Cookie-Richtlinien für Seitenbetreiber

Nach dem Wortlaut der Cookie-Richtlinie muss der Betreiber einer Webseite die Besucher seiner Webseite über die Verwendung von Cookies informieren und gleich beim Aufrufen der Webseite deren ausdrückliches Einverständnis einholen. Die Vorgaben der Cookie-Richtlinie wurden bislang nicht in deutsches Recht umgesetzt. Müssen Webseitenbetreiber trotzdem die Vorgaben der Richtlinie einhalten, was muss sonst noch beachtet werden?

Die Vorgaben der Richtlinie

Aufgrund der bereits 2002 in Kraft getretenen Datenschutzrichtlinie für elektronische Kommunikation, durften Cookies genutzt werden, solange der Nutzer der Webseite dem nicht explizit widersprach. (sog. Opt-Out-Verfahren). Mit der aktuell geltenden „Cookie-Richtlinie“ ändert sich die Rechtslage. In der Richtlinie heißt es:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat (…).“

Mussten Besucher der Webseite bislang der Verwendung von Cookies ausdrücklich widersprechen, müssen diese jetzt ausdrücklich in die Nutzung von Cookies einwilligen und das, nachdem der Betreiber der Webseite „klar und umfassend“ über die Verwendung informiert hat. Aus dem „Opt-out“ wird ein „Opt-in“.

Cookies nur bei ausdrücklicher Einwilligung der Nutzer?

Die Wirkungen einer Richtlinie entfalten in Deutschland anders als bei einer Verordnung keine unmittelbare Wirkung. Eine Richtlinie muss im jeweiligen Mitgliedsstaat erst durch ein nationales Gesetz umgesetzt werden. Die Umsetzung muss regelmäßig innerhalb einer bestimmten Frist erfolgen. Im Falle der Cookie-Richtlinie hätte die Umsetzung bis 25.05.2011 erfolgen müssen. Das ist nicht geschehen. Dann war es lange Zeit still um die Cookie-Richtlinie bis sich irgendwann die EU-Kommission zu Wort meldete. Sowohl Bundesregierung als auch EU-Kommission sind offenbar der Auffassung, dass die Richtlinie gar nicht umgesetzt werden muss, weil die deutsche Rechtslage bereits der Richtlinie entspricht. Bislang ging man in Deutschland davon aus, dass nach deutschem Recht die Nutzung von Cookies mittels Opt-out möglich ist. Ohne dass es in Deutschland zu einer Gesetzesänderung kam, soll nun etwas Anderes gelten. Das verwirrt und ist für die Praxis wenig tauglich. Man muss zugeben, dass die Rechtslage tatsächlich nicht ganz eindeutig ist. Einerseits kann die Cookie-Richtlinie in Deutschland keine direkte Wirkung entfalten. Eine Umsetzung ist bislang nicht erfolgt. Andererseits vertreten sowohl die Bundesregierung als auch die EU-Kommission die Auffassung, dass eine Umsetzung gar nicht notwendig ist. Schaut man sich die Richtlinie, oder besser die dazugehörigen Erwägungsgründe an, wird diese Auslegung ein wenig verständlicher. In den Erwägungsgründen der Richtlinie heißt es, dass die ausdrückliche Einwilligung

„auch über die Handhabung der entsprechenden Einstellungen des Browsers oder einer anderen Anwendung ausgedrückt werden“ kann.

Das bedeutet letztlich nach dieser Auslegung, dass die Einwilligung bereits erteilt ist, wenn der Browser so eingestellt ist, dass Cookies akzeptiert werden. Dabei handelt es sich letztlich nur um eine Auslegung. Rechtssicherheit kann man daraus nicht ableiten.

Wie sollen sich Betreiber von Webseiten in der Praxis verhalten?

Die Rechtslage ist nicht eindeutig. Nichtsdestotrotz müssen Webseitenbetreiber reagieren, oder nicht? Praktisch gibt es drei Möglichkeiten, wie sich Webseitenbetreiber verhalten sollten.

Nichts tun

Der einfachste Weg wäre es schlichtweg nichts zu tun. Ein eindeutiges Gesetz existiert nicht. Die Lösung ist einfach und kostet nicht. Allerdings dürfte die Lösung nur eine temporäre sein. Man kann getrost davon ausgehen, dass früher oder später Handlungsbedarf bestehen wird. Darüber hinaus bleibt auch aktuell ein gewisses Restrisiko. Da die Rechtslage nicht ganz eindeutig ist, kann das Risiko einer Abmahnung nicht ganz ausgeschlossen werden.

Auf Nummer sicher

Will man als Webseitenbetreiber wirklich auf Nummer sichergehen, bleibt nur der Weg über eine Pop-Up-Lösung. Beim Besuch der Webseite öffnet sich dabei ein Pop-Up-Fenster und der Besucher wird explizit dazu aufgefordert seine Einwilligung abzugeben. Das ist sicher, aber lästig. Die Umsetzung ist mit einigem Aufwand verbunden. Schlimmer könnte aber die Usability sein. Besucher der Webseite werden dieses Verfahren als schlichtweg lästig empfinden. Die Zugriffs- und Klickzahlen dürften damit nicht unerheblich sinken.

Der praktische Mittelweg

Ein praktischer Mittelweg findet sich in der Bannerlösung. Auf der Webseite wird am oberen oder unteren Ende der Webseite ein Banner mit entsprechenden Hinweisen angezeigt. Zwar bleibt auch hier ein minimales Risiko. Bis die Rechtslage eindeutig geklärt ist, sollte das aber die praktikabelste Lösung sein und ist wohl derzeit auch am häufigsten eingesetzte Lösung.

Fazit

Die Rechtslage ist derzeit – auch nach mehreren Jahren – noch nicht eindeutig geklärt. Bis zu einer Klärung gibt es drei Möglichkeiten, was Webseitenbetreiber tun können. Die rechtssichere Umsetzung ist kaum praktikabel, nichts tun hilft nur temporär und beinhaltet ein gewisses Risiko. Die Bannerlösung scheint derzeit der sicherste Weg zu sein.


André Stämmler
André Stämmler

André Stämmler ist Rechtsanwalt und zertifizierter Datenschutzbeauftragter (DSB-TÜV) in Jena. Er berät bundesweit Start-Ups, Freelancer und Unternehmen in den Bereichen Urheber- und Medienrecht, sowie IT-Recht und Datenschutz. Sein Schwerpunkt liegt dabei in der Beratung, Vertragsgestaltung und Prozessführung. André Stämmler ist zudem Lehrbeauftragter für den Studiengang eCommerce an der Ernst-Abbe-Hochschule Jena.

Social_News_im_Monat_Mai_2017 Header_Follow-up_Interview_Marcel