Cookie-Richtlinie: Opt-In oder Opt-Out? Wie ist die Rechtslage?

Es ist seit Jahren ein Dauerthema, doch nun scheint mal wieder Bewegung hinein zu kommen. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder möchte die Bundesregierung auffordern, die E-Privacy-Richtlinie “nun ohne weitere Verzögerung vollständig in das nationale Recht zu überführen”. Begründung: Die Datenschutzbeauftragten halten den aktuellen Zustand für “nicht hinnehmbar”.

Da stellt sich die Frage: Wie ist er denn, dieser aktuelle Zustand?

Hintergrund der Diskussionen ist der folgende Widerspruch zwischen deutschem und europäischem Recht.

Die maßgebliche Vorschrift im deutschen Recht findet sich in § 15 Absatz 3  Telemediengesetz (TMG). Dort heißt es:

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht

Das Gesetz spricht hier zwar von Nutzerprofilen, dürfte aber damit auch den Einsatz von Cookies meinen. Vereinfacht gesagt: Der Website-Betreiber darf Cookies setzen und auswerten, wenn der Nutzer dem Einsatz nicht widerspricht, etwa durch Anpassung seiner Browser-Einstellungen. Auf diese Möglichkeit muss der Website-Betreiber lediglich hinweisen. Das deutsche Recht sieht damit eindeutig eine Opt-Out-Lösung vor.

Die europäische E-Privacy-Richtlinie (2002/58/EG), welche durch die Cookie-Richtlinie (2009/136/EG) angepasst wurde, geht dagegen nach ihrem Wortlaut eindeutig von einer Opt-In-Lösung aus. Dort heißt es in Artikel 5 Absatz 3 nämlich:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer […] seine Einwilligung gegeben hat.

Aber was gilt denn nun?

Der damalige Bundesdatenschutzbeauftragte Schaar stellte sich vor einiger Zeit auf den Standpunkt, die EU-Richtlinie gelte in Deutschland inzwischen unmittelbar, da die Umsetzungsfrist längst verstrichen sei. Dies ist allerdings unzutreffend, da nur solche EU-Richtlinien unmittelbare Wirkung entfalten können, die keine Verpflichtung für Privatpersonen (sondern nur für den Staat) beinhalten. Die Cookie-Richtlinie nimmt aber gerade auch nicht-staatliche Website-Betreiber in die Pflicht.

Im letzten Jahr äußerte die EU-Kommission und das Bundeswirtschaftsministerium die etwas überraschende Auffassung, dass es die Richtlinie bereits als im geltenden deutschen Recht umgesetzt ansehe. Angesichts des offensichtlich widersprüchlichen Wortlauts der Vorschriften (Opt-In bzw. Opt-Out) verwundert diese Aussage. Hintergrund der Einschätzung durch Kommission und Ministerium dürfte Erwägungsgrund Nr. 66 der Cookie-Richtlinie sein. Dort heißt es:

Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers […] über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.

Nimmt man den Erwägungsgrund beim Wort (wie offensichtlich Kommission und Ministerium), hieße das, dass der Verbraucher in den Einsatz von Cookies einwilligt, indem er nicht zuvor deren Speicherung in den Browser-Einstellungen deaktiviert. Opt-In wäre also in diesem Fall das selbe wie Opt-Out. “Einwilligen” das selbe wie “nicht-widersprechen”. Kann das sein?

Der Wortlaut der Richtlinie ist eindeutig. Eine Einwilligung verlangt regelmäßig eine Handlung, also einen aktiven Opt-In. Der EU-Gesetzgeber dürfte auch eindeutig eine Opt-In-Lösung bezwecken. Andernfalls hätte er wohl kaum die alte E-Privacy-Richtlinie geändert. Der alte Artikel 5 Absatz 3 sprach nämlich noch von “die Verarbeitung verweigern”, also Opt-Out.

Ein Opt-In durch Browser-Einstellungen wäre allenfalls denkbar, wenn in jedem Browser standardmäßig die Speicherung von Cookies deaktiviert wäre und der Nutzer diese erst durch aktive Anpassung erlauben würde. Dies ist aber momentan weder der Fall, noch dürften Browser-Entwickler wie Google ein Interesse daran haben, hieran zeitnah etwas zu ändern.

Woran können sich Website-Betreiber nun orientieren?

Fakt ist: Noch gilt das deutsche TMG und damit die Opt-Out-Lösung. Ein Hinweis auf die Verwendung von Cookies, auf das Widerspruchsrecht und die Browser-Einstellungen in der Datenschutzerklärung dürfte ausreichen.

Fakt ist aber auch, dass die Rechtslage in Bewegung ist und eine Änderung des TMG  eine Frage der Zeit sein dürfte.

Wie können sich Website-Betreiber vorbereiten?

Wer ganz sicher gehen will, verwendet ein Pop-Up, in dem der Verbraucher auf den Einsatz von Cookies hingewiesen wird und durch Klicken eines Buttons einwilligt. Der Nachteil ist, dass solche Pop-Ups unschön und regelrechte Traffic- und Conversion-Killer sind.

Ein eleganterer Weg könnte sein, den Verbraucher in einer schlanken Einblendung am oberen oder unteren Bildschirmrand auf den Einsatz von Cookies hinzuweisen sowie darüber aufzuklären, dass man von einer Einwilligung ausgehe, solange der Nutzer nicht durch seine Browser-Einstellungen etwas anderes zum Ausdruck bringt. Dies wäre zwar weiterhin kein einwandfreier Opt-In, würde aber möglicherweise einen vertretbaren Kompromiss zwischen Datenschutz einerseits und Bedienfreundlichkeit sowie Conversion andererseits schaffen.

Wer einfach gar nichts ändert, fährt zwar nach geltendem Recht in Deutschland sicher, sollte aber die Entwicklung im Auge behalten um erforderlichenfalls reagieren zu können, wenn auch in Deutschland Opt-In zur Geltung kommt.

Ein Punkt, der in der Diskussion um Browser-Einstellungen etwas zu kurz kommt, ist, dass diese Einstellungen (bisher) nur Cookies betreffen. Was ist aber, wenn der Website-Betreiber seine Nutzer mittels anderer Methoden wie etwa Device Fingerprints erkennt? Auch solche Methoden sollen nach Auffassung der Datenschutzbeauftragten von § 15 Absatz 3 TMG umfasst werden, sodass dafür ebenfalls eine Einwilligung notwendig wäre. Die Erstellung von Device Fingerprints lässt sich jedoch nicht ohne weiteres deaktivieren bzw. unterdrücken.

1 reply

Trackbacks & Pingbacks

  1. […] zum Glück noch kein kompletten Opt-Out umsetzen, man sollte die Entwicklung aber im Auge behalten (hier ein paar […]

Comments are closed.