Unter der Überschrift „Must try harder“ beschreibt die britische Datenschutzaufsichtsbehörde Information Commissioner’s Office (kurz: ICO) ihre Zwischenbilanz hinsichtlich der Umsetzung der „The Privacy and Electronic Communications (EC Directive) (Amendment) Regulations 2011“, einem Umsetzungsgesetz für europäische Vorgaben im Umgang mit Cookies. Dabei sind in Großbritannien viele Fragen offen, die auch in Deutschland heiß diskutiert werden. ilex erklärt die Hintergründe.
1. Was sind Cookies?
In der Firefox-Online-Hilfe werden Cookies als kleine Dateien beschrieben, die von einer Website auf dem Computer des Besuchers gespeichert werden und Informationen wie z.B. persönliche Seiteneinstellungen und Anmeldeinformationen enthalten. Bei technischer Betrachtungsweise handelt es sich um kleine Textblöcke, „die der Server an den Browser sendet und später wieder zurückbekommt und benutzen kann. Beim ersten Besuch bekommt der Benutzer ein Cookie mit einer eindeutigen Kennnummer und bei jedem weiteren Seitenaufruf kann der Server den Besucher daran wiedererkennen“ (Wikipedia: Anonymität im Internet).
2. Wie ist die Rechtslage in Großbritannien?
Das britische Datenschutzgesetz (Data Protection Act 1998) greift das Thema Cookies nicht wirklich auf. Entscheidend sind die Umsetzungsgesetze zu den europäischen Vorgaben.
Bis vor kurzer Zeit waren die maßgeblichen Regelungen zum Thema Cookies den Privacy and Electronic Communications (EC Directive) Regulations 2003 zu entnehmen. Sie setzten die EU-Richtlinie 2002/58/EC um. Als der EU-Gesetzgeber die gestiegene Bedeutung elektronischer Kommunikation erkannte, ergänzte er diese einstigen Vorgaben durch die Richtlinie 2009/136/EC. Die entscheidende Änderung bestand in der Einführung eines Einwilligungsvorbehaltes für den Einsatz von Cookies und vergleichbarer Technologie. Am letzten Tag der Umsetzungsfrist (25. Mai 2011) traten die Privacy and Electronic Communications (EC Directive) (Amendment) Regulations 2011 in Kraft.
Die britische Aufsichtsbehörde sicherte den betroffenen Unternehmen jedoch eine 12monatige Gnadenfrist zu, damit die technischen Gegebenheiten in Ruhe angepasst werden können. Doch nach der Hälfte der Frist zieht das ICO eine ernüchternde Bilanz unter der Überschrift „Must try harder“. Mit anderen Worten: Zu zaghaft, zu unbestimmt sind die Annäherungsversuche von britischen Unternehmen gegenüber dem neuen EU-Recht und insbesondere dem Einwilligungsvorbehalt.
3. Vorherige Einwilligung oder nachträgliche Zustimmung?
Nunmehr nimmt das ICO die britischen Unternehmen an die Hand und veröffentlichte am 13. Dezember 2011 einen Bericht, in dem die wichtigsten Fragen nochmals erläutert werden. Dabei ist eine Kernfrage, wann genau die Einwilligung erfolgen muss.
Unter dem Stichwort „prior consent“ setzt sich das ICO mit dieser Frage auseinander:
„It has been suggested that the fact the Regulations do not specifically refer to ‘prior’ consent suggests that consent can be obtained after the activity consent is needed for has occurred (in this instance after the cookie has been set). It is difficult to see that a good argument could be made that agreement to an action could be obtained after the activity the agreement is needed for has already occurred. […] Setting cookies before users have had the opportunity to look at the information provided about cookies, and make a choice about those cookies, is likely to lead to compliance problems. […] A key point here is ensuring that the information you provide is not just clear and comprehensive but also readily available.”
Obwohl der ICO bislang noch zurückhaltend ist, lässt sich eine kleine Präferenz hin zum „prior consent“ gesehen werden.
4. Worauf Investoren achten sollten
Investoren, die den Standort Großbritannien ansteuern, sollten zunächst überprüfen, welches nationalstaatliche Recht anwendbar ist. Ob britisches Recht zur Anwendung kommt hängt sehr stark davon ab, wie das Engagement genau aussehen soll. In einem zweiten Schritt wird man auch zwischen der zivil-, verwaltungs- und strafrechtlichen Anwendbarkeit differenziert werden müssen.
Hier kann eine kluge Analyse helfen. Schon kleinste Veränderungen im Investitionsvorhaben können erhebliche Auswirkungen auf die Frage haben, ob das eigene Geschäftsmodell mit dem Datenschutzrecht vereinbar ist oder nicht. Hierbei muss das britische Datenschutzrecht nicht zwingend unternehmensfreundlicher als etwa das deutsche Datenschutzrecht sein. Umgekehrt gilt aber in Großbritannien eine mehr als großzügige Schonfrist, während in Deutschland schon kräftiges „Sebelrasseln“ zu vernehmen ist.
Letztlich sollten Investoren hier wirtschaftliche und juristische Überlegungen klug kombinieren.
5. Fazit
Es ist nicht lange her, da galt die Bezeichnung des Datenschutzrechtes als ordnungspolitische Lästigkeit in Großbritannien als salonfähig. Die Kritik am britischen Datenschutzrecht, so es ein solches überhaupt gibt, ist dabei deutlich zu spüren.
Doch der Eindruck zahlreicher Unternehmer, in Großbritannien stünde das Datenschutzrecht dem unternehmerischen Erfolg nicht im Weg ist aus zwei einfachen Gründen falsch.
Erstens: Die Ankündigung des ICO „Must try harder“ ist ein deutlicher Fingerzeig; gerichtet auf den Tag, an dem die einjährige Schonfrist zur Umsetzung der neuen Cookie-Bestimmungen ausläuft.
Zweitens: Datenschutz steht in keinem EU-Mitgliedstaat dem unternehmerischen Erfolg entgegen. Denn – richtig verstanden, gelebt und organisiert – ist das Datenschutzrecht ein stiller, aber wichtiger Begleiter auf dem Weg zu einem erfolgreichen Unternehmen. Mehr noch: Der enorme Werbeeffekt, den ein gutes Vertraulichkeits-Management, kann zum wichtigen Alleinstellungsmerkmal unter vielen Unternehmen mit gleich guten Dienstleistungen werden.
Das gilt sowohl in Großbritannien als auch im Rest Europas.
Dr. iur. Stephan Gärtner
Compliance Manager
___________________
ilex Datenschutz – Potsdam
Alleestraße 13
14469 Potsdam
Telefon: (0331) 97 93 75 0
Telefax: (0331) 97 93 75 20
Internet: www.ilex-datenschutz.de
Die ilex Datenschutz GbR ist ein hochspezialisiertes Beratungshaus mit Büros in Potsdam und berät in- und ausländische, mittelständische Unternehmen der privaten und öffentlichen Hand, kommunale Gebietskörperschaften und Behörden auf den Gebieten des Datenschutzes und des Datenschutzrechts!