Revision der "Cookie-Richtlinie": Entwurf der E-Privacy-Verordnung veröffentlicht


Die EU-Kommission hat am 10. Januar 2017 ihren offiziellen
Entwurf für eine E-Privacy-Verordnung vorgelegt. Die neue Verordnung soll die bisher geltende „Cookie-Richtlinie“ ersetzen. Danach ist für die Verwendung von Cookies und anderen technischen Mitteln grundsätzlich die Einwilligung der Nutzer erforderlich. Die Einholung dieser Einwilligung soll nach dem Willen der Kommission erheblich vereinfacht werden: Künftig sollen Nutzer den Einsatz von Cookies generell über die Privatsphäre-Einstellungen ihres Webbrowsers regeln können. Die bekannten Cookie-Warn-Banner sollen deshalb nach der Vorstellung der EU-Kommission bald der Vergangenheit angehören. In diesem Fall käme die E-Privacy-Verordnung den Internetnutzern zumindest auf den ersten Blick zwar tatsächlich entgegen. Da die Vorgaben der Verordnung jedoch – anders als die geltende Regelung – grundsätzlich nicht mehr nur für die Verarbeitung von Daten mit Personenbezug gelten, wäre in Zukunft für sehr viel mehr Datenbearbeitungen eine Einwilligung erforderlich. Der Handlungsspielraum von Websitebetreibern und der Online-Marketing-Branche generell würde dadurch erheblich eingeschränkt. Die Verordnung ist darüber hinaus auch für Schweizer Unternehmer von Bedeutung. Denn ähnlich wie die neue EU-Datenschutzgrundverordnung soll auch die E-Privacy-Verordnung grundsätzlich zur Anwendung gelangen, wenn Daten von Bürgern mit Wohnsitz in der EU bearbeitet werden.

 

Die EU-Mitgliedstaaten taten sich schwer mit der Umsetzung der geltenden Richtlinie, was in der Folge zu unterschiedlichen Cookie-Regelungen auf nationaler Ebene führte (vgl. BR-News vom 10. August 2011). Diesem Problem soll nun Abhilfe geschafft werden, da die Verordnung im Gegensatz zur Richtlinie unmittelbare Geltung hat. Die neue E-Privacy-Verordnung ist als Ergänzung zur bereits beschlossenen EU-Datenschutz-Grundverordnung (DSGVO; Verordnung (EU) 2016/679) konzipiert und soll idealerweise am 25. Mai 2018 – dem Stichtag für die Anwendung der DSGVO in der gesamten EU – in Kraft treten.


Cookies – „das Gedächtnis der Browser“

Ein Cookie (engl. für Plätzchen) ist eine winzige Textdatei, die es einer Website ermöglicht, den Nutzer nach einem ersten Besuch wiederzuerkennen. Cookies werden beim Schliessen des Browsers in einer Textdatei auf der Festplatte oder im Arbeitsspeicher des Users abgelegt und beim nächsten Aufruf der Website resp. des Webservers wieder aufgerufen. Die Textdatei enthält typischerweise Daten über besuchte Websites, die der Webbrowser beim Surfen im Internet speichert. Cookie-Dateien stellen also gewissermassen das Gedächtnis der Browser dar (Tätigkeitsbericht 18 – 2010/2011 des EDÖB).

Cookies werden in der Praxis zu zahlreichen Zwecken eingesetzt. Sie erleichtern dem Nutzer beispielsweise Login-Prozeduren, indem er sich beim wiederholten Besuch einer nicht öffentlichen Website nicht erneut anmelden muss. Auf diese Weise kann der Nutzer sogar trotz geänderter IP-Adresse wieder erkannt werden. Zudem werden Cookies im Online-Marketing namentlich dazu verwendet, Informationen über das Internetverhalten eines Nutzers zu speichern.


Tracking- und Third-Party-Cookies

Das Surfverhalten von Nutzern wird vorwiegend mittels sog. Tracking-Cookies (engl. für Fährte aufnehmen, verfolgen) aufgezeichnet. Die gesammelten und ausgewerteten Daten sind vor allem für Werbetreibende von grossem Interesse, da sie ihnen eine personalisierte und zielgruppenorientierte Werbung ermöglicht.

Von besonderer Bedeutung sind hier Cookies, die von Drittanbietern gesetzt werden (sog. Third-Party-Cookies). Diese werden nicht von der besuchten Website abgelegt, sondern von der Website einer Drittpartei, deren Objekte – zum Beispiel Werbeeinblendungen – auf der besuchten Seite erscheinen.


Einwilligung nach der geltenden Richtlinie

Gemäss der geltenden E-Privacy-Richtlinie sind Cookies nur dann erlaubt, wenn der Website-Betreiber den Nutzer vorgängig über deren Verwendung aufgeklärt hat und gestützt darauf eine informierte Einwilligung des Nutzers einholt. Die Einzelheiten der aktuellen Regelung sind jedoch nach wie vor unklar und umstritten. Dementsprechend haben die einzelnen Mitgliedstaaten die Richtlinie auch im nationalen Recht unterschiedlich umgesetzt.

Feststeht, dass die Nutzer vor dem Setzen von Cookies informiert werden müssen und eine Einwilligung einzuholen ist, welche auf klaren und umfassenden Informationen beruht. Umstritten ist jedoch wiederum, ob die Einwilligung ausdrücklich zu erfolgen hat (z.B. durch Klick auf eine „Ok“-Schaltfläche in einem Pop-Up-Fenster) oder ob sie auch stillschweigend (z.B. Weitersurfen nach Einblendung eines Pop-Up-Fensters) gültig ist. Die Praxis stellt dabei jedenfalls regelmässig auf stillschweigende Einwilligungen ab.


Einwilligung nach dem Entwurf der E-Privacy-Verordnung

Der Grundsatz, wonach die Verwendung von Cookies nur mit vorgängiger Information und Zustimmung zulässig ist, wird auch in der neuen E-Privacy-Verordnung beibehalten. Die Art und Weise der Zustimmung soll zu Gunsten des Nutzers jedoch deutlich vereinfacht werden (Art. 10 des Entwurfs zur E-Privacy-Verordnung): Künftig muss der Nutzer vor der Installation einer Webbrowser-Software über deren mögliche Privatsphäre-Einstellungen informiert werden. Erst wenn der Nutzer die von ihm erwünschten Einstellungen vorgenommen und diesen zugestimmt hat, darf die Installation des Webbrowsers fortgeführt werden. Wurde die Software bereits installiert, so gelten dieselben Zustimmungsregeln ab dem Datum des ersten Software-Updates, spätestens aber ab dem 25. August 2018. Die EU-Kommission spricht in diesem Zusammenhang von einer „Zentralisierung der Einwilligung“.

Dem Nutzer sollen dabei verschiedene Einstellungsoptionen zur Verfügung gestellt werden, um den von ihm bevorzugten Grad an Privatsphäre wählen zu können. Dieser Grad kann von hoch (z.B. „niemals Cookies annehmen“), über durchschnittlich (z.B. „Third-Party-Cookies ablehnen“) bis hin zu tief (z.B. „ Cookies annehmen“) reichen. Dem Verordnungsentwurf zufolge soll der Webbrowser auf jeden Fall so konfigurierbar sein, dass Third-Party-Cookies blockiert werden können.

Im Unterschied zur bisherigen Richtlinie werden mit der vorgeschlagenen Regelung daher (auch) den Browser-Anbietern unmittelbare Pflichten auferlegt. Anders als der im Dezember 2016 an die Öffentlichkeit gelangte Entwurf enthält der offizielle Entwurf nunmehr aber keine Vorgabe über die Voreinstellungen. Eine Pflicht, standardmässig die privatsphärenfreundlichste bzw. restriktivste Einstellung vorzusehen, besteht somit in der E-Privacy-Verordnung nicht. Allerdings fehlt es im Entwurf auch an einer Klarstellung des Verhältnisses zur entsprechenden Vorgabe in der EU-DSGVO (Art. 25 Abs. 2).

Neben der Ausgestaltung des Installationsprozesses muss die Browser-Software gemäss Entwurf aber jedenfalls „die Möglichkeit bieten zu verhindern, dass Dritte Informationen in der Endeinrichtung eines Endnutzers speichern oder bereits in der Endeinrichtung gespeicherte Informationen verarbeiten.“ Welche konkreten Anforderungen an das „Verhindern“ entsprechender Zugriffe gestellt werden, wird im Entwurf jedoch nicht dargelegt.

In diesem Zusammenhang ist ferner Folgendes zu beachten: gemäss den Erläuterungen zum Entwurf soll den Website-Betreibern durch die Zentralisierung der Einwilligung nicht die Möglichkeit genommen werden, die Einwilligung mit einer individuellen Anfrage beim Endnutzer einzuholen und auf diese Weise ihr Geschäftsmodell fortzuführen. Insofern wäre es demnach grundsätzlich nicht ausgeschlossen, von Nutzern, die in den Browsereinstellungen die Verwendung von Cookies nicht zulassen, eine gesonderte Einwilligung einzuverlangen. Folglich ist entgegen der Auffassung der EU-Kommission wohl auch künftig nicht mit dem Verschwinden der unbeliebten Cookie-Banner zu rechnen. Darüber hinaus ist zu beachten, dass in Bezug auf die Anforderungen an eine solche Einwilligung auf die Regelung in der EU-DSGVO verwiesen wird. Daher dürfte künftig noch mehr als unter der geltenden Regelung strittig sein, ob ein Weitersurfen nach erfolgter Information als Zustimmung betrachtet werden kann, wobei dann auch fraglich ist, ob das Setzen bei ablehnender Browsereinstellung technisch überhaupt noch möglich ist bzw. sein darf.


Ausnahmen vom Einwilligungserfordernis

Wie bereits nach geltendem Recht gilt das Einwilligungserfordernis jedoch insbesondere nicht für Cookies, die für die Bereitstellung eines Diensts, den ein Nutzer ausdrücklich gewünscht hat, unbedingt erforderlich sind. Angesprochen sind damit namentlich Session-Cookies für die Bereitstellung einer Warenkorbfunktion. Darüber hinaus statuiert der Entwurf auch eine Ausnahme für Cookies, die für die „Messung des Webpublikums“ nötig sind. Begründet wird dies damit, dass Cookies für die Messung des „Webdatenverkehrs zu einer Website“ ein legitimes und nützliches Hilfsmittel sein können. Zu beachten ist allerdings die Einschränkung, wonach die Ausnahme nur gilt, sofern der Betreiber des vom Endnutzer gewünschten Dienstes diese Messung durchführt. Unabhängig davon, wie weit die Ausnahme in Bezug auf Art und den Umfang der vorgenommenen „Messung“ überhaupt konkret interpretiert werden kann, stellt sich bei den verbreiteten Auswertungstools wie z.B. Google Analytics bereits das Problem, dass die Aufbereitung der Daten durch Dritte, also z.B. Google und nicht den Website-Betreiber selbst, erfolgt.


Ausweitung des Anwendungsbereichs

In Bezug auf die geltende Regelung wird wohl mehrheitlich davon ausgegangen, dass das Einwilligungserfordernis nur gilt, wenn Cookies zur Bearbeitung von personenbezogenen Daten verwendet werden. Im Gegensatz dazu gelten die Vorgaben des Verordnungs-Entwurfs grundsätzlich unabhängig davon, ob Personendaten vorliegen oder nicht. So ist abgesehen von den ausdrücklich erwähnten Ausnahmen und vom Vorliegen einer Einwilligung „jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen“ verboten. Dies führt letztlich zu einer starken Ausweitung des Einwilligungserfordernisses und würde den Handlungsspielraum der Unternehmen im Online-Marketing erheblich einschränken. Eine Einwilligung wäre demnach selbst dann erforderlich, wenn von sämtlichen bewährten Anonymisierungstechniken Gebrauch gemacht würde. Nicht zu Unrecht wird daher kritisiert, dass der Entwurf Login-basierte Nutzungsmodelle (wie z.B. bei Facebook), bei denen die Nutzer ein pauschales Einverständnis für die Erhebung und Verarbeitung ihrer Daten geben, bevorzugt.

Zu beachten ist dabei ferner, dass aufgrund der technikneutralen Ausgestaltung des Entwurfs alternative Tracking-Methoden ebenfalls von der Verordnung erfasst werden. Hiervon muss zwar grundsätzlich bereits nach geltendem Recht ausgegangen werden, jedoch könnte es gerade in diesen Fällen an Personendaten fehlen und somit ein Zustimmungs-Erfordernis verneint werden.


Regelung von Ad-Blockern?

Der vorgestellte Entwurf verzichtet zwar auf eine ausdrückliche Regelung des Einsatzes von Ad-Blockern. Aus den Erwägungsgründen wird jedoch folgende Fälle nicht als einwilligungsbedürftige Datenbearbeitung betrachtet werden sollen: „Konfigurationsprüfungen, die Anbieter von Diensten der Informationsgesellschaft vornehmen, um ihren Dienst entsprechend den Einstellungen des Endnutzers bereitstellen zu können, wie auch das bloße Feststellen der Tatsache, dass das Gerät des Endnutzers die vom Endnutzer angeforderten Inhalte nicht empfangen kann„.

Aus der Begleitdokumentation zur Pressemitteilung geht sodann hervor, dass die entsprechende Prüfung, ob das Gerät des Nutzers in der Lage ist, den Inhalt einer Website zu empfangen, auch die Werbung auf der jeweiligen Website umfasst. Mit anderen Worten wird die Werbung auf einer Website somit dem Inhalt zugerechnet. Sofern also ein Website-Betreiber feststellt, dass nicht alle Inhalte beim Endnutzer ankommen, soll es ihm nach den Erläuterungen der EU-Kommission frei stehen, „entsprechend darauf zu reagieren, indem er z. B. beim Endnutzer anfragt, ob dieser einen Werbeblocker verwendet und bereit wäre, ihn für die betreffende Website abzuschalten.“

Ob es dem Website-Betreiber aber letztlich erlaubt sein soll, den Zugriff auf die Inhalte zu verweigern, wenn der Nutzer den Werbeblocker nicht deaktiviert, erläutert die EU-Kommission nicht. Da nach der gegebenenfalls subsidiär anwendbaren EU-DSGVO grundsätzlich ein Kopplungsverbot besteht, stellt sich hier insbesondere die Frage, ob die E-Privacy-Verordnung als Sonderregelung der allgemeineren Regelung der EU-DSGVO vorgeht oder nicht. Auch diesbezüglich schafft die vorgeschlagene Regelung daher nicht die erforderliche Klarheit und Rechtssicherheit.


Einschneidende Sanktionen analog der EU-DSGVO

Besonderes Gewicht erhalten die vorgeschlagenen Regelungen sodann aufgrund der einschneidenden Sanktionen, die im Verordnungsentwurf vorgesehen sind. Die Sanktionen sind ähnlich ausgestaltet wie in der EU-DSGVO und beinhalten namentlich Geldbussen von bis zu 20 Mio. EUR oder 4% des gesamten weltweiten Jahresumsatzes eines Unternehmens.


Weitere Vorschriften der Verordnung

Die vorgeschlagene Regelung erhält diverse weitere bedeutsame Regelungen. So ist beispielsweise vorgesehen, dass die Vorgaben für die Vertraulichkeit der Kommunikation neu auch für sog. „Over-The-Top-Dienste“ („OTTD“) gelten sollen. Davon erfasst werden insbesondere die Kommunikationsdienste von WhatsApp, Facebook, Skype etc. Darüber hinaus wird in der Verordnung angesichts der zunehmenden Bedeutung des sog. „Internet of Things“ auch die Übermittlung von „Maschine zu Maschine Kommunikation“ geregelt. Auf eine Regelung der Vorratsdatenspeicherung wurde demgegenüber verzichtet. Des Weiteren ist zu beachten, dass die Vorschriften der Verordnung – anders als diejenigen der EU-DSGVO – grundsätzlich auch für Daten von juristischen Personen gelten. Schliesslich enthält die Verordnung auch Vorgaben über die Versendung von elektronischer Direktwerbung, wobei diesbezüglich – zumindest im Vergleich zur geltenden Regelung in Deutschland – keine grundlegenden Neuerungen vorgesehen sind.


Relevanz für Schweizer Unternehmen

Ähnlich wie die Regelung in der EU-DSGVO ist auch der räumliche Anwendungsbereich der vorgeschlagenen E-Privacy-Verordnung weit gefasst. Die Vorgaben sind demnach nicht nur von Unternehmen mit Niederlassung in der EU einzuhalten. Vielmehr soll die Verordnung bereits dann gelten, wenn bspw. Cookies auf Endgeräten von Nutzern in der EU gesetzt oder bearbeitet werden oder Dienste für solche Nutzer bereitgestellt werden. Insofern sind die Vorgaben auch für Schweizer Unternehmen von grosser Bedeutung.


Geltende Regelung in der Schweiz und Ausblick

Wie bereits in einem früheren Beitrag berichtet wurde (BR-News vom 10. August 2011), ist in der Schweiz die Verwendung von Cookies durch Art. 45c des Fernmeldegesetztes (FMG) geregelt: Danach ist das Bearbeiten von Daten auf fremden Geräten nur erlaubt ist, wenn die Benutzer über die Bearbeitung, ihren Zweck und die Ablehnungsmöglichkeit informiert werden.

Demnach besteht für Schweizer Website-Betreiber die Pflicht, ihre Kunden darüber zu informieren, dass und zu welchem Zweck sie Cookies verwenden und wie sie die Speicherung von Cookies in ihrem Browser deaktivieren können. Eine Formvorschrift für diese Information besteht im Gesetz nicht. Die Information muss aber für die Nutzer umfassend und klar sein. Aus Beweis- und Transparenzgründen ist deshalb zu empfehlen, die Information schriftlich zu erteilen. Ein Hinweis – z.B. in einer Datenschutzerklärung – ist dabei ausreichend. In dieser Erklärung sollten die Nutzer darauf hingewiesen werden, dass sie die Speicherung von Cookies durch entsprechende Konfiguration ihres Browsers anpassen können. Idealerweise sollte das Verfahren kurz beschrieben werden. Ist die Website nach der Deaktivierung von Cookies nicht mehr oder nur noch eingeschränkt funktionsfähig, sollte der Nutzer darauf ebenfalls hingewiesen werden.

Im Gegensatz zur europäischen Regelung verlangt das schweizerische Recht also keine ausdrückliche Einwilligung des Nutzers zur Speicherung von Cookies: Nach diesem sog. Opt-Out-Verfahren genügt es, wenn der Nutzer darauf aufmerksam gemacht wird, dass er die Speicherung von Cookies verhindern kann.

Die kürzlich veröffentlichte Vorlage zur Totalrevision des Schweizer Datenschutzrechts (vgl. dazu BR- News vom 14.2.2017) enthält keine Änderung von Art. 45c FMG. Darüber hinaus ist auch dem erläuternden Bericht des Bundesrats kein Hinweis auf eine künftige Änderung oder auf die absehbare Änderung der entsprechenden EU-Vorgaben zu entnehmen. Folglich ist zum aktuellen Zeitpunkt offen, ob und inwiefern ein allfälliger Nachvollzug erfolgt.

 

Weitere Informationen: