Am 10. Januar 2017 hat die Europäische Kommission ihr lang ersehntes Gesetzespaket zur Verwirklichung des digitalen Binnenmarktes im Bereich des elektronischen Datenverkehrs vorgestellt. Eckpunkte dieses „Data Economy Packages“ haben wir seinerzeit bereits in diversen Blogs behandelt. Dieser Beitrag befasst sich nunmehr im Besonderen mit der vorgeschlagenen Neuregelung zu Cookies. Diese findet sich vor allem in den Art. 8 und 9 der von der Kommission im Entwurf vorgelegten ePrivacy-Verordnung COM(2017) 10 final.

Hintergrund

Cookies, das ist eine Textinformation, die von der Website auf das Endgerät (Computer, Tablet oder Smartphone) des Internetnutzers gespeichert wird und diesen beim Verweilen auf der Website oder aber einem erneuten Besuch widererkennt. Es gibt dabei eine große Vielfalt von Cookies mit unterschiedlichen Funktionen. Manche sind technisch erforderlich – etwa für das Speichern von Waren in einem digitalen Warenkorb, andere liefern dem Betreiber der Website oder einem Dritten schlicht Informationen über das Nutzerverhalten.

Die ePrivacy-Verordnung, die an die Stelle der heutigen Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG (ePrivacy–Richtlinie) treten soll, widmet sich intensiv der Regulierung von Cookies. Sie wirkt sich damit nachhaltig auf die derzeit durch die sogenannte Cookie-Richtlinie 2009/136/EG geprägte Rechtslage in Europa aus. Diese ist geprägt durch die mittlerweile üblichen „Cookie-Banner“, die eine ausdrücklich oder auch nur implizite Einwilligung einfordern.

Aus Sicht der Europäischen Kommission ergibt sich die Notwendigkeit einer Neuregelung nicht nur aus der technischen und wirtschaftlichen Weiterentwicklung seit 2009, sie sieht auch Umsetzungsdefizite. Die Cookie-Richtlinie habe – was man in der Tat nicht bestreiten kann – nicht das nötige Maß an Einheitlichkeit gebracht, welches für einen real existierenden digitalen Binnenmarkt nötig sei. Hier möchte die Kommission nun mittels einer unmittelbar geltenden Verordnung ansetzen.

Einwilligung

Im Ansatz stellt die vorgeschlagene Neuregelung – gerade aus deutscher Sicht – eine Verschärfung der Anforderungen an die Verwendung von Cookies dar. Für das Speichern von Informationen auf Endgeräten und den späteren Zugriff auf diese Daten soll künftig grundsätzlich eine Einwilligung erforderlich sein. Ausnahmen von dieser Regel gelten nur dann, wenn kein oder nur ein geringfügiger Eingriff in die Privatsphäre zu befürchten ist. Ein Beispiel hierfür ist das Speichern von Cookies, wenn es für die Nutzung eines ausdrücklich verlangten Dienstes technisch notwendig ist (Art. 8 Abs. 1 lit. a).

Art. 9 knüpft hinsichtlich der Form der Einwilligung an Art. 7 der Datenschutz-Grundverordnung (DSGVO) an. Es gilt per se Formfreiheit. Jedoch muss die Einwilligung nachweisbar dokumentiert werden und sie kann jederzeit widerrufen werden. Gemäß Art. 9 Abs. 2 kann eine Einwilligung auch über die Browser-Einstellung des Nutzers erteilt werden. Die Kommission betont hier stark die „Schlüsselrolle“ des Browsers (vgl. Erwägungsgründe 22 bis 24). Diese sollen mit Grundeinstellungen versehen werden, welche dem Nutzer die Kontrolle des Informationsflusses aktiv erleichtern. Die Konfiguration soll dem Nutzer ermöglichen, einfach zwischen abgestuften Einstellungen der Privatsphäre wählen zu können. Die konkrete Wahl soll dem jeweiligen Endnutzer überlassen bleiben, wobei eine einmal getroffene Einstellung jederzeit abänderbar sein muss. Auf die Notwendigkeit einer solchen Auswahl sollen Webbrowser den Nutzer bereits zum Zeitpunkt der Installation hinweisen.

Ausblick

Wenn die ePrivacy-Verordnung mit Blick auf die Cookie-Regelungen so kommt, wie von der Kommission vorgeschlagen, sind viele der heute implementierten Cookie-Banners ungeeignet, um einen rechtmäßigen Einsatz von Cookies zu gewährleisten. Dies gilt in besonderem Maße für deutsche Websites, da der der nationale Gesetzgeber schon die Cookie-Richtlinie nur unzureichend umgesetzt hat. Hier droht also Handlungsbedarf.

Das Thema sollte man nicht auf die lange Bank schieben. Die Verordnung soll sechs Monate nach Veröffentlichung in Kraft treten. Dann drohen empfindliche Bußgelder. Im Einklang mit den neuen Regelungen der DSGVO kann die zuständige Aufsichtsbehörde Bußgelder von bis zu € 20 Mio. oder aber 4 % des globalen Konzernumsatzes verhängen. Auch wenn dieser Maximalrahmen nicht ausgeschöpft wird, können Verstöße durchaus empfindlich geahndet warden.