Bei der Verwendung von Cookies herrscht in der EU weitgehend Unklarheit darüber, was erlaubt ist und was nicht. Mit der ePrivacy-Verordnung (EPVO) soll damit Schluss sein. Wie der aktuelle Stand ist und wann sie in Kraft tritt.
„Diese Seite verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern.“ Bei jedem Besuch einer neuen Webseite stoßen Nutzer auf diesen Hinweis. Die Betreiber von Webseiten kommen damit ihrer Aufklärungspflicht nach, über die Speicherung nutzerrelevanter Daten aufzuklären.
Die sogenannte ePrivacy-Richtline, auch als „Cookie-Richtlinie“ bekannt, besagt, dass das Speichern von Informationen ausschließlich dann erlaubt ist, wenn der Nutzer vorher seine Einwilligung erteilt hat.
ePrivacy-Verordnung (EPVO) tritt 2020 in Kraft
Im Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Im Zuge dessen sollte auch die neue ePrivacy-Verordnung (EPVO) rechtskräftig werden und die bisherige ePrivacy-Richtlinie ablösen. Die offizielle Bezeichnung für diese lautet:
„2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)“
Die EPVO ist ein Spezialgesetz innerhalb der DSGVO. Allerdings steht die Zustimmung des EU-Parlaments derzeit noch aus. Demnach wird die EPVO frühestens 2020 in Kraft treten. Darüber hinaus wird es nach Angaben des Europäischen Parlaments eine Übergangsfrist bis 2022 geben. Bis dahin behält die bisherige ePrivacy-Richtlinie ihre Gültigkeit.
Cookies: Definition, Zweck und Risiken
Um die Thematik besser greifbar zu machen, soll im Folgenden auf die Definition von Cookies eingegangen werden.
Dies sind Textdateien, die der Browser beim Abrufen auf der Seite auf dem Rechner des Nutzers ablegt. Cookies dienen beispielsweise der Nutzerfreundlichkeit oder Usability einer Seite. Log-in-Daten, Passwörter und Spracheinstellungen werden durch Cookies gespeichert und die User müssen sie nicht bei jedem Besuch neu eingeben.
Dem gegenüber steht, dass Cookies das Surfverhalten der Internetnutzer ausspionieren. Damit seien Cookies nicht mit dem Datenschutzrecht vereinbar. Durch die Aufzeichnung wird beispielsweise personalisierte Werbung im Web-Browser möglich. Ganz besonders sogenannte Tracking- und Targeting-Cookies sind Datenschützern ein Dorn im Auge.
Unterschiede bei Cookies
Bei Cookies wird zwischen technisch notwendigen und technisch nicht notwendigen Cookies unterschieden.
- Technisch notwendige Cookies sind für die Funktion einer Webseite erforderlich. Log-in-Daten oder Spracheinstellungen werden dadurch gespeichert.
- Zu den technisch nicht notwendigen Cookies zählen diejenigen, die nicht nur der Funktionalität der Webseite dienen, sondern auch Nutzerdaten erheben. Dazu zählen beispielsweise Tracking-Cookies, Targeting-Cookies sowie Cookies von Social-Media-Webseiten.
Gemäß der ePrivacy-Richtlinie dürfen technisch notwendige Cookies auch ohne die Zustimmung von Nutzern gesetzt werden. Sie dienen dem Seitenbetreiber darüber hinaus zu statistischen Zwecken. Demgegenüber müssen Besucher laut Richtlinie vorher zustimmen, bevor Cookies nicht zwingend notwendige Daten speichern.
Neuregelungen der EPVO: Änderungen, Verbote und Anwendungsbereiche
Technisch nicht notwendige Cookies sollen mit den Neuregelungen der EPVO generell verboten werden. Allerdings gibt es eine Ausnahme: Der Nutzer muss der Verwendung dieser Cookies im Vorfeld zustimmen.
Der Anwendungsbereich der EPVO umfasst nahezu jede Art der elektronischen Kommunikation. Dazu gehören unter anderem:
- Der allgemeine Internetzugang
- Messaging-Dienste
- Browserbasierte E-Mail-Dienste
- Internettelefonie (VoIP-Telefonie)
Die Verordnung gilt nicht nur für Anbieter von Kommunikationsdiensten innerhalb der Europäischen Union, sondern auch für internationale Anbieter. Die Regelungen der ePrivacy-Verordnung finden dann Anwendung, wenn sich ein Endgerät innerhalb der EU-Grenzen befindet. Gemäß den neuen Vorschriften ist es unerheblich, wo die Nutzerdaten verarbeitet werden.
ePrivacy-Verordnung: Aktueller Stand
Das Ziel der Neuregelungen bezüglich der elektronischen Kommunikation ist die Wahrung der Privatsphäre der Internetnutzer. Deshalb wurden in einem ersten Entwurf auch die Browser-Anbieter in die Pflicht genommen.
Die höchste Privatsphärenstufe sollte in den Browser-Einstellungen bereits voreingestellt sein, sodass erst keine Cookies von Dritten zugelassen werden. Diese Vorgabe der EPVO basierte auf dem Prinzip „Privacy by Design“. Dies ist bereits in der DSGVO festgeschrieben.
Lockerung durch einen neuen Entwurf:
In einem neueren Entwurf ist diese Pflicht für diese Browser-Anbieter allerdings wieder gelockert worden. Die Nutzer können wieder von Seite zu Seite entscheiden, ob sie Domains zulassen oder nicht.
Ein weiterer Bestandteil der EPVO ist das Kopplungsverbot. Die Nutzung einer Webseite darf nicht davon abhängig gemacht werden, ob der Nutzer der Verwendung von Cookies zustimmt. Allerdings gibt es Ausnahmen.
Für die Nutzung des Online-Bankings oder des Warenkorbs eines Online-Shops werden in der Regel Cookies verwendet, die zudem technisch notwendig sind. Sobald der Betreiber einer Seite klar und verständlich über den Zweck der Cookies informiert, kann das Einverständnis und die Nutzung miteinander gekoppelt werden. In allen anderen Fällen gilt das Kopplungsverbot.
Weitere Änderungen durch die EVPO
Derzeit gilt laut § 15 Abs. 3. TMG für die Verwendung von Cookies die sogenannte Opt-out-Lösung. Diese gibt Besuchern erst im Nachhinein die Chance, der Verwendung von Cookies zu wiedersprechen. Unklar ist bislang, ob diese Regelung ersatzlos gestrichen wird oder durch die Opt-in-Lösung ersetzt wird. Hier müssen die Besucher ihre Zustimmung vor der Cookie-Setzung erteilen.
Unterschiedliche Umsetzung der Cookie-Richtlinie
Die Cookie-Richtlinie ist innerhalb der EU sehr unterschiedlich umgesetzt worden. Dies lag auch daran, da nicht genau definiert ist, ob die Speicherung der Nutzer-Daten von Anfang an erfolgen darf oder nicht. Außerdem hat eine große Anzahl der EU-Staaten die ePrivacy-Richtlinie in nationales Recht eingegliedert.
Allerdings wurde in manchen Ländern ausschließlich die Opt-in-Lösung vorgeschrieben. In anderen Ländern dagegen die Opt-out-Variante. Darüber hinaus gab es EU-Staaten, die die Bestimmungen sogar ganz offen gelassen haben. Insgesamt ist die Umsetzung der Cookie-Richtlinie nicht einheitlich verlaufen.
Umsetzung der EU-Cookie-Richtlinie in Deutschland
In Deutschland ist aufgrund der Richtlinie kein neues Gesetz erlassen worden. Vielmehr sah man die ePrivacy-Richtlinie mit dem Telemediengesetz (TMG) als erfüllt an. Nach Ansicht von Datenschützern deckt das TMG die Richtlinie allerdings nur unzureichend ab. Zudem schreibt das Gesetz einzig und allein die Opt-out-Lösung vor. Datenschützer kritisieren zudem die schwache Umsetzung der Richtline.
Welche Pflichten Webseitenbetreiber aktuell haben
- Die Nutzer müssen umfassend über die Datenspeicherung informiert werden.
- Die Möglichkeit zum Widerspruch der Datenspeicherung muss gegeben sein.
- Die Anonymisierung der Datenspeicherung muss gegeben sein. Die Ausnahme ist, dass Nutzer der Speicherung personalisierter Daten explizit zustimmen.
Aktueller Stand der deutschen Rechtsprechung hinsichtlich der EPVO
Obwohl die DSGVO auf die Verwendung von Cookies nicht speziell eingeht, hat die deutsche Rechtsprechung sich bereits festgelegt. Die Speicherung persönlicher Daten darf erst nach Einwilligung des Nutzers erfolgen. Hier gilt also die Opt-in-Lösung. Die Erhebung darf lediglich dem Zweck dienen, zu dem die jeweilige Person eingewilligt hat. Zudem sollen Webseiten-Betreiber die Nutzer in regelmäßigen Abständen daran erinnern, dass das Recht auf Löschung der Daten besteht.
Derzeit sieht es nicht nach einer weiteren Verzögerung des Inkrafttretens der EPVO aus. Sowohl Betreiber von Webseiten als auch Nutzer sollten sich in regelmäßigen Abständen über den aktuellen Stand der EPVO informieren.