Die EU hat in einer Richtlinie Rahmenbedingungen für das Setzen von Cookies vorgegeben. Bis Ende Mai 2011 hätte der deutsche Gesetzgeber diese in nationales Recht umsetzen müssen. Um einem Vertragsverletzungsverfahren zu entgehen, ist nun Eile geboten. Was Internetnutzer erwartet und wieso wir in Zukunft vorab in die Speicherung von Cookies einwilligen müssen, erläutert Ermano Geuer.
Cookies, kleine Dateien, die Webseiten auf der Festplatte der Nutzer speichern, sind aus dem Internet nicht mehr wegzudenken. Es gibt Cookies, die gewährleisten, dass Webseiten überhaupt funktionieren. Es gibt aber auch solche, die personenbezogene Daten für Marketingzwecke sammeln.
Das Setzen von Cookies ist nach bislang geltendem Recht in Deutschland nicht an die Einwilligung des Nutzers gebunden. Erst der anschließenden Erhebung personenbezogener Daten muss er zustimmen und nur darauf aufmerksam gemacht werden, dass Cookies gesetzt werden. Dies geschieht oft in einer Datenschutzerklärung auf der Internetseite. Dadurch bleibt offen, wie viele Nutzer die Cookies bewusst wahrnehmen. Was harmlos wirkt, kann Webseitenbetreibern viele Informationen über einen Nutzer liefern. Ist dagegen schon das Setzen von Cookies an eine Einwilligung gekoppelt, ist eine unbeabsichtigte Datensammlung nicht mehr möglich. Zwar können erfahrene Nutzer die Speicherung von Cookies bereits jetzt mittels manueller Browsereinstellungen unterbinden. Der Kreis der Nutzer, die sich damit auskennen, dürfte jedoch recht klein sein. Zudem können Flash-Cookies Browsereinstellungen leicht umgehen. Diese Technik ist weit verbreitet und wird nicht nur von dubiosen Anbietern, sondern zum Beispiel auch von Google genutzt.
Erst zustimmen, dann speichern
Nach der Richtlinie soll grundsätzlich schon das Setzen von Cookies beim Nutzer an eine Einwilligung gebunden sein - und zwar bevor dies überhaupt geschieht. Wie dies geschehen soll, bleibt den Webseitenbetreibern freigestellt. Nach Ansicht der Art. 29 Datenschutzgruppe, dem unabhängigen Datenschutzgremium der EU-Kommission, muss dafür nicht zwingend ein störendes Pop-Up-Fenster verwendet werden.
Das Gremium listet in einer Stellungnahme exemplarisch vier Möglichkeiten auf, wie eine richtlinienkonforme Einwilligung aussehen könnte. Drei von ihnen setzen bei der Webseite selber an: Zum einen könnte auf der Webseite eine Art Banner platziert werden, das dem Nutzer die Möglichkeit gibt, durch Abhaken und Bestätigen sein Einverständnis zu einem Cookie zu erklären. Zum anderen könnte der Nutzer auf der Startseite aufgefordert werden, das Setzen von Cookies zu erlauben, bevor er die eigentliche Seite besuchen kann. Die dritte Option hat das Portal heise.de entwickelt. Danach stehen Funktionen, die Cookies benötigen, wie etwa der Like-Button von Facebook, erst dann zur Verfügung, wenn der Nutzer diese per Klick auf einen bestimmten Button freischaltet.
Eine vierte Möglichkeit setzt beim Browser selbst an. Wenn dieser standardmäßig so eingestellt ist, dass Cookies nicht gespeichert werden, wäre auch auf diesem Weg eine Speicherung nur mit vorheriger Einwilligung möglich.
Einwilligung nicht für alle Cookies erforderlich
Die Richtlinie verlangt jedoch nicht für jeden Cookie eine vorherige Einwilligung. Schließlich gibt es Funktionen, die ohne Cookies schlechthin nicht angeboten werden können. Für diese soll auch in Zukunft keine Einwilligung nötig sein.
Beispiele hierfür sind Login-Cookies, die einer Webseite lediglich signalisieren, dass der Nutzer angemeldet ist. Auch Warenkorbcookies, die sofort nach dem Bezahlvorgang wieder gelöscht werden, sollen weiterhin ohne Einwilligung gespeichert werden können. Über den Gebrauch solcher Cookies ist der Nutzer selbstverständlich trotzdem zu informieren.
Abwarten kann teuer werden: Umsetzung der Richtlinie stark verzögert
Die Umsetzung der Richtlinie in Deutschland hat sich stark verzögert. Aber auch andere EU-Staaten hielten den vorgegebenen Zeitplan nicht ein. So hat Großbritannien erst Ende November 2011 entsprechende Vorschriften erlassen. Britische Webseitenbetreiber benötigen nun grundsätzlich die Einwilligung ihrer Nutzer, um Cookies zu setzen. Ausnahmen gelten nur, wenn der Dienst ohne den Cookie nicht angeboten werden kann oder es alleiniger Zweck des Cookies die Übertragung einer Nachricht innerhalb eines elektronischen Kommunikationsnetzes ist. Eine Einwilligung über Browsereinstellungen soll möglich sein. Damit lehnen sich die britischen Vorschriften eng an die Richtlinie an.
In Deutschland gibt es bislang zwei wortgleiche Gesetzesentwürfe, die § 13 Telemediengesetz (TMG) einen neuen Absatz anfügen. Einen der Vorschläge hat die hessische Landesregierung über den Bundesrat eingebracht, den anderen die SPD-Fraktion über den Bundestag. Beide ähneln stark dem britischen Vorbild. Die politischen Akteure sollten sich jetzt schnell auf den Entwurf einigen. Dass das vorgeschlagene Verfahren funktioniert, lässt sich in Großbritannien beobachten.
Viel länger darf der Gesetzgeber außerdem nicht abwarten, will er nicht ein Vertragsverletzungsverfahren riskieren. Bei alledem sollte der Datenschutz nicht aus den Augen verloren werden. Denn der war ja letztlich das Ziel der Richtlinie.
Der Autor Ermano Geuer ist wissenschaftlicher Mitarbeiter am Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht an der Universität Passau.
Ermano Geuer, Umsetzung der Cookie-Richtlinie: . In: Legal Tribune Online, 11.06.2012 , https://www.lto.de/persistent/a_id/6356 (abgerufen am: 23.11.2024 )
Infos zum Zitiervorschlag