Verordnung geleaked: EU-Regelung für Cookies – Das Ende der Cookie-Banner?
Datenschutz-Grundverordnung: Neuerungen ab 2018
Am 25.05.2018 tritt die europäische Datenschutz Grundverordnung in Kraft. Damit werden viele althergebrachte Regelungen des Datenschutzrechts durch eine einheitliche europäische Gesetzgebung ersetzt. Manches wird besser, vieles unklarer. Und in vielerlei Hinsicht ist für die Verarbeiter personenbezogener Daten, deren Dienstleister und natürlich insbesondere E-Commerce-Anbieter auch jetzt noch nicht klar, wie die neuen gesetzlichen Regelungen aufzufassen und auszulegen sind.
Jedoch dreht sich das Rad weiter. Da die Datenschutz-Grundverordnung das Datenschutzrecht in Europa einheitlich vorrangig regelt, werden auch die nationalen deutschen Datenschutzregelungen des Telemediengesetzes überflüssig. Bislang ergibt sich daraus eine erhebliche Rechtsunsicherheit, da beispielsweise das Telemediengesetz in § 13 Abs. 2 sehr detaillierte Anforderungen an datenschutzrechtliche Einwilligungen stellt. Solche klaren Anforderungen können zwar lästig sein, geben jedoch auch ein Mehr an Rechtssicherheit, da sich daraus zumindest ein How-To für eine zulässige Einwilligungserklärung ableiten lässt.
Auf europäischer Ebene sind derart klare Anforderungen eher selten anzutreffen. Das Gesetz spricht hier oft eine andere Sprache als die tradierten Formulierungen der nationalen deutschen Regelungen.
Cookie-Banner: Pflicht oder nicht?
Dies ließ sich in der Vergangenheit insbesondere aus dem Hick-Hack um die Umsetzung der Cookie-Richtlinie erkennen. Lange war streitig, ob und wie die sich aus dieser Richtlinie ergebende Verpflichtung zur Einholung einer Einwilligung des Nutzers für das Setzen eines Cookies aufzufassen ist. Zunächst hieß es, die deutsche Gesetzgebung habe die Richtlinie nicht rechtzeitig umgesetzt. Anschließend ließ die Bundesregierung verkünden, dass bereits alle Anforderungen im aktuell geltenden deutschen Recht umgesetzt seien (https://www.telemedicus.info/article/2722-Die-Stellungnahme-der-Bundesregierung-zur-Cookie-Richtlinie.html). Die erforderliche Zustimmung könne – entgegen den strengen Anforderungen des § 13 Abs. 2 TMG – bei cookies über die entsprechenden Browser-Einstellungen des users erfolgen. Die Rechtsprechung ist dieser Einschätzung weitgehend gefolgt. Für Betreiber von Webseiten ergaben sich danach zunächst also keine Änderungserfordernisse, wenn sie denn die nach § 13 Abs. 1 Telemediengesetz vorgeschriebene Datenschutzerklärung auf ihrer Website bereithielten.
Das änderte sich im Wesentlichen im Jahr 2015. Allenthalben tauchten Banner auf, mittels welchen auf den Einsatz von Cookies hingewiesen wurde. Hintergrund dieser Banner: es gibt keine gesetzliche Verpflichtung für einen Cookie-Hinweis in Banner-Form. Dies ergibt sich aus der oben zitierten Stellungnahme der Bundesregierung. Allerdings: Google fordert für den Einsatz einiger seiner Produkte, dass der Nutzer dem Einsatz von Cookies zustimmt (https://www.google.com/about/company/user-consent-policy.html). Die oftmals gestellte Frage nach der Rechtspflicht für ein Cookie-Banner oder einen Cookie-Hinweis ist daher nach dem Dafürhalten des Verfassers so zu beantworten, dass zumindest für deutschsprachige Seiten keine gesetzliche Pflicht besteht, es jedoch beim Einsatz von Google-Produkten höchst ratsam ist. Denn Google stellt – das mag verwundern – insoweit strengere Anforderungen an den Datenschutz als das deutsche Recht.
Darüber hinaus können sich Rechtspflichten dann ergeben, wenn mit der Internetseite ausländisches Publikum angesprochen wird, also auch nationale Gesetze anderer Länder zum Einsatz kommen, welche durchaus strengere Anforderungen an Einwilligungen für das Setzen von Cookies bestimmen können. Beispielsweise sieht das britische Datenschutzrecht vor, dass vor dem Setzen eines Cookies tatsächlich eine aktive Einwilligung des Nutzers eingeholt werden muss (Beispielsweise nach Stellungnahme der britischen Aufsichtsbehörde für Datenschutz: https://ico.org.uk/for-organisations/guide-to-pecr/cookies-and-similar-technologies/: „At present, most browser settings are not sophisticated enough for websites to assume that consent has been given to allow the site to set a cookie.“).
Brandaktuell: Leak zur gesetzlichen Neuregelung von cookies
Am gestrigen 15.12.2016 „leakte“ nun der Entwurf einer neuen europäischen Verordnung, welche die bisherige E-Privacy-Richtline ersetzen soll und vorrangig zu Datenschutz-Grundverordnung gelten soll (http://www.politico.eu/wp-content/uploads/2016/12/POLITICO-e-privacy-directive-review-draft-december.pdf). Nach dem Entwurf dieser „Privacy and Electronic Communikations Regulation“ Soll die Erhebung personenbezogener Daten im Internet auch weiterhin der Zustimmung des Betroffenen bedürfen, soweit die personenbezogenen Daten nicht zwingend benötigt werden, um die entsprechenden Dienste zu erbringen. Für einen anderweitigen Einsatz, und damit auch für nicht zwingend erforderliche Cookies, sieht die Verordnung ein Zustimmungserfordernis vor. Das entspricht auch der bisherigen Rechtslage im Telemediengesetz. Allerdings ergibt sich aus Art. 9 des Entwurfs folgender entscheidender Absatz:
Artikel 9 Abs. 1 und 2 des Verordnungsentwurfs
Wo technisch möglich und effektiv, soll also die Erklärung der Zustimmung für das Setzen eines Cookies in Zukunft auch dadurch erfolgen können, dass die entsprechenden Einstellungen in der Software-Anwendung vorgenommen werden, welche den Zugriff auf das Internet ermöglicht (vulgo also der Browser). Damit würde sich das europäische Recht der gegenwärtigen deutschen Rechtslage angleichen. Es wird also spannend werden, ob es dann möglicherweise sogar so weit kommt, dass die datenschutzrechtlichen Anforderungen von Google weiter gehen als diejenigen des Gesetzgebers der Europäischen Union. Vor diesem Hintergrund muss sich der Gesetzgeber allerdings tatsächlich fragen lassen, ob die Verbesserung des Datenschutzes, insbesondere im Hinblick auf den grenzüberschreitenden Datenverkehr, mit der Datenschutz-Grundverordnung und der sich daran anschließenden Gesetzgebung tatsächlich erreicht wird.
Für Unternehmen bedeutet dies, dass zumindest Hoffnung besteht, dass die visuell störenden und technisch nicht vorzugswürdigen Cookie-„Balken“ möglicherweise verschwinden könnten. Das würde allerdings voraussetzen, dass die Verordnung insoweit entsprechend dem Entwurf tatsächlich in Kraft tritt und Google seine Anforderungen entsprechend herabsetzt. Wir werden Sie auf unseren Internetseiten über den weiteren Fortgang informieren.
Aktuelle und rechtssichere Informationen zum Datenschutz, praxisgerechte Lösungen und unternehmensnahe Beratung erhalten Sie bei den Experten von BBS Rechtsanwälte. Wir beraten und vertreten zahlreiche Unternehmen mit unterschiedlicher Ausrichtung und unterschiedlichen Herausforderungen für rechtlich einwandfreie, praxisgerechte und effiziente Datenschutzkonzepte. Sprechen Sie uns an. Wir sind gerne für Sie da.