Webseiten-Betreiber überfrachten Datenschutzerklärung: Wohin mit den Infor­ma­tionen über Coo­kies?

Viele Betreiber von Webseiten und Apps verwenden Cookies. Cookies sind Textdateien, die auf dem Rechner, Handy oder anderen Endgeräten der Nutzer platziert werden, um später wieder abgerufen zu werden. Sie haben u.a. den Zweck, die Funktion einer Webseite sicherzustellen, das Onlineshoppen zu erleichtern oder Nutzerprofile zu erstellen. Cookies verarbeiten auch häufig personenbezogene Daten.

In der Praxis enthalten Datenschutzerklärungen daher ausführliche Informationen zu den eingesetzten Cookies. Angegeben werden etwa die Namen der Betreiber der Cookies, Erläuterungen zur Speicherdauer sowie bestehende Zugriffsrechte Dritter. Auch viele automatisierte Generatoren produzieren in ihren Datenschutzerklärungen jede Menge Ausführungen über Cookies.

Die deutsche Rechtsordnung sieht derzeit allerdings gar keine Cookie-Informationspflicht vor. Die Betreiber müssen also gar nicht so ausführlich informieren – wenn sie es tun, dann wären diese Informationen aber besser im Cookie-Banner aufgehoben.

Keine Infopflicht aus Cookie-Richtlinie der EU

Den Ausgangspunkt für diese Bewertung bildet die sogenannte E-Privacy-Richtlinie der Europäischen Union (EU) von 2009  (E-Privacy-Richtlinie). In Art. 5 Abs. 3 der Richtlinie heißt es, dass Nutzer ihre Einwilligung zum Setzen von technisch unnötigen Cookies "auf der Grundlage von klaren und umfassenden Informationen" zu erteilen haben. Um festzulegen, welche Informationen wie geschuldet sind, nimmt die Klausel mittelbar Bezug auf Art. 13 der Datenschutz-Grundverordnung (DSGVO). Art. 13 DSGVO enthält einen Katalog von Angaben, die Nutzern bei einer Verarbeitung ihrer personenbezogenen Daten zur Verfügung gestellt werden müssen. 

Eine EU-Richtlinie bedarf grundsätzlich eines nationalen Umsetzungsaktes wie etwa eines neuen Gesetzes, um in einem EU-Mitgliedsstaat Anwendung zu finden. Nach dem Cookie-Einwilligung-II-Urteil des Bundesgerichtshofes (BGH) (Urt. v. 28.5.2020, Az: I ZR 78/16) ist "anzunehmen", dass Art. 5 Abs. 3 E-Privacy-Richtlinie in § 15 Abs. 3 S. 1 des Telemediengesetzes (TMG) bereits umgesetzt war. Daher habe es auch keinen ausdrücklichen Umsetzungsakt gegeben. Das hat der BGH zumindest hinsichtlich des Einwilligungsvorbehalts bei Cookies festgestellt. Zum Bestand einer Cookie-Infopflicht hat sich der BGH hingegen nicht geäußert.

Allerdings können Klauseln einer Richtlinie unter Umständen auch ohne Umsetzungsakt Pflichten begründen. Das ist dann der Fall, wenn die Klausel klar und genau formuliert ist, bedingungsunabhängig und geeignet ist, unmittelbare Wirkungen zu entfalten ("self-executing"). Wer jedoch auf dieser Grundlage eine Cookie-Infopflicht argumentieren möchte, muss erheblichen judikativen Begründungsaufwand betreiben. Doch selbst wenn diese hohen Hürden genommen würden, könnten sich Nutzer nicht gegenüber Betreibern einer Webseite oder App hierauf berufen. Denn aus nicht frist- oder ordnungsgemäß umgesetzten Richtlinien erwachsen den Bürgern nach der Rechtsprechung des Europäischen Gerichtshofes (EuGH) (Urt. v. 14.7.1994, C-91/92) nur Ansprüche gegen den Staat. Sie entfalten keine Wirkung im Verhältnis zwischen Bürgern oder juristischen Personen. 

DSGVO verdrängt TMG

Auch aus § 13 Abs. 1 TMG ergibt sich keine andere Beurteilung. Anlass für diese Überlegung gibt der EuGH in seiner Planet49-Entscheidung (Urt. v. 1.10.2019, Rs. C-673/17). Zwar enthält diese Norm eine Informationspflicht für Betreiber von Webseiten, Apps und anderen Onlinediensten. Allerdings findet die Infopflicht des § 13 Abs. 1 TMG nur dann auf Cookies Anwendung, wenn diese zugleich personenbezogene Daten verarbeiten. Der Wortlaut der Regelung ist nicht mit Art. 5 Abs. 3 der E-Privacy-Richtlinie vergleichbar. Betreiber von Onlinedienste müssen nach dem TMG also nicht über alle technisch unnötigen Cookies informieren. 

Darüber hinaus ist ohnehin fraglich, ob § 13 Abs. 1 TMG bei Cookies, die personenbezogene Daten verarbeiten, eine Informationspflicht begründet. Diese Frage lässt sich zurückführen auf den Anwendungsvorrang der DSGVO. Konkret besagt dieser europarechtliche Grundsatz, dass nationale Regelungen nicht angewendet werden, wenn ein bestimmter Sachverhalt von einschlägigem EU-Recht erfasst wird. Und nach herrschender Meinung geht die DSGVO den §§ 12 ff. TMG in datenschutzspezifischen Sachverhalten vor. 

Für Insider: Auch eine Ausnahme vom Anwendungsvorrang gemäß Art. 95 DSGVO i. V. m. Art. 5 Abs. 3 E-Privacy-Richtlinie kommt mangels Umsetzungsaktes nicht in Betracht. In der Konsequenz hat das insgesamt zur Folge, dass die bzgl. Cookies nutzerfreundliche Infopflicht gemäß § 13 Abs. 1 TMG durch die kleinere Lösung des Art. 13 DSGVO ausgetauscht wurde.

Schließlich enthält selbst Art. 13 DSGVO keine Infopflicht bei datenverarbeitenden Cookies. Es entspricht nicht dem Sinn und Zweck der Norm, wenn Betreiber von Webseiten und Apps für jedes eingesetzte Cookie eine eigene Datenschutzerklärung bereitstellen müssten. Dies ergibt sich nicht zuletzt aus dem Transparenzgebot und wäre überdies insbesondere bei Drittanbieter-Cookies praktisch kaum möglich. 

Zudem würde es den Wortlaut von Art. 13 DSGVO überdehnen, wenn ausführliche Informationen zu Funktion, Speicherdauer und Zugriffsrechten in die Datenschutzerklärung mit aufzunehmen wären. Vielmehr sieht die Norm lediglich eingeschränkte Informationsrechte des Nutzers vor. Verwender von Cookies müssen diesen u. a. über die mit den Cookies verfolgten Zwecke und, wenn die Cookies von Facebook, Google & Co. als Dritte betrieben werden, über die Empfänger der Daten bzw. Empfängerkategorien informieren.

Cookie-Infos in das Banner

Fernab einer Cookie-Infopflicht bleibt es jedem Betreiber selbstverständlich unbenommen, entsprechende Informationen über die eingesetzten Cookies zur Verfügung zu stellen. Die Frage ist nur, ob diese Informationen in die Datenschutzerklärung dürfen oder zum Beispiel in einem Cookie-Banner besser aufgehoben sind. 

Eine Datenschutzerklärung gemäß DSGVO wird inhaltlich beschränkt durch das Transparenzgebot. Demnach sind die Informationen gemäß Art. 13 DSGVO auf ein Minimum zu reduzieren, um diese in präziser und verständlicher Form wiederzugeben. Nur so ist gewährleistet, dass die Betroffenenrechte gemäß Art. 15 ff. DSGVO auch effektiv wahrgenommen werden können. Datenschutzerklärungen sind in sich geschlossene Rechtstexte mit bestimmten Vorgaben. Anreicherungen nach dem Motto "Viel hilft viel" sollten daher besser vermieden werden. Stattdessen sollten die betreffenden Informationen im Cookie-Banner stehen. 

Dass in Sachen Cookie-Infopflicht Handlungsbedarf besteht, ist der EU nicht verborgen geblieben. Im aktuellen Entwurf der neuen E-Privacy-Richtlinie  findet sich jedenfalls in Art. 8 Abs. 2(a) wieder eine Klausel, die für nationale Rechtsordnungen eine Infopflicht bei Cookies vorsieht. Zu Cookies, die technisch nötig sind, wird es wohl vorerst keine Infopflicht geben.

Der Autor Dr. Oliver Daum ist Rechtsanwalt in Kiel und befasst sich schwerpunktmäßig u. a. mit dem IT-Recht und den rechtlichen Auswirkungen der Digitalisierung.