Monday, May 28, 2012

Return of the Cookie Monster? Auch die BBC produziert Falschmeldungen

Dieser Tage ging wieder einmal das Cookie-Monster durch die Medien, auch in Österreich. Am Samstag erklärte die futurezone, dass "mit dem heutigen Datum, dem 26. Mai [2012]", eine "neue EU-Regel in Kraft" trete; die EU habe "heute eine 2006 beschlossene, überarbeitete Datenschutzrichtlinie in Kraft gesetzt." Immerhin verlinkt die futurezone zur Quelle ihrer Falschmeldung, zur BBC. Auf deren Website steht tatsächlich: "European laws that define what details sites can record in text files called cookies came into force on 26 May [2012]." Eine ähnliche Falschmeldung brachte das Wall Street Journal Blog. Interessant ist auch die Meldung auf dem beliebten deutschen Portal golem.de ("IT-News für Profis"), in der ebenfalls von einem Inkrafttreten am 26. Mai 2012 die Rede ist, aber ein Link auf die Richtlinie gesetzt wird; wer den Link anklickt, kann schon aus den Übersichtsdaten erkennen, dass die Richtlinie jedenfalls nicht erst am 26. Mai 2012 in Kraft getreten ist:
Richtig ist: die Richtlinie 2009/136/EG, von manchen auch als "Cookie-Richtlinie" bezeichnet, ist am 19. Dezember 2009 in Kraft getreten und war bis zum 25. Mai 2011 umzusetzen.*) Die jeweiligen nationalen Rechtsvorschriften, mit denen die Richtlinie umgesetzt wurden, waren daher spätestens ab 26., Mai 2011 anzuwenden (bzw: wären ab diesem Zeitpunkt anzuwenden gewesen, denn nur wenige EU-Mitgliedstaaten haben die Bestimmungen rechtzeitig umgesetzt). Dass BBC, WSJ und andere nun von einem Inkrafttreten am 26. Mai 2012 berichten, hat einen einfachen Grund: das Information Commissioner's Office im UK, das die einschlägigen Bestimmungen des britischen Rechts vollzieht, hatte eine einjährige "Schonfrist" seit dem Inkrafttreten der britischen Umsetzungsbestimmungen am 26. Mai 2011 eingeräumt, bevor die tatsächliche Anwendung - notfalls mit Strafen - durchgesetzt werden sollte.

Inhaltlich geht es um die umstrittene Frage, wie Internetnutzer ihre Zustimmung zum Setzen und Auslesen von Cookies zum Ausdruck bringen können. Muss in jedem Fall ein Pop up-Fenster erscheinen, das über die konkreten Cookies umfassend informiert und einen Button zur Ablehnung der Cookies enthält? Oder reicht es vielleicht schon aus, dass Cookies generell über Browsereinstellungen abgelehnt werden können? Ich habe die österreichische Situation schon einmal kurz dargestellt und wollte das nun - "aus gegebenem Anlass" - etwas vertiefen:

Der Richtlinientext:
Die RL 2009/136/EG änderte die DatenschutzRL für elektronische Kommunikation (RL 2002/58) dahingehend ab, dass deren Art 5 Abs 3 nun lautet:
"Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf  Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."
Vereinfacht gesagt: Speichern von und Zugreifen auf Cookies ist nur bei "informed consent" des Nutzers zulässig (oder wenn dies für einen ausdrücklich gewünschten Dienst zwingend notwendig ist). Erläutert wird das in Erwägungsgrund 66 der RL 2009/136/EG (vgl auch schon Erwägungsgründe 24 und 25 der RL 2002/58/EG):
"Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden."
Österreichische Umsetzung
Art 5 Abs 3 der RL 2009/136/EG wurde in Österreich durch § 96 Abs 3 TKG 2003 umgesetzt (in Kraft getreten am 22.11.2011); dort heißt es:
"Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann." 
Die Erläuterungen zu dieser Bestimmung in der Regierungsvorlage (1389 BlgNR 24. GP) lauten Hervorhebung hinzugefügt):
"Zu § 96 Abs. 3:
In der Neuformulierung wird nun eine Zustimmung bzw. eine Einwilligung des Teilnehmers gefordert, die auf der Grundlage von klaren und umfassenden Informationen getroffen werden muss. Damit wird im Wesentlichen sicher gestellt, dass die allgemeinen Bestimmungen des Datenschutzgesetzes durch das Telekommunikationsgesetz 2003 nicht abgeschwächt werden. Der Informationspflicht kann für Dienste der Informationsgesellschaft etwa durch Aufnahme einer Datenschutzerklärung im verpflichtenden Impressum nachgekommen werden. Wenn dies technisch durchführbar ist, kann die Einwilligung des Nutzers zur Verarbeitung über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden."
Der Fachverband Werbung und Marktkommunikation der Wirtschaftskammer geht davon aus, dass nach § 96 Abs 3 TKG 2003 "die Einwilligung des Nutzers zur Verarbeitung von Cookies über die entsprechenden Browsereinstellungen als erteilt" gilt (zusätzlich brauche man noch eine Datenschutzerklärung im Impressum der Website). 

Dass "informed consent" derzeit schon allein mit Browsereinstellungen sichergestellt werden kann, ist allerdings nicht als allgemeines - "herrschendes" - Verständnis der entsprechenden Richtlinienbestimmung anzusehen (vgl etwa die Position der Art 29-Datenschutz-Arbeitsgruppe zu Online Behavioural Advertising oder das CoCom-Dokument zu Art 5 Abs 3 der RL; vor allem dass die Zustimmung auch "spezifisch" sein muss, dürfte wohl gegen die Auffassung sprechen, dass eine einmalige Einstellung im Browser nach der Richtlinie schon ausreichen würde). Wie die Richtlinienbestimmung endgültig auszulegen ist, wird erst der EuGH entscheiden (darauf weist auch das CoCom-Papier hin: "It should be emphasized that the interpretation of European Union law is ultimately the role of the Court of Justice of the European Union."). Bis dahin scheint es mir angesichts der oben zitierten Erläuterungen zur Regierungsvorlage aber nicht ausgeschlossen, dass die Auffassung der Wirtschaftskammer als vertretbare Rechtsansicht angesehen werden könnte, die damit zumindest vor einer Verurteilung nach dem UWG (Wettbewerbsvorsprung durch Rechtsbruch) schützen könnte.

PS: Dass Art 5 Abs 3 der DatenschutzRL für elektronische Kommunikation - ohne entsprechende Umsetzungsmaßnahme - unmittelbar anzuwenden wäre, wie dies der deutsche Bundesbeauftragte für den Datenschutz für die Situation in Deutschland meint, würde ich im Übrigen auch nicht gerade als herrschendes Verständnis der Richtlinie ansehen. Schon über die Frage, ob die Norm ausreichend bestimmt ist, ließe sich vielleicht diskutieren; mehr noch aber stellt sich aus meiner Sicht das Problem der "horizontalen Drittwirkung", da es hier in der Regel um eine Anwendung unter Privaten geht, also nicht um die Geltendmachung von Rechten gegenüber dem Staat.

PPS: Die enormen praktischen Probleme mit der Umsetzung der "Cookie-Richtlinie" haben mittlerweile auch das Information Commissioner's Office im UK zu einem Rückzieher bewogen. Die revidierten Guidelines (siehe dazu auch hier) akzeptieren nun auch "implied consent" (konkludente Zustimmung), etwa wenn jemand auf einer Website weiter surft, nachdem er darauf aufmerksam gemacht wird, dass Cookies gespeichert werden.  

---
*) Der korrekte Titel der RL lautet: "Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz."
In den Medien wird oft das Datum, bis zu dem eine RL in nationales Recht umgesetzt sein muss, (technisch unrichtig) als Datum des Inkrafttretens bezeichnet; dieser Irrtum wäre nicht weiter schlimm, würde dabei wenigstens das richtige Ende des Umsetzungszeitraums erwischt. 

No comments :