Zurück in die 90er? Was die DSGVO und ePrivacy für das Marketing bedeuten

Ab dem 25. Mai 2018 müssen Unternehmen die Datenschutz-Grundverordnung (DSGVO) der EU umgesetzt haben. Doch damit nicht genug: in der Folge soll die sogenannte ePivacy-Verordnung ergänzend den elektronischen Datenverkehr regeln. Bei Verstößen drohen Strafen in Millionenhöhe.

Was kommt auf Marketer, Unternehmen etc. zu?: Zur DSGVO

Die Datenschutz-Grundverordnung der EU tritt am 25. Mai 2018 effektiv in Kraft. Darin enthaltene Regelungen zum „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ müssen von Unternehmen bis dahin umgesetzt worden sein. Doch was bedeutet die Verordnung und welche rechtlichen Änderungen sind vorzunehmen?

Dass diese Frage eine Relevanz hat, zeigt besonders eine Studie der International Data Corporation (IDC). Nach dieser hatten 44 Prozent der befragten Unternehmen in Deutschland im August 2017 noch keine Schritte eingeleitet, um die Anforderungen der Verordnung umzusetzen. Bei den 251 befragten Unternehmen und Organisationen mit mehr als 20 Mitarbeitern zeigt sich ein Mangel in Bezug auf den Datenschutz. Denn lediglich 17 Prozent gaben an, einen Datenschutzbeauftragten engagiert zu haben.

Höchste Zeit also, dass sich datenverarbeitende Unternehmen mit der DSGVO auseinandersetzen. Während die Ziele der Verordnung auf eine Vereinheitlichung der Datenschutzanforderungen in der EU abzielt, geben verschiedene Stellen Nachhilfe bei der Anpassung an diese Änderungen. So stellt Bitkom Leitfäden zur Orientierung zur Verfügung, der BVDW informiert per Praxisleitfaden über Webinare usw. zum Thema.

Grundlegende Ziele und Anforderungen der Verordnung

An dieser Stelle kann nicht die umfassende Komplexität der EU-Verordnung abgebildet werden. Wer eine Anpassung an die in einem halben Jahr geltenden Vorgaben vorzunehmen hat, dem sei ohnehin geraten, diese in Kooperation mit einem Sachverständigen durchzuführen. Auch die Beschäftigung eines Datenschutzbeauftragten dürfte – im Hinblick auf die ePrivacy-Verordnung – für viele Unternehmen obligatorisch werden.

Dennoch sollen hier einige zentrale Punkte der DSGVO dargestellt werden. Zunächst erklärt der Artikel 1, Absatz 1-3, den Gegenstand und die Ziele der Verordnung.

Artikel 1

Gegenstand und Ziele

(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

(3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Weitere nennenswerte und beachtenswerte Aspekte sind etwa der sachliche oder räumliche Anwendungsbereich. Für ersteren (Art.2, Abs.1) wird definiert:

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Dabei findet die Verordnung keine Anwendung, wenn es sich etwa um rein persönliche oder familiäre Angelegenheiten handelt (Art.2, Abs.2c)) oder wenn Behörden im Kontext von Straftatenermittlung, -aufdeckung, -verhütung oder zum Schutz nationaler Sicherheit agieren (Art.2, Abs.2d)). Somit kann eine Polizeibehörde oder eventuell der BND sich über die Verordnung hinwegsetzen. Für die räumliche Anwendung gilt, dass die Verordnung bereits dann gilt, wenn eine Datenverarbeitung „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt“ (Art.3, Abs.1). Das heißt, dass der Verantwortliche in der EU positioniert sein muss; der Ursprung der Daten ist dann zweitrangig.

Weitere Grundsätze der DSGVO 

Was für Unternehmen ins Gewicht fällt, dürfte Artikel 5 der Verordnung sein. Darin wird dargelegt, auf welche Weise personenbezogene Daten zu verarbeiten sind. Hierbei fallen Bezeichnungen wie:

• „nach Treu und Glauben“ (Art.5, Abs.1a))
• „Zweckbindung“ (Art.5, Abs.1b))
• „Datenminimierung“ (Art.5, Abs.1c))
• „Richtigkeit“ (Art. 5, Abs.1d))
• „Speicherbegrenzung“ (Art.5, Abs.1e))
• „Integrität und Vertraulichkeit“ (Art.5, Abs.1f))

Dazu kommt, dass nach Artikel 5, Absatz 2 der Verantwortliche für die Einhaltung dieser in Absatz 1 erläuterten Datenverarbeitungsvorgaben Rechenschaft ablegen können muss. Das bedeutet, ein Unternehmen muss aufzeigen können, dass Daten richtig, nach bestem Wissen und Gewissen usw. verarbeitet werden.

Von Interesse dürfte auch die Rechtmäßigkeit der Verarbeitung sein (Art.6), welche nur durch:

• eine Einwilligung (Art.6, Abs.1a))
• oder etwa durch das Schützen lebenswichtiger Interessen der Person (Art.6, Abs.1d)) etc.

legitimiert ist. Erwähnenswert ist, dass diese Rechtmäßigkeit auf dem Unionsrechts fußt oder aber auf dem Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt (Art.6, Abs.3 a),b)). Da die DSGVO sogenannte Öffnungsklauseln für einen staatlichen Gesetzgeber enthält, kann etwa das Bundesinnenministerium in Deutschland einen Entwurf zum angepassten Datenschutzrecht entwickeln. Die ist mit dem Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 auch geschehen.

In weiteren Punkten wird verdeutlicht, dass eine Einwilligung der betroffenen Person für die Datenverarbeitung unumgänglich wird. Verantwortliche für letzteres stehen zudem in der Nachweispflicht für diese Einwilligung (Art.7, Abs.1). Ein Widerruf muss jederzeit – und dabei ebenso einfach wie die Einwilligung selbst – gewährleistet sein (Art.7, Abs.3).

Artikel 8 beschäftigt sich mit den „Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft“, während Artikel 9 „besondere Kategorien“ personenbezogener Daten in den Fokus stellt. Hierbei heißt es, dass es – bis auf angeführte Ausnahmefälle – untersagt ist, Daten in Zusammenhang mit der Ethnie oder politischen Meinung der Person, deren Sexualleben, Gewerkschaftszugehörigkeit und dergleichen mehr zu verarbeiten. Auch bei Ausnahmefällen dürfen derlei Daten nur von einer schweigepflichtigen Person verarbeitet werden (Art.9, Abs.2,3).

Sensible Daten wie biometrische, gesundheitliche oder genetische, können durch Mitgliedstaaten weiteren eigenen Gesetzmäßigkeiten unterworfen werden (Art.9, Abs.4). Die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten darf nur unter behördlicher Aufsicht geschehen (Art.10). Artikel 11 stellt heraus, dass bei nicht mehr möglicher Identifizierung der Person Daten nicht aufgehoben werden müssen.

Was darüber hinaus wichtig ist

Der Verantwortliche, das heißt ein datenverarbeitendes Unternehmen, ist gegenüber der Person, dessen Daten sie verarbeitet, informationspflichtig insofern, als verschiedenste Informationen bereitzustellen sind (vgl. Art.12-14). Dazu kommt, dass die Personen verschiedene Rechte haben. Darunter:

• Recht auf Berichtigung (Art.16)
• Recht auf Löschung (Art.17)
• Recht auf Einschränkung der Verarbeitung (Art.18)
• Recht auf Datenübertragbarkeit (Art.20)
• Widerspruchsrecht (Art.21)

Neben den Beschränkungen liefert die Verordnung eine Reihe von Vorgaben und Anforderungen für und an den Datenschutz bei datenverarbeitenden Unternehmen. Diese sollten sich schleunigst mit der Übertragung dieser Anforderungen auf die eigenen Arbeitsprozesse in der Datenverarbeitung beschäftigen. Immerhin könnte die Verordnung dem Datenschutz eine prominentere Stellung auf dem Online-Werbemarkt verschaffen. Für Cookies etwa bedeutet sie, dass wohl eine Opt-Out-Funktion nötig wird, statt wie bisher hierzulande ein Opt-In.

Website Compliance ist also das Stichwort für Websitebetreiber. Denn bei Verstößen gegen die Verordnung werden Strafen „ von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“ (Art.83, Abs.6).

Während die DSGVO eher nach Vorteilen für die Verbraucher klingt, müssen sich Unternehmen und Werbetreibende allerdings auch Gedanken darüber machen, wie Werbung im Online-Raum der Europäischen Union künftig aussehen kann. Dann, wenn die „Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (ePrivacy) Geltung erlangt.

ePrivacy – Was bedeutet das genau?

Die e-Privacy-Verordnung gilt gewissermaßen als Ergänzung zur DSGVO. Dabei wird gemutmaßt, dass sie nach derzeitigem Stand im Jahr 2019 in Kraft treten wird (nachdem zunächst auch der 25. Mai 2018 dafür vorgesehen war). Zumindest ist dem Titel der Verordnung noch das Prädikat „Vorschlag“ vorangestellt. Der BVDW hat zu wichtigen Daten der Verordnung einen Zeitstrahl erstellt.

Daraus wird ersichtlich, dass Änderungen noch vorbehalten sind. Tritt die Verordnung in Kraft, ist diese genauso gültig wie die DSGVO. Allerdings ist dank der Öffnungsklauseln die Bedeutung vom derzeit noch höchst relevanten Bundesdatenschutzgesetz (BDSG), dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) auch dann nicht zwingend obsolet, wie ebenso die Juristin Nina Diercks in ihrem Blog erläutert. Doch was macht die geplante Verordnung der EU zu einem Hindernis für Marketer? BVDW-Vizepräsident Thomas Duhr gibt einen ersten Hinweis:

Die EU macht es im Grunde unmöglich, digitale Angebote ohne Barrieren anzubieten und zu finanzieren.

Die ePrivacy regelt den Verbraucherschutz von Personen bei der Datenverarbeitung vor allem im Kontext von elektronischen Kommunikationsdiensten. Der Geltungsbereich wird wie folgt definiert (Art.2, Abs.1):

Diese Verordnung gilt für die Verarbeitung elektronischer Kommunikationsdaten, die in Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste erfolgt, und für Informationen in Bezug auf die Endeinrichtungen der Endnutzer.

Gerade in Bezug auf das Setzen von Cookies, das für das Targeting im Marketing so wichtig ist, spielt Artikel 5 der Verordnung ebenso eine große Rolle wie Artikel 8. So heißt es einerseits in Artikel 5:

Elektronische Kommunikationsdaten sind vertraulich. Eingriffe in elektronische Kommunikationsdaten wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere  Arten des Abfangens oder Überwachens oder Verarbeitens elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer sind untersagt, sofern sie nicht durch diese Verordnung erlaubt werden.

Artikel 8, Absatz 1 beschreibt:

Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt,

wobei es Ausnahmen gibt. Diese beinhalten etwa die Einwilligung des Nutzers (Art.8, Abs.1c)) oder eine allgemeine Notwendigkeit zum Aufrechterhalten des Dienstes etc.

Es sind noch eine Reihe von weiteren Artikeln in der Verordnung zu finden, bei denen Marketern nicht wohl sein dürfte. Kurz gesagt: die ePrivacy-Verordnung macht es extrem schwer persönliche Userdaten für kommerzielle Zwecke zu nutzen; da das prinzipiell untersagt wird. Das alltägliche Online-Tracking soll also der Vergangenheit angehören und für die Verbraucher kann das natürlich von Vorteil sein. Allerdings dann nicht mehr, wenn ihnen daher keine personenbezogene Werbung mehr ausgespielt werden kann – wofür es personenbezogene Daten braucht –, sondern nur noch Banner ohne rechte Relevanz für sie.

Thomas Duhr erklärt uns gegenüber weiter:

Eine E-Privacy-Verordnung in der aktuellen Fassung ist ein besonders bedenklich stimmender Fall von Realitätsverweigerung – ein echter Schildbürgerstreich. Diese E-Privacy-Verordnung negiert grundlegende Funktionsweisen und Prozesse des Internets und wirft uns technisch zurück auf den Stand der späten 90er Jahre.         

Noch ist wohl nicht ganz klar, in welcher Gestalt die Verordnung zur ePrivacy letztlich daherkommt. Immerhin sagt Artikel 25, Absatz 2 der DSGVO noch, „dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“. Allerdings ist in der ePrivacy-Verordnung keine unbedingte Pflicht zu einer Do-not-track-Voreinstellung auszumachen.

Was tun?

Die Kontroverse um die Verordnung zur ePrivacy geht weiter. Im Oktober hat sich das EU-Parlament bereits für die stark reglementierende Verordnung ausgesprochen. Interessant wird sein, wie sich gerade die einflussreichen Unternehmen und Stimmen auch hierzulande nun positionieren. Ist die Verordnung für Verbraucher- und Datenschützer ein Gewinn, könnten einige Unternehmen und Marketer Probleme bekommen.

Ob diesen durch staatliche Modifikationen, die durch Öffnungsklauseln möglich sind, entgegengewirkt werden kann, bleibt daher auch abzuwarten. Für all jene, die auf die Verarbeitung von personenbezogenen Daten, vor allem im Kontext von elektronischen Kommunikationsmedien, bauen, ist eine Angleichung der Prozesse an die Anforderungen der EU-Verordnung(en) nunmehr obligatorisch.

Wie kritisch die Werbewirtschaft bisher reagiert hat, steht auf einem anderen Blatt. Diese Darstellung soll zunächst darauf aufmerksam machen, welche Anforderungen das Europäische Recht bald an die Datenverarbeitung stellt.

Die DSGVO findet ihr hier.

Und für den Entwurf zur e-Privacy-Verordnung könnt ihr hier klicken.