19.10.2015 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Warum es sinnvoll ist, auf den Einsatz von Cookies hinzuweisen und welche rechtlichen Hintergründe seit dem Urteil zu Safe-Harbor gelten, sagt Ihnen Rechtsanwalt Rolf Becker, Partner bei WIENKE & BECKER – KÖLN, im aktuellen Beitrag.
Die Hinweise lauten oft: „Um Ihnen ein besseres Nutzererlebnis zu bieten, setzen wir Cookies ein. Weitere Informationen hier“. Tatsächlich gibt es jedenfalls keine aktuell neuen Regelungen des Gesetzgebers. Da ist der letzte Stand die „Richtlinie 2009/136/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation“. Diese Richtlinie sieht tatsächlich eine Einwilligung bei der Nutzung von Cookies vor. Ausnahmen gelten nach der Richtlinie, soweit Cookie-Verwendung unverzichtbar ist, um die Nutzung eines Dienstes überhaupt erst zu ermöglichen. Warum ist das Thema jetzt plötzlich aktuell?
Google fordert seit Juli die Nutzer des Services Ad Sense und DoubleClick auf, die Richtlinie einzuhalten. Dahinter steht die Befürchtung, die Dienste ansonsten nicht mehr nutzen zu können und eventuell sogar Nachteile beim Suchmaschinenranking zu erleiden. Bis zum 30.09.2015 sollten die Voraussetzungen für eine Cookie-Akzeptanz geschaffen werden. Was der Gesetzgeber nicht schaffte, gelang Google auf Anhieb. Immer mehr Unternehmen sehen die Informationen jetzt vor. Die Einwilligung soll nach den Vorgaben der EU „auf der Grundlage von klaren und umfassenden Informationen, die [der Nutzer] unter anderem über die Zwecke der Verarbeitung erhält“, erfolgen. Bislang hat Deutschland die Richtlinie nach Ansicht vieler nicht ausreichend umgesetzt und Bußgelder der Datenschutzbehörde, die oft diese Ansicht teilte, waren nicht zu erwarten. In der Regel begnügte man sich mit Hinweisen in den Datenschutzbedingungen.
Zur Hilfe für die Umsetzung wird von Google auf die Webseite http://www.cookiechoices.org/ verwiesen. Dort finden sich technische Hinweise und Beispiele. Bevor Sie diese einfach einsetzen, sollten Sie aber wissen, was Sie da tun. Setzen Sie auf ein Opt-Out oder auf ein Opt-In? Letzteres wäre eine ausdrückliche Einwilligung in das Setzen der Cookies. Das unterbleibt dann auch, wenn die Einwilligung nicht kommt. Wenn Sie international unterwegs sind, müssen Sie allerdings Details beachten. Die Umsetzung der sog. Cookie-Richtlinie der EU ist nämlich durchaus unterschiedlich von den Gesetzgebern der einzelnen EU-Staaten erfolgt. Wenn man z. B. in Tschechien, Malta und Finnland ein Opt-Out auch via Browsereinstellung schon genügen lässt, zeigen sich die Niederlande, Frankreich oder Österreich strenger. Im Netz finden sich wilde Mischungen, die sich teilweise widersprechen, wenn es etwa heißt „stimmen Sie der Cookie-Nutzung durch den weiteren Besuch unserer Seiten zu.“ und der Nutzer gleichwohl aufgefordert wird über einen Button „Jetzt zustimmen“. Gefährlich mit Blick auf Abmahnungen wird es, wenn der Besucher im Unklaren über die Folge bleibt, die es hat, wenn er über ein Kreutz („X“) das lästige Banner abschaltet. Werden jetzt noch Cookies gesetzt oder nicht? Das sollte der Nutzer eindeutig erkennen können. Die Hinweise sind mit entsprechenden Informationen zu verlinken und der klare Rechtsrat lautet, dass der Nutzer schon im Text auf dem Banner darauf hingewiesen werden sollte, dass er der weiteren Nutzung widersprechen kann.
Natürlich sollten Sie auch Ihre Datenschutzhinweise pflegen. Diese werden oft häufiger gelesen als die AGB. Dort sollten vor allem die technischen Möglichkeiten erklärt werden, die sich dem Nutzer bieten, um seinen Widerspruch vornehmen zu können. Hier existieren für eigene Cookies selbst programmierte Lösungen, aber auch die Lösungen der einzelnen Anbieter, z. B. von Tracking Tools. Zudem hat der Nutzer auch generelle Möglichkeiten für die Abwehr oder das Abschalten von Cookies, z. B. über den Browser oder spezielle Dienste. Die Datenschutzbedingungen erlangen mittlerweile den gleichen Umfang wie AGB und bedürfen der gleichen Aufmerksamkeit.
Vom Gesetzgeber droht insoweit Ungemach auf der Datenschutzseite, als der Europäische Gerichtshof in einem Verfahren gegenüber Facebook entschieden hat, dass die Prinzipien des Datenschutzes nach dem Safe Harbor Abkommen nicht ausreichend für den Datenschutz sind. Damit benötigt man ab sofort grundsätzlich eine Einwilligung von jedem Betroffenen, wenn auch nur die IP-Adresse an Service-Unternehmen in die USA übermittelt wird. Das macht fast jeder heute. Schon hat der strenge Landesdatenschutzbeauftragte in Schleswig-Holstein Behörden und Unternehmen aufgefordert, sich dringend Alternativen zu überlegen. Es drohen Bußgelder bis zu 300.000 Euro. Eine „dauerhafte Lösung“ sieht die schleswig-holsteinische Landesdatenschutzbeauftragte Marit Hansen nur in „einer wesentlichen Änderung im US-amerikanischen Recht“, denn Alternativen sind kaum denkbar. Sogenannte Corporate Binding Rules, an denen sich US-Unternehmen orientieren und sich selbst verpflichten, bestimmte Datenschutzniveaus einzuhalten, helfen nicht wirklich weiter. Die NSA kann sich bekanntlich Zugang zu Daten erzwingen. Gleiches gilt für die EU-Standardverträge. Diese kann man mit US-Firmen abschließen (wenn die denn wollen). Die Verträge enthalten allerdings Klauseln, die US-Unternehmen eben angesichts der Macht der NSA nicht einhalten können. Hier wird man die weitere Entwicklung abwarten müssen, denn für alles eine transparente Einwilligung zu formulieren und die auch noch von jedem Webseitenbesucher einzuholen, kann man wohl nicht ernsthaft anstreben. Die europäischen Datenschutzbeauftragten der Art. 29 Gruppe haben den EU-Mitgliedsstaaten und der US-Regierung zunächst eine Frist bis Ende Januar 2016 gesetzt, um neue technische und rechtliche Lösungen zu finden.