eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo

Die EU Cookie Richtlinie

Anfang Februar hat sich die Konferenz der deutschen Datenschutz-Aufsichtsbehörden mit einer Entschließung  zu Wort gemeldet. In dieser nehmen die gesammelten Landesdatenschützer Stellung zum aktuellen Stand der deutschen Gesetzeslage in Bezug auf die sog. EU Cookie Richtlinie (E-Privacy Richtlinie, Art. 5 Abs. 3, RL 2002/58/EG).

In dieser Richtlinie wird geregelt, dass sowohl die Speicherung von Informationen im Endgerät eines Nutzers als auch der Zugriff auf dort bereits gespeicherte Informationen der aktiven und informierten Zustimmung des Nutzers bedarf. Cookies sind eine solche Möglichkeit, Informationen auf dem Endgerät abzuspeichern und wieder abzurufen. Zum Thema „informierte Einwilligung“ finden Sie hier einen weiteren kurzen Newsbeitrag.

Richtlinie – nicht Verordnung!

Da es sich bei der EU Cookie Richtlinie um eine EU-Richtlinie handelt, entfalten deren Regelungen in den EU-Mitgliedsstaaten anders als bei einer EU-Verordnung nicht unmittelbar Wirkung, sondern müssen in die Gesetzgebung der Mitgliedsstaaten aufgenommen werden. In Deutschland finden sich die entsprechenden Regelungen im Telemediengesetz (TMG).

Die Konferenz der deutschen Datenschutz-Aufsichtsbehörden bemängelt nun, dass diese Umsetzung im TMG unvollständig sei. Beispielsweise fehlt die Verpflichtung zur informierten Einwilligung beim Zugriff auf bereits gespeicherte Informationen, wie sie Cookies darstellen. Auch die Abfrage von Gerätespezifika wie Auflösung, Betriebssystem und anderen technischen Informationen stellt einen solchen Abruf dar und bietet bekanntlich die Möglichkeit auch ohne den Einsatz von Cookies ein Gerät eindeutig zu identifizieren (sog. Device Fingerprints).

Opt-Out statt Opt-In

Aktuell sieht das TMG in § 15 Abs. 3 jedoch nur ein Opt-Out-Verfahren vor. Die Landesdatenschützer fordern die Bundesregierung in Ihrer Entschließung auf, „die E-Privacy-Richtlinie nun ohne weitere Verzögerungen vollständig in das nationale Recht zu überführen„.

Und nun?

Derzeit kann allen Webseitenbetreibern nur empfohlen werden, zumindest die derzeitige Regelung des TMG (also das Opt-Out-Verfahren inkl. vorangehender Information) kurzfristig umzusetzen. Des Weiteren muss die Gesetzgebung in diesem Bereich beobachtet werden, denn es ist durchaus möglich, dass die Bundesregierung hier nachbessert. In diesem Fall wäre die vollständige (Opt-In-Verfahren) Lösung umzusetzen. Diese finden Sie übrigens bereits auf meiner Homepage. Die Beobachtung der Entwicklungen auf diesem Gebiet ist Aufgabe Ihres Datenschutzbeauftragten oder -beraters.

Sollten Sie weitere Informationen oder Unterstützung bei der Umsetzung einer gesetzeskonformen Lösung benötigen, sprechen Sie mich gerne an!