In ihrer aktuellen Entschließung üben die Datenschutzbeauftragten des Bundes und der Länder heftige Kritik am fehlenden Umsetzungsbestreben der E-Privacy Richtlinie, besser bekannt als „Cookie-Richtlinie“, durch die Bundesregierung.
Was sind Cookies?
Cookies sind kleine Datensätze. Diese werden von Webserver auf dem Computer des Nutzers abgelegt, bei der nächsten Verbindung wird das Cookie an den Webserver zurückgesendet, damit dieser den Nutzer und die Einstellungen seines Computers wiedererkennen kann.
Bezieht sich die Richtlinie ausschließlich auf Cookies?
Nein, die Artikel 29 Gruppe (ein Gremium, das sich u.a. aus Vertretern der nationalen Aufsichtsbehörden zusammensetzt und die EU-Kommission in datenschutzrechtlichen Fragen berät) vertritt die Ansicht, dass sogar Trackingtechnologien wie das Device-Fingerprinting unter die Regelungen der „Cookie-Richtlinie“ bzw. die E-Privacy-Richtlinie fallen.
Was sagt die Richtlinie?
Die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, ist nur gestattet, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat (Art. 5 Abs. 3).
Eine Umsetzung dieser Vorgaben ist durch die Mitgliedstaaten sicherzustellen.
Ist die „Cookie-Richtlinie“ bereits umgesetzt?
Trotz Ablauf der Umsetzungsfrist im Mai 2011 ist eine Umsetzung nicht erfolgt. Mehrere Versuche, die derzeit im § 15 Abs. 3 TMG vorgesehenen Opt-Out-Lösung dahingehend zu ändern, dass es künftig eines Opt-Ins bedarf, scheiterten. Vielmehr vertrat die Mehrheit im Bundestag die durchaus umstrittene Ansicht, dass die derzeitige Regelung des § 15 Abs. 3 TMG der Vorgabe der Cookie-Richtlinie bereits entspreche und es insoweit keiner Umsetzung der Richtlinie bedürfe. Spannend ist insofern das Plenarprotokoll 17/155 des Deutschen Bundestags, welches auf den Seiten 18700 bis 18706 die rege Diskussion wiedergibt.
Welche Ansicht vertreten die Aufsichtsbehörden?
Zwar gibt es im Telemediengesetz (TMG) entsprechende Regelungen. Diese setzten die europarechtlichen Vorgaben aber nicht hinreichend um. Die Auffassung der Bundesregierung, nach der die Vorgaben des Telemediengesetzes ausreichend sind, teilen die Aufsichtsbehörden nicht:
„So ist die europarechtlich geforderte Einwilligung bereits in den Zugriff auf in den Endgeräten der Nutzer gespeicherte Informationen (Cookies) im deutschen Recht nicht enthalten.
Die fortgesetzte Untätigkeit der Bundesregierung und des Gesetzgebers hat zur Folge, dass gegenwärtig die Betroffenen ihre Ansprüche zur Wahrung der Privatsphäre aus Artikel 5 Absatz 3 der E-Privacy-Richtlinie gegenüber Anbietern in Deutschland, bei denen das Telemediengesetz zur Anwendung kommt, nur unzureichend wahrnehmen können. Damit wird den Bürgerinnen und Bürgern faktisch ein europarechtlich vorgesehenes, wesentliches Instrument zur Wahrung ihrer Privatsphäre bei der Nutzung des Internets vorenthalten.“
Aus diesem Grund fordern Sie eine vollständige Umsetzung der E-Privacy-Richtlinie.
Wie sieht es in anderen europäischen Mitgliedsstaaten aus?
Vollkommen unterschiedlich. Einige Länder haben sich für eine Opt-In-Lösung entschieden, andere Länder halten eine Opt-Out-Lösung für ausreichend.
Warum ist die Lage so unklar?
Zum einen mag dies daran liegen, dass die Frage, wann von einer Einwilligung ausgegangen werden kann, tatsächlich nicht ganz klar ist (etwa ob eine konkludente Einwilligung ausreicht bzw. wann diese vorliegt). Möglicherweise spielen aber auch Lobbyinteressen eine größere Rolle.
Wie verhalte ich mich als Websitebetreiber?
Da eine Umsetzung durch den Gesetzgeber bisher nicht für notwendig erachtet wurde und ausdrücklich die Ansicht vertreten wird, § 15 Abs. 3 TMG sei eine auch vor dem Hintergrund der E-Prrivacy-Richtlinie ausreichende Richtlinie, muss (leider) festgestellt werden, dass eine rechtliche Verpflichtung für ein Opt-In nicht besteht. Auch eine Direktwirkung der Richtlinie wird durch die herrschende Meinung mangels „hinreichender Genauigkeit“ verneint.
EU Cookie-Richtlinie: Ja, Nein oder Vielleicht - spicOne multimedia - stefano picco
28. Juli 2015 @ 16:11
[…] mangels „hinreichender Genauigkeit“ verneint. [Dr. Sebastian Ertel, datenschutz notizen (5), […]