Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming Eenvoudiger was blijkbaar niet mogelijk. Maar deze richtlijn kreeg gauw de naam cookierichtlijn. De richtlijn werd op 25-11-2009 uitgegeven. En zoals bij een Europese richtlijn gebruikelijk kregen de lidstaten de opdracht de inhoud van de richtlijn om te zetten naar nationale wetgeving. Dus begon de Duitse wetgever aan een discussie met de reclamewereld om te zien wat de betrokken bedrijven en instellingen daarvan zouden vinden en wat hun voorstellen voor de nodige wetsbepalingen zouden zijn. Natuurlijk was de reclame-economie verbijsterd over de aanval op hun heilige koe: de cookies. De richtlijn zei namelijk in overweging 66:
‘Het is mogelijk dat derden informatie op de apparatuur van een gebruiker willen installeren of toegang tot reeds opgeslagen informatie willen krijgen, dit om tal van redenen, gaande van wettige handelingen (b.v. bepaalde types cookies) tot ongeoorloofde indringing in de privésfeer (b.v. spyware of virussen). Daarom is het van kapitaal belang dat gebruikers duidelijke en omvattende informatie krijgen wanneer zij een handeling stellen die kan resulteren in een dergelijke opslag of toegang. De wijze waarop informatie wordt gegeven en een recht van weigering wordt aangeboden moeten zo gebruikersvriendelijk mogelijk zijn. Uitzonderingen op de verplichting om informatie te geven en een recht van weigering aan te bieden moeten worden beperkt tot situaties waarbij de technische opslag of toegang strikt noodzakelijk is voor het wettige doel of om het gebruik mogelijk te maken van een specifieke dienst waarom de abonnee of gebruiker heeft verzocht. Wanneer dit technisch mogelijk en doeltreffend is, kan, overeenkomstig de desbetreffende bepalingen van Richtlijn 95/46/EG, de toestemming van de gebruiker met verwerking worden uitgedrukt door gebruik te maken van de desbetreffende instellingen van een browser of een andere toepassing. Deze bepalingen moeten doeltreffender worden afgedwongen via uitgebreide bevoegdheden die aan de desbetreffende nationale instanties worden verleend.’Verder bepaalt de richtlijn in artikel 2 [Wijzigingen van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie)]:
‘In artikel 5 wordt lid 3 vervangen door: 3. De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig Richtlijn 95/46/EG, onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.’Met andere woorden: het opslaan van cookies op de eindapparatuur van gebruikers is enkel mogelijk na voorafgaande informatie en het geven van uitdrukkelijke toestemming. Daarmee rees de vraag hoe je deze voorwaarden technisch in praktijk kunt brengen als een gebruiker of potentiële klant voor het eerst op een website terechtkomt. Want voordat hij aan de privacyinformatie toekomt en zijn toestemming kan verlenen zit(ten) de cookie(s) al lang op zijn pc. Tot nu toe heeft de Duitse wetgever hiervoor nog geen oplossing gevonden. Dus de door de EU vastgestelde einddatum 25-11-2011 is voorbijgegaan zonder dat de richtlijn in een nationale wet is verwerkt. Dit heeft eigenlijk tot gevolg dat de richtlijn nu onmiddellijk van wettelijke kracht is. Want dit is het gevolg van niet-nakomen van een richtlijn binnen de vastgestelde termijn volgens het EU-contract. Het is dus nu niet langer mogelijk dat het cookie al op de pc is geplaatst voordat de gebruiker de informatie over het privacybeleid überhaupt had kunnen lezen en zijn toestemming tot het plaatsen van cookies had kunnen verlenen. Wat moet er gebeuren om met dit technische probleem om te gaan? De databeschermers van Engeland en Frankrijk hebben – geconfronteerd met hetzelfde probleem – de volgende oplossingen verzonnen. Startpagina van de homepage van de Engelse toezichthoudende autoriteit voor gegevensbescherming: Startpagina van de homepage van de Franse toezichthoudende autoriteit voor gegevensbescherming: Het is dus afwachten of ook Duitsland – en Nederland? – voor de oplossing met een dergelijke statische banner zal kiezen.]]>