Dieser Tage sorgt eine Meldung der Kollegen von Telemedicus für Aufregung, wonach das Bundeswirtschaftsministerium erklären lässt, dass die Cookie-Richtlinie bereits in deutsches Recht umgesetzt sei. Dass die Europäische Kommission dies nun auch noch bestätigt, sorgt für weitere Verwirrung. Überraschend ist das aber nicht. Schon lange ist die (alte) Bundesregierung der Ansicht, dass die derzeitige Rechtslage in Deutschland der Richtlinie 2002/58/EG (so genannt E-Privacy-Richtlinie) entspricht.
Kein Umsetzungsbedarf
Für eine ausdrückliche Umsetzung insbesondere von Art. 5 Abs. 3 der Richtlinie in der Fassung der Änderungsrichtlinie gab es mehrere Anläufe. Doch kein Gesetzgebungsvorhaben konnte sich im Deutschen Bundestag durchsetzen. Auf eine kleine Anfrage der SPD-Fraktion antwortete die Bundesregierung am 27.7.2011 (S. 3), dass man derzeit prüfe, wie eine Umsetzung erfolgen solle. Im Anschluss reifte im BMWi allerdings die Erkenntnis, dass es einer ausdrücklichen Regelung in Deutschland nicht bedürfe, weil das geltende Recht den Vorgaben der Richtlinie auch in der geänderten Fassung bereits genüge.
Ein Gesetzesentwurf der SPD-Fraktion aus dem Januar 2012, wonach für Cookies unabhängig von der Frage, ob überhaupt personenbezogene Informationen in den Cookies gespeichert werden, eine Einwilligung des Nutzers erforderlich wäre, ist dann mit den Stimmen der seinerzeitigen Koalitionsfraktionen abgelehnt worden (Beschlussempfehlung des federführenden Ausschusses).
Seinerzeit erklärte der Abgeordnete Lämmel (CDU/CSU) in seiner zu Protokoll gegebene Rede:
„Die Bundesregierung hat übrigens die geltende Fassung des TMG als Umsetzung der E-Privacy-Richtlinie nach Brüssel gemeldet. Von der EU-Kommission kam dazu bisher kein Widerspruch.“
Der Abgeordnete Nüßlein (CDU/CSU) legt dann nach ausführlicher Darlegung, inwiefern das TMG eine Umsetzung der E-Privacy-Richtlinie enthält, nach:
„Im Übrigen darf ich die Genossen der SPD darauf hinweisen, dass die Bundesregierung, konkret das zuständige Bundeswirtschaftsministerium, dieses Instrumentarium der Europäischen Kommission als Umsetzung des Art. 5 Abs. 3 der E-Privacy-Richtlinie in aller Ausführlichkeit vorgestellt hat. Dabei hat die EU-Kommission unseren nationalen Regelungen inhaltlich und formell nicht widersprochen.“
Insofern ist die Tatsache, dass die Bundesregierung (jedenfalls die der letzten Legislatur) die Richtlinie in Deutschland für in ausreichendem Umfang durch das geltende TMG umgesetzt ansieht, keine Überraschung.
Worum geht es überhaupt?
Inhaltlich geht es um die Frage, ob und in welchen Fällen das Setzen und Auslesen von Cookies einer Einwilligung des Nutzers bedarf und wie eine solche Einwilligung gegebenenfalls auszusehen hat. Art. 5 Abs. 3 der E-Privacy-Richtlinie lautet in der derzeit geltenden Fassung:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er … u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
In Erwägungsgrund (66) der Änderungsrichtlinie wird noch ein wenig weiter ausgeführt, wie wichtig eine klare und verständliche Information über Speicherungen auf dem Rechner des Nutzers sind. Weil man sich seinerzeit allerdings auch in Brüssel – wie so oft – nicht vollständig einig war, enthält der Erwägungsgrund auch die Hintertür, wonach unter Umständen auch ein Browser-Opt-in als Einwilligung genügen kann. Was das jetzt genau für die Website-Betreiber heißt, ist offen. Die EU-Mitgliedstaaten haben die Richtlinie denn auch sehr unterschiedlich umgesetzt.
Deutschland tut ganz gut daran, das Regelungschaos durch eine neue – womöglich strenge – Vorschrift nicht noch weiter zu komplizieren. Letztlich wird ohnehin der EuGH entscheiden müssen, wie die Richtlinie zu verstehen ist – es sei denn sie wird vorher erneut geändert…
UPDATE: Inzwischen liegt Telemedicus auch die vollständige Begründung der Bundesregierung vor, inwiefern die Cookie-Richtlinie bereits in deutsches Recht umgesetzt ist.