaaten hat die Vorgaben europarechtswidrig überhaupt nicht in nationales Recht umgesetzt, ein Drittel der Mitgliedstaaten hat die Vorgaben dem Wortlaut getreu in nationales Recht überführt und das letzte Drittel der Mitgliedstaaten hat die nationalen Regelungen zum Einsatz von Cookies zwar überarbeitet, die Regelungen allerdings nicht exakt richtliniengetreu (und damit an sich europarechtswidrig) angesetzt.

Situation in Deutschland

Der Umsetzungsstatus in Deutschland ist umstritten: während unmittelbar nach Richtlinienerlass allgemein davon ausgegangen wurde, dass Deutschland die Vorgaben der EU-Richtlinie noch nicht umgesetzt habe, schien die Argumentation gegen Mitte 2012 dahingehend weiterentwickelt worden zu sein, dass die EU-Vorgaben durch die Regelungen im Telemediengesetz und Bundesdatenschutzgesetz bereits durch Deutschland richtlinienkonform umgesetzt wurden.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Herr Peter Schaar, vertrat hierbei jedoch eine abweichende Ansicht. Er ging davon aus, dass die EU-Richtlinie von Deutschland nicht umgesetzt worden sei. Herr Schaar war der Meinung, die EU-Richtlinie sei dadurch nun direkt anwendbar und müsse daher auch von deutschen Unternehmen ohne weiteres Tätigwerden des deutschen Gesetzgebers beachtet werden. Dies ist insbesondere angesichts der unterschiedlichen Interpretationsvarianten der europäischen Vorgaben indes ebenfalls umstritten.

Empfehlungen der Artikel-29-Datenschutzgruppe

Die Artikel-29-Datenschutzgruppe folgt nun der strikten Auslegungsinterpretation der europäischen Vorgaben und fasst ihre Empfehlungen zum Einsatz von Cookies auf Webseiten wie folgt zusammen (vgl. vertiefend die Stellungnahme im Volltext):

1. Transparente Information der Nutzer

2. Einholung der Einwilligung vor Verarbeitungsbeginn

3. Ausdrückliche Einwilligung

4. Tatsächliche Wahlmöglichkeit für den Nutzer (oe)