In letzter Zeit häufen sich Anfragen zur Verwendung von Cookies. Dürfen diese noch eingesetzt werden? Ist hierfür eine Einwilligung des Nutzers erforderlich? Wie kann eine solche Einwilligung eingeholt werden?
Hintergrund ist die wohl zwischenzeitlich bekannter gewordene Cookie-Richtlinie aus dem Jahr 2009. Diese sieht unter anderem vor, dass Cookies grundsätzlich nur noch mit Zustimmung des Nutzers gesetzt werden dürfen. In der Richtlinie heißt es dazu:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.
Diese Richtlinie hätte bereits bis Mai 2011 in nationales Recht in Deutschland umgesetzt werden müssen (in anderen Ländern, wie z.B. UK, Frankreich, Schweden… wurde die Richtlinie hingegen bereits umgesetzt). Ein zur Umsetzung dieser Richtlinie von der SPD-Bundestagsfraktion eingebrachter Gesetzesentwurf wurde zuletzt vom Ausschuss für Wirtschaft und Technologie abgelehnt und ist vorerst gescheitert. Es liegt noch ein weiterer Gesetzentwurf vor, welchen das Land Hessen eigebracht hat. Wann über diesen Entwurf entschieden wird, ist jedoch noch nicht abzusehen.
Inhalt des Artikel
Unmittelbare Geltung?
Es sieht so aus, als ob eine spezielle Umsetzung der Cookie-Richtlinie auch in Deutschland kommen wird. Die Bundesregierung meinte bislang, dies sei nicht nötig. Datenschutzbehörden meinen sogar, sie dass die Richtlinie selbst auch in Deutschland schon unmittelbar aufgrund Zeitablauf (so z.B. auch der Bundesbeauftragte für den Datenschutz, Peter Schaar) gilt. Jedenfalls nach Umsetzung der Cookie-Richtlinie in nationales Recht wird der Einsatz von Cookies nur noch mit Einwilligung des Nutzers zulässig sein.
Ausnahmen
Eine Ausnahme soll allenfalls für Fälle gemacht werden können, in denen die technische Speicherung von Informationen unbedingt erforderlich ist, damit der Anbieter eines Dienstes, welcher vom Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. In der Richtlinie heißt es hierzu:
Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Cookies im Warenkorb ohne Zustimmung?
Viele Warenkörbe in Internetshops setzen Cookies voraus. Ob unter diesen Ausnahmetatbestand auch eine erforderliche Speicherung von Waren im Warenkorb gefasst werden kann, ist aber rechtlich noch ungeklärt. Der Information Commissioner’s Officer (IOC) als Datenschutzbeauftragter im UK ist aber offenbar der Ansicht, dass der Einsatz eines Cookies dann „unbedingt erforderlich“ und damit auch ohne Einwilligung in einem Onlineshop zulässig ist, wenn der Kunde Artikel markiert, die er dem Warenkorb hinzufügen möchte; hier soll also ein zustimmungsfreies Cookie ermöglichen, dass auch Artikel, die auf einer vorherigen Seite markiert wurden, „im Gedächtnis” der Seite bleiben und bei einem erneuten Aufrufen immer noch als ausgewählt erscheinen.
Einwilligung über Browsereinstellung
Wie eine ansonsten erforderliche Einwilligung erteilt werden kann bzw. ob hierzu allein Browsereinstellungen ausreichen, ist noch offen. Die „Artikel 29“-Gruppe der europäischen Datenschutzbeauftragten hat an Beispielen erläutert, wie Cookies im Einklang mit den geänderten EU-Vorgaben auch für gezielte Werbeansprachen verwendet werden können. Es sei nicht immer nötig, eine Einwilligung der Nutzer in die Verwendung ihrer personenbezogenen Informationen über ein Pop-up-Fenster einzuholen. Auch Voreinstellungen oder „Do not Track“-Verfahren könnten eine Lösung darstellen.
Abb. „Do not track“ hier im Firefox
Eine weitere Möglichkeit könnte es sein, bei Benutzung von Cookies eine Informations- und Opt-in-Seite vorzuschalten oder einen statischen Informationsbanner zu nutzen. Die Bereithaltung von Datenschutzrichtlinien wird in der Regel allein nicht mehr ausreichend sein.
Die britische Datenschutzbehörde macht es unter www.ico.gov.uk vor, wie man sich das künftig vorzustellen hat. Auf jeder Seite ist dort ein Banner enthalten, welches ein Opt-In zum setzen von Cookies ermöglicht. Wird nicht zugestimmt, gibt es keine Cookies. In UK hatten die Firmen jetzt 1 Jahr Zeit zur Umsetzung. Die Frist läuft bald ab. Viel zu sehen ist noch nicht bei Stichproben.
Abbildung ico Opt-In
Fazit
In Deutschland ist die Rechtslage mangels ausdrücklicher Umsetzung noch unklar. Man findet auch kaum Umsetzungen. Eine Direktgeltung der EU-Richtlinie erscheint eher rechtlich fernliegend. Hier muss sich der Gesetzgeber wohl noch bemühen. Die EU Kommission hat im Januar 2012 angekündigt, Maßnahmen gegen die Mitgliedsstaaten einzuleiten, bei denen die Umsetzung noch nicht erfolgt ist. Deutschland gehört dazu. Als Händler sollten Sie über die Verwendung von Cookies in jedem Fall informieren und Möglichkeiten aufzeigen, wie der Kunde Cookies los wird (Browsereinstellungen, Opt-Out). Ansonsten ist es nicht schlecht, der schnellste zweite zu sein.
Über den Autor
Rolf Becker (WIENKE & BECKER – KÖLN) ist Mitglied der Deutschen Vereinigung für gewerblichen Rechtsschutz und Urheberrecht e.V. GRUR und Mitglied des ECC-Club, eine Vereinigung zur Unterstützung des E-Commerce-Center Handel (ECC-Handel), die gemeinsame Forschungs-, Informations- und Beratungsinitiative von Institut für Handelsforschung an der Universität zu Köln (IfH), EuroHandelsinstitut (EHI) und Rationalisierungs- und Innovationszentrum der Deutschen Wirtschaft (RKW) und Mitglied in der Expertenrunde Recht der Stiftung Warentest (Finanztest). Neben Versandhandelsrecht mit Schwerpunkt ECommerce liegen weitere Tätigkeitsbereiche im Gesellschaftsrecht, Vertriebsvertragsrecht und im Bereich der neuen Medien (also Softwareprojekte und Verkauf im Internet, in dem es auch wieder um Wettbewerbsrecht, Markenrecht, Firmenrecht, Vertriebsvertragrecht usw. geht).
