INTERNET WORLD Business





LÄNDERVERGLEICH: E-PRIVACY-RICHTLINIE

Die Cookie-Vorreiter

Obwohl die Frist für die Umsetzung der E-Privacy-Richtlinie der EU bereits seit dem 25. Mai 2011 abgelaufen ist, haben etliche Staaten – darunter Deutschland – die Richtlinie noch nicht in nationales Recht umgesetzt, andere Länder dagegen schon

Die EU schreibt seit dem 25. Mai 2011 ein einheitliches europäisches Vorgehen bei Cookies vor. Seit dem Tag ist die Frist für die Umsetzung der Richtlinie 2009/136/EG über den Schutz personenbezogener Daten in der elektronischen Kommunikation, die sogenannte „Cookie- Richtlinie“ oder „E-Privacy-Richtlinie“, in nationales Recht abgelaufen.

Cookies, kleine Dateien, die Websites auf der Festplatte des Users speichern, sind aus dem Web nicht mehr wegzudenken: Einige gewährleisten, dass Websites funktionieren, andere sammeln personenbezogene Daten für Werbezwecke, indem sie das Surf-Verhalten des Users protokollieren. Die Tracking Cookies können dieses über einen langen Zeitraum und verschiedene Domains verfolgen. So werden Nutzerprofile erstellt, die lukrativ an Dritte verkauft werden. Daher finden Cookies inzwischen auf fast allen Websites Verwendung. Datenschutzrechtlich ist das jedoch kritisch.

Der europäische Gesetzgeber hat deshalb 2009 die Cookie-Richtlinie erlassen. Sie bestimmt etwa, dass die Verwendung von Cookies, die nicht dem alleinigen Zweck der Übertragung von Nachrichten über ein elektronisches Kommunikationsnetz oder der von einem User ausdrücklich erwünschten Diensteerbringung dienen, nur noch mit vorheriger Einwilligung des Nutzers erlaubt sein soll – Art. 5 (3) der Richtlinie. Voraussetzung ist auch die umfassende Information über den Einsatz der Cookie-Technologien und die Verwendung der generierten Daten.

Damit ist etwa das Setzen eines Cookies, um den „Einkaufswagen“ eines Webshops einem bestimmten User zuzuordnen, weiter ohne Einwilligung möglich, der Einsatz von Cookies, die dem Zweck der Auswertung des Surf-Verhaltens des Users dienen, aber nicht. Die nationalen Gesetzgeber in Europa, die die Richtlinie in nationales Recht umsetzen müssen, stellte und stellt vor allem der unklare Wortlaut des Art. 5 (3) vor Probleme. Offen ist, wie die wirksame Einwilligung eingeholt werden muss, und auch, ob der User aktiv einwilligen muss (Opt-in) oder ob es – etwa über ein Anpassen der Browser-Einstellungen – genügt, wenn er einer Verwendung widersprechen (Opt-out) kann. Die EU-Staaten haben diesen Gestaltungsspielraum ausgenutzt und Art. 5 (3) unterschiedlich umgesetzt: die Mehrheit mit einer Opt-in-Lösung. Einige Staaten, darunter Deutschland, haben die Richtlinie bisher noch gar nicht in nationales Recht umgesetzt.

Nun besteht die Gefahr, dass die Richtlinie unmittelbar anwendbar ist, falls der Text der Richtlinie „hinreichend konkret“ ist. Das heißt, dass sich ein User unter Umständen – falls die zuständige Datenschutzbehörde die Richtlinie als hinreichend konkret ansieht – gegenüber einem Site-Betreiber auf dessen Pflichten zur Information und zum Einholen der Einwilligung in die Cookie-Verwendung berufen kann. Peter Schaar, der Bundesbeauftragte für den Datenschutz, ist zumindest dieser Ansicht. Zudem droht Staaten, die ihrer Umsetzungspflicht nicht nachkommen, ein Vertragsverletzungsverfahren am Europäischen Gerichtshof. ❚

RA BRITTA HINZPETER


Tipp für Nicht-EU-Anbieter:

Website-Betreiber, die innerhalb der EU ihren Sitz haben, könnten auf die Idee kommen, ihre Site von einem Land aus anzubieten, das weichere Regelungen (Opt-out) hat. Das ist rechtlich nicht erlaubt, da sich die Betreiber immer an die Richtlinien des Landes halten müssen, in dem sie ihren Sitz haben. Wenn Betreiber, deren Sitz außerhalb der EU liegt, innerhalb der EU Websites betreiben wollen, sollten sie stets die strengste Richtlinie befolgen, um sicherzugehen.


Großbritannien – Datenschutzbehörde empfiehlt Opt-in

In Großbritannien wurde die Richtlinie mit Wirkung vom 26. Mai 2011 umgesetzt. Dabei orientierte sich der Gesetzgeber eng an den Formulierungen der Richtlinie. Nach den Leitlinien der britischen Datenschutzbehörde (Information Commissioner’s Office, ICO), ist es grundsätzlich erforderlich, die Einwilligung durch ausdrückliches Opt-in einzuholen. Unter Umständen könne auch eine konkludente Einwilligung genügen. Das ICO empfiehlt den Einsatz von Pop-ups oder Bannern. Zudem könne die Einwilligung grundsätzlich auch durch eine in AGB enthaltene Erklärung eingeholt werden. Die technischen Möglichkeiten der Browser-Einstellungen reichen dagegen nach Ansicht der nationalen Datenschutzbehörde nicht aus.


Portugal – noch keine Umsetzung

Portugal hat die Richtlinie nicht vollständig in nationales Recht umgesetzt. Bei Cookies gilt altes Recht. Danach wird die Einwilligung (Opt-in) bislang nur für das Zusenden von Werbung vorausgesetzt. Hierunter fallen Cookies in aller Regel nicht. Die Speicherung von Daten oder der Zugang zu bereits gespeicherten Daten darf aber nur unter bestimmten Voraussetzungen erfolgen. Der User ist klar und verständlich über den Zweck der Datenspeicherung zu unterrichten, das Recht, der Datenverarbeitung zu widersprechen, muss deutlich aufgezeigt werden (Opt-out).


Frankreich – Datenschutzbehörde empfiehlt Opt-in

Frankreich setzte die Richtlinie mit Wirkung zum 24. August 2011 um. Das Gesetz bestimmt, dass die verantwortliche Stelle (Website-Betreiber) die User elektronischer Kommunikationsdienstleistungen umfassend und klar über den Zweck der Cookies und die Möglichkeiten zur Ablehnung zu informieren hat. Auch die ausdrückliche Einwilligung des Users ist erforderlich. Sie kann zwar über die Verbindungseinstellungen (z. B. Browser-Einstellungen) erfolgen. Die französische Datenschutzbehörde (CNIL) ist jedoch der Ansicht, dass die aktuellen Browser die dafür nötigen Anforderungen nicht erfüllen; sie empfiehlt daher ausdrücklich, die Einwilligung mit Bannern, einer vorgeschalteten Site beim Registrierungsprozess oder Tick-Boxes einzuholen.


Luxemburg wählt Opt-out

Luxemburg implementierte die Richtlinie mit Wirkung zum 1. September 2011 in die nationale Gesetzgebung. Danach ist die Einwilligung des zuvor hinreichend informierten Nutzers notwendig. Die Einwilligung kann über entsprechende Browser- oder Anwendungseinstellungen eingeholt werden.


Irland lässt Anforderungen offen

Die Richtlinie wurde in Irland mit Wirkung vom 1. Juli 2011 in nationales Recht umgesetzt. Demnach müssen User eindeutig und umfassend informiert sein, insbesondere über den Zweck des jeweiligen Cookies. Diese Informationen müssen „deutlich sichtbar und leicht zugänglich“ und so „nutzerfreundlich wie möglich“ gestaltet sein.

Ob eine Einwilligung über Browser-Einstellungen möglich ist, ist dem Gesetz nicht unmittelbar zu entnehmen.


Spanien wählt Opt-in

Durch eine Gesetzesverordnung – eine Anpassung des Gesetzes über Online-Dienstleistungen –, die inzwischen auch das Parlament ratifiziert hat, wurde die Richtlinie umgesetzt. Demnach benötigen Firmen, die Cookies nutzen, nun die ausdrückliche Einwilligung des Users, nachdem dieser umfassend, insbesondere über den Umfang der erhobenen Daten und den Zweck der Erhebung informiert wurde (Opt-in). Insgesamt besteht aber Unsicherheit über die notwendigen Maßnahmen zur Umsetzung der neuen Erfordernisse. Eine offizielle Richtlinie der Datenschutzbehörde gibt es bislang nicht.


Noch haben einige Staaten akuten Nachholbedarf

EU-Ländervergleich: Cookie-Richtlinie

In nationales Recht umgesetzt?

- Belgien + Malta

+ Bulgarien + Niederlande

+ Dänemark - Norwegen*

- Deutschland - Österreich

+ Estland - Polen

+ Finnland + Portugal

+ Frankreich - Rumänien

- Griechenland + Schweden

+ Großbritannien +Slowakei

+ Irland - Slowenien

- Italien + Spanien

+ Lettland + Tschechien

+ Litauen + Ungarn

+ Luxemburg - Zypern

* Norwegen ist zwar kein EU-Mitglied, aber als Folge der Mitgliedschaft in der European Economic Area (EEA) ist das Land verpflichtet alle EU-Richtlinien umzusetzen.

© INTERNET WORLD Business 17/12 Quelle: DLA Piper


Die Niederlande wählt Opt-in

Die Umsetzung erfolgte durch Änderungen des TKG mit Wirkung vom 5. Juni 2012. Dabei wurden die Regeln für das Setzen von Cookies verschärft. User müssen nun zuvor eindeutig und vollständig informiert werden und ihre Einwilligung (Tick-Box auf Startseite, Banner oder Pop-up-Menüs) erklären.


Deutschland – noch keine Umsetzung

Deutschland hat die Richtlinie bislang nicht in nationales Recht umgesetzt. Der im März 2011 veröffentlichte Entwurf zur Ergänzung des Telemediengesetzes (TMG) wurde durch den Bundestag nicht angenommen. Im Januar 2012 hat die SPD-Fraktion einen Entwurf zur Änderung des TMG in den Bundestag eingebracht, der jedoch im Ausschuss für Wirtschaft und Technologie mit den Stimmen der Regierungskoalition abgelehnt wurde. Ein inhaltsgleicher Antrag liegt aktuell dem Bundesrat – eingebracht durch das Land Hessen – vor. Wann über diese Gesetzesinitiative entschieden wird, steht derzeit nicht fest. Sicher ist nur, dass das Setzen von Cookies in Zukunft die Einwilligung des Nutzers voraussetzen wird. Welche Anforderungen der Gesetzgeber an das Einwilligungserfordernis (weiterhin nur über Browser-Einstellungen oder doch per Opt-in) stellen wird, ist aber unklar.


Schweden – Datenschutzbehörde empfiehlt Opt-in

Der Gesetzgeber setzte die Richtlinie durch Änderungen des Gesetzes über die elektronische Kommunikation mit Wirkung vom 1. Juli 2011 um. Einzelheiten zu den Einwilligungserfordernissen sind umstritten. Die Regierung ist der Ansicht, dass die neuen Normen inhaltlich nichts an den bisherigen Anforderungen an die Einwilligung ändern und Browser-Einstellungen gegebenenfalls ausreichen. Im Gegensatz dazu ist das „Data Inspection Board“ der Meinung, dass zwischen verschiedenen Arten von Cookies zu unterscheiden sei. Nach Ansicht der Regulierungsbehörde schließlich könne auf die Einwilligung nicht ohne ausdrückliche gesetzliche Grundlage verzichtet werden. Eine solche fehle hier jedoch. Eine Klärung dieses Streits hat die Regierung der Rechtsprechung überlassen.


Dänemark wählt Opt-in

Die Richtlinie wurde am 25. Mai 2011 durch das neue dänische Gesetz über elektronische Kommunikationsdienstleistungen umgesetzt. Konkrete Regelungen über die Verwendung von Cookies finden sich aber nur in einer Anordnung des dänischen Wissenschafts-und Technologieministeriums vom 14. Dezember 2011.

Danach muss der User in die spezifische Verwendung von Cookies ausdrücklich und freiwillig einwilligen („Opt-in“), sobald er umfassend informiert wurde. Eine Einwilligung kann durch die Bestätigung eines Auswahlfeldes (Tick-Box) erfolgen. Auch die Nutzung einer Website nach hinreichender Unterrichtung kann als Einwilligung verstanden werden. Dies ist aber einzelfallabhängig.


Tschechien wählt Opt-out

Der tschechische Gesetzgeber setzte die E-Privacy-Richtlinie mit Wirkung zum 1. Januar 2011 durch Änderungen am Gesetz über elektronische Kommunikation in nationales Recht um. Anbieter elektronischer Kommunikationsdienstleistungen, die personenbezogene Daten speichern oder Zugang zu bereits gespeicherten Daten erhalten wollen, müssen den Nutzer vor Beginn der Datenerhebung nachweisbar über Umfang und Zweck der Speicherung unterrichten. Der Nutzer muss zudem über die Möglichkeit informiert werden, dass er seine Zustimmung verweigern kann.


Österreich wählt Opt-in

Österreich hat die E-Privacy-Richtlinie mit Ergänzungen des Telekommunikationsgesetzes (TKG) umgesetzt, die am 22. November 2011 in Kraft getreten sind. Nach dem neuen österreichischen TKG empfiehlt sich der Einsatz einer Pop-up- oder Click-Through- Vereinbarung („Opt-in“). Eine Einwilligung durch die Einstellung des Browsers reicht nicht aus, da unter anderem die notwendigen Informationen auf diese Art nicht erteilt werden können.


Bulgarien wählt Opt-out

Die Richtlinie wurde am 29. Dezember 2011 in nationales Recht umgesetzt. Danach ist die Speicherung von Informationen nur erlaubt, wenn dem User klare und verständliche Informationen in Übereinstimmung mit dem Datenschutzgesetz zur Verfügung gestellt werden. Er muss zudem über die Möglichkeit der Ablehnung oder der Zugangsgewährung informiert werden.


Finnland wählt Opt-out

Nach dem finnischen Umsetzungsgesetz vom 25. Mai 2011 besteht die Möglichkeit der Einwilligung über Browser- oder Anwendungseinstellungen. Der User muss aber verständlich und umfassend über den Einsatz der Cookie-Technologie sowie über den Zweck der Speicherung informiert werden.


Estland beruft sich auf bereits geltendes Recht

Estland hat kein Umsetzungsgesetz erlassen. Nach Auffassung des zuständigen Ministeriums ist den Anforderungen der Richtlinie bereits durch den bestehenden Art. 102 des estnischen Gesetzes zur Elektronischen Kommunikation hinreichend Genüge getan.


Lettland hat nicht vollständig umgesetzt

Die Richtlinie wurde durch Änderungen des Gesetzes über Dienstleistungen der Informationsgesellschaft umgesetzt. Es geht nicht ausdrücklich auf Cookies ein. Offizielle Leitlinien zur Verwendung von Cookies haben die zuständigen Behörden bislang nicht veröffentlicht.


Litauen wählt Opt-in

Litauen hat die Richtlinie durch Ergänzungen des Gesetzes zur elektronischen Kommunikation mit Wirkung vom 1. August 2011 umgesetzt. Die Änderungen fordern, dass die Einwilligung zur Nutzung von Cookies durch „Opt-in“ erfolgen muss. Im Dezember 2011 veröffentlichte die litauische Datenschutzaufsichtsbehörde auch Empfehlungen, wie eine ausreichende Einwilligung eingeholt werden kann. Danach soll sie über Pop-ups, Banner oder Registrierungsprozesse auf Websites eingeholt werden. Die Anpassung der Browser-Einstellungen stellt dagegen keine wirksame Einwilligung dar.


Slowakei wählt Opt-out

Das neue slowakische Gesetz über die elektronische Kommunikation setzt die Richtlinie mit Wirkung vom 1. November 20111 um. Das Gesetz erkennt die Möglichkeit an, die notwendige Einwilligung über Browser-Einstellungen und andere Anwendungseinstellungen einzuholen.


Ungarn lässt die Anforderungen offen

Das Gesetz über die Elektronische Kommunikation von 2003 wurde leicht abgeändert und verlangt nun die Einwilligung des Users in die Speicherung und den Zugang zu Informationen, die über elektronische Kommunikationsnetze gewonnen wurden. Vor dieser Einwilligung muss er eindeutig und umfassend, insbesondere über den Zweck der Datenverarbeitung, informiert werden. In der Praxis genügen derzeit passende Browser- Einstellungen für die Einwilligung. Eine Bestätigung durch Gerichte dazu fehlt bislang.

Weitere Bilder
comments powered by Disqus