Bundestag debattiert über Cookies

Gestern beriet das Plenum des Deutschen Bundestages über einen Gesetzesentwurf der SPD-Fraktion zur Änderung des Telemediengesetzes (TMG). Der Gesetzentwurf sieht vor, in § 13 des Telemediengesetzes (TMG) folgenden Absatz einzufügen. Durch diese Neuregelung will die SPD die Bundesregierung dazu bringen, die sogenannte E-Privacy-Richtlinie umzusetzen. An dieser Stelle dokumentieren wir meine gestrige Protokollrede zu dem Tagesordnungspunkt.

Gestern beriet das Plenum des Deutschen Bundestages über einen Gesetzesentwurf  der SPD-Fraktion zur Änderung des Telemediengesetzes (TMG). Der Gesetzentwurf sieht vor, in § 13 des Telemediengesetzes (TMG)  folgenden Absatz einzufügen.

(8) Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

Durch diese Neuregelung will die SPD die Bundesregierung dazu bringen, die sogenannteE-Privacy-Richtlinie umzusetzen. An dieser Stelle dokumentieren wir meine gestrige Protokollrede zu dem Tagesordnungspunkt.

Sehr geehrter Herr Präsident,
sehr geehrte Kolleginnen und Kollegen,
meine Damen und Herren,

der mit nur einem Paragraphen etwas knapp gehaltene Gesetzesentwurf der Kolleginnen und Kollegen der SPD-Fraktion führt mitten hinein in das Herz der Debatte um den Internetdatenschutz. Dabei geht es beispielsweise um die Probleme der Profilbildung und des Behavioral Targeting.

Und um es gleich vorweg zu sagen:  Der Gesetzesentwurf wirft die schwierige Frage auf, ob für die Bürgerinnen und Bürger und den Schutz ihrer Daten mit derlei chirurgischen Eingriffen tatsächlich etwas gewonnen werden kann. Erlauben sie mir, bevor ich dazu einige Punkte erläutere, zunächst zum Handeln, oder sollte ich besser sagen, zum Nicht-Handeln der Bundesregierung in diesem Bereich, etwas zu erläutern:

Die schwarz-gelbe Koalition muss im Bereich des Datenschutzes endlich tätig werden. Insoweit der Entwurf der SPD hier einen Anstoß geben will, geht er in die richtige Richtung. Denn die Bundesregierung verweigert seit über zwei Jahren hartnäckig  jegliche Verantwortung für einen zeitgemäßen Schutz der Bürgerinnen und Bürger und dem Ausverkauf ihrer Daten und Grundrechte.

Sämtliche Versprechen, selbst die die im Koalitionsvertrag vereinbart wurden,  sind bis heute nicht eingelöst – sei es der Beschäftigtendatenschutz, die Stiftung Datenschutz, die Überarbeitung des Bundesdatenschutzgesetzes, der Beschäftigtendatenschutz oder die zunächst vom vormaligen Innenminister angekündigte, aber  vom jetzigen Minister bereits wieder beerdigte Rote-Linie-Gesetzgebung.

Mussten wir uns noch bis vor Kurzem anhören, man wolle diese oder jene Maßnahme mit Blick auf die anstehende Datenschutzreform in Brüssel nicht vorwegnehmen, heißt es nun – nachdem die Europäische Kommission einen recht ambitionierten Entwurf vorgelegt hat – die Reform aus Brüssel gebe Anlass zu allergrößten Bedenken und der bundesdeutsche Gesetzgeber dürfe sich nicht ausbremsen lassen.

Mit dieser anhaltenden Verweigerungshaltung untermauert die Bundesregierung einmal mehr ihren Unwillen, hier endlich für die Rechte der Bürgerinnen und Bürger einzustehen. Es bleibt offen, ob dies allein aus Überzeugung oder aus Unfähigkeit geschieht.

Gerade der Fall der heute hier zu verhandelnden Cookies hinterließ jedenfalls – im Rahmen der Diskussion um die Novellierung des Telekommunikationsgesetzes etwa – den Eindruck, man sei schlicht nicht in der Lage, eine tragfähige Antwort zu präsentieren.

Die Bundesregierung war sich des Ablaufs der Frist zur Umsetzung der Vorgaben der e-privacy-Richtlinie bewusst.  Und auch die schwierigen, mit der Cookie-Problematik verbundenen Rechtsfragen waren hinlänglich bekannt. Gelöst hat die schwarz-gelbe Bundesregierung diese wichtigen Fragen bis heute nicht, warum für das Setzen von cookies nach wie vor im Grundsatz die bestehende Rechtslage im Telemediengesetz gilt, nämlich eine Opt-Out-Regelung. Und das ganz im Widerspruch zu der von der E-Privacy-Richtlinie geforderten Opt-In-Lösung!

Wie ich allerdings bereits eingangs betont habe, führt die Diskussion um eine Cookie-Regelung ins Herz der Fragen um den Internetdatenschutz. Und damit sind wir bei der tatsächlich nichttrivialen Frage angelangt, ob überhaupt und wenn ja, auf welche Weise es gelingen kann, effektive rechtliche Bindungen für Betreiber bereits auf der Ebene des mittlerweile recht ausdifferenzierten Tableaus von Wiedererkennungstechniken anzusetzen. Hier gilt es zum Beispiel, die hoch umstrittene Frage des Personenbezuges von IP-Adressen mit zu bedenken, denn gerade auch für Cookies spielt diese eine Rolle.

Hier liegt nun eine Richtlinie (E-Privacy-Richtlinie) vor. Auf den ersten Blick scheint sie klare Vorgaben zu machen. Auch vor dem Hintergrund der aktuellen Reformvorschläge der Europäischen Kommission für eine grundlegende Datenschutzreform dürfen wir eine kritische Prüfung der EU-Vorlagen nicht vernachlässigen.

Die Anforderungen an eine zeitgemäße gesetzliche Regelung sind vielfältig: Da wären die guten alten Session-Cookies und die dauerhaften Cookies. Zu ihnen gesellen sich heute sogenannte Web Bugs und Flash Cookies. Zudem gibt es noch anderweitige Auswertungsmöglichkeiten – etwa durch Browser-Footprints.

Ein präventiv ansetzender Datenschutz müsste bereits hier ansetzen – auch wenn die unterschiedlichen Zwecksetzungen von Cookies Fragen aufwerfen. Dementsprechend nimmt etwa der SPD-Entwurf, der im Wortlaut eine ganz erstaunliche Ähnlichkeit mit dem  Bundesratsentwurf (BR-Drucksache 156/11) aufweist, die Session-Cookies sowie diejenigen Cookies gänzlich vom Einwilligungserfordernis aus, die „unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.“

Dieses Vorgehen erscheint zwar zunächst sinnvoll, aber schon hier stellt sich die Frage, ob etwa die von Facebook im Rahmen von Like-Buttons platzierten datr-Cookies unter eine solche Privilegierung fallen, die nach Einlassung des Konzerns allein zu Sicherheitszwecken unbedingt erforderlich sein sollen.

Ferner unterwirft der Gesetzesvorschlag der SPD unterschiedslos alle anderen Cookie-Verwendungen dem Einwilligungsvorbehalt, ganz gleich, ob diese nur für eine Webseite zu Sicherheitszwecken, für Werbezwecke, allein durch Drittanbieter oder webseitenübergreifend zur Profildatenerstellung gesetzt werden. Auch Lebensdauer und Inhalt finden insoweit keine Berücksichtigung. Zugleich bleibt der Einwilligungsbegriff unpräzise, weil Bezug genommen wird auf die bestehenden TMG-Vorschriften und damit auf die zumindest in der Literatur vertretene Auslegung, wonach eben auch die konkludente Einwilligung per Browservoreinstellung genügen können soll.

Auch der Begründung des Entwurfs der SPD ist zu dieser Frage leider keine Stellungnahme zu entnehmen. Damit weicht der Gesetzentwurf einer der entscheidenden regulatorischen Fragen der Cookie-Problematik schlicht aus und verfehlt damit das Ziel, Rechtssicherheit zu bringen. Die entscheidende Frage also bleibt offen: Sollte angesichts der in der Praxis auf Webseiten oftmals bis zu 20 oder 30 gleichzeitig platzierten Cookies auf die nahezu unmöglichen Einzeleinwilligungen verzichtet und eine pauschale, letztlich von den Datenschutzeinstellungen des Users selbst vorzunehmende Absicherung umgestellt werden?

Von einer solchen alleinigen Selbstverantwortung der Nutzerinnen und Nutzer halten wir, genau  wie die Artikel-29-Datenschutzgruppe der Datenschutzbehörden der EU-Mitgliedstaaten, nur wenig. Sie wird von der Wirtschaft gefordert, die, insoweit durchaus nachvollziehbar, die Praktikabilität nicht durch eine Vielzahl von Pop-Up-Fenstern mit Einwilligungserfordernissen unterbrechen will. Hier gilt es zu bedenken, dass noch längst nicht alle Browser über einfache und verständliche Datenschutzeinstellungen verfügen: So umgehen Flash-Cookies den Browser vollständig.

Die Medienkompetenz der Bürgerinnen und Bürger würde zum gegenwärtigen Zeitpunkt überschätzt, überließe man ihnen allein die Last der zu treffenden Schutzmaßnahmen.

Neuere Studien zu den bestehenden technischen Selbstschutzmöglichkeiten kommen zu dem Schluss, dass diese nach wie vor lückenhaft sind. Es stellt sich also die Frage, wie eine differenzierte gesetzliche Regelung ausgestaltet werden müsste? Womöglich müsste sie risikoabgestufte Lösungen anbieten und den Fall der webseitenübergreifenden Anwendungen zur Profilerstellung im Schwerpunkt aufgreifen. Zusätzlich wären für alle Techniken der Wiedererkennung Privacy by Design-Vorgaben verpflichtend zu machen.

Eine weitere, gegenüber den EU-rechtlichen Vorgaben sogar missliche Verkürzung enthält der SPD-Entwurf schließlich bei den Informationspflichten: Während die Richtlinie Einwilligungen nur auf der Grundlage „klarer und umfassender Informationen“ zulassen will, gibt sich der Entwurf mit den weitaus spärlicheren Anforderungen von § 13 Abs. 1 des bestehenden Telemediengesetzes zufrieden.

Das kann gerade deshalb nicht akzeptiert werden, weil zum einen die Komplexität der Problematik selbst, aber auch die Vielfalt und Undurchsichtigkeit möglicher Selbstschutzmaßnahmen, eher zusätzliche Informationen für die Verbraucherinnen und Verbraucher erforderlich machen. Insgesamt sind diese vagen und unpräzisen Regelung des SPD-Gesetzesentwurfs nicht geeignet, die sich im Zusammenhang mit der Verwendung von Cookies stellenden Fragen zu beantworten.

Facebook und Google veröffentlichten nicht zufällig zeitgleich mit der Vorstellung der EU-Verordnung für eine Reform des Datenschutzes ihre weitreichenden Umstellungen in der Datenverarbeitungspraxis. Diese Unternehmen, deren Geschäftsmodell maßgeblich vom maximal perfekten Targeting der Nutzerinnen und Nutzer lebt, wollen vor Umsetzung der regulatorischen Anstrengungen der EU offenbar vollendete Tatsachen schaffen. Wir sollten Ihnen mit umfassenden und differenzierten Regelungsansätzen zeigen, dass wir willens und in der Lage sind, verfassungsrechtlich gebotene Vorgaben zu formulieren und auch durchzusetzen.

1 Comment

  1. Wolfgang Ksoll

    Ich glaube, wir tun uns nichts Gutes mit den technischen Diskussionen um Cookies auf dem Client oder der Zuordenbarkeit von IP-Adressen. Wir kommen mit dieser technischen Diskussion nur zu solchen falschen Behauptungen wie der des EUGH, dass man anhand der IP-Adresse den Nutzer (statt des Anschlussinhabers) eindeutig identifizieren könne (siehe auch http://wk-blog.wolfgang-ksoll.de/2011/11/30/sind-ip-adressen-personenbezogen/).

    Wir sollten uns statt der technischen Diskussion am Client endlich der rechtlichen Diskussion am Server zu wenden. Das Cookie ist uns doch letztlich egal. Was wir wollen ist, dass der Betreiber keine Profile von uns erstellt, keine Profile von uns verkauft oder weitergibt oder unsere Daten missbraucht. Wir regeln doch auch nicht, wie Überwachungskameras technisch funktionieren, sondern das, was man damit machen kann.

    In Irland und USA haben wir bei Facebook gesehen, dass die Verdachtsfall lange Inspektionen machen, auf der Serverseite sich ansehen, was Facebook macht, Auflagen machen und durch regelmäßige Nachinspektionen die Umsetzung der Auflagen durchsetzt.

    Die Cookie-Diskussion sowie Piwik-Werbung einer Behörde in Kiel und Tatenlosigkeit beim Betreiber Facebook führt in die völlig falsche Richtung. Und deutsche (und österreichische) Bürger wenden sich besser wegen Facebook an den irischen Datenschutzbeauftragten als einen deutschen.

    Ich meine mich erinnern zu können (finde aber die Quelle nicht), dass in den USA die Regierung den Behörden verboten hat, Daten (Scoring usw.) von Privaten zu kaufen.

    Beim Patriot Act haben sich die Bürger das Recht erstritten, darüber informiert zu werden, wenn Geheimdienste sich ihre Daten angesehen haben. In Deutschland habe die Bürger mit den Schily-Paketen keinerlei Recht, wenn Geheimdienste die Daten beschnüffeln. In der Cloud-Diskussion wir aber immer nur der Patriot Act genannt, nie aber die Datenschutzlücken der Schily-Pakete.

    Wir müssen langsam dazu kommen, die wichtigen Probleme anzugehen. Dazu gehört der Cookie-Paragraf der SPD, die die VDS haben will) eher nicht.

Comments are closed.