Die Welt der Cookies und ihre rechtliche Beurteilung - 3. und letzter Teil

– Fortsetzung des Beitrags vom 07.08.2015 –

Um die datenschutzrechtliche  Zulässigkeit von Cookies beurteilen zu können, muss man zunächst einen Blick auf die unterschiedlichen Arten der Cookies werfen:

Session-Cookies

Liegen Session-Cookies vor, die benötigt werden oder den Telemediendienst sinnvoll ermöglichen und die nach dem Ende einer Nutzung auch oft automatisch wieder vom Rechner des Nutzers gelöscht werden, dort also nicht dauerhaft verbleiben, ist dies mit § 15 Abs. 1 TMG vereinbar. Das gilt erst recht für Cookies, die die Verbindungssteuerung während des Nutzungsvorgangs regeln (etwa das Beispiel Warenkorb). Hierfür wäre also das Setzen von Cookies erforderlich und bedarf also demzufolge keiner konkreter Einwilligung des Users im Sinne von § 15 Abs. 1 TMG.

Permanent-Cookies

Im Gegensatz zu den Session-ID-Cookies sind diese dauerhaft auf dem Rechner des Users platziert. Auch diese Cookies beinhalten personenbezogene Daten bzw. können dazu verwendet werden, entsprechende Nutzerprofile zu erstellen. Diese Permanent-Cookies dürfen nur mit einer ausdrücklichen Einwilligung des Nutzers gesetzt werden.

Flash-Cookies

Dies dürfte auch für diese Art von Cookies zutreffen: diese Cookies haben die Besonderheit, dass Sie die Informationen nicht im Browserverzeichnis, sondern in externen Ordnern mit jeweiligem Flash-Playern speichern. Das dürfte in den allermeisten Fällen Adobe Flash Player sein. Diese Flash-Cookies sind vollkommen eigenständig, wenn sie gespeichert wurden. Jeder installierte Browser auf der Festplatte des Users kann darauf zurückgreifen. Das ist für den Verwender dieser Cookies insofern komfortabel, als er auf die entsprechenden Informationen auch dann bequem zugreifen kann, wenn der Benutzer zwischenzeitlich seinen Internet-Browser gewechselt haben sollte. Für den User aber ist die Verwendung dieser Cookies mit einigen Nachteilen verbunden. Einmal ist festzustellen, dass es kein Verfallsdatum dieser Cookies gibt. Auch eine Verwaltung über die Sicherheitseinstellungen des entsprechenden Browsers geben keine Zugriffsmöglichkeit auf diese Cookies. Will also der User grundsätzlich über diese Cookies verfügen, muss er sich erst einmal auf die Reise der Erkenntnis begeben. Denn diese Flash-Cookies sind teilweise gut „versteckt“ auf der Festplatte gespeichert.

Mit § 15 Abs. 1 TMG im Blick erscheint die Verwendung dieser Cookies jedenfalls nicht „erforderlich“, um die Nutzung des Internetangebots überhaupt zu ermöglichen. Rein wirtschaftliche Betrachtungsweisen bzw. Interessen des Anbieters sind dabei nicht von Relevanz, jedenfalls nicht im Sinne des Datenschutzes. Wer also solche Cookies setzt, braucht ebenfalls ganz klar die vorherige Einwilligung des Nutzers.

Web-Bugs

Diese Web-Bugs sind mit den Permanent-Cookies vergleichbar. Sie funktionieren technisch betrachtet ähnlich wie Cookies. Auch diese Web-Bugs dienen in erster Linie zur Identifizierung des Users und seines Verhaltens. Diese Web-Bugs („Web-Wanze“) sind kleine Grafiken in HTML-E-Mails oder auf Webseiten, die eine Log-Datei-Aufzeichnung und eine Log-Datei-Analyse ermöglichen, die meist für statistische Auswertungen verwendet werden.

Es handelt sich dabei meist um 1 x 1 Pixel messende Bilder, die meist transparent oder in Farbe des Hintergrunds dargestellt werden, um unsichtbar zu sein. Wird dann ein Dokument geöffnet, wird dieses kleine Bild von einem Server im Internet geladen, wobei dann der Download dort registriert wird. So kann der Inhaber des Servers erkennen, wann und wie viele Nutzer diesen Zählpixel angefordert bzw. ob und wann eine E-Mail geöffnet oder eine Webseite besucht wurde.

Die Webseitenbetreiber können auf diese Art und Weise ohne den direkten Zugriff auf die Log-Datei des Servers entsprechende Informationen über die Anzahl der Besucher erhalten. So werden Internetseitenzähler (Counter) generiert, die auf diesem Prinzip aufbauen.

Auch bei Spam E-Mails werden diese Web-Bugs benutzt um zu erforschen, ob eine E-Mail-Adresse gültig ist, ob bzw. wann die E-Mail-Adresse geöffnet wurde, welches Betriebssystem und welcher Browser vom Empfänger verwendet wird, welche IP-Adresse der Verwender hat usw.

Die Funktionsweise von Web-Bug-Verfahren ist wie folgt: fordert der User eine gewünschte Webseite von einem Server an und ist dort ein Web-Bug integriert, wird sie zusammen mit dem integrierten Bug an den Nutzer „ausgeliefert“ und das Zählpixel aufgerufen. Die benötigten Daten für das Web-Controlling des Besuchers werden dann an einen Analyseserver übertragen, der die an ihnen übertragenen Nutzungsdaten anschließend auswertet.

Die Verwendung dieser Web-Bugs erfolgt meist ohne Kenntnis, schon gar nicht mit Zustimmung des jeweiligen Nutzers. Datenschutzrechtlich muss daher davon ausgegangen werden, dass sie ebenso wie Permanent-Cookies zu behandeln sind. Wer also solche Web-Bugs verwendet, muss sich vorher eine ausdrückliche Einwilligung des Users einholen.

Wertungen gemäß europäischem Recht

Die aktuelle Änderung in der Richtlinie 2002/58/EG scheint die Auslegung des § 15 Abs. 1 TMG zu bestätigen. Am 25. November 2009 hatte das europäische Parlament und der Rat der Europäischen Union mit der Richtlinie 2009/136/EG entsprechend weit reichende Änderungen der Richtlinie 2002/58/EG beschlossen, die bis spätestens zum 25.11.2011 in nationales Recht umgesetzt werden sollten. Folgende Änderung dürfte im Hinblick auf die Verwendung von Cookies entscheidend sein (Art. 5 Abs. 3 Richtlinie 2002/58/EG) zu:

Zitat:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen und der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG und andere über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“.

Einige namhafte Autoren gehen deshalb aufgrund dieser Neuregelung von einem Ende der Cookies aus. Der Begriff „Cookies“ taucht zwar in diesem Text nicht auf, es kann aber unschwer ersehen werden, dass es sich genau darauf beziehen soll. Die bisherige Widerspruchslösung (Opt-Out) soll als ersetzt werden durch eine Opt-In-Lösung, also dem Erfordernis einer „informierten“ Einwilligung.

Dieses Erfordernis soll nur dann nicht gelten, wenn der einzige Zweck die Durchführung oder Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies eben „unbedingt erforderlich“ ist, damit der Anbieter seinen Dienst entsprechend wie vom Teilnehmer gewünscht zur Verfügung stellen kann. In Bezug auf die Permanent-Cookies dürfte es sicher als unzulässig erachtet werden, solche ohne vorherige Einwilligung des Nutzers zu verwenden. Ob dies allerdings auch auf die Session-Cookies zutrifft, ist fraglich. Bei einer engen Betrachtungsweise und Auslegung der Richtlinie könnte man argumentieren, dass eine solche Unterscheidung nicht notwendig ist.

Damit müsste auch ein Session-ID-Cookie entsprechend über das Opt-In-Verfahren abgesegnet sein. Der Text der Richtlinie „unbedingt erforderlich“ weicht somit von der bisherigen Umsetzung in § 15 Abs. 1 TMG ab, da dort lediglich von „Erforderlichkeit“ gesprochen wird, nicht von einer „unbedingten“ Erforderlichkeit. Ob diese Verschärfung der Richtlinie wirklich gewollt war, ist nicht zu ergründen. Wenn allerdings die Nutzung eines solchen Cookies zum Betrieb eines Telemediendienstes unbedingt erforderlich wäre, müssten derartige Cookies noch zulässig sein. Insoweit wird hier an den Warenkorb-Fall erinnert. In allen anderen Fällen wäre die Verwendung dieser Cookies wohl lediglich als eine Erleichterung der Nutzung zu qualifizieren. Da aber die Richtlinie sei dem 25.11.2011 wohl unmittelbar Anwendung finden kann, müsste für die Verwendung dieser Session-Cookies eine entsprechende Einwilligung des Nutzers gefordert werden.

Ob das wirklich so gefordert werden kann, darf berechtigt hinterfragt werden. Der damalige Bundesdatenschutzbeauftragte Peter Schaar ist der Ansicht, dass „auch in Zukunft bei solchen Cookies [eine Einwilligung] entbehrlich [ist], die technisch erforderlich sind, um den jeweiligen Dienst zu erbringen“. Seine Interpretation lautet so, „dass für das Setzen von Session-Cookies – jedenfalls im Regelfall – auch weiterhin keine Einwilligung gegeben werden muss.“. Diese Differenzierung entspreche der Systematik des Datenschutzrechts, so dass man davon ausgehen könne, dass die Verwendung von Session-Cookies nach wie vor auch nach dem 25.11.2011 regelmäßig zulässig sein soll.

Im Hinblick auf Art. 5 Abs. 3 Richtlinie 2002/58/EG müsste eine einwilligungslose Verwendung von Cookies jedoch zwingend auf diese notwendigen und zeitlich begrenzten Cookies beschränkt werden.

Endbetrachtung

Man muss also Kenntnis von der Art der verwendeten Cookies haben, damit die datenschutzrechtlich relevante Frage der Zulässigkeit und Einbindung beantwortet werden kann. Session-Cookies bedürfen also nach derzeit geltender Gesetzeslage keiner Einwilligung des Nutzers, bei Permanent-Cookies, Flash-Cookies, Super-Cookies und Web-Bugs sieht es anders aus. Hier muss sichergestellt werden, dass der Nutzer erst über die beabsichtigte Verwendung und Wirkung informiert wird und dafür seine explizite Einwilligung erteilt, etwa durch Anklicken einer Dialogbox. Er muss auch darüber belehrt werden, wie er die Cookie-Verwendung unterbinden kann. Eine datenschutzrechtliche Einwilligung ist nur wirksam, wenn zuvor umfassend und qualifiziert informiert wurde. Daran leider fehlt es in aller Regel.