8.9.1 Cookie-Paragraph
In die Umsetzung des sog. Cookie-Paragraphen in deutsches Recht scheint Bewegung zu kommen.
Auch nach zwei Jahren und weiteren Schreiben an das zuständige BMWi (vgl. 24. TB Nr. 5.4) gibt es noch immer keinen Fortschritt bei der nationalen Umsetzung des Artikels 5 Absatz 3 der E-Privacy-Richtlinie, des sog.
Cookie-Paragraphen.
Erfolgreich war allerdings das Einbinden der zuständigen Generaldirektion Digitale Wirtschaft und Gesellschaft
der Europäischen Kommission in dieser Frage. Kurz vor Redaktionsschluss wurde bekannt, dass die Generaldirektion das BMWi um Stellungnahme gebeten hat, wie die Verpflichtung zur Einwilligung des Nutzers vor Setzen eines Cookies durch deutsches Recht umgesetzt ist und wie die Vorschrift durch die Aufsichtsbehörden in
der Praxis angewendet wird. Die Antwort wird Mitte Februar erwartet.
Ich empfehle dem Gesetzgeber, die Einwilligungslösung vor Setzen eines Cookies durch eine normenklare Regelung im Telemediengesetz umzusetzen.
Wegen der teils unterschiedlichen Auslegung der Regelung hat die Artikel-29-Gruppe im Oktober 2013 ein Papier mit Leitlinien für die Einholung der Einwilligung zur Verwendung von Cookies (WP 208 vom 02.10.2013)
und im November 2014 ein ergänzendes Papier zur Anwendbarkeit des Artikels 5 Absatz 3 bei Device Fingerprinting veröffentlicht (WP 224 vom 25.11.2014 - vgl. Kasten zu Nr. 8.9.1, Nr. 3.1.4). Beide Papiere lassen keinen Zweifel daran, dass für das Setzen von Cookies und die Berechnung eines „Fingerabdrucks“ die Einwilligung des Nutzers erforderlich ist. Sie sind auf meiner Website unter www.datenschutz.bund.de verfügbar.
Seitens der EU-Kommission wurde Ende 2014 eine Überprüfung der E-Privacy-Richtlinie angekündigt, die sich
insbesondere mit der Regelung in Artikel 5 Absatz 3 befassen wird. Hierbei wird die Kommission die Arbeitsergebnisse der Artikel-29-Gruppe einbeziehen.
Kasten zu Nr. 8.9.1
Beim device fingerprinting werden verschiedene nicht-eindeutige Merkmale eines Browsers und/oder PC
(z. B. Browser-Version, Bildschirmgröße, Liste der Plugins, Liste der installierten Schriftarten) durch bestimmte technische Verfahren zusammengefügt, so dass sie ein eindeutiges Merkmal für einen bestimmten PC
ergeben. Anhand eines solchen „Fingerabdrucks“ lassen sich dann die Aktionen des jeweiligen Nutzers verfolgen.
8.9.2 Noch kein Ende: Kampf mit Giganten
Die Prüfungen der „Google Privacy Policy“ und des „Microsoft Service Agreement“ sind zwar abgeschlossen,
doch bei der Umsetzung der von der Artikel-29-Gruppe empfohlenen Maßnahmen müssen beide Unternehmen
nacharbeiten.
Im Anschluss an die Prüfung durch die französische Datenschutzbehörde CNIL, die diese im Auftrag der Arti kel-29-Gruppe nach europäischem Recht durchgeführt und im Oktober 2012 mit einem Prüfbericht abgeschlossen hatte (vgl. 24. TB Nr. 5.9), haben sechs Datenschutzbehörden aus Frankreich, dem Vereinigten Königreich,
Italien, Spanien, den Niederlanden und Deutschland eine Prüfung der „Google Privacy Policy“ nach ihren nationalen Gesetzen durchgeführt. Aufgrund der föderalen Zuständigkeitsverteilung wurde Deutschland durch den
Hamburgischen Datenschutzbeauftragten vertreten.
BfDI 25. Tätigkeitsbericht 2013-2014
– 159 –