Cookie-Hinweis: Mode oder Pflicht?

Sowohl auf glamourösen Shopsites, als auch bei Gamesanbietern und Agenturen poppen neuerdings nervige Kästen auf und informieren über die Verwendung von Cookies. Auf dem Smartphone verdecken sie oft den halben Bildschirm. Muss das sein?

In der Regel nicht.

Kurz zur Geschichte: Die EU hat schon 2009 die sogenannte „Cookie-Richtlinie“ erlassen, nach deren Wortlaut Website- und App-Nutzer der Verwendung von Cookies aktiv zustimmen müssen, bevor diese Technik eingesetzt werden darf („Opt-In“). Deutschland hat die Richtlinie allerdings nie in nationales Recht umgesetzt. Das heißt, sie gilt hier nicht. Trotzdem muss auch nach Deutschem Recht in den Datenschutzbestimmungen möglichst detailliert auf die Verwendung und den Zweck von Cookies (und diversen anderen Informationen) hingewiesen werden. Das ist nicht neu.

Im Moment herrscht unter den Experten andauernder Streit, wie die Cookie-Richtlinie zu verstehen ist. Die europäischen Länder haben deshalb auch unterschiedliche nationale Regeln getroffen – gerade das sollte mit der EU-Richtlinie geändert werden. Deshalb wird die EU in mittelfristiger Zukunft eine neue Richtlinie, vielleicht sogar eine sofort geltende Verordnung erlassen, die Klarheit schafft. Darüber wird auf Europa-Ebene bereits diskutiert. Letzteres könnte der Grund sein, warum nun die Wirtschaft selbst Druck macht: Ausgerechnet Google hat es zu Ende September 2015 vertraglich zur Pflicht gemacht, dass sich seine Kunden an die Cookie-Richtlinie halten müssen. Vielleicht, um eine strenge gesetzliche Neuregelung zu vermeiden?

Diese vertragliche (nicht gesetzliche) Google-Pflicht gilt allerdings nur für „Google-Produkte wie Google AdSense oder DoubleClick for Publishers“ (Quelle).  Sie gilt nicht für Google Analytics, das bedeutsamste Google Tool im Marketing. Eine Ausnahme gilt, wenn die spezielleren Google Analytics-Werbefunktionen aktiviert wurden. Diese sind aber nicht Teil des gewöhnlichen Google Analytics. Also nur bei Verwendung der Werbefunktionen muss die Richtlinienanforderungen für Google Analytics-Werbefunktionen von Google befolgt werden. Auch hierbei handelt es sich um eine vertragliche Verpflichtung.

Aber was bedeutet diese Verpflichtung gegenüber Google eigentlich genau?

  1. Bei der Verpflichtung durch Google handelt es sich um privates Recht. Es besteht keine Gefahr der Abmahnung durch Dritte. EDIT: Auch nicht durch Verbraucherzentralen, die hierzu seit Februar 2016 im Stande wären.
  2. Ob die Verpflichtung wirksam vereinbart ist, ist im Einzelfall zu prüfen und nicht selbstverständlich.
  3. Wenn die Pflicht gegenüber Google besteht, muss sich der Nutzer des Google Dienstes an die Cookie-Richtlinie halten. Aus meiner Sicht allerdings eine Selbstverständlichkeit:

Nicht wenige Experten inkl. der Bundesregierung sind nämlich der Auffassung, dass das deutsche Datenschutzrecht sowieso schon die Anforderungen der EU-Richtlinie erfüllt. Dann wäre auch nach Googles Verpflichtung kein zusätzliches Handeln erforderlich.

Entnommen wird dies Erwägungsgrund Nr. 66) zur Cookie-Richtlinie. Dort heißt es, dass die Einwilligung des Nutzers unter Umständen „auch über die Handhabung der entsprechenden Einstellungen des Browsers oder einer anderen Anwendung ausgedrückt werden“ kann. Weiter wird dort klar gestellt, dass eine Einwilligung nicht eingeholt werden muss, soweit eine Speicherung unverzichtbar ist, um die Nutzung eines Dienstes überhaupt erst zu ermöglichen. Mit anderen Worten: Der Nutzer kann in seinem Browser selbst einstellen, ob er Cookies möchte, oder nicht. Die Bundesregierung findet, das erfülle bereits die Cookie-Richtlinie. Also ist auch Googles vertraglich auferlegte Verpflichtung erfüllt, sich an die Richtlinie zu halten. Kritiker bemängeln, dass der Nutzer über seinen Browser nur ein „Opt-Out“ betreiben könne (sofern die Browsereinstellung standardmäßig „Cookies an“ ist), was der Richtlinie nicht genüge. Richtig ist, dass dem Nutzer durch eine generelle Einstellung im Browser keine Möglichkeit bleibt, Einzelfallentscheidungen zu treffen. Andererseits bleibt es ihm auch erspart, diese Wahl auf jeder Internetseite treffen zu müssen. Zusammengefasst lässt sich mit der Bundesregierung gut vertreten, dass mit der Möglichkeit, Cookie-Einstellungen im Browser zu treffen, der Richtlinie und Googles vertraglichen Anforderungen bereits entsprochen ist.

Etwas komplizierter wird das Ganze allerdings, wenn die Website oder App Auslandsbezug hat. Das ist schon dann der Fall, wenn Nicht-Deutsche Europäer die Website „bestimmungsgemäß“ (*) besuchen. Denn dann muss möglicherweise auch das Datenschutzrecht desjenigen Landes eingehalten werden, aus dem der Besucher kommt. Das ist eigentlich eine Selbstverständlichkeit und gilt auch für Nicht-EU Länder wie die Schweiz oder die USA. Allerdings haben die europäischen Länder die Cookie-Richtlinie teilweise in nationales Recht umgesetzt und dabei den „Opt-In“ Gedanken übernommen. So zum Beispiel Österreich, Frankreich, Niederlande und Dänemark. Selbst, wenn man mit seiner Datenschutzerklärung in Deutschland auf der sicheren Seite sein mag, ist man in diesen Ländern also potentiell gefährdet, Datenschutzrecht zu verletzen. Ob dies wirklich der Fall ist, müsste womöglich der Europäische Gerichtshof entscheiden und ist heute nur schwierig abzusehen. Du muss dich allerdings fragen, wie hoch die Wahrscheinlichkeit ist, dass eine europäische Datenschutzbehörde ausgerechnet deine Website oder App auswählt, um dieses politische Thema vor den EUGH zu bringen…

(*) Bestimmungsgemäß bedeutet, dass sich das Angebot an Besucher aus diesem Land richten muss, wobei die Sprache ein wichtiger Indikator ist. Der BGH hält es allerdings für machbar, in einem Disclaimer deutlich zu regeln, dass sich ein Angebot nicht an Besucher aus bestimmten Regionen richte.

Um an dieser Stelle zu verdeutlichen, wie unklar die Rechtslage aktuell ist, verweise ich auf eine Verwaltungsstreitsache zwischen Facebook und dem Hamburger Datenschutzbeauftragten. Dort hat das Oberverwaltungsgericht beschlossen, es komme auf die Auslegung der EU-Datenschutzrichtlinie an. Nach dem gegenwärtigen Stand der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) sei nicht geklärt, ob die EU-Datenschutzrichtlinie es erlaube, dass der Datenschutzbeauftragte aufgrund nationaler Regelungen (hier DE) gegen die in Irland ansässige Antragstellerin mit hoheitlichen Mitteln vorgehen dürfe. Eine ähnliche Frage dürfte sich also stellen, wenn beispielsweise eine französische Datenschutzbehörde ein deutsches Unternehmen wegen Datenschutzfragen angreifen würde.

Fazit:

Aus meiner Sicht sind kleine und mittelständische Unternehmen, die nur in Deutschland agieren (sprich, die nur auf Deutsch veröffentlichen) nicht gefährdet. Wilde Cookie-Popups mit Opt-In halte ich für unnötig und – wem sage ich das – sie schädigen mutmaßlich auch das Geschäft. Wird auch in anderen europäischen Sprachen veröffentlicht, könnte das geringe Risiko bestehen, dass ein Verstoß gegen nationales Datenschutzrecht gesehen wird, da teilweise ein „Opt-In“ als Reflex auf die Cookie-Richtlinie eingeführt wurde. Wie die Richtlinie allerdings auszulegen ist, ist umstritten. Gegebenenfalls verstößt das nationale Recht gegen Europarecht. Diesen Rechtsstreit will man nicht führen – das gilt allerdings mutmaßlich auch für potentielle Kläger.

In jedem Fall ist es nach wie vor notwendig, eine saubere, ausführliche und zutreffende Datenschutzerklärung anzubieten. Damit müsste auch den neuen Google-Verpflichtungen Genüge getan sein – zumindest in Deutschland. Denn Google verlangt nicht mehr als die Einhaltung des sowieso geltenden Rechts.

Handlungsbedarf entsteht aus meiner Sicht erst dann, wenn Google aktiv wird und die Umsetzung der vertraglichen Pflicht anmahnt, oder wenn sich eine allgemeine Rechtsmeinung herausbilden sollte, dass das Deutsche Datenschutzrecht nicht der Cookie-Richtlinie entspricht. Bis dahin halte ich alle dringlichen Empfehlungen für aktionistisch. Es könnte allerdings ein guter Anlass sein, seinen Datenschutz im Allgemeinen unter die Lupe zu nehmen.

Wer trotzdem auf Nummer sicher gehen will, findet auf der Google-Seite cookiechoices.org eine ausführliche Anleitung, wie die Einwilligung technisch eingeholt werden kann. Da der Text der Einwilligung davon abhängt, wie Cookies eingesetzt und welche Daten genau erhoben werden, empfiehlt Google, Rat eines Anwalts einzuholen.

Andere lesenswerte Auffassungen zum Thema habe ich hier zusammengestellt:

  • http://rechtsanwalt-schwenke.de/google-macht-cookie-hinweise-zur-pflicht-handlungsempfehlung-fuer-website-und-appanbieter/
  • http://blog-it-recht.de/2015/09/14/eu-cookie-richtlinie-das-ist-der-aktuelle-handlungsbedarf-wenn-sie-einen-shop-betreiben/
  • http://www.shopbetreiber-blog.de/2015/10/02/cookie-richtlinie/
  • http://www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html
  • http://www.it-recht-kanzlei.de/google-cookie-hinweis.html