Tel: 02151 / 76967-40

Google als Vorreiter für das europäische Datenschutzrecht?

29.07.2015
|
Cookie Richtlinie Google

Mit einer aktuellen E-Mail werden Publisher von Google darauf hingewiesen, dass sie bei einem Einsatz von Google AdSense, DoubleClick for Publishers und DoubleClick Ad Exchange angehalten sind, künftig die Zustimmung von Nutzern vor der Nutzung dieser Dienste einzuholen. Google verweist in diesem Zusammenhang auf die eigene Richtlinie zur Zustimmung der Nutzer in der EU, die best practices und die rechtlichen Vorgaben der europäischen Datenschutzbehörden.

Damit erscheint der Hinweis lediglich als Folge von soft law. Man könnte meinen, Google gibt den Nutzern lediglich eine Handlungsempfehlung. Schaut man genauer hin, kann die E-Mail von Google aber auch als Beachtung europäischen Rechts verstanden werden, dem die Bundesrepublik bis dato noch nicht vollständig Rechnung getragen hat.

Hintergrund ist die europäische Richtlinie 2009/136/EC aus dem Jahr 2009, die zu einer Änderung der E-Privacy-Richtlinie 2002/58/EG (im Folgenden RL) – weitläufig als Cookie-Richtline bezeichnet – führt.

§ 5 Abs. 3 RL sieht in der Neufassung für die Verwendung von Cookies grundsätzlich „eine Einwilligung des Nutzers“ vor. Diese Formulierung legt die Verpflichtung der Website-Betreiber nahe, das sogenannte opt-in Verfahren einzuführen, nach dem Besucher einer Website explizit der Verwendung von Cookies zustimmen müssen. Allgemeine Praxis ist bisher das opt-out- Verfahren, nach dem User bisher lediglich die Möglichkeit eingeräumt wird, der Verwendung von Cookies durch eigene Initiative zu widersprechen.

Die Frist für die Umsetzung der europäischen Richtlinie lief 2011 ab. Aufgrund einer Anfrage des Vereins Telemedicus e.V. wurde bekannt, dass sich Deutschland auf den Standpunkt stellt, die E-Privacy-Richtlinie und damit auch § 5 Abs. 3 bereits entsprechend durch das Telemediengesetz umgesetzt zu haben (Stellungnahme der Bundesregierung in einem Arbeitsdokument der Kommission abrufbar bei Telemedicus e.V.). Diese Ansicht steht in juristischer Hinsicht auf tönernen Füßen.

Art 5 Abs. 3 fordert eine Zustimmung des Nutzers bei einer „Speicherung von Informationen oder Zugriff auf Informationen die auf dem Endgerät… gespeichert sind“. Eine Zustimmung bedarf es lediglich nicht bei einer Speicherung zur Übertragung einer Nachricht oder eines ausdrücklich vom User gewünschten „Dienstes der Informationsgesellschaft“.

Die Bundesregierung ist in ihrer Stellungnahme der Ansicht die §§ 12 und 15 TMG tragen den Vorgaben der RL hinreichend Rechnung. § 12 sieht eine Erhebung und Verwendung von „personenbezogenen Daten“ nur vor, sofern ein Gesetz dies erlaubt oder der Nutzer einwilligt. Eine gesetzliche Erlaubnis (ohne Einwilligung) sei in § 15 TMG gegeben, wenn „personenbezogene Daten“ erhoben werden um die Inanspruchnahme von Telemedien zu ermöglichen oder abzurechnen.

Neben den Unterschieden bei der Datenerhebung ohne Zustimmung, liegt der wesentliche Unterschied zwischen der Richtlinie und §§ 12, 15 TMG auf der Hand. Der Wortlaut von Art 5 Abs. 3 RL sieht eine Zustimmung bei Informationen; §§ 12 und 15 TMG hingegen eine solche bei „personenbezogenen Daten“ vor. Wann Daten personenbezogen sind, ist nach deutscher Rechtslage umstritten. Mit Sicherheit ist dies gegeben, wenn es z.B. um Passwörter für User-Accounts etwa für ein E-Mail-Konto oder Facebook geht, doch der Wortlaut von Art 5 Abs. 3 RL geht wesentlich weiter.

Bei der Umsetzung der E-Privacy-Richtlinie in anderen europäischen Ländern besteht trotz des Wortlauts von Art 5 Abs. 3 RL keine einhellige Meinung, dass die Richtlinie ein opt-in-Verfahren vorschreibt. Einige Mitgliedstaaten gehen davon aus, der Richtlinie mit einer opt-out-Lösung entsprochen zu haben.

Nach alledem wird deutlich, dass europaweit große Rechtsunsicherheit auf diesem Gebiet besteht. Google folgt mit seiner Umsetzungsempfehlung der restriktiven Auslegung von Art. 5 Abs. 3 RL und wird bei einer Klarstellung der Kommission oder einer weiteren Anpassung der E-Privacy-Richtlinie in Richtung opt-in-Lösung in weiser Voraussicht gehandelt haben.

Betreiber von Websites müssen aufgrund des aktuellen Hinweises von Google nun nicht befürchten, dass ihre Datenschutzerklärung, die auf die Speicherung von Informationen ausreichend hinweist, nun nicht mehr hält. Die Rechtslage ist in den letzten Jahren nach wie vor unverändert.

Jedoch weist Google mit der aktuellen E-Mail an die Publisher auf einen wunden Punkt des europäischen Datenschutzrechts hin. Da sich Kommission und die Bundesregierung nach wie vor einig sind, dass Deutschland der E-Privacy-Richtlinie entsprochen hat, ist eine Verschärfung der Hinweispflicht nicht zwingend, gleichwohl aber denkbar. Unternehmer machen daher nichts falsch, wenn sie die Hinweise von Google umsetzen. Motivierend bei der Entscheidungsfindung kann sein, dass es aktuell ungewiss ist, wie Google nach dem 30.09.2015 (also dem Ablauf der von Google angegebenen Frist) mit ihren Diensten AdSense, DoubleClick for Publishers und DoubleClick Ad Exchange verfahren wird, wenn eine entsprechende Umsetzung nicht erfolgt.


Sie haben Fragen zum Thema Cookie-Richtlinie oder sind unsicher ob Ihr Impressum rechtssicher gestaltet ist?

Wenden Sie sich gerne an uns: Kontakt