"Cookie-Richtlinie" der EU bisher nur in wenigen Staaten umgesetzt

Ende Mai 2011 ist die Frist zur Umsetzung der so genannten E-Privacy-Richtlinie der EU (Richtlinie 2009/136/EG) abgelaufen. Die Richtlinie schreibt unter anderem ein Opt-in Verfahren für Cookies vor. Wie eine aktuelle Pressemitteilung der Kommission zeigt, tun sich die Mitgliedsstaaten schwer mit der Umsetzung der Richtlinie. Erst sieben Mitgliedsstaaten haben sie bisher vollständig umgesetzt. Gegen die restlichen Mitgliedsstaaten wurde ein Vertragsverletzungsverfahren eingeleitet. In der Schweiz gelten derzeit noch die Vorschriften von Art. 45c FMG, nach welchen ein Opt-out-Verfahren zulässig ist.

Die Richtlinie 2009/136/EG (nachfolgend E-Richtlinie oder E-RL) wurde erlassen, um den Anforderungen der neuen Technologien gerecht zu werden. Sie revidierte die sog. E-Privacy-Richtlinie (Nr. 2002/58/EG). In der neuen Richtlinie werden die Dienstanbieter unter anderem dazu verpflichtet, Cookies und Spyware nur noch mit ausdrücklichen Zustimmung der Internetnutzer zu installieren (Art. 5 Abs. 3 E-RL; s.a. Erwägungsgründe Nr. 66 ff. E-RL). Nach der alten Richtlinie musste den Nutzern lediglich die Möglichkeit eines Opt-outs gewährt werden. Neu werden die Dienstanbieter durch die E-Richtlinie verpflichtet, den Nutzern vor Installation von Cookies oder Spyware klare und umfassende Informationen zu erteilen und eine Einwilligung der Nutzer einzuholen (sog. Opt-in-Verfahren, vgl. unseren Beitrag vom 21. Juli 2010). Die Umsetzung der Richtlinie obliegt den einzelnen Mitgliedsstaaten (vgl. Art. 4 und 15a E-RL). Die Frist für die Umsetzung ist am 25. Mai 2011 abgelaufen.

Die E-Richtlinie wurde von Anfang an von verschiedenen Seiten kritisiert. Es erstaunt daher nicht, dass sie bisher erst sieben Mitgliedsstaaten vollständig in ihr nationales Recht umgesetzt haben (Dänemark, Estland, Finnland, Irland, Malta, Schweden und das Vereinigte Königreich). Wie die Europäische Kommission am 19. Juli 2011 mitgeteilt hat, hat sie gegen die restlichen Mitgliedsstaaten ein Vertragsverletzungsverfahren nach Art. 258 des AEU-Vertrags eingeleitet. An die zwanzig Mitgliedsstaaten, die bisher nicht bekannt gegeben haben, ob und wie sie die E-Richtlinie in nationales Recht umgesetzt haben, wurde deshalb ein Auskunftsersuchen verschickt. Diese Staaten haben nun zwei Monate Zeit, auf das Auskunftsersuchen zu antworten. Erhält die Kommission nur eine unbefriedigende oder keine Antwort, ist sie berechtigt, ein förmliches Aufforderungsschreiben an den jeweiligen Mitgliedsstaat zu richten. Als nächster Schritt steht danach die Klage an den Europäischen Gerichtshof zur Verfügung.

Da die Schweiz nicht Mitglied der EU ist, ist die E-Richtlinie für die Schweiz nicht verbindlich. Trotzdem ist die weitere Entwicklung auch für Schweizer Unternehmen und Nutzer relevant, da sie insbesondere für Unternehmen, welche Cookies auf Rechnern von Nutzern in EU-Mitgliedsstaaten speichern, Konsequenzen haben wird. Die Entwicklung ist deshalb weiter zu verfolgen. Der Eidgenössische Datenschutzbeauftrage (EDÖB) hat die e-Privacy-Richtlinie in seinem 18. Tätigkeitsbericht (vgl. unseren Beitrag vom 27. Juni 2011) deshalb ebenfalls thematisiert. Er bezeichnet die vorgesehenen Änderungen darin als „begrüssenswert“, merkt aber auch an, dass die Ausgestaltung benutzerfreundlich und einfach handhabbar sein sollte. Es darf vermutet werden, dass genau dieser Interessenkonflikt den Mitgliedsstaaten Schwierigkeiten bei der Umsetzung bereitet.

Die Diskussion um die Umsetzung der E-Richtlinie bietet Anlass, die geltende Rechtslage in der Schweiz kurz zu betrachten. Zur Zeit ist die Verwendung von Cookies  in der Schweiz durch Art. 45c des Fernmeldegesetzes (FMG) geregelt. Vorbild für diese Bestimmung war Art. 5 Abs. 3 der Richtlinie 2002/58/EG. Sie schreibt vor, dass das Bearbeiten von Daten auf fremden Geräten nur erlaubt ist, wenn die Benutzer über die Bearbeitung, ihren Zweck und die Ablehnungsmöglichkeit informiert werden (Art. 45c lit. b FMG). Ein Verstoss gegen diese Vorschriften kann mit einer Busse bis zu CHF 5000.- bestraft werden (Art. 53 FMG).

Schweizer Website-Betreiber haben also die Pflicht, ihre Kunden darüber zu informieren, dass und zu welchem Zweck sie Cookies verwenden und wie sie die Speicherung von Cookies in ihrem Browser deaktivieren können. Eine Formvorschrift für diese Information besteht im Gesetz nicht, die Information muss aber für die Nutzer umfassend und klar sein. Aus Beweis- und Transparenzgründen ist deshalb zu empfehlen, die Information schriftlich zu erteilen. Ein Hinweis – z.B. in einer Datenschutzerklärung – ist dabei ausreichend. In dieser Erklärung sollten die Nutzer darauf hingewiesen werden, dass sie die Speicherung von Cookies durch entsprechende Konfiguration ihres Browsers anpassen können. Idealerweise sollte das Verfahren kurz beschrieben werden. Ist die Website nach der Deaktivierung von Cookies nicht mehr oder nur noch eingeschränkt funktionsfähig, sollte der Nutzer darauf ebenfalls hingewiesen werden.

Das schweizerische Recht sieht also im Gegensatz zur E-Richtlinie der EU lediglich ein Opt-out-Verfahren vor. Der Nutzer muss nicht ausdrücklich einwilligen, sondern nur darauf aufmerksam gemacht werden, dass er die Speicherung von Cookies verhindern kann. Es ist gut möglich, dass die Schweiz ihre Regelung derjenigen in der EU anpassen wird. Ob und wann dies erfolgen wird, ist jedoch von der weiteren Entwicklung in der EU abhängig.

 

Weitere Informationen:

 

Ansprechpartner: Lukas Bühlmann