Google verlangt nach neuer Cookie Richtlinie, dass Nutzer bei der Verwendung von Cookies einwilligen müssen. Der nationalen Gesetzgebung reicht ein Opt-out.
In den letzten Wochen hat Google die Nutzer ihrer Dienste AdSense und DoubleClick angeschrieben und auf ihre neue Richtlinie für die Verwendung von Cookies aufmerksam gemacht. Hiernach sind Webseitenbetreiber verpflichtet, von ihren Nutzern vorab eine Einwilligung (Opt-in) für die Verwendung von Cookies einzuholen.
Das Vorgehen geht auf die sog. Cookie-Richtlinie der Europäischen Union zurück (Richtlinie 2009/136/EG). Diese sieht eine Pflicht der Webseitenbetreiber zur Einholung eines Opt-ins der Nutzer für die Speicherung von Cookies vor.
Opt-out als Praxislösung von der Bundesregierung akzeptiert
Über die Umsetzung der Richtlinie in Deutschland gibt es unterschiedliche Ansichten. Die Datenschutzbehörden sehen dies nicht als erfüllt an und fordern zur richtlinienkonformen Umsetzung eine Änderung des TMG; die Bunderegierung verweist darauf, dass die Regelungen des TMG, vor allem §§ 13 Abs. 1, 15 Abs. 3 TMG, ausreichend seien. Diese sehen im Sinne einer Opt-out-Lösung lediglich vor, dass der Nutzer über die Verwendung von Cookies und sein Recht zum Widerspruch informiert wird. Üblicherweise wird das Opt-out in der Datenschutzerklärung festgeschrieben. Die Mehrzahl der Webseitenbetreiber hat ihre Nutzer auf diese Art und Weise über die Verwendung von Cookies informiert.
Google fordert Opt-in – überlässt die Ausgestaltung den Websitebetreibern
Nun fordert Google ausdrücklich ein Opt-in aufgrund der Cookie-Richtlinie. Hierfür gibt Google auf seiner Webseite www.cookiechoices.org ausführliche Hinweise und Vorgaben. Dabei fällt auf, dass weder ausdrückliche Formulierungen für ein Opt-in angegeben werden, noch darauf hingewiesen wird, dass die zur Verfügung gestellten Tools in Form eines expliziten Opt-ins konfiguriert werden sollten (die Tools können auf unterschiedliche Weise als explizites oder konkludentes Opt-in bzw. als Opt-out konfiguriert werden). Dies wirft die Frage auf, inwieweit Google Webseitenbetreiber, die gemäß den §§ 13, 15 TMG unverändert lediglich ein Opt-out vorhalten, überhaupt sanktionieren wird.
Letztlich gibt Google nur die Forderungen der europäischen Datenschutzbehörden an die Webseitenbetreiber weiter. Diese haben Google aufgefordert, mit der Kontrolle und Durchsetzung der Cookie-Richtlinie ab dem 30.09.2015 zu beginnen.
Dies ändert jedoch nichts an der Frage der unmittelbaren Anwendbarkeit der Richtlinie im deutschen Rechtsraum im Rahmen der Privatwirtschaft. Gute Argumente sprechen auch weiterhin dafür, dass zumindest in Deutschland angesichts der Regelungen der §§ 13 Abs. 1, 15 Abs. 3 TMG und mangels horizontaler Drittwirkung der Richtlinie ein Opt-out nach wie vor als rechtskonform anzusehen ist. Dementsprechend ist auch das Risiko von Sanktionen deutscher Datenschutzbehörden beim Verbleib einer nach jetziger Rechtslage datenschutzkonformen Opt-out-Lösung wohl als eher gering einzuschätzen.
Google wird seine Richtlinie auf weitere Dienste ausweiten
Bislang gilt Googles eigene Cookie Richtlinie nur für die Google-Dienste AdSense und DoubleClick. Man wird aber wohl davon ausgehen können, dass die Anforderungen von Google zukünftig auch für die weiteren Dienste wie AdWords, Dynamic Remarketing oder Analytics gelten. Insbesondere bzgl. Google Analytics stellt sich die Frage, inwieweit eine Ausweitung der Richtlinie von Google Auswirkungen auf die Verwendung von Google Analytics in Deutschland haben wird, da diesbezüglich in Absprache mit Google schon Vorgaben der deutschen Datenschutzbehörden bestehen die unter Beachtung weiterer Bedingungen eine Opt-out-Lösung zulassen.
Sollten angesichts der neuen Vorgaben von Google diese auf Tools wie Google Analytics ausgeweitet werden bleibt abzuwarten, ob die Datenschutzbehörden ihrerseits reagieren. Bis dahin wird mit Sanktionen der Behörden auch bzgl. der (vorgabenkonformen) Verwendung von Google Analytics wohl nicht zu rechnen sein.