Sind Hinweise zur Nutzung von Cookies auf Webseiten erforderlich?

Gespeichert von Gast (nicht überprüft) am 6. Juni 2013 - 21:44

Guten Abend,

seit Kurzem sehe ich immer öfter Hinweise über Cookies. Auch auf der Seite der Suchergebnisse von Google sieht man Cookie-Hinweise. Ist es erforderlich oder freiwillige Angabe?

Noch keine Bewertungen

Guten Morgen,

eine berechtigte Frage, die Sie stellen.

Eine Hinweispflicht für die Nutzung von Cookies auf den Webseiten ergibt sich nicht unmittelbar aus den vorhandenen Rechtsgrundlagen.
Die EU-Richtlinie 2009/136/EG (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011...) – auch unter dem Namen E-Privacy-Richtlinie oder Cookie-Richtlinie genannt – wurde am 5. Mai 2009 erlassen.
Ziel dieser Richtlinie war es, die Nutzer darüber zu informieren, welche Informationen sie durch die Nutzung einer Webseite von sich preisgeben und was mit diesen Daten geschieht.

Um dieses Ziel zu erreichen, sieht die Richtlinie 2009/136/EG vor, dass die Nutzer einwilligen müssen, wenn auf der Webseite Cookies verwendet werden. Das sieht dann so aus, dass der Nutzer jedes Mal, wenn ein Cookie auf der Webseite benutzt wird, durch einen separaten Button auf „einwilligen oder akzeptieren“ klicken muss, nachdem er umfassend und klar darüber informiert wurde, was mit der Speicherung seiner Informationen geschieht. Auf diese Weise kann der Nutzer alleine über sein Recht auf informationelle Selbstbestimmung ausüben, indem er aktiv seine Einwilligung ausdrücklich für die Nutzung der Cookies erteilt.
So steht den Nutzern die Möglichkeit offen, die Cookies entweder zu akzeptieren oder abzulehnen.
Eine solche Regelung ist laut der Richtlinie durch einen Button mit der Aufschrift „Cookie-Opt- in“ umzusetzen.
Hierbei bleibt jedoch unklar, ob es für ausreichend erachtet wird, wenn die Nutzer selbst die Cookie-Speicherung über ihre Browser-Einstellungen deaktivieren können (Cookie-Opt-out) oder wenn jede einzelne Webseiten-Betreiber eine gesonderte Einwilligung sich von seinen Nutzern einholen muss (Cookie-Opt-in).

Für ein Umsetzungsbeispiel kann Google dienen:

Google kann hierfür als Beispiel vorgebracht werden, wie Sie es auch schon erwähnt haben. Denn er hat bereits damit begonnen, seine Nutzer über die Speicherung von Cookies zu informieren und möchte damit sicherlich zeigen, dass er versucht die Anforderungen der Richtlinie umzusetzen.
Hierfür hat Google oberhalb des ersten Suchergebnisses eine Infobox eingeschaltet mit dem Inhalt „Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen.“
Der Nutzer hat dann in einem solchen Fall die Möglichkeit durch ein „Okay“- Klicken auf die Infobox, diese auszublenden und es bei künftigen Suchanfragen nicht mehr aufgetaucht wird.
Neben dem „Okay-Button“ gibt es auch den Button für „weitere Informationen“. Hier wird der Nutzer darüber belehrt, was mit den Informationen geschieht.

Wieso keine klare Rechtslage heute in Deutschland vorhanden ist:

Da es sich hierbei um eine EU-Richtlinie handelt, kann die Hinweispflicht nicht so einfach in das deutsche Recht aufgenommen werden.
Richtlinien bedürfen einer Zeit, indem der Mitgliedstaat (in unserem Fall Deutschland) sie durch ein Gesetz – auch Umsetzungsgesetz genannt – ins deutsche Recht umsetzt. Im Gegensatz zu Richtlinien können EU-Verordnungen unmittelbar auf das deutsche Recht angewendet werden und bedürfen keines Umsetzungsgesetzes.
Die Umsetzungsfrist für die Richtlinie ist jedoch am 25. Mai 2011 abgelaufen. Deutschland hat sich bis heute nicht so richtig mit dieser Regelung beschäftigt und nicht rechtzeitig in deutsches Gesetz umgesetzt.
In einem solchen Augenblick sieht das EU-Recht aber vor, dass die Richtlinie trotz der geforderten Umsetzung unter bestimmten Voraussetzungen direkt in das deutsche Recht anwendbar ist.
Dies ist dann der Fall, wenn die Umsetzungsfrist abgelaufen ist, die Richtlinie unbedingt sowie hinreichend bestimmt ist. Die Richtlinie wäre dann nur zwischen Staat und Bürger anwendbar. Zwischen privaten Unternehmen und dem Bürger könnte die Richtlinie jedoch nicht angewendet werden.

Wie immer ist eine solche Situation bzw. die Definition „hinreichend bestimmt“ höchst umstritten. Es bestehen Zweifel darüber, ob die Regelung „Cookie -Opt- In“ tatsächlich hinreichend bestimmt ist.
Peter Schaar, der Bundesbeauftragte für den Datenschutz ist der Ansicht, dass die Richtlinie in Deutschland Anwendung findet. Auch nach der Ansicht des Bündnisses der Datenschutzbeauftragten sind die Vorgaben der Richtlinie 2009/136/EG hinreichend und eindeutig. Dies wird auch nicht zuletzt damit argumentiert, dass in anderen EU-Mitgliedstaaten die Richtlinie fast ohne Abweichungen übernommen wurde.
Daher soll die angewandte „Cookie-Opt-out“ - Regelung durch die „Cookie-Opt-in“-Regelung, folglich mit einer vorherigen umfassenden Information über die Speicherung und die Nutzung der Informationen und deren Verarbeitung durch Einwilligung der Nutzer ersetzt werden.
Wie genau das aber am Ende zu sehen hat, bestimmt die Richtlinie nicht ganz. Sie überlässt die Ausformung den nationalen Gesetzgebern.

Dies könnte sich jedoch schwierig erweisen. Ein World Wide Web ohne die Nutzung von Cookies ist heutzutage unvorstellbar. Zwar ist es richtig, dass die Cookies Datenpakete sind, die entweder personenbezogene (hierbei werden individuelle Daten des Nutzer gespeichert) oder pseudonyme (hierbei werden nicht identifizierende Angaben über den Nutzer gebildet) Nutzerprofile erstellen. Dabei werden nicht zuletzt Daten von Nutzern gespeichert, die sie teilweise nicht wissen (z.B. in der Werbebranche kann anhand von Cookies festgestellt werden, was für ein Kaufverhalten der Nutzer hat, dann kann anschließend die Werbung individualisiert werden). Die „Cookie-Opt-in“-Regelung soll damit den Anspruch inne haben, mehr Transparenz und Sicherheit bei der Datenspeicherung der Nutzer und deren Übermittlung zu sorgen. Dem Nutzer soll durch seine aktive Einwilligung in ihr Bewusstsein wachgerüttelt werden, wofür Cookies verwendet werden und welche Daten durch deren Nutzung von den Webseiten-Betreibern erzielt werden kann.

Die Richtlinie möchte der Diskrepanz der Wissensstände zwischen den Unternehmen und den Nutzern zur Hilfe kommen. Denn die Unternehmen bekommen immer mehr Wissen darüber, wie sich die Nutzer verhalten, welche Vorlieben sie haben und können daher die Werbung individualisierter , gezielter und auf die jeweiligen Nutzer zugeschnittener, versenden. Dabei werden nicht nur Daten erfasst und ausgewertet, die unser Kaufverhalten wiederspiegeln, sondern auch unsere sexuellen, politischen oder religiösen Vorlieben darstellen. Der Nutzer, der durch die Nutzung des Internets teilweise ahnungslos seine Daten preisgibt, ist fernab von der Datenspeicherung und dem Wissen der Unternehmen von sich selbst.

Aus der bisherigen Rechtslage ist zu entnehmen, dass nur bei der Erhebung von personenbezogenen Daten der Nutzer ausdrücklich seine Einwilligung erteilen muss („Cookie-Opt-in“-Regelung). Bei der Erstellung von pseudonymen Nutzerprofilen war dies nicht erforderlich. Es reicht hier aus, dass der Nutzer lediglich darüber informiert wurde („Cookie-Opt-out“-Regelung).

Im Gegenzug zu der bisherigen Rechtslage fordert die Richtlinie 2009/136/EG nun für beide Fälle die Einwilligung des Nutzers durch die „Cookie-Opt-in“-Regelung. D.h. wenn beim ersten Aufruf der Seite tatsächlich keine Cookies bzw. Trackings stattfinden.
Dies wiederum verärgert die Webseiten-Betreiber. Nicht, weil sie die Einwilligung der Nutzer nicht einholen wollen, sondern weil sie damit Verluste aus Werbegeschäften erzielen werden. Viele Webseiten finanzieren sich in der Regel durch Werbungen. Wenn nun beim ersten Aufruf der Seite auf Cookies verzichtet werden muss, da die Einwilligung der Nutzer eingeholt werden muss. Ist mit diesem Ausschalten der Cookies auch die Werbung ausgeschaltet, weil Werbungen immer mit Cookies im Gesamtpaket angeboten werden können. Zudem kommt noch dazu, dass viele Nutzer eventuell nur einmal eine Seite aufrufen, um sich ggf. etwas durch zu lesen und selten ist es, dass diese Nutzer wieder kommen. So würden die Webseiten-Betreiber durch dieses einmalige Aufrufen der Webseite seitens der Nutzer und der Ausschaltung der Cookies, enorme Verluste verzeichnen.

Die Richtlinie fordert folgende Voraussetzungen zur Nutzung von Cookies auf den Webseiten – „Cookies-Opt-in“-Regelung:

1. Nutzer über die Nutzung von Cookies informieren und umfassend belehren, was mit dem jeweiligen Cookie für Informationen und Daten über ihn gespeichert wird und was mit der Speicherung sodann geschieht

2. Die Einwilligung des Nutzers einholen (Cookies-Opt-in-Regelung), bevor die Cookies überhaupt zum Einsatz kommen

3. Nutzer muss darüber in Kenntnis gesetzt werden, dass er der Einwilligung zur Nutzung von Cookies jederzeit widersprechen kann

Wie die bisherige rechtliche Lage in Deutschland aussieht nach dem § 15 Abs. 3 Telemediengesetz (http://www.gesetze-im-internet.de/tmg/__15.html) – sogenannte „Cookies-Opt-out“ - Regelung:

1. Nutzer über die Nutzung von Cookies informieren

2. Nutzer muss darüber in Kenntnis gesetzt werden, dass er jederzeit die Nutzung von Cookies widersprechen kann

3. Wie hierbei ersichtlich wird, ist der Unterschied der beiden Regelungen, die aktive Einholung der Einwilligung des Nutzers zur Nutzung von Cookies

Wo jedoch wiederum diese Belehrung dargestellt werden soll und wie die Form der Einwilligung auszusehen hat, ist offen.
Die Umsetzung der anderen Länder zeigt, dass auch diese die „Cookies-Opt-out“-Regelung bevorzugt haben. Bei dieser Regelung muss der Nutzer ein bereits gesetztes Häkchen entfernen, um die Nutzung von Cookies zu verweigern. Wird die Webseite jedoch weiterhin von dem Nutzer trotz der Belehrung benutzt, wird eine Zustimmung bzw. Einwilligung des Nutzers für die Nutzung von Cookies unterstellt.

Die idealere Umsetzung ist, dass die von der Richtlinie geforderte „Cookies-Opt-in“-Regelung zum Einsatz kommt. Hier muss der Nutzer selbst aktiv ein Häkchen setzen, um der Nutzung von Cookies explizit und ausdrücklich zuzustimmen und einzuwilligen. Vorgeschlagen wird hierbei, dass die Zustimmung entweder im Rahmen der Datenschutzerklärung einer Webseite verlangt wird, wobei die Einwilligung zur Nutzung von Cookies gesondert hervorgehoben werden soll oder ein Pop-up Fenster bzw. eine Art Banner auf der Webseite erscheint, der auf die Nutzung von Cookies belehrt und die Einwilligung des Nutzers einholt (Bsp. Google).

Beide Wege der Umsetzung der „Cookies-Opt-in“-Regelung aus der Richtlinie setzen voraus, dass vor der Erklärung der Zustimmung zur Nutzung von Cookies die Webseite frei von Cookies sein muss. D.h. bevor überhaupt Cookies (z.B. Google Analytics) angewendet werden können, muss der Nutzer durch die „Cookies-Opt-in“-Regelung der Nutzung von Cookies eingewilligt haben.

Ausnahmen von der Einholung einer Einwilligung:

Ausnahmen von der Einholung einer Einwilligung der Nutzer sollen nur für die Fälle gelten, wenn erstens die Cookies technisch erforderlich sind, um den Dienst zu erbringen, den der Nutzer explizit (ausdrücklich) gewünscht hat.
Zweitens der alleinige Zweck des Cookies die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist.

Schwierigkeiten der „Cookies-Opt-in“-Regelung:

Jedoch ist die Erfordernis einer permanenten Einwilligung vor der Nutzung der Cookies in der praktischen Umsetzung sehr schwierig.
Das ist wahrscheinlich auch heute der Grund, wieso es hierbei noch keine einheitliche Regelung gibt. Daher können derzeit noch keine richtlinienkonformen Gestaltungen der Webseiten ermöglicht werden.
Auch in Anbetracht an die Umsetzung in Vergleich zu anderen Ländern ist ersichtlich, dass dort auch noch keine einheitliche Regelung vorhanden ist. Was jedoch einheitlich ist, ist, dass der Nutzer ausdrücklich und klar verständlich darüber belehrt wird, dass die Webseite Cookies verwendet, wofür seine Daten gespeichert und genutzt werden. Darüber hinaus soll der Nutzer darüber aufgeklärt sein, dass er die Speicherung seiner Daten verweigern kann. In diesem Kontext soll dem Nutzer darüber aufgeklärt werden, wie er die Verweigerung über die Veränderung seiner Browser-Einstellungen „keine Cookies speichern“ erteilen kann.

Bis diese Rechtslage sich nicht ändert und eine Sicherheit und Einheitlichkeit sich nicht erweisen lässt, müssen sich Seitenbetreiber auch nicht Sorgen machen. Denn von einer unsicheren Rechtslage können keine Abmahnungen erfolgen. Wichtig wäre nur, dass die bisherige Rechtslage, dass Cookies von der Webseite verwendet werden und der Nutzer dieser Anwendung widersprechen kann, widersprechen kann, belehrt wird.

JuraRat Newsletter

Erhalten Sie 1x monatlich unsere kostenlosen Rechtstipps!

Nicht gefunden, was Sie gesucht haben? Hier auf JuraRat kostenlos und schnell Frage stellen!