Schaar: Cookie-Regeln der EU gelten unmittelbar
Die E-Privacy-Richtlinie der EU sei "hinreichend bestimmt" und könne auch ohne Umsetzung in deutsches Recht als Maßstab für hiesige Aufsichtsbehörden gelten, meint der Bundesdatenschutzbeauftragte.
Der Bundesbeauftragte für den Datenschutz, Peter Schaar, geht davon aus, dass die umstrittenen europäischen Cookie-Regeln hierzulande direkt anwendbar sind. Die entsprechende Klausel in der EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation von 2009 sei "hinreichend bestimmt", erläuterte Schaar auf dem 13. Datenschutzkongress in Berlin. Dies bedeute, dass sie auch ohne Umsetzung in ein deutsches Gesetz der hiesigen Aufsichtspraxis zugrunde gelegt und von den Kontrollbehörden durchgesetzt werden könnten.
Die Bundesregierung unterließ es bislang, die EU-Vorgaben zu Cookies in nationales Recht zu gießen. Die Richtlinie wirft ihrer Ansicht nach praktische Fragen auf, die zunächst auf europäischer Ebene weiter beraten werden müssten. Regelungsvorschläge des Bundesrats und der SPD-Bundestagsfraktion blockte Schwarz-Gelb daher bislang ab. Gemäß der Lesart Schaars könnten nun die deutschen Aufsichtsbehörden aber "den Hammer" zum Durchpauken der Bestimmungen auspacken, warnte der Freiburger Rechtsanwalt Michael Siegert. "Die Herrschaften" würden damit angesichts der juristischen Grauzonen aber vermutlich noch warten.
Die EU-Richtlinie sorgt seit längerem für Verwirrung. Vielfach wird die Bestimmung als weitgehendes "Cookie-Verbot" interpretiert. In der Begründung zur Richtlinie heißt es hingegen, dass die Wege zur Information und zum Einräumen des Rechts, Cookies abzulehnen, lediglich so benutzerfreundlich wie möglich gestaltet werden sollten. Die EU-Datenschützer in der "Artikel 29"-Gruppe" haben jüngst Möglichkeiten zum rechtskonformen Cookie-Einsatz erläutert. Demnach soll es nicht permananent nötig sein, das Einverständnis der User etwa über ein Pop-up-Fenster einzuholen. Auch Voreinstellungen oder "Do not Track"-Verfahren könnten eine Lösung darstellen.
Carl-Christian Buhr, Mitglied des Kabinetts der für die Digitale Agenda zuständigen EU-Kommissarin Neelie Kroes, führte auf dem Datenschutzkongress aus, dass es trotz der Hinweise des "Artikel 29"-Gremiums noch kein "Flow-Chart" für Webseitenbetreiber zur Implementierung der Vorgaben gebe. Kroes habe die Richtlinie von ihren Vorgängern geerbt. Bis zum Auslaufen der Umsetzungsfrist Ende Mai 2011 hätten zehn Mitgliedsstaaten die Bestimmungen adaptiert. Inzwischen seien "noch einige hinzugekommen, aber es sind bei weitem noch nicht alle 27". Im Bedarfsfall müsse die Kommission daher rechtliche Schritte einleiten.
Kroes erhält ihrem Mitarbeiter zufolge anhaltend viele Anfragen zur Klausel. Sie habe daher zwei Runde Tische zum weiteren Vorgehen abgehalten und ein Arbeitspapier der Kommissionsdienste abgesegnet, mit dem Ziel, die Flexibilität Werbetreibender im Netz nicht zu sehr einzuschränken. Prinzipiell unterstütze die Kommissarin die "Do not Track"-Standardisierung im Rahmen des "World Wide Web"-Konsortiums (W3C). Aber auch bei diesem Ansatz würden Nutzerpräferenzen an den Anbieter kommuniziert. Zudem richte er sich an Browser-Hersteller, während die Richtlinie Diensteanbieter im Blick habe. Als "Wunschszenario" bezeichnete Buhr eine Situation, in der Webseitenbetreiber "mehr oder weniger auf der sicheren Seite" fühlen könnten, sobald sie einen bestimmten Standard einsetzen. Die Richtlinie werde aber sicher nicht in der Form geändert, dass sie eine spezifische technische Spezifikation empfehle. (ssu)
