Keine Kekse mehr! – Cookies vor dem Aus?

Die aktuell geplante Änderung des § 13 Abs. 8 Telemediengesetz (TMG) kann grundsätzlich das Ende der für die Werbewirtschaft und viele Internetanwendungen notwendigen sog. Cookies bedeuten. Nahezu unbemerkt hat sich der deutsche Gesetzgeber nunmehr, wenn auch etwas verspätet, an die Umsetzung der aktuellen Datenschutzrichtlinie der EU (Richtlinie 2009/136/EG) gewagt. Die Anforderungen, die nunmehr an Betreiber von Internetseiten gestellt werden, sind enorm, wenngleich die Risiken bei Verstößen gegen die zu erwartenden Gesetzesänderungen eher als gering zu bezeichnen sind.

.

Die geplante Vorschrift soll lauten:
Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Abs. 1  unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

.

Diese Vorschrift bestimmt also, dass nicht nur Cookies, sondern sonstige Daten, die auf dem Endgerät des Nutzers, also dem PC oder auch einem Smartphone oder Tablet-PC, gespeichert werden, einer Einwilligung oder einer zwingenden Erforderlichkeit bedürfen. Die Beachtung dieser Rechtsvorschrift wird für Internetseitenbetreiber erheblichen Aufwand bedeuten.

.

Cookies beispielsweise sind kleine Datensätze, die entweder während eines Besuches oder aber für einen längeren Zeitraum auf dem Endgerät des Nutzers, meist von diesem unbemerkt, abgelegt werden. Über solche Cookies werden beispielsweise Warenkörbe bei Onlineshops etc. mit Daten versorgt. Darüber hinaus sind sie auch im Werbebereich im Einsatz, um das Nutzungsverhalten, teilweise über mehrere Webseiten (Tracking Cookies) zu verfolgen.

.

Von der bezeichneten Vorschrift erfasst sind jedoch auch sonstige Inhalte, die auf dem Endgerät des Nutzers gespeichert werden, wie beispielsweise der sog. Browsercache sowie Einstellungen von verwendeten Programmen und letztendlich auch aus dem Netzwerk heruntergeladene Dateien. Nicht erfasst sind jedoch E-Mail-Nachrichten oder sonstige Eingaben, die lediglich der Nachrichtenübermittlung dienen.

.

Verwenden Homepage-Betreiber daher beispielsweise Cookies, so haben sie, wenn die Gesetzesänderung in Kraft tritt, entweder darauf zu achten, dass diese Cookies nur dann verwendet werden, wenn sie zwingend erforderlich sind oder aber wenn eine Einwilligung des Nutzers erfolgt ist.

.

Die Erforderlichkeit wird sich nur in seltenen Fällen tatsächlich ergeben. Beispielsweise wird dies der Fall sein, wenn während eines Kaufvorganges ein Warenkorb gespeichert wird (Cookie) oder wenn Teile der angezeigte Internetseite im Browsercache abgelegt werden, da die Seite sonst nicht betrachtet werden könnte. Cookies, die Nutzerverhalten zum Zwecke der Werbung aufzeichnen oder aber um Statistiken zu erstellen, werden jedoch durchgehend als nicht erforderlich einzuordnen sein. Hierfür wäre daher die Einwilligung des Nutzers erforderlich.

.

Diese Einwilligung des Nutzers muss gem. § 13 Abs. 2 TMG vor Speicherung der Daten und freiwillig erfolgen. Der Nutzer muss über Art und Umfang der Datenspeicherung informiert werden und bewusst einwilligen. Diese Einwilligung muss protokolliert und durch den Nutzer jederzeit abrufbar und wiederrufbar sein.

.

Das Einholen der Einwilligung ist für den Homepagebetreiber in vielen Fällen letztendlich unzumutbar. Möglich wären sog. Pop-ups, die bei Betreten der Seite eine Einwilligung in die Speicherung abfordern. Ähnlich nutzerunfreundlich wären Seiten, die vor der eigentlichen Internetpräsenz geschaltet werden, um auch dort eine Einwilligung abzugreifen. Surfkomfort adé!

.

Einfacher dürfte es sein, wenn Daten auf dem Endgerät des Nutzers erst dann gespeichert werden, wenn dieser sich für bestimmte Dienste registriert hat oder in bestimmte Systeme sich eingeloggt hat. In diesem Falle könnten die Nutzungsbedingungen oder sonstige Funktionen, beispielsweise bei der Registrierung für einen Dienst, eine ausdrückliche Einwilligung abgefordert werden. Dies wird für die Speicherung anderer Daten schon heutzutage häufig durchgeführt.

.

Dass zumindest im Bezug auf Statistik- und Tracking Cookies die Möglichkeiten der Einholung der Einwilligung schlicht unzumutbar sind, da sie Pop-up-Gewitter oder sonstige  Unannehmlichkeiten für den Nutzer mit sich bringen, dürfte nicht von der Hand zu weisen sein. Es stellt sich daher die Frage, welches Risiko der Homepagebetreiber eingeht, wenn er dennoch Cookies verwendet, gleichzeitig jedoch die Einwilligung nicht einholt. Das Gesetz sieht grundsätzlich Bußgelder sowie ggfs. Ansprüche der betroffenen Personen vor. In der Vergangenheit waren die Datenschutzbehörden mit Bußgeldern äußerst zaghaft und von betroffenen Nutzern dürfte, mangels Schmerzensgeldanspruch und aufgrund der unklaren Rechtslage sowie im Hinblick auf die Tatsache, dass die Nutzer von der Rechtsänderung oder aber dem gesetzten Cookie sicherlich in den seltensten Fällen überhaupt etwas mitbekommen, kaum Gefahr ausgehen. Abmahnungen von
Konkurrenten oder Wettbewerbszentralen würden voraussetzen, dass Datenschutzverstöße auch Wettbewerbsverstöße seien, was die Rechtsprechung bislang nur in sehr schwerwiegenden Fällen, wie beispielsweise den Verkauf von Kundendaten, angenommen hat. In diesem Bereich wird jedoch die zukünftige Rechtsprechung zu beachten sein.

.

Es steht daher zu erwarten, dass, einerseits aufgrund fehlender Kenntnis der Rechtslage sowie andererseits durch bewusstes Eingehen des eher geringen Risikos, diese Regelung weitgehend keine Beachtung finden dürfte. Die zu erwartenden Unannehmlichkeiten für Internetnutzer würden für manchen letztlich dieses Ergebnis gar wünschenswert erscheinen lassen. Es wird sich insbesondere vor dem Hintergrund des Wettbewerbsrechtes jedoch erst mit der Zeit herauskristallisieren, ob hier tatsächlich eine Missachtung der Regeln des zukünftigen § 13 Abs. 8 TMG als Abmahngefahr darstellt. Wäre dies der Fall, so wäre wohl eher ein Verzicht auf Cookies und ähnliches eher angeraten, als dem Nutzer umständlich mit Pop-ups, Vorschaltseiten oder sonstigen  “Einwilligungseinrichtungen“ zu bombardieren.