Cookies

/in /von

Datenschutz- und wettbewerbsrechtliche Bewertung von Rechtsanwalt Rainer Ihde.

Aktuelle Anmerkung, Stand Oktober 2001: Durch das Gesetz über rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr (EGG, „E-Commerce-Gesetz“), das sich gegenwärtig im Gesetzgebungsverfahren befindet und voraussichtlich bis Anfang 2002 umgesetzt werden wird, werden einige der im folgenden dargestellten Probleme entschärft, wenn auch nicht vollends beseitigt. Dies gilt insbesondere im Hinblick auf die gesetzlichen Anforderungen für die Wirksamkeit einer online erteilten Einwilligung in die Datenverarbeitung (siehe unten im Beitrag III 4 b. und c.). Der aktuelle Gesetzentwurf ist abrufbar unter http://www.iukdg.de/.

I. EinleitungBei der Verwendung von Cookies besteht ein Konfliktfeld mit den Belangen des Datenschutzes, zwischen dem Recht der Nutzer auf informationelle Selbstbestimmung und der erforderlichen  Informationsverarbeitung seitens der Anbieter. Dies hat unter Umständen auch wettbewerbsrechtliche Auswirkungen.

II. Definition von Cookies und technische Grundlagen

Bei Cookies handelt es sich technisch gesehen um Dateien, die von dem Server einer Website erzeugt, an das Browserprogramm des Nutzers übersandt und dann auf dessen Rechner abgespeichert werden. Die Datei enthält eine Zahlenfolge, anhand derer die Website bei künftigen Besuchen automatisch erkennen kann, dass sie von dem betreffenden Computer des Nutzers aus bereits einmal besucht worden ist, und welche Einstellungen dabei gewählt wurden. Einmal platziert, erfolgt die Abfrage des Cookies durch den Server der Website bei jedem neuerlichen Aufruf der Website automatisch.

III. Cookies unter datenschutzrechtlichen Gesichtspunkten

Auf diese Weise ist es unter Umständen möglich, detaillierte Benutzerprofile über Vorlieben und Verhaltensweisen eines Kunden anzulegen, und zwar gegebenenfalls auch ohne dessen Wissen und Einverständnis. Wie Cookies dabei unter datenschutzrechtlichen Gesichtspunkten einzuordnen sind, ist bislang nicht eindeutig geklärt.

1. Einschlägige Gesetze
Die datenschutzrechtliche Zulässigkeit von Cookies im Internet ist nach dem Teledienstedatenschutzgesetz (TDDSG) bzw. dem Mediendienstestaatsvertrag (MDStV) zu beurteilen, ergänzend durch das Bundesdatenschutzgesetz (BDSG), unter Berücksichtigung der EU-Datenschutzrichtlinie 95/46/EG vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Amtsblatt EG L 281 vom 23.11.1995, S. 31 ff.

2. „Erhebung“, „Verarbeitung“ und „Nutzung“ von Daten durch Cookies
Bei dem automatisierten Abruf und der Verwendung des Cookies durch den Server kann ohne weiteres von einer „Verarbeitung“ bzw. „Nutzung“ von Daten im Sinne des Datenschutzrechtes gesprochen werden. Juristisch interessant ist die Frage, ob es nicht bereits beim erstmaligen Ablegen der Cookies auf der Festplatte des Nutzers zu einer „Erhebung“ von Daten kommt, mit der Folge, dass gegebenenfalls schon zu diesem Zeitpunkt die datenschutzrechtlichen Bestimmungen, namentlich das Einwilligungseefordernis, zu beachten wären. Nach der Legaldefinition in § 3 Abs. 4 BDSG ist Erheben das Beschaffen von Daten ist. Zwar ist die Festplatte des Nutzers mangels jederzeitiger Zugriffsmöglichkeit sicherlich nicht zum unmittelbaren Machtbereich des Diensteanbieters zu zählen. Indem dieser aber über seinen Server zielgerichtet Vorgaben zu Format und Inhalt der Datei macht und spätestens beim nächsten Aufruf der Website durch den Nutzer automatisch darauf zugreift, handelt es sich beim Setzen eines Cookies um eine gezielte Vorbereitungshandlung zur Datenerhebung, die anschliessend ohne weiteres Zutun der Beteiligten automatisch abläuft. Damit unterfällt bereits das erstmalige Setzen eines Cookies grundsätzlich dem Anwendungsbereich des Datenschutzrechtes.

3. Personenbezug von Cookies
Die Vorschriften des Datenschutzrechts sind dann zu beachten, wenn personenbezogene Daten erfasst werden. Massgeblich kommt es hierbei darauf an, ob aus dem Datensatz des Cookies die Person des Nutzers ersichtlich ist, bzw. ob sie sich daraus herleiten lässt. Dies ist im Ergebnis jedenfalls dann der Fall, wenn

  • die Cookies unmittelbar zur Identifizierung des Nutzers geeignete Daten enthalten (Namen, E-Mail-Adresse, feste IP-Adresse) oder
  • das System des Verwenders vorsieht, dass sie mit zusätzlich gewonnenen Informationen so verknüpft werden können, dass Personenbezug entsteht (etwa bei weiteren Eingaben des Benutzers bei Bestellungen o. ä.) oder
  • die Cookies nicht nur an den ursprünglichen Absender zurückgesandt, sondern auch an Dritte weitergeleitet werden. (Etwa bei Werbevermarktern. Insoweit kann hinsichtlich der möglichen Identifikation des Nutzers nicht mehr nur auf die Funktionen des Anbieter-Servers abgestellt werden. Die Verknüpfung der Nutzeridentifikation mit den Daten des oder der Cookies müsste dann auch bei zentralen Datenauswertungen auszuschliessen sein. Dabei sind als spezielle Regelungen § 6 Abs. 3 TDDSG bzw. § 15 Abs. 3 MDStV zu beachten, die klarstellen, dass die Weitergabe von Nutzungsdaten an Dritte nur in anonymisierter Form zu Zwecken der Marktforschung zulässig ist. Da eine sichere Anonymisierung eines in Verwendung befindlichen Cookies kaum möglich ist, gelten die datenschutzrechtlichen Bestimmungen.)

4. Zulässigkeit der Datenerhebung durch Cookies
Bei Verwendung von Cookies sind also in aller Regel die Anforderungen des Datenschutzrechts zu beachten.

a) Erforderlichkeit der Einwilligung
Die Verwendung von Cookies, die länger als eine Sitzung gültig bleiben bzw. danach ausgewertet werden sollen, ist nur zulässig, wenn der betroffene Nutzer vorher ausdrücklich eingewilligt hat. Denn soweit es sich bei dem Setzen von Cookies nach den genannten Kriterien um eine Erhebung bzw. Nutzung von personenbezogenen Daten handelt, gelten die Vorschriften des § 3 Abs. 1 bis 7 TDDSG bzw. § 12 Abs. 2 bis 8 MDStV. Cookies fallen in keine der darin genannten Kategorien der qua Gesetz zulässigen Formen der Datenverarbeitung: Weder enthalten sie alleine Bestandsdaten zum der Internetnutzung zu Grunde liegenden Vertragsverhältnis noch reine Abrechnungsdaten. Vielmehr enthalten sie sogenannte Nutzungsdaten, deren Erfassung zwar zunächst zulässig ist, die jedoch gemäss § 6 Abs. 2 Nr. 1 TDDSG respektive § 15 Abs. 1 Nr. 1 MDStV spätestens mit Ende der jeweiligen Sitzung gelöscht werden müssen. Damit ist bei länger gültigen Cookies eine Einwilligung des betroffenen Nutzers erforderlich.

b) Form der Einwilligung
Die Einwilligung des Nutzers in die Verwendung von Cookies ist an enge Formvorschriften gebunden (vergleiche § 3 Abs. 5 bis 7 TDDSG bzw. § 12 Abs. 6 bis 8 MDStV). Zu beachten ist danach folgendes:

  • Die Einwilligung ist gegenüber jedem einzelnen Datenerhebenden gesondert erforderlich.
  • Die Einwilligung ist nur wirksam, wenn sie in einer bestimmten, strengen Form, erklärt wird (siehe dazu unten Punkt c).

Alleine durch die Konfiguration des nutzereigenen Browsers lässt sich eine Einwilligung nicht fingieren: Die Einstellung, wonach Cookies allgemein akzeptiert werden, erfüllt mangels zwischengeschalteten Willensäusserungsaktes des Nutzers schon nicht den Tatbestand einer eindeutigen und bewussten Erklärung. Falls die Anzeige einer Warnmeldung gewählt wird, führt die Möglichkeit des schnellen „Wegklickens“ zu Zweifeln daran, ob überhaupt von einem „bewussten“ Handeln – juristisch: einem Handeln mit Erklärungsbewusstsein – gesprochen werden kann. Und im übrigen ist dabei die vom Gesetz geforderte Möglichkeit nicht gegeben, den Einwilligenden eindeutig zu identifizieren (§ 3 Abs. 7 TDDSG bzw. § 12 Abs. 8 MDStV). Denn wer die Maustaste betätigt, ist für den Diensteanbieter nicht feststellbar.

  • Die Einwilligung muss beim erstmaligen Setzen eines Cookies eingeholt werden, und zwar bevor der Speichervorgang beginnt.
  • Dabei ist der Nutzer über Art, Umfang, Ort und Zweck der Datenverarbeitung zu unterrichten. Die blosse Mitteilung in einem Bildschirmfenster, nunmehr werde „ein Cookie gesetzt“, reicht dabei nicht.
  • Der Nutzer kann auf die Unterrichtung verzichten, worauf er hingewiesen werden muss.
  • Der Inhalt dieser Unterrichtung muss für den Nutzer jederzeit abrufbar sein.
  • Sowohl Unterrichtung als auch Verzicht sind zu protokollieren.
  • Der Nutzer muss seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können, worauf er ebenfalls hinzuweisen ist.

c) Einwilligung am Bildschirm?
Die Einwilligung ist nur wirksam, wenn sie in der bestimmten, gesetzlich vorgegebenen Form erklärt wird: Entweder schriftlich (§ 4 Abs. 2 BDSG), oder auf elektronischem Wege, dann aber unter besonders strengen Anforderungen: Der Diensteanbieter muss sicherstellen, dass die Einwilligung nur durch eine eindeutige und bewusste Handlung vorgenommen werden kann, sie nicht unerkennbar verändert und ihr Urheber erkannt werden kann; sie muss ebenfalls protokolliert werden und ihr Inhalt muss jederzeit vom Nutzer abgerufen werden können (§ 3 Abs. 7 TDDSG bzw. § 12 Abs. 8 MDStV).

Die Einhaltung dieser strengen Formvorschriften stellt die Praxis vor kaum lösbare Probleme. Die Verwendung der Schriftform – etwa nach Ausdruck eines Formulars durch den Nutzer – konterkariert die Schnelligkeit des Mediums Internet. Aber auch die gesetzlichen Anforderungen an eine elektronische Einwilligungserklärung sind praktisch kaum zu erfüllen: Wenn sichergestellt sein soll, dass die Einwilligungserklärung nicht unerkennbar verändert werden kann und dass ihr Urheber erkannt werden kann – einfaches „Wegklicken“ einer Browsermeldung scheidet nicht zuletzt deshalb aus – scheint auf den ersten Blick die Einwilligung auf elektronischem Wege nach dem Gesetzeswortlaut praktisch nur unter Verwendung einer elektronischen Signatur im Sinne des Signaturgesetzes denkbar. Dies ist jedoch so lange nicht umsetzbar, wie die für die flächendeckende Verwendung elektronischer Signaturen notwendige technische Infrastruktur bei Anbietern wie Benutzern noch nicht aufgebaut bzw. verbreitet ist. Dieses Ergebnis ist unbefriedigend. Es würde dazu führen, dass bis auf weiteres jede über die blosse Erfassung von Bestands-, Nutzungs- und Abrechnungsdaten i. S. d. §§ 5, 6 TDDSG bzw. 14, 15 MDStV hinausgehende Datenerhebung im Internet – selbst die, mit der der Nutzer einverstanden ist – mangels technischer Infrastruktur gemäss § 3 Abs. 7 Nr. 2 und 3 TDDSG bzw. §§ 12 Abs. 8 Nr. 2 und 3 MDStV unzulässig wäre. Die Konsequenz wäre ein faktisches Verbot der entsprechenden Betätigung durch Online-Diensteanbieter mit Sitz im Geltungsbereich des deutschen Datenschutzrechtes.

Dies liegt jedoch nicht in der Absicht des Gesetzgebers. Eine schutzzweckbezogene Auslegung der Norm ergibt nämlich, dass auch mit den gegenwärtigen technischen Möglichkeiten eine gesetzeskonforme Möglichkeit der Einwilligung „am Bildschirm“ grundsätzlich möglich ist: Entscheidend kommt es dabei aber auf die programmiertechnische Gestaltung der Bildschirmanzeige an. Ausgangspunkt der Überlegungen ist, dass der Nutzer in erster Linie vor der unüberlegten und übereilten Erteilung seiner Einwilligung geschützt werden soll. Dabei erfordert die besondere Eigenart des elektronischen Mediums, nämlich die Flüchtigkeit der vermittels Tastatur, Maus etc. eingegebenen und auf einem Bildschirm dargestellten Informationen, einen besonderen Absicherungsmechanismus. Dieser kann in einer elektronischen Signatur, aber auch in einer entsprechenden Gestaltung der auf dem Bildschirm angezeigten Einwilligungserklärung bestehen, sofern diese etwa mehrere bewusste Mausklicks, die Eingabe eines kurzen Textes oder das Aktivieren bestimmter Kontrollkästchen o. ä. beinhaltet. Soweit das Gesetz fordert, dass Authentizität und Urheberschaft der Erklärung sicherzustellen seien, so ist zu bedenken, dass jedenfalls zunächst nur die Daten desjenigen gespeichert werden, der auch den Rechner bedient. Vor diesem Hintergrund sollten an die elektronische Einwilligung sinnvollerweise keine höheren Anforderungen gestellt werden als an die Nähe zwischen Daten und Nutzer.

Aktuelle Anmerkung, Stand Oktober 2001: Durch das geplante Gesetz über rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr (EGG, „E-Commerce-Gesetz“), das sich gegenwärtig im Gesetzgebungsverfahren befindet und voraussichtlich bis Anfang 2002 umgesetzt werden wird, erfolgt insoweit eine überfällige Klarstellung. Gemäss Art. 3 EGG wird das TDDSG teilweise neu gefasst.

§ 4 Abs. 2 TDDSG lautet dann:

„Bietet der Diensteanbieter dem Nutzer die elektronische Einwilligung an, so hat er sicherzustellen, dass sie nur durch eine eindeutige und bewusste Handlung des Nutzers erfolgen kann, die Einwilligung protokolliert wird und der Inhalt der Einwilligung jederzeit vom Nutzer abgerufen werden kann.“
Aktueller Text: http://www.iukdg.de/.

IV. Rechtliche Folgewirkungen

Diesen Anforderungen des Datenschutzrechtes an den Einsatz von Cookies genügen derzeit die wenigsten im Netz verwendeten Cookie-Konzepte. Dabei kann ein Verstoss gegen datenschutzrechtliche Bestimmungen ernstzunehmende Konsequenzen nach sich ziehen: zivilrechtliche Unterlassungs- und Schadensersatzansprüchen des Betroffenen, Nichtigkeit von Werbevermarktungsverträgen o. ä., die datenschutzwidrige Cookie-Konzepte zum Inhalt haben, unter Umständen sogar Strafverfolgung. Für die Praxis von ungleich grösserer Relevanz ist jedoch die Tatsache, dass der Verstoss gegen das Datenschutzrecht in diesem Zusammenhang regelmäßig zugleich ein Verstoss gegen § 1 UWG und damit wettbewerbswidrig sein wird. Massgeblicher Gesichtspunkt ist hier ein Vorsprung im geschäftlichen Verkehr durch Rechtsbruch. Es kommt dabei nicht auf die Absicht des Verwenders an, durch die Nichteinhaltung der gesetzlichen Vorschrift einen Wettbewerbsvorsprung zu erzielen, die objektive Tatsache, dass ein solcher vorliegt, genügt. Ein Vorsprung liegt bereits vor, wenn die eigene Ausgangslage verbessert ist, z. B. die eigenen Leistungsangebote günstiger gestaltet werden können. Ob hierin dann ein wettbewerbswidriges Verhalten liegt, ist nach dem Schutzzweck der verletzten Norm und den Umständen des Einzelfalls zu beurteilen. Zwar dient das Datenschutzrecht in erster Linie dem Schutz des allgemeinen Persönlichkeitsrechts der Betroffenen, damit allenfalls mittelbar der Allgemeinheit, jedenfalls nicht dem Wettbewerb. Allerdings dienen Cookies vornehmlich dem Zweck, individuell zugeschnittene, mithin bessere Angebote zu machen. Die namentliche Begrüssung, die persönliche Werbung, vor allem aber die individualisierten Nutzereinstellungen sollen gerade einen Vorteil für den Verwender des Cookies begründen. Noch bedeutsamer ist aber der Informationsvorsprung, der durch Nutzer- und Kundendaten gewonnen werden kann, und der einen nicht unerheblichen geldwerten Vorteil begründet. Damit strahlt das Datenschutzrecht für den Fall der Verwendung von Cookies auf den Bereich der Internetökonomie aus. Dies hat zur Folge, dass die Verwendung von datenschutzwidrigen Cookie-Konzepten als wettbewerbswidrig zu qualifizieren ist. Damit können E-Commerce-Unternehmen gegenüber Konkurrenten im Internet das gesamte wettbewerbsrechtliche Instrumentarium von Unterlassungsanspruch, Auskunftsrecht und Schadensersatz (§ 13 UWG) einsetzen.

In diesem Zusammenhang wird die Frage nach der Anwendbarkeit des deutschen Wettbewerbsrechts relevant. Die sogenannten Tatort- und Marktortregeln führen dazu, dass deutsches Wettbewerbsrecht im Bereich des überall abrufbaren Internet praktisch immer anwendbar ist, wobei der Standort des Servers ebenso irrelevant ist wie der Sitz des betreffenden Konkurrenzunternehmens: Jedes Unternehmen, das über das Internet auf dem deutschen Markt tätig ist, muss sich daher an das deutsche Wettbewerbsrecht halten. Sofern sich der Wettbewerbsvertoss auf einen Verstoss gegen nationales Datenschutzrecht gründet, muss allerdings eine wichtige Einschränkung getroffen werden. Um die realitätsferne Konsequenz zu vermeiden, dass ein ausländisches Unternehmen wegen Verstosses gegen deutsches Datenschutzrecht wettbewerbsrechtlich in Anspruch genommen wird, obwohl es vielleicht die eigenen nationalen Bestimmungen eingehalten hat, muss die Generalklausel des § 1 UWG einschränkend ausgelegt werden. Namentlich das Kriterium der „Unlauterkeit“ wäre in einer solchen Konstellation nicht erfüllt. Im Ergebnis bedeutet dies, dass sich ausländische Verwender von Cookies gegenüber ihren deutschen Konkurrenten jedenfalls so lange nicht wettbewerbswidrig verhalten, wie sie die datenschutzrechtlichen Regeln ihres Heimatlandes einhalten. Deutsche Dienstanbieter fallen – unabhängig vom Serverstandort – hingegen in jedem Fall unter die strengen Bestimmungen des deutschen Datenschutzrechts und verhalten sich bei einem Verstoss hiergegen auch wettbewerbswidrig i. S. v. § 1 UWG. Dies entspricht im Übrigen auch der Kollisionsregel der einschlägigen europäischen Telekommunikationsdatenschutz-Richtlinie 95/46/EG (Art. 4 Abs. 1 a). Diese Lösung erscheint insoweit interessengerecht, als dass jeder Beteiligte jedenfalls den eigenen heimischen Datenschutzbestimmungen gerecht werden muss. Allerdings führt dies im Ergebnis zu einem Bruch zwischen Inländer- und Ausländerbehandlung. Bedenkt man, dass durch die Auslandsanknüpfung bei ausländischen Unternehmen die Wettbewerbswidrigkeit oftmals nur sehr schwierig feststellbar sein wird, so wird deutlich, dass inländische Unternehmen bei der Sammlung bzw. Verarbeitung von personenbezogenen Daten im Internet, mit oder ohne Cookies, gegenüber ihren ausländischen Konkurrenten eklatant benachteiligt sind. Unter diesen Umständen lässt sich mit gutem Recht fragen, ob der deutsche Gesetzgeber mit den strengen datenschutzrechtlichen Vorgaben des TDDSG bzw. MDStV nicht über sein Ziel hinausgeschossen ist.

V. Zusammenfassung und Ergebnis

Nach den bestehenden Regelungen sind Cookie-Konzepte zulässig, wenn das Datenverarbeitungssystem des Verwenders sicherstellt, dass keine personenbezogenen Daten erfasst werden. Websites, die mit ihren Besuchern in Geschäftsbeziehung treten und damit die mutmassliche Identität des Nutzers kennen, können cookie-basierte Einstellungen nur anbieten, wenn sie dem Nutzer die umständliche Einwilligungsprozedur des § 3 TDDSG bzw. § 12 MDStV zumuten wollen. Insofern wird verständlich, weshalb die datenschutzrechtlichen Auswirkungen auf Cookie-Konzepte in der Praxis durchgehend ignoriert werden.

Nutzermehrwert und damit auch Individualisierbarkeit von Angeboten ist für alle Internetanbieter ein elementarer Wettbewerbsfaktor, man denke nur an erfolgreiche Finanzdienstleister, B2B Anbieter, Auktionshäuser oder Application Service Provider. Datenschutz ist im Internet nötiger denn je, aber nicht handhabbare Bestimmungen führen nicht zu mehr Datenschutz, sondern nur zum Standortnachteil für die eigene Wirtschaft.

Ein sinnvoller Umfang mit Cookie-Konzepten könnte de lege ferenda folgende Eckpunkte aufweisen:

    • Das Setzen, Abrufen oder Verändern von Cookies ist zulässig, wenn darin keine Identifizierungsmerkmale des Nutzers enthalten sind und das System des Verwenders sicherstellt, dass keine spätere Verknüpfung mit personenbezogenen Daten hergestellt wird.
    • Die Verwendung von Cookies für Nutzungs- und Einstellungspräferenzen von Applikations- oder Informationsangeboten ist auch bei Bekanntheit des Nutzers zulässig.
    • Das Versenden von Cookies an Dritte ist nur zulässig, wenn der Verwender sicherstellen kann, dass auch beim Dritten keine Verknüpfung mit personenbezogenen Daten möglich ist.
    • Die Erfassung oder Nutzung von in Cookies enthaltenen oder durch Cookies gewonnenen Nutzerprofilen darf ohne Einwilligung nur in anonymisierten Dateien erfolgen.

Ansprechpartner:
Rainer Ihde

Stand: Oktober 2001

Anbieterangaben/ Datenschutz:     

Ihde & Partner Rechtsanwälte

Schönhauser Allee 10-11
10119 Berlin
Tel:  0049 (0)30 – 403 68 00 00
Fax: 0049 (0)30 – 403 68 00 99
E-Mail:  info[at]ihde.de

und
Friedrichstraße 186
10117 Berlin
Tel:  0049 (0)30 – 443 186 60
Fax: 0049 (0)30 – 443 186 79
E-Mail:  notar[at]ihde.de

Vertragsmanagement bei komplexen IT-Projekten