Die Anforderungen der ePrivacy-Richtlinie

Die Anforderungen der ePrivacy-Richtlinie


Die ePrivacy-Richtlinie (2002/58/EG in der Fassung 2009/136/EG) sieht für Cookies folgende Regelung vor:

„Die Mitgliedstaaten stellen sicher, dass die Speiche­rung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teil­nehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.”


Im Wesentlichen bestehen die Verpflichtungen also aus zwei Teilen: Der Nutzer muss über (1) die Nutzung von Cookies & Co. aufgeklärt werden und (2) seine Einwilligung dazu geben.

Die Aufklärungspflichten


Nach Ansicht der Bundesregierung haben wir bereits nach geltendem Recht eine Aufklärungspflicht für den Einsatz von Cookies. Diese soll sich aus Art. 13 Abs. 1 Telemediengesetz ergeben. Dort heißt es:

„(1) 1Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten [...] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. 2Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten.”


Danach sollen Cookies generell ein „automatisiertes Verfahren” im Sinne von § 13 Abs. 1 S. 2 TMGdarstellen. Zu Beginn des Nutzungsvorgangs soll der Nutzer daher auf den Einsatz von Cookies hingewiesen werden müssen. Im Schreiben an die Kommission heißt es knapp:

„Die Bezeichnung “automatisierte Verfahren” ist umfassend und bezieht sich auch auf das Speichern von und den Zugriff auf Informationen auf dem Rechner des Nutzers entsprechend Art. 5 Abs. 3 E-privacy-Richtlinie.”


Diese Aussage steht in ihrer Pauschalität auf wackeligen Füßen. Zwar ist § 13 Abs. 1 S. 2 TMG auch auf den Einsatz von Cookies ausgelegt. Ein automatisiertes Verfahren ist aber gerade nicht „umfassend” gemeint, sondern liegt nach § 13 Abs. 1 S. 2 TMG nur dann vor, wenn es eine spätere Identifizierung eines Nutzers ermöglicht. Die Vorschrift folgt der Systematik des deutschen Datenschutzrechtes: Maßgeblich ist, ob Daten einen Personenbezug aufweisen. Bei automatisierten Verfahren nach § 13 Abs. 1 S. 2 TMG wird dieser Personenbezug lediglich zeitlich nach hinten verlagert. 

Gemeint sind also Techniken, bei denen zunächst kein Personenbezug besteht, dieser aber später im Verarbeitungsprozess hergestellt werden kann. Damit kann auch der Einsatz von Cookies erfasst sein. Aber nicht alle Cookies führen per se zu einem späteren Personenbezug. Cookies sind eine sehr universelle Technik, die für weitreichende Tracking-Mechanismen genauso wie für datenschutzrechtlich völlig unbedenkliche Techniken eingesetzt werden kann. Einen Teilbereich dieser Einsatzmöglichkeiten deckt § 13 Abs. 1 S. 2 TMG ab – generell und umfassend sind Cookies aber nicht erfasst.

Die Einwilligung


Und auch eine Einwilligung für den Gebrauch von Cookies kennt das deutsche Recht nach Ansicht der Bundesregierung. Hergeleitet werden soll das aus § 12 Abs. 1 TMG, der da lautet:

„Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.”


Dass auch Cookies darunter fallen, erklärt die Bundesregierung wie folgt:

„§ 12 stellt klar, dass personenbezogene Daten im Zusammenhang mit der Bereitstellung von Telemedien ohne Einwilligung nur verarbeitet werden dürfen, wenn der Gesetzgeber dies ausdrücklich erlaubt. Eine solche gesetzliche Erlaubnis enthält § 15 TMG, der regelt, dass Nutzerdaten bei Inanspruchnahme von Telemedien ohne Einwilligung nur verarbeitet werden dürfen, wenn das für diesen Zweck erforderlich ist. Für die Speicherung und den Abruf von Informationen wie z. B. Cookies bedeutet dies, dass solche Verfahren in Deutschland ohne Einwilligung des Nutzers nur zulässig sind, wenn dies aus technischen Gründen für die Inanspruchnahme erforderlich ist. Im Übrigen dürfen solche Verfahren ohne Einwilligung des Nutzers nicht verwendet werden.”


Auch hier unterschlägt die Bundesregierung einen wichtigen Punkt: § 12 Abs. 1 TMG gilt nur für „personenbezogene Daten”, die ePrivacy-Richtlinie gilt aber für sämtliche „Informationen”. Der Unterschied ist aber ganz entscheidend. Genau darin besteht nämlich das Konzept der ePrivacy-Richtlinie.

Art. 5 Abs. 3 der Richtlinie erfasst alle Verfahren, mit denen Informationen auf das Gerät des Nutzers gespeichert und wieder abgerufen werden. Erfasst sind also sämtliche Information, völlig unabhängig davon, ob sie Personenbezug aufweisen oder nicht. Die Regelungen der ePrivacy-Richtlinie lassen sich also ohne die große und schwierige Diskussion durchsetzen, ob ein Verfahren nun mit personenbezogenen Daten arbeitet oder nicht. Ist eine IP-Adresse ein personenbezogenes Datum? Ist eine eindeutige Zahlenkette personenbezogen – auch dann, wenn niemand auf der Welt sie einer natürlichen Person zuordnen kann? Ab welchen Datenmengen kann man bei Big Data von einem Personenbezug ausgehen? Auf all diese Fragen, die in der Praxis oft zu Verunsicherung bei allen Beteiligten führen, sollte die ePrivacy-Richtlinie ursprünglich verzichten und eindeutige Regelungen schaffen.

Damit zeigt sich dann auch die große Schwäche der Argumentation der Bundesregierung. Sie setzt „Informationen” und „personenbezogene Daten” ohne weitere Begründung gleich. Und das ist nicht nur sachlich unrichtig. Es zeigt vielmehr, dass die deutschen Regelungen völlig an der Richtlinie vorbei gehen.

Konflikte und offene Fragen


Diese pauschale Einordnung von Cookies als personenbezogene Daten führt zu einigen offenen Fragen und Konflikten, die hier zunächst nur angerissen werden sollen. Es werden sicher noch einige hinzukommen und wie sie zu lösen sind, muss sich erst noch zeigen.

Einwilligung
Eine der wichtigsten Fragen: Welche Anforderungen sind an die Einwilligung zu stellen? Nach der ePrivacy-Richtlinie, insbesondere Erwägungsgrund 66 der Richtlinie, können für die Einwilligung in den Gebrauch von Cookies erleichterte Anforderungen gelten. Unter gewissen Umständen können sogar die Browser-Einstellungen ausreichen (kritisch dazu allerdings die Article 29 Working Party). In einigen Staaten Europas wird auch nur eine stillschweigende Einwilligung gefordert.

In der Systematik des Telemediengesetzes findet sich das alles nicht wieder. Die Bundesregierung geht vielmehr ausdrücklich davon aus, dass § 13 Abs. 2 TMG greift. Danach muss die Einwilligung ausdrücklich erklärt werden; eine stillschweigende Einwilligung käme demnach nicht in Betracht. Im Gegenteil müsste die Einwilligung sogar protokolliert werden. Ironischerweise kommt dazu eigentlich nur ein technisches Mittel in Betracht: ein Cookie.

§ 15 Abs. 3 TMG
Ein für die Praxis wahrscheinlich sehr wichtiger Konflikt besteht zu § 15 Abs. 3 TMG. Die Vorschrift sieht ausdrücklich ein Opt-Out-Verfahren für die Erstellung pseudonymer Nutzerprofile zu Werbe- und ähnlichen Zwecken vor. Für den Gebrauch von Cookies soll also eine Einwilligung des Nutzers erforderlich sein, für das Erstellen von Nutzerprofilen reicht jedoch ein Opt-Out. Reicht also für Tracking-Cookies ein Opt-Out? So sieht es derzeit sogar der Düsseldorfer Kreis. Das würde zu einem etwas seltsamen Ergebnis führen: Cookies würden generell eine Einwilligung benötigen – es sei denn, sie dienen dem pseudonymen Tracking zu Werbezwecken, dann würde das Opt-Out-Prinzip greifen. Allerdings: Mit der ePrivacy-Richtlinie ließe sich das nicht in Einklang bringen. Muss § 15 Abs. 3 TMG daher entgegen seinem Wortlaut richtlinienkonform ausgelegt werden (kritisch dazu Moos, K&R 2012, 635)? Wie lässt sich der Konflikt sonst auflösen? Eine Antwort darauf bleibt das Bundeswirtschaftsministerium schuldig.


Bild-Beispiel:

2015-10-13 07-40-49


Leseempfehlung: Datenschutz für Webseiten