Neue ePrivacy-Verordnung: Die wichtigsten Änderungen im Überblick

Bereits im Dezember 2016 ist der Entwurf einer neuen ePrivacy-Verordnung der Europäischen Kommission geleakt worden. Nun wurde die finale Version vom 10.01.2017 als offizieller Vorschlag der EU Kommission veröffentlicht. Die neue Verordnung soll die in die Jahre gekommene ePrivacy-Richtlinie 2002/58/EG ablösen und die Datenschutz-Grundverordnung (DSGVO) flankieren, die zum 25. Mai 2018 in Kraft tritt. Anders als die alte ePrivacy-Richtlinie ist die geplante ePrivacy-Verordnung unmittelbar in allen Mitgliedstaaten anwendbar und hat Vorrang gegenüber nationalen Gesetzen. Verbände und Akteure der Onlinewerbebranche haben den Entwurf bereits scharf kritisiert, da er gravierende Folgen für die Internetbranche und die Informationsgesellschaft habe. Was genau ändert sich durch die ePrivacy-Verordnung, wenn ihr Vorschlag unverändert angenommen wird?

Nach dem aktuellen Vorschlag der ePrivacy-Verordnung darf allein der Besuch einer Website durch den Endverbraucher nicht mehr als Einwilligung in eine gesonderte Datenverarbeitung verstanden werden. Die derzeit gebräuchlichen Banner mit dem Inhalt „Mit dem Besuch dieser Website akzeptieren sie (konkludent) die Verwendung von Cookies“ oder dem Hinweis „Wir benutzen Cookies“ und einem OK-Button werden unzulässig sein, da dem Nutzer keine echte Wahl bezüglich der Abgabe einer Einwilligung bleibt. Es genügt auch nicht, darauf hinzuweisen, dass der betroffene Nutzer in seinem Browser bestimmte Datenschutzeinstellungen vornehmen kann.

Opt-in für viele Cookies künftig Pflicht

Vielmehr muss dem Nutzer beim ersten Aufruf der Website und noch vor der ersten Platzierung eines einwilligungsbedürftigen Cookies ein Hinweis auf die Verwendung von Cookies dargestellt werden, bei dem der Nutzer die Wahl hat, dem zuzustimmen oder es abzulehnen. Die Darstellung kann durch ein Banner oder ein Hinweisfenster erfolgen, das nicht übersehen werden kann. Die Zustimmung muss per Opt-In abgefragt werden. Opt-In bedeutet dabei, dass im Fall einer Checkbox diese nicht bereits mit einem Häkchen versehen sein darf. Der Nutzer muss zur Zustimmung unzweideutig selbst auf „Zustimmen“ klicken, als würde er einen Internetkauf abschließen. Tut er dies nicht und lässt das Banner/den Hinweis unbeachtet, dürfen keine einwilligungsbedürftigen Cookies platziert werden.

Sollte der Nutzer ablehnen, darf die Website für ihn jedoch nicht gesperrt sein. In dem Erwägungsgrund 42 der Datenschutz-Grundverordnung heißt es nämlich, dass die Gestaltung so erfolgen muss, dass der Nutzer „[…] in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“ Hier spricht einiges dafür, einen Nachteil anzunehmen, wenn einem Nutzer, der nicht einwilligt, der Inhalt der Website vorenthalten würde. Dies lässt sich jedoch nicht mit letztendlicher Sicherheit sagen, da bisher unklar ist, wie ein „Nachteil“ definiert werden wird.

Opt-out muss jederzeit möglich sein

Außerdem muss der Websitebetreiber auch den Nutzern, die ihre Einwilligung bereits erklärt haben, jederzeit ein Opt-out, also eine Option zum späteren Widerruf der Einwilligung, anbieten. Nicht zuletzt sollten Websitebetreiber zukünftig auch die Browsereinstellung „Do Not Track“ von jedem Nutzer abfragen, da dies bereits das Nicht-Einwilligen des Nutzers festlegt.

Für die Websitebetreiber wird das stringente Einhalten der neuen Regeln der ePrivacy-Verordnung einen nicht unerheblichen Aufwand zur Anpassung der Websites und Kosten bedeuten. Insbesondere beim Website-Monitoring müssen die Unternehmen in Zukunft sehr genau abwägen, welche Datenerhebungen einer Nutzereinwilligung bedürfen. Bis zum Inkrafttreten der Norm ist noch mit intensiven Verhandlungen und viel Lobbyarbeit zu rechnen.

Interview mit Prof. Dr. Christoph Bauer, CEO von ePrivacy

OnlineMarketing.de: Die Werbeindustrie hat die von der europäischen Kommission vorgeschlagene ePrivacy-Verordnung zur Verbesserung des Online-Datenschutzes sehr schlecht aufgenommen. Was denken Sie über die Gesetzesvorschläge?

Christoph Bauer: Der vorgeschlagene Text für die ePrivacy-Verordnung ist eine Spezifizierung der Datenschutz-Grundverordnung (DSGVO), die aber in eine andere Richtung geht, als man bisher von der DSGVO angenommen hatte. Bisher folgte die Gesetzgebung dem Ziel, die bestehenden Geschäftsmodelle der Industrie auch weiter zu ermöglichen. Dies hat sich nun deutlich geändert, nach dem für Third Party Cookies und andere Tracking-Technologien ein Opt-in vom Nutzer gefordert wird, was bisher nicht der Fall war. Darüber hinaus soll für diese Neuerung keine zweijährige Umsetzungsfrist vereinbart werden, sondern die ePrivacy-Verordnung soll praktisch zusammen mit der DSGVO im Mai 2018 wirksam werden. Da es bisher nur ein Entwurf ist, wird die Umsetzungsfrist voraussichtlich sehr kurz. Insgesamt ist das ein ungewöhnliches Vorgehen der Kommission, was großes Erstaunen in der betroffenen Industrie hervorgerufen hat. Einige, wie der BVDW-Vizepräsident Thomas Duhr, befürchten, dass es das Internet, wie wir es heute kennen, damit nicht mehr geben wird.

Die die Cookies betreffende Maßnahme gehört zu einer längeren Liste von Gesetzesvorschlägen, die den Datenschutz bei elektronischer Kommunikation erhöhen sollen. Sie wurde von der Europäischen Kommission als Möglichkeit präsentiert, die Einstellungen über die Akzeptanz oder Ablehnung von solchen Cookies zu vereinfachen, die dazu dienen, auf Daten zuzugreifen, die auf dem Computer des Nutzers gespeichert sind, oder um das Nutzungsverhalten im Internet zu verfolgen. Welche Konsequenzen könnte dieser Text haben, wenn er ohne Veränderungen angenommen wird?

Aus Sicht der Nutzer würde die große Zahl der Trackingwege reduziert, da künftig ein Opt-in erforderlich wäre. Bisher war dieses Tracking aber ohne Opt-in in den meisten Ländern möglich. Insofern wären die Geschäftsmodelle von den sehr vielen Third-Party-Tracking-Anbietern gefährdet. Ferner wären von dieser Regelung Unternehmen nicht betroffen, die i.d.R. bereits ein Opt-in der Nutzer haben (z.B. Google, Facebook), so dass deren Geschäftsmodell nicht berührt würde und sie wohl die Geschäfte der anderen übernehmen würden. Denn die großen Plattformen wie Facebook und Google nutzen zwar häufig First Party Cookies, haben aber in der Regel eben auch ein Opt-in für die Nutzung von Third Party Cookies, das in den sehr umfangreichen und detaillierten Nutzungsbedingungen dieser Services enthalten ist, denen die Konsumenten häufig zustimmen, ohne sie detailliert zu lesen.

Wenn die Regelung so in Kraft tritt, sind große Verschiebungen im Geschäft mit digitaler Werbung und Werbetechnologien zu erwarten. Denn letztlich begünstigt diese Reglung nur die Großen der Branche, wie Facebook und Google, die über ein Opt-in Verfügungen. Die Regelung hätte jedoch eine verheerende Wirkung für alle anderen Teilnehmer der Online Marketing-Branche. Das kann nicht im Interesse der Kommission sein.

Die europäische Kommission findet, dass „die Vertraulichkeit des Verhaltens im Internet und der Endgeräte der Nutzer garantiert werden muss“, dass die Kontrolle dem Nutzer übergeben werden muss. Wie kann man Ihrer Meinung nach dieses als fundamental bewertete Prinzip und den Bedarf, im Internet verbreitete Inhalte über Werbung zu finanzieren, in Einklang bringen? Mit anderen Worten, welche „Anpassungen“ könnte man diesen Gesetzestexten vorschlagen?

Man könnte vorschlagen, anonymes Tracking zu erlauben, denn für anonyme Daten gilt ja auch die DSGVO nicht. Wenn man also einen Nutzer trackt, ohne seine personenbezogenen Daten wie Name, Adresse, Email-Adresse, IP-Adresse etc. zu kennen, dann könnte das Tracking auch mit Cookies und anderen Trackern erlaubt werden. Bei anonymen Daten kann nämlich derjenige, der die Daten bekommt, nicht die Person herausfinden, die hinter den Daten steht.

Im Übrigen gibt es auch Tracking-Methoden, die keine Spuren auf den Geräten der Nutzer hinterlassen (wie es die Cookies als Textdatei im Browser tun), durch die aber dennoch ein Gerät getrackt wird. Insofern kann es passieren, dass man jetzt zwar Third Party Cookies verbietet, aber andere Technologien umgesetzt werden, durch die man praktische die gleichen Effekte erzielt, wobei die Technologien ggf. nicht verboten sind. Damit hätte dann der Gesetzgeber sein Ziel verfehlt.

Vielen Dank für das Interview!

Eine ausführliche Stellungnahme mit näheren Details findet ihr hier als PDF.