CFO-Agenda: Internationales Recht

Verletzen Cookies den Datenschutz?

Betreiber von Websites sollen Besucher über die Verwendung von Cookies aufklären. So sieht es eine Richtlinie der Europäischen Union vor. Sie wurde jedoch nicht einheitlich in nationales Recht überführt - wenn überhaupt.

Die Europäische Union (EU) schreibt seit dem 25. Mai 2011 die Richtlinie 2009/136/EG zur Verwendung von Cookies vor. Sie regelt den Schutz personenbezogener Daten in der elektronischen Kommunikation und ist daher auch als "Cookie-Richtlinie" oder "E-Privacy-Richtlinie" bekannt. Sie wurde bisher noch nicht in allen EU-Ländern in nationales Recht überführt, obwohl die Frist hierzu im Mai 2011 endete.

Als Cookies bezeichnet man kleine Dateien, die beim Besuch einer Internetseite auf dem Rechner eines Nutzers installiert werden. Sie sorgen beispielsweise für einen reibungslosen Online-Einkauf. Cookies können aber auch das Verhalten des Nutzers protokollieren. Grundsätzlich muss man unterscheiden zwischen den sogenannten Tracking Cookies, die zu Werbezwecken gesetzt werden, und solchen, die Dienste im Internet unterstützen.

Die winzigen Dateien, die als Tracking Cookies bezeichnet werden, sind ein wichtiges Instrument der Werbewirtschaft. Diese "digitalen Krümel" sind in der Lage, das Verhalten eines Nutzers im Internet über einen langen Zeitraum und über voneinander unabhängigen Domains zu verfolgen. So werden Nutzerprofile erstellt, die lukrativ an Dritte verkauft werden können. Es verwundert daher nicht, dass diese Cookies inzwischen auf nahezu allen gängigen Internetseiten Verwendung finden. Datenschutzrechtlich ist deren Einsatz fragwürdig.

Opt-in oder opt-out

Vor diesem Hintergrund erließ der europäische Gesetzgeber im Jahre 2009 die Cookie-Richtlinie. Sie bestimmt unter anderem, dass die Verwendung von Cookies nur nach vorheriger Einwilligung des Nutzers erlaubt sind, sofern sie nicht dem alleinigen Zweck der Übertragung von Nachrichten über ein elektronisches Kommunikationsnetz oder Dienste erbringen, die vom Nutzer ausdrücklich erwünscht sind - siehe Artikel 5 (3) der Richtlinie.

Eine weitere Voraussetzung ist die umfassende Information des Nutzers über den Einsatz der Cookies und die Verwendung der generierten Daten. Damit ist es weiterhin ohne Einwilligung möglich, Cookies zu setzen - beispielsweise in einem Online-Shop, um den virtuellen Einkaufswagen dem richtigen Kunden zuzuordnen. Cookies dürfen jedoch auch in diesem Fall nicht eingesetzt werden, um das Verhalten des Nutzers auszuwerten.

Die europäischen Länder müssen diese diese Richtlinie in nationales Recht umsetzen. Sie stellte insbesondere der unklare Wortlaut des Artikels 5 (3) vor Probleme - und tut es im Übrigen auch weiterhin: In einigen Ländern ist die Umsetzung noch nicht erfolgt. Die Richtlinie lässt offen, in welcher Form die Einwilligung eines Nutzers eingeholt werden muss, damit diese wirksam ist. Sie räumt den nationalen Gesetzgebern dadurch einen Gestaltungsfreiraum ein, der in der Praxis zu erheblichen Problemen führt: Gestritten wird insbesondere darüber, ob ein Nutzer aktiv in die Verwendung von Cookies einwilligen muss („opt-in“) oder ob es genügt, wenn Nutzer die Möglichkeit haben, einer Verwendung zu widersprechen („opt-out“) - letzteres beispielsweise über entsprechende Einstellungen im Browser.

Länder mit Gestaltungsfreiraum

Die Mitgliedstaaten der EU haben diesen Gestaltungsspielraum ausgenutzt und Artikel 5 (3) der Richtlinie unterschiedlich umgesetzt. Während sich die Staaten mehrheitlich für eine „opt-in“-Lösung entschieden haben, wurde beispielsweise in Finnland und Portugal der „opt-out“-Ansatz etabliert. Einige Länder haben den Text der Richtlinie direkt in ihr geltendes Gesetz übernommen und legen sich dementsprechend nicht eindeutig fest - die Rechtsunsicherheit ist groß.

Außerdem wird darüber diskutiert, mit welchen technischen Mitteln das Einwilligungserfordernis am praktikabelsten auf einer Webseite umgesetzt werden kann. Hier setzten die meisten Staaten auf Pop-Ups oder Banner, die beim ersten Besuch auf einer Webseite angeklickt werden müssen. Darüber hinaus soll es eingeschränkt möglich sein, die Einwilligung über die Nutzungsbedingungen einer Website einzuholen. Die Staaten sind sich einzig darüber einig, dass Nutzer eindeutig und verständlich über den Zweck der Speicherung und Nutzung seiner Daten informiert werden. Sie müssen ebenso darüber in Kenntnis gesetzt werden, dass sie die Speicherung seiner Daten untersagen können.

Webseitenbetreiber müssen also unbedingt ihre Nutzungsbedingungen und Datenschutzrichtlinien überprüfen und gegebenenfalls umfassend ergänzen. Für den Nutzer bedeutet das mehr Transparenz. Aber auch für Unternehmen bedeuten die Änderungen nicht nur einen erheblichen Aufwand, sondern durchaus auch eine Chance: Je transparenter eine Webseite ist, desto nutzerfreundlicher ist sie. Und dies ist in jedem Fall ein Qualitätsmerkmal, das sich schnell herumspricht.

Drohende Verfahren wegen Vertragsverletzung

Einige Staaten, darunter Deutschland, haben die Richtlinie bisher noch gar nicht in nationales Recht umgesetzt, obwohl die Frist hierfür bereits am 25. Mai 2011 endete. Jetzt besteht die Gefahr, dass die Richtlinie unmittelbar anwendbar ist. Dies ist ein europarechtlicher Grundsatz, der jedoch nur dann gilt, wenn der Text der Richtlinie hinreichend konkret ist. Das bedeutet: Nutzer können sich unter Umständen gegenüber Betreibern von Websites direkt auf die Richtlinie berufen. Ob ein Nutzer im Rahmen einer Beschwerde bei einer Datenschutzbehörde mit dieser Argumentation Erfolg hätte, hinge dann davon ab, ob die Behörde die Richtlinie als hinreichend konkret einstufen würde. Der Bundesbeauftragte für den Datenschutz, Peter Schaar, ist zumindest dieser Ansicht.

Zudem droht Staaten, die ihrer Umsetzungspflicht nicht nachkommen, ein Verfahren wegen Vertragsverletzung vor dem Europäischen Gerichtshof. Das Verfahren kann die Europäische Kommission einleiten.

Festzuhalten bleibt, dass in Europa derzeit keine einheitliche Rechtslage besteht. Bei Betreibern von Websites führt dies zu einer erheblichen Unsicherheit. Angesichts dessen haben es in Europa tätige Unternehmen mit Sitz außerhalb des Europäischen Wirtschaftsraumes besonders schwer. Sie haben unter Umständen verschiedene nationale Vorgaben für dieselbe Website zu beachten. In der Regel empfiehlt es sich, dem strengsten Standard zu folgen.

Die nachfolgenden Seiten geben Auskunft über die derzeitige Situation im jeweiligen EU-Land. Die Informationen stammen von der IPT-Gruppe der Kanzlei DLA Piper.