Knowledge Hub

ePrivacy-Verordnung – die wichtigsten Daten, Fakten und Entwicklungen

Knowledge Hub Knowledge ePrivacy-Verordnung – die wichtigsten Daten, Fakten und Entwicklungen

Die Datenschutz-Grundverordnung, kurz DSGVO ist bereits auf Schiene; bei der ePrivacy-Verordnung ist es noch nicht so weit. Die geplante EU-Verordnung hat dennoch eine Menge Auswirkungen, die man schon jetzt beachten sollte.

Der aktuelle Stand in Sachen ePrivacy-Verordnung

Laut den ursprünglichen Plänen sollten die ePrivacy-Verordnung (ePVO) und die Datenschutz-Grundverordnung zeitgleich zur Anwendung kommen. Doch bei der ePVO gab und gibt es Verzögerungen. Laut Ministerrat (Telekommunikation) müssen bestimmte Sachpunkte noch weiter beraten werden, bevor Verhandlungen mit dem Europäischen Parlament starten können. Kommt es zu einer Verabschiedung, wird die neue Verordnung die geltende ePrivacy-Richtlinie der Bundesregierung ersetzen. Für diesen Fall ist zurzeit eine zweijährige Übergangsfrist vorgesehen. Bei den noch nicht abgeschlossenen Verhandlungen geht es u.a. um die Möglichkeiten von werbefinanzierten Online-Diensten, die Nutzung ihrer Dienste von der Einwilligung in Werbe-Cookies abhängig zu machen. Das ist ein deutlicher Hinweis darauf, welch wichtigen Stellenwert die Endfassung der ePVO für das Online-Marketing haben wird.

Was erwartet die Digitalwirtschaft?

Daher erwarten viele Experten im Affiliate-Marketing, dass ePrivacy eines der Trendthemen im laufenden Jahr sein wird. Viele Befürchtungen machen die Runde und manche sehen die Verordnung wie ein Damoklesschwert über der Branche schweben. Sollte die ePrivacy Verordnung tatsächlich in der momentan aktuellen Verfassung vom EU-Rat der Mitgliedsstaaten angenommen werden, sind in der Tat große Umbrüche möglich. Der Verband der Internetwirtschaft eco nimmt sich daher vehement dieses Themas an. Er fordert eine offene Diskussion des Parlaments und der EU Kommission mit der Wirtschaft. Nur so könne man eine Fragmentierung des europäischen Datenschutzes vermeiden, warnen die Branchenvertreter.

Der BVDW (Bundesverband Digitale Wirtschaft) unter Präsident Matthias Wahl spricht sich gemeinsam mit anderen Digitalverbänden für eine vollständige Überarbeitung des Dossiers zu ePrivacy aus. Wichtig sei, ein ausgewogenes Verhältnis zwischen den erforderlichen Regelungen zum Schutz der Privatsphäre und dem angemessenen Regulieren der Online-Dienste zu finden. Dieses müsse zudem unbedingt DSGVO-konform sein. Der zeitliche Rahmen ist noch nicht eng abgesteckt. Der Bundesverband Digitale Wirtschaft rechnet ab Mitte 2019 mit einer Weiterverhandlung, mit einem Inkrafttreten frühestens 2020 und mit der Anwendung in der Praxis nicht vor dem Jahr 2022.

Verbraucher- und Datenschützer wollen eine raschere Umsetzung

Verbraucherschützer erklären immer wieder die Wichtigkeit der geplanten Regelungen für die Vertraulichkeit der elektronischen Kommunikation und für den Datenschutz. So hatte das EU-Parlament zum Beispiel ausdrücklich vorgeschlagen, dass Anbieter die Nutzer-Kommunikation mittels sehr hoher IT-Sicherheitsvorkehrungen schützen müssen. Die Konsumentenschützer bemängeln, dass der EU-Rat nun darüber debattiere, diese wichtigen Vorschläge zu streichen. Zudem klagen sie, dass zahlreiche andere für den Verbraucherschutz wichtige Vorschläge deutlich abgeschwächt werden sollen. Sie befürchten im Zuge der Verhandlungen einige gravierende Nachteile für die Nutzer. Das bezieht sich vor allem auf die diskutierten Möglichkeiten der Anbieter hinsichtlich der Verarbeitung von sensiblen Kommunikationsdaten, die möglicherweise ausgeweitet werden.

Ein besonderer Knackpunkt: Online-Dienste, die sich durch Werbung finanzieren, könnten die Angebotsnutzung vom Einverständnis des Users zum Tracking abhängig machen. Hersteller von Kommunikationssoftware wie etwa Browseranbieter könnten demnach nicht mehr zur Einrichtung von datenschutzfreundlichen Voreinstellungen verpflichtet werden. Die Verbraucherverbände spielen daher jetzt den Ball an die Bundesregierung zurück und fordern, dass sich diese im EU-Rat für verbraucherfreundliche Regelungen in Sachen ePVO einsetzt.

Schützenhilfe erhalten sie vom Bundesjustizministerium, dass erst kürzlich aus der Anfang 2019 bekannt gewordenen Veröffentlichung von personenbezogenen Daten (doxing) Konsequenzen forderte. Das Ziel der Forderung: Die EU-weite ePrivacy-Verordnung soll auch Kommunikationsdienste zu einem hohen Schutzniveau bei Datensicherheit und Datenschutz verpflichten.

Schutz vor Online-Tracking angeblich geschwächt

Besonders hohe Wellen schlagen bei Datenschutzverbänden die aktuellen Änderungen an den Entwürfen der Verordnung. Sie befürchten, dass diese Internet-Nutzer weit weniger gut vor Online-Tracking schützen. Mit lediglich einer kleinen inhaltlichen Änderung in Erwägungsgrund 20 zur ePrivacy-Verordnung werde demnach die ursprüngliche Intention der Regelung ins Gegenteil verkehrt. Dort war festgelegt worden, dass Tracking, bei dem es um sensible Daten gehe, nur dann zulässig sei, wenn die Einwilligung und transparente Information der Betroffenen vorliege. Anstelle dieses Wortlauts soll es nun ausreichend sein, wenn der Nutzer entweder einwilligt oder informiert wurde.

 

Die Vorbereitungen der Werbewirtschaft auf die ePVO laufen schon

Auch wenn noch vieles unklar ist und die finale ePVO noch länger auf sich warten lässt, befasst sich die Werbewirtschaft dennoch bereits mit diesem Thema. Tatsächlich gibt es einige Punkte, die Unternehmen schon heute wissen und berücksichtigen sollten. Wer sich bereits jetzt mit den Regelungen der Verordnung auseinandersetzt, kann frühzeitig mögliche Risiken identifizieren. Umsetzungsprojekte können rechtzeitig und ohne Zeitdruck starten. Daher empfehlen auch IHK-Vertreter, sich zeitnah mit dieser Thematik auseinanderzusetzen.

Einige Umsetzungsprojekte gibt es in der Werbewirtschaft bereits. Etwa durch den IAB Europe, den Wirtschaftsverband, der sich auf europäischer Ebene für die Belange der Marketingunternehmen im digitalen und interaktiven Bereich, einsetzt. Der Verband verabschiedete ein Transparency & Consent Framework (TCF). Damit lassen sich Einwilligungen nach dem EU-Datenschutzrecht von den Nutzern einholen. Etliche Anbieter, die bei der Verwaltung von Einwilligungen tätig sind (Consent Management Plattformen) bieten mittlerweile auf Basis des Frameworks Lösungen an, die die EU-Datenschutzvorgaben flexibel umsetzen.

Das IAB Europe Transparency & Consent Framework will den anwendenden Unternehmen die Freiheit der Interpretation geben, wie sie ihre Unternehmens-Schnittstelle für die Einholung und Verwaltung der Einwilligungen optimal an ihre jeweiligen Marktsegmente anpassen. Diese Flexibilität scheint ein guter Weg zu sein, um sich zum einen auf die Verordnung bereits jetzt vorzubereiten und gleichzeitig für mögliche Änderungen der ePrivacy-Verordnung offen zu bleiben. Diese Offenheit ist wichtig, da stetig neue Änderungen der Verordnung am Horizont auftauchen.

Lesen hierzu auch unseren Artikel „Verstehen Sie das IAB Framework in 15 Minuten (oder weniger!)“

Die Intention der Verordnung

Vieles wird diskutiert, vieles ist noch in der Schwebe, daher an dieser Stelle ein Blick darauf, was die eigentliche Intention der ePrivacy-Verordnung ist und wo diese angewendet werden soll. Die EU-Verordnung ePVO geht zurück auf eine Initiative der EU-Kommission Anfang 2017. Zurzeit befindet sie sich noch im Gesetzgebungsverfahren und liegt lediglich in Form eines Entwurfs vor. Die neue Verordnung wird die ePrivacy-Richtlinie ablösen. Diese ist in Deutschland zum größten Teil im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) umgesetzt und festgeschrieben. Zudem soll die ePVO die DSGVO im Segment der elektronischen Kommunikation ergänzen.

Die Anwendungsbereiche

Den territorialen und sachlichen Anwendungsbereich regeln Artikel 2 und 3 des Entwurfs. Demnach soll die Verordnung beim Verarbeiten elektronischer Kommunikationsdaten im Zuge der Nutzung elektronischer Kommunikationsdienste angewendet werden. Zudem soll sie die Informationen in Bezug auf die Endeinrichtung des Endnutzers regeln. Territorial gilt die Verordnung für Anbieter elektronischer Kommunikationsdienste, die ihren Service in der EU offerieren. All das betrifft voraussichtlich die folgenden elektronischen Kommunikationsvorgänge: den Internetzugang und die Internettelefonie, webgestützte E-Mail-Dienste, Instant-Messaging-Dienste, Personal-Messaging und die Sozialen Medien.
Wichtig ist zudem, dass die ePrivacy-Verordnung für die Verarbeitung von personenbezogenen und nicht personenbezogenen Daten Gültigkeit hat. Geschützt werden sollen mit ihrer Hilfe die Kommunikationsdaten von natürlichen und auch von juristischen Personen.

Mehr Infos über personenbezogene Daten finden Sie in unserem Artikel „Was sind personenbezogene Daten?

Was bedeutet das für die Nutzung von Cookies?

Die Änderung wird sich besonders auf den Umgang mit Cookies auswirken. Ebenso auf die werbliche Ansprache mit Hilfe von elektronischen Kommunikationsmitteln wie Telefon und E-Mail.

Für den Einsatz von Cookies bedeutet das: Er wird deutlich komplizierter. Ohne nachzufragen sollen Seitenbetreiber nur jene Daten über Cookies erfassen dürfen, die notwendig für die grundlegenden Funktionen der Website sind. Die derzeit angewandte Opt-Out-Lösung reicht demnach nicht mehr aus für den Einsatz von Cookies. Derzeit kann der Webseiten-Betreiber den User in der Datenschutzerklärung über die Cookie-Nutzung informieren und ihm Gelegenheit geben, dieser Nutzung zu widersprechen. Im Entwurf der neuen ePrivacy-Verordnung sieht das anders aus: Der Art. 8 (Abs. 1) sieht das Verbot einer jeglichen Informationserhebung aus Endeinrichtungen des Nutzers vor. Ebenso untersagt ist das Nutzen von Speicher- und Verarbeitungsfunktionen von Endeinrichtungen. Abs. 2 des Entwurfs untersagt zudem das Erheben von Informationen, die Endeinrichtungen des Users aussenden, um eine Verbindung mit Netzanlagen und/oder mit einem anderen Gerät herzustellen.

Für die genannten Absätze 1 und 2 des Art. 8 sind jedoch Ausnahmen vorgesehen und zwar vor allem dann, wenn ein vom Endnutzer gewünschter Dienst nur so bereitgestellt werden kann bzw., wenn der Endnutzer seine Einwilligung erteilt hat. Auch dann, wenn es nur um das Durchführen eines elektronischen Kommunikationsvorgangs via elektronischem Kommunikationsnetzwerk geht, liegt ein Ausnahmefall vor.

Cookies nur mehr mit Einwilligung des Users?

Der Art. 9 des Entwurfs zur ePVO sieht vor, dass Cookies nur mehr dann rechtmäßig sind, wenn der Nutzer nach den DSGVO-Bedingungen einwilligt. Künftig soll der Nutzer sein Einverständnis zu Cookies durch allgemeine Browser-Voreinstellungen treffen können. Ohne Einwilligung darf man demnach nur mehr Cookies, die sich nicht auf die Privatsphäre des Nutzer auswirken, ohne Einwilligung setzen. Das betrifft etwa jene Cookies, die die Besucherzahlen von Websites aufschlüsseln.

Die geforderte Einwilligung wird vor allem der Online-Werbewirtschaft einige Herausforderungen bescheren. Schließlich ist anzunehmen, dass viele Verbraucher dieses Einverständnis zur Cookie-Nutzung auf ihren Endgeräten nicht geben werden. Contextual Marketing könnte hier ein Ausweg sein. Darunter versteht man Auslieferungsverfahren für Online-Ads, die mit semantischen Verfahren arbeiten. Sie versuchen innerhalb von Sekundenbruchteilen die aktuelle Stimmung und die Interessen eines Nutzers zu verstehen und zu dem von ihm betrachteten Kontext relevante Werbung zu liefern. Der Einsatz von Cookies ist dafür nicht nötig. Es geht nur um den Abgleich des Werbebanners mit dem Inhalt und der Stimmung des Inhalts, den sich der User gerade anschaut.

Werbewirtschaft setzt auf eine gründliche Vorbereitung

In der Online-Werbewirtschaft ist das Einwilligungs-Management bereits jetzt ein wichtiges Thema. Die Branchenorganisation in Europa IAB Europe entwickelte dazu einen umfangreichen Branchenstandard. Mit seiner Hilfe soll die Umsetzung des Consent Managements so gelingen, dass sowohl die ePrivacy-Verordnung als auch die DSGVO-Bestimmungen berücksichtigt werden.

Das bereits erwähnte Transparency & Consent Framework des IAB Europe soll alle Beteiligten in der digitalen Werbekette unterstützen. Es soll zudem dafür sorgen, dass die ePVO und die DSGVO-Regelungen beim Verarbeiten von personenbezogenen Daten oder beim Zugriff und Speichern von Nutzerinformationen eingehalten werden. Hier spielen neben Cookies, Werbe- und Geräte-IDs sowie andere Tracking-Technologien eine entscheidende Rolle.

Anbieter von Online-Diensten können mit Hilfe des Frameworks Dritten auf einer rechtlich sicheren Basis die Benutzerdaten-Verarbeitung ermöglichen. So standardisiert das Framework etwa Wege zur Erlangung der Einverständniserklärung, die für die Datenverarbeitung erforderlich ist. Es erlaubt die spezifische Umsetzung der Einwilligung für einen bestimmten Werbepartner und einen bestimmten Werbezweck.

Unterstützung durch Consent Management Plattformen

Die bereits genannten Consent Management Provider bzw. Consent Management Plattformen (CMPs) sollen an dieser Stelle noch einmal hervorgehoben werden. Sie sind ein wichtiges Werkzeug für die Umsetzung der Einwilligung nach der geplanten ePVO und nach den DSGVO-Regelungen. Eine umfangreiche Liste entsprechender Consent Management Plattformen wurde von der IAB Europe veröffentlicht. Sie bieten Wirtschaftstreibenden, die mit dem Consent Mangement starten möchten, eine breite Auswahl an möglichen Diensten und Lösungen.
Eine beispielhafte Lösung für den deutschen Raum ist etwa die Usercentrics Consent Management Platform. Sie arbeitet als Software-as-a-Service-Lösung und wird vom Münchner Technologieunternehmen Usercentrics angeboten. Die Anwender können damit das Einverständnis ihrer User für Cookies, Pixel und andere Web-Technologien einholen sowie verwalten und dokumentieren.

Fazit

Der endgültige Inhalt der ePrivacy-Verordnung steht noch in den Sternen. So sperrt sich etwa Österreich gegen das Erfordernis der Einwilligung bei der Nutzung von Cookies. Mit einer Endfassung der Verordnung ist frühestens Mitte 2019 zu rechnen. Mit der Anwendbarkeit wird es voraussichtlich noch bis zum Jahr 2022 dauern.

Trotz dieses großen Zeitfensters sollten sich Verwender von Cookies schon jetzt mit der Variante einer grundsätzlichen Einwilligungspflicht auseinandersetzen. Wer jetzt eine praktikable Lösung zur Umsetzung findet, kann diese bis zur rechtlich vorgeschrieben Anwendung in Ruhe testen und optimieren. Vor allem in Sachen Consent Management ist proaktives Arbeiten empfehlenswert. Wer das passende Tool für sich findet, ist bei ePrivacy gut aufgestellt.

Wichtig ist auch, zu akzeptieren, dass die ePVO in Sachen digitale Kommunikation eine Spezialgesetzgebung ist. Man darf sie nicht als teilweisen Widerspruch der DSGVO-Regeln verstehen. Vielmehr ist sie bei der elektronischen Kommunikation eine Konkretisierung der Datenschutz-Grundverordnung der EU. Man sollte daher etwa beim Consent Management nicht bis zur Finalisierung der ePVO zuwarten.

Die Datenschutz-Aufsichtsbehörden haben deutlich gemacht, wie mit Cookies und Tracking zu verfahren ist, nachdem die DSGVO-Bestimmungen zu erfüllen sind. Dreh- und Angelpunkt ist hier die Einwilligung des Nutzers.

 

 

Weitere interessante Artikel:

 

 

Disclaimer

Usercentrics GmbH bietet keine Rechtsberatung an. Der Inhalt dieses Artikels ist nicht rechtsverbindlich. Der Artikel stellt die Meinung von Usercentrics dar.