Opt-in oder Opt-out – nur Deutschland legt sich nicht fest

"Cookie-Richtlinie" in Europa

07.01.2015
Von 
Britta Hinzpeter ist IT-Anwältin und Datenschutzexpertin bei DLA Piper in München Normal 0 21 false false false DE X-NONE X-NONE
Opt-in, opt-out - oder lieber gar keine eigene Regelung? Die europäischen Länder handhaben die EU-Vorgabe in Sachen Cookies sehr unterschiedlich. Hier eine Übersicht über den Stand der Kunst.

Seit dem 25. Mai 2011 schreibt die Europäische Union ein einheitliches Rezept für Cookies vor. Damit ist die Frist für die Umsetzung der Richtlinie 2009/136/EG über den Schutz personenbezogener Daten in der elektronischen Kommunikation, auch Cookie-Richtlinie oder E-Privacy-Richtlinie genannt, eigentlich abgelaufen. Aber Deutschland zögert noch, sich auf Opt-in oder Opt-out festzulegen.

Unklarer Wortlaut

Die nationalen Gesetzgeber in Europa, die die Richtlinie in nationales Recht umzusetzen haben, stellte und stellt (je nachdem, ob eine Umsetzung bereits erfolgt ist oder nicht) insbesondere der unklare Wortlaut des Artikel 5 (3) der Richtlinie vor Probleme. Die Richtlinie lässt quasi offen, wie genau eine solche Einwilligung eingeholt werden muss, damit sie wirksam ist.

Damit wird dem nationalen Gesetzgeber ein Gestaltungsspielraum eingeräumt. Das hat in der Praxis zu erheblichen Problemen geführt. Gestritten wird insbesondere darüber, ob ein Nutzer aktiv in die Verwendung von Cookies einwilligen muss („Opt-in“) oder ob es - beispielsweise über ein Anpassen der Browser-Einstellungen - ausreicht, wenn Nutzer die Möglichkeit haben, einer Verwendung zu widersprechen („Opt-out“). Die Mitgliedstaaten der EU haben diesen Gestaltungsspielraum ausgenutzt und Artikel 5 (3) der Richtlinie unterschiedlich umgesetzt.

Während sich die Mehrheit für eine „Opt-in“-Lösung entschieden hat, lassen einige Staaten, unter anderem Finnland und Portugal, ein „Opt-out“ des Nutzers genügen. Einige nationale Umsetzungsgesetze haben den Text der Richtlinie direkt übernommen und legen sich dementsprechend nicht eindeutig fest. Hier ist die Rechtsunsicherheit groß. Diskutiert wird außerdem, mit welchen technischen Mitteln das Einwilligungserfordernis am praktikabelsten auf einer Webseite umgesetzt werden kann. Hier setzten die meisten Staaten auf „Pop-Ups“ oder Banner, die beim ersten Besuch auf einer Webseite angeklickt werden müssen.

Auch über die Nutzungsbedingungen einer Webseite soll die Einwilligung teilweise eingeholt werden können. Einheitlich setzten alle Staaten nur voraus, dass der Nutzer eindeutig und klar verständlich über den Zweck der Speicherung und Nutzung seiner Daten zu informieren ist - genauso wie über die Möglichkeit, die Speicherung zu verweigern.

Transparenz als Chance

Web-Seiten-Betreiber müssen also unbedingt ihre Nutzungsbedingungen und Datenschutzrichtlinien überprüfen sowie gegebenenfalls umfassend ergänzen. Für den Nutzer bedeutet das mehr Transparenz. Durch die umfassenden Informationen und die Einwilligungsmöglichkeiten wird er wieder "Herr seiner Daten".

Aber auch für Unternehmen bedeuten die Änderungen keinesfalls nur einen erheblichen Aufwand, sondern sie können durchaus auch eine Chance darstellen: Je transparenter eine Webseite ist, desto nutzerfreundlicher ist sie. Und dies ist in jedem Fall ein Qualitätsmerkmal, das sich schnell herumspricht.

Konsequenzen aus der Verweigerung

Deutschland hat die Richtlinie bisher nicht durch ein offizielles Umsetzungsgesetz in nationales Recht umgesetzt. Es wird darüber gestritten, ob die Richtlinie deshalb unmittelbar anwendbar ist. Der Europarechtliche Grundsatz, nach dem eine Richtlinie unmittelbar anwendbar ist, wenn sie nicht rechtzeitig in nationales Recht umgesetzt wurde, gilt jedoch nur dann, wenn der Text der Richtlinie hinreichen konkret ist.

Das bedeutet, dass sich ein Nutzer unter Umständen gegenüber einem Web-Seiten-Betreiber auf dessen Pflichten zur Information und zum Einholen der Einwilligung in die Cookie-Verwendung berufen kann - direkt auf Grundlage der Richtlinie. Ob er im Rahmen einer Beschwerde bei einer Datenschutzbehörde mit dieser Argumentation Erfolg hätte, hinge dann davon ab, ob die Behörde die Richtlinie als hinreichend konkret einstufen würde. Der ehemalige Bundesbeauftragte für den Datenschutz, Peter Schaar, war zumindest dieser Ansicht.

Staaten, die ihrer Umsetzungspflicht nicht nachkommen droht früher oder später ein Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof. Das kann die Europäische Kommission. Die scheint jedoch die gegenwärtige deutsche Rechtslage bereits im Einklang mit den Vorgaben der Cookie-Richtlinie zu sehen.

Eine kursorische Empfehlung

Festzuhalten bleibt, dass die Rechtslage in Europa alles andere als einheitlich ist. In einigen Ländern herrscht immer noch ein hohes Maß an Rechtsunsicherheit. In Europa tätige Unternehmen mit Sitz außerhalb des Europäischen Wirtschaftsraumes haben es deshalb besonders schwer. Sie müssen unter Umständen verschiedene nationale Vorgaben für ein und dieselbe Web-Seite beachten. Hier empfiehlt es sich in der Regel, dem strengsten Schutzstandard zu folgen. Welche EU-Länder Vorreiter in der Umsetzung der Cookie-Richtlinie sind, zeigt die nachfolgende Übersicht: