E-Privacy-Verordnung - Damoklesschwert der digitalen Wirtschaft?

avatar

Thomas Thüring - 8 Min. Lesezeit

header-picture

Die ePrivacy-Verordnung (kurz: ePVO) soll den Schutz von Grundrechten und Freiheiten bei der Nutzung digitaler Kommunikation in der Europäischen Union regeln. So ist ePrivacy auch der gängige Begriff, wenn es um den Umgang mit personenbezogenen Daten im Internet und dem damit verbundenen Schutz der Privatsphäre geht. Nicht wenige sehen in der ePVO aber auch das Damoklesschwert der digitalen Wirtschaft. Lesen Sie hier unsere Einordnung ... (tsc, ago, tth)

ePVO: Sie ergänzt die Vorschriften der EU-Datenschutz-Grundverordnung (DSGVO) und sollte eigentlich zeitgleich mit ihr in Kraft treten. Da aber einige Punkte noch verhandelt werden müssen, wird die Umsetzung vor 2020 und eine praktische Anwendbarkeit nicht vor 2022 erwartet. Während die DSGVO also die Basis bildet, ist die ePrivacy-Verordnung eine Ergänzung. Diese wird bei eventuellen Überschneidungen jedoch Vorrang vor der Datenschutz-Grundverordnung haben.

Seit 2002 existiert bereits eine ePrivacy-Richtlinie in der Europäischen Union, die in nationales Recht der einzelnen Mitgliedsstaaten umgesetzt wurde – in Deutschland bspw. im Rahmen einzelner Regelungen des Telemediengesetzes, kurz: TMG. 2009 folgte dann das Update, welches als Cookie-Richtlinie bekannt wurde. 

Streitthema Tracking und Profilbildung

Ein wichtiger Punkt der nun kommenden ePVO ist, dass werbefinanzierte Onlinedienste die Möglichkeit haben sollen, die Nutzung von der Einwilligung in Cookies für Werbezwecke abhängig zu machen. Das macht deutlich, wie wichtig die endgültige Fassung der ePVO für das Online-Marketing ist: Falls sie von den EU-Mitgliedstaaten abgesegnet wird, dürfte die gesamte Branche vor einem großen Umbruch stehen. Und auch, wenn noch Zeit ist, gilt trotz aller Zukunftsmusik: Wer sich bereits jetzt mit den Regelungen der ePVO auseinandersetzt, kann die Risiken schon im Vorfeld erkennen und die Umsetzung frühzeitig und sicher angehen.


Dehmel-Susanne

Mit ihren zahlreichen Sonderregelungen gefährdet der bisherige Entwurf der ePrivacy-Verordnung neue Geschäftsmodelle im Bereich Internet der Dinge sowie Künstliche Intelligenz. Aber auch Software-Updates und werbebasierte Webseiten können dadurch eingeschränkt werden.

Susanne Dehmel, Bitkom-Geschäftsleiterin Recht & Sicherheit
(Foto & Statement aus PM)

 

Abweichung der ePrivacy-Verordnung von der DSGVO:

Bis auf wenige, eingeschränkte Ausnahmen will die ePricacy-Verordnung im Grundsatz nur noch solche Cookies und Endgeräte-Speicherungen erlauben, die für den Betrieb des angebotenen Dienstes unbedingt nötig sind. Das würde weite Teile des Website-Trackings betreffen. Die Legitimation für pseudonymes Tracking ist in dem Verordnungsentwurf nicht mehr vorgesehen, denn anders als die DSGVO es tut, erlaubt die ePrivacy-Verordnung auch keine Datenverarbeitung auf Grundlage berechtigter Interessen. Im Vergleich zur DSGVO sind die sich durch die ePVO abzeichnenden Neuregelungen als deutlich schärfer und restriktiver zu bewerten.

Das soll mit der ePVO neu geregelt werden:

  • Der Einsatz von Cookies darf ohne ausdrückliche Einwilligung nur noch erfolgen, wenn sie „unbedingt nötig“ oder „zwingend technisch notwendig“ sind, um einen Dienst zu erbringen (siehe Art. 8 Abs. 1 a, 2 der Fassung des Parlaments).
  • Der Einsatz von Zugangssperren wie bspw. „Cookie-Walls“ wird in der ePrivacy-Verordnung abgelehnt. Die Einwilligung darf keine Bedingung für die Nutzung sein. Anbieter sollen stets alternative Möglichkeiten der Nutzung anbieten, die nicht abhängig sind von Datennutzung und entsprechender Freigabe der Nutzer (Art. 8).
  • Die Regelung zur Browserschranke in Artikel 10: Bisher muss der Nutzer bei der Erstinstallation Voreinstellungen zum Tracking treffen.
  • Die zeitliche Befristung der Einwilligung wird diskutiert – zudem ist sie nur rechtswirksam erteilt, wenn sie jederzeit (mit Wirkung für die Zukunft) widerrufbar ist.

 

Was genau legt die kommende ePrivacy-Verordnung fest?

Neben den schon vorhandenen Vorschriften der europäischen Datenschutz-Grundverordnung (DSGVO) soll die ePrivacy-Verordnung die Nutzerrechte noch weiter stärken:

  • Verschlüsselung soll nicht nur in der Verantwortung des Nutzers liegen. Auch Anbieter müssen Daten nach aktuellstem Stand der Technik absichern und vor unbefugtem Zugriff schützen. Zudem dürfen sie den Schutz der Nutzer nicht untergraben, indem z. B. der Handel mit Hintertüren (Backdoors) verboten wird.

  • Räumliches Tracking durch nicht aktiv genutzte Programme soll illegal werden, um zu verhindern, dass Bewegungsprofile ohne Kenntnis des Nutzers angefertigt werden.

  • Eine ausführliche Transparenz- und Dokumentationspflicht wird eingeführt. Da die Strafverfolger sie zwingend beachten müssen, können Anbieter zur Offenlegung staatlicher Anfragen verpflichtet werden. 

  • Die Verarbeitung ohne Einverständnis des Nutzers soll nicht mehr möglich sein. So wird für Online-Kommunikations-Anbieter wie WhatsApp oder Facebook-Messenger die Verarbeitung von Daten ohne vorherige Einwilligung zur Speicherung nicht mehr möglich sein.

  • Ein effektiver Schutz vor Tracking soll eingeführt werden – mit Maßnahmen, die umfassende Einstellungen zur Deaktivierung von Tracking-Technologien enthalten.

  • Privacy-by-Default soll als umfassendes Konzept dafür sorgen, dass alle Einstellungen in Software und verwendeten Geräten die datenschutzfreundlichste Variante standardisiert eingestellt haben.

 

Wie verhält man sich vor Inkrafttreten der ePVO?

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (kurz: GDD) empfiehlt: „Bis der zu dieser Rechtsfrage angerufene EuGH hierzu Klarheit schafft, kann Rechtssicherheit nur dann gegeben sein, wenn der strengen Auffassung der Aufsicht Rechnung getragen wird und ab dem 25.05.2018 Einwilligungen für das Setzen von Cookies eingeholt werden. Die eine Datenverarbeitung erlaubende Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bestimmt sich zukünftig unmittelbar nach Art. 7 DSGVO. Diese ist neben vielen weiteren Kriterien vor allem in informierter Weise und freiwillig vom Nutzer zu erteilen und im Sinne der von der DSGVO ausgehenden Rechenschaftspflicht vom Verantwortlichen zu dokumentieren. Dennoch muss sich eine praxisnahe Rechtsanwendung an dem Regelungsverständnis der DSGVO orientieren, die den Einsatz von Tracking-Tools stringent aus einer Interessenabwägung begründet. Solange eine Direktwerbung durch Tracking pseudonymisiert erfolgt und keinen unmittelbaren Rückschluss auf sensible Daten zulässt, ist sie als berechtigtes Interesse im Rahmen einer Interessenabwägung nach der DSGVO zulässig. (PDF www.gdd.de/downloads/praxishilfen/001_ePrivacy_01.pdf)

Gerade die Rechtsunsicherheiten, die aus dem sich verzögernden Gesetzgebungsverfahren der ePrivacy-VO sowie den derzeitigen im TMG geltenden Regelungen folgen, sollten nicht vorschnell zu strenge Maßstäbe zu Lasten der Anbieter und Nutzer nach sich ziehen, sondern den Weg für praxisnahe und rechtssichere Lösungen aufzeigen.“

Fazit

Die ePrivacy-Verordnung wird erhebliche Konsequenzen, nicht nur für den Bereich Webanalyse, sondern für alle digitalen Geschäftsmodelle haben. So ist es bspw. für eine effiziente B2B Lead-Generierung, wo Targeting-, Scoring- & Nurturing-Ansätze Hand in Hand gehen, notwendig, möglichst umfangreiche Informationen über die Interessen der Webseitenbesucher zu sammeln und diese entsprechenden Profilen zuzuordnen. 

Darf es bspw. unter diesen Vorzeichen kein Targeting mehr geben? Die Verordnung zielt auf die digitale Kommunikation als Ganzes ab und wird die Rahmenbedingungen für den Einsatz von Tracking-Cookies völlig neu definieren. So wie es die Konferenz der Aufsichtsbehörden in einem Positionspapier beschrieben hat, wird dieses dann von einer Einwilligung abhängig sein. Ein berechtigtes Interesse, welches man heute zugrunde legt, entfällt damit als Rechtsgrundlage. Bis zum Inkrafttreten der ePVO gilt die ePrivacy-Richtlinie (Link zum PDF) von 2002. Seit 2009 regelt die Cookie-Richtlinie (Link zum PDF), um die die ePrivacy-Richtlinie unter Erwägungsgrund 25 ergänzt wurde, die Datenschutzanforderungen, die für alle Arten von Cookies gelten sollen.  

Zeitstrahl_ePVO_eVP_BVDW

Ende 2019: Sollten EU-Rat, Parlament und Kommission sich über den finalen Entwurf einigen, kann die ePrivacy-Verordnung auf den Weg gebracht werden. Anfang 2020 könnte die ePrivacy-Verordnung in Kraft treten, insofern die Trilog-Verhandlungen erfolgreich waren.

Aktuell folgt Update auf Update, im Detail nachzulesen beim Bundesverband Digitale Wirtschaft (BVDW) e.V., der Interessenvertretung für Unternehmen, die digitale Geschäftsmodelle betreiben oder deren Wertschöpfung auf dem Einsatz digitaler Technologien beruht. Der BVDW informiert fortlaufend über den Stand des Gesetzgebungsverfahrens zur geplanten ePrivacy-Verordnung. Aktuell heißt es dort „Kompromissregelungen zur ePrivacy-Verordnung vorgelegt“.

Auch MBmedien hält Sie im Rahmen des redaktionellen Newsletters auf dem Laufenden: News und Fachartikel für die Medien-, Daten-, Sales- & Marketing-Branche erhalten Sie auf Wunsch wöchentlich oder monatlich in Ihrem elektronischen Postfach!

AKTUELLES im BLOG lesen und HIER den NEWSLETTER BESTELLEN!

Themen: Direktmarketing, datenbasiertes Marketing, Data Service-Anbieter, Datenanalyse, datengetriebenes Marketing, Scoring, Database Services, Erlaubnis-Marketing, Opt-in, Double Opt-in, EU-DSGVO, DSGVO, Profiling, Opt-out, Web Tracking, User Tracking, Cookies, Datenschutz-Grundverordnung, Datenschutz, CRM, Lead Management, Datenintelligenz, Stammdaten-Management, CRM-Systeme, Stammdaten-Pflege

Jetzt Downloaden: Whitepaper DSGVO aktuell - Ausgabe 2

Aktuelle Beiträge

Wie Sie Ihre Kundendaten zur Basis fürs Content Marketing machen

read more

Die perfekte Storytelling-Strategie? „Direkt ins Gehirn.“

read more

Mit Storytelling zünden Unternehmen den Marketing-Turbo

read more