| Online-Marketing

EU-Privacy-Richtlinie: Rechtliche Risiken beim Setzen von Cookies

Seit dem 26. Mai 2011 gehen Anbieter beim Setzen von Cookies deutlich höhere rechtliche Risiken ein. Bis zum 25.5.2011 hatten nämlich die EG-Mitgliedsstaaten die Datenschutz(änderungs)richtlinie (RL) 2009/136/EG in nationales Recht umzusetzen.

Art. 5 Abs. 3 der Richtlinie sieht vor, dass für Anbieter das Abspeichern von und das Zugreifen auf Informationen im Endgerät von Nutzern nur nach ausführlicher Information des Nutzers hierüber und der Erteilung einer Einwilligung durch den Nutzer zulässig sind. Eine Ausnahme gilt nur für Informationen, deren alleiniger Zweck das Übertragen von Nachrichten ist.

Diese neue Regelung hat grundsätzliche Bedeutung. Zunächst spricht die Richtlinie generell von "Informationen" und nicht -  wie an anderer Stelle - von "personenbezogenen Daten". Das Einwilligungserfordernis greift also auch dann ein, wenn kein Personenbezug zum Nutzer hergestellt werden kann.

Außerdem - und wichtiger noch - ist es unzulässig, weiterhin ohne Einwilligung und gar unbemerkt vom Nutzer "Cookies" zu setzen oder sonstige Informationen ohne Wissen des Nutzers zu speichern, wann er etwa welche Webseite besucht hat.

Die neue Regelung gilt keineswegs ausschließlich nur für "Cookies", sondern für alle Informationen, die etwa über "Social Plugins" gewonnen und gespeichert werden. Das gilt auch für das Erzeugen von Geodaten der Bewegung von Nutzern, erst recht, wenn die Nutzer den Ortungsdienst ausschalten und dennoch Daten gespeichert werden.

Bislang kaum in nationales Recht umgesetzt

Allerdings haben die meisten Mitgliedsstaaten die Änderungen der Richtlinie noch nicht in nationales Recht umgesetzt. Auch die Bundesregierung will noch Fragen auf EU-Ebene klären, etwa ob Tracking-Cookies gesetzt werden dürfen. Bedeutet das, dass alles rechtlich zunächst beim Alten bleibt? Dies wäre ein Fehlschluss:

In allen Staaten, in denen die Richtlinie zum Stichtag 25.05.2011 nicht umgesetzt ist, muss sich der Mitgliedsstaat so behandeln lassen, als hätte er umgesetzt.

Private können sich gegenüber dem Staat auf die Richtlinien-Reglungen berufen. Voraussetzung ist, dass die Richtlinie ein klares und direkt umsetzbares Regelungsgebot enthält. Das wird hier zu bejahen sein.

Nach der Regelung darf ein Speichern und Abrufen von Informationen nur erfolgen, wenn der Nutzer im Voraus zugestimmt hat. Allerdings kann sich der Nutzer nur gegenüber dem Staat auf die Richtlinie berufen, nicht gegenüber anderen Privaten. Jedoch besteht ein Ausweg: Ein vom Nutzer angerufenes Gericht muss nämlich das nationale Recht  richtlinienkonform auslegen (EuGHE 1994, I-3325-  Rs C-91/92)

Das kann etwa dann der Fall sein, wenn sich ein Anbieter in seinen AGB das Recht vorbehält, jederzeit beliebige Informationen auf dem Nutzerrrechner zu speichern oder von diesem abzurufen. Eine solche Klausel wäre als unwirksam zu beurteilen, da sie mit wesentlichen Grundgedanken der Richtlinienregelung nicht zu vereinbaren wäre (§ 307 Abs. 2 Nr. 1 BGB). Bei dieser Prüfung müssen auch europarechtliche Normen zumindest als Indizien berücksichtigt werden, damit auch Richtlinien nach Ablauf der Umsetzungsfrist.

Kein "Aus" für Cookies, aber auch kein Freibrief

Ein "Aus" für Cookies bringt die Richtlinie also im Ergebnis nicht. Aber es gibt auch keinen Freibrief für gestattende Regelungen in Provider-AGB mehr.

Angemerkt sei, dass die Richtlinie in Großbritannien umgesetzt wurde. Völlig offen erscheint, welche konkreten Maßnahmen Provider zur Information und Einwilligungserlangung treffen müssen. Teilweise werden Wettbewerbsnachteile befürchtet.

Aktuell

Meistgelesen