Von der Richtlinie zur Verordnung
Gleichzeitig löst die neue ePrivacy-Verordnung zwei bisher geltende Richtlinien ab, nämlich die @LINK=http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32002L0058&from=DE[E-Privacy-Richtlinie (2002/58/EG)][E-Privacy-Richtlinie (2002/58/EG)]@ und die als Ergänzung beigefügte @LINK=http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:de:PDF[Cookie-Richtlinie (2009/136/EG)][Cookie-Richtlinie (2009/136/EG)]@. Obwohl die endgültige Entscheidung von europäischem Parlament und Europäischem Rat über die bisherigen Entwürfe noch aussteht, zeigt sich allerdings schon durch den veränderten Status von der Richtlinie zur verbindlichen Verordnung, dass es der EU mit dem Datenschutz durchaus ernst ist.
Die ePrivacy-Verordnung ist Bestandteil der General Data Protection Regulation der EU und hat womöglich weitreichende Konsequenzen. fotolia.com ©mixmagic
Aus Sicht der Europäischen Union wird damit weiter an einer Gesetzesgrundlage zum Datenschutz gearbeitet, die schon jetzt über den EU-Raum hinaus Auswirkungen hat. Die bisherigen gesetzlichen Regelungen verfügen demnach über eine gewisse internationale Strahlkraft, da der räumliche Anwendungsbereich deutlich über die Grenzen der EU hinausgeht. Genauso dürfte es sich mit der ePrivacy-Verordnung verhalten, allerdings sind bei dieser selbst für den Binnen-Datentransfer die Konsequenzen noch nicht in ihrer ganzen Tragweite abzusehen.
Das liegt unter anderem daran, dass auch sogenannte OTT-Dienste (Over-The-Top) in die Regelungen der Verordnung einbezogen werden sollen. Von Webmail-Diensten über Instant-Messaging (wie etwa WhatsApp) bis hin zur Video-Telefonie (wie etwa Skype) kommen also einige neue Bereiche hinzu, deren Handhabung nach dem bisherigen deutschen Telekommunikationsgesetz rechtlich noch in vielerlei Hinsicht ungeklärt war.
Diese Klärung der Gesetzeslage übernimmt nun die ePrivacy-Verordnung, indem sie für eine Gleichstellung zwischen OTT-Diensten und „klassischen“ Telekommunikationsdiensten sorgt. Letztere dürften die Neuregelung begrüßen, da nun alle Dienstleister gleichermaßen unter strengere Regulierungen fallen. Bisher galt das vorwiegend für TK-Anbieter, die bereits an die Zugangs- und Entgeltregulierungen sowie entsprechende Verbraucher- und Datenschutzvorschriften des TKG gebunden sind.
In Zukunft werden auch Instant-Messaging-Dienste mit strengeren Regularien in puncto Datenschutz arbeiten müssen. fotolia.com ©Sara Michilin
Zielsetzung und geplante Änderungen
Darüber hinaus geht es bei der Verordnung (unter anderem) darum, den bislang von den Mitgliedstaaten unterschiedlich praktizierten Umgang mit Cookies – kleine Dateien, die von Webseiten auf dem Computer des Nutzers hinterlegt werden, damit dieser beim späteren Aufrufen einer Seite direkt wiedererkannt wird – zu vereinheitlichen. In der Praxis kommen nach wie vor zwei Verfahren zum Einsatz:
- Bei der Opt-Out-Regelung können Cookies auch ohne die explizite Zustimmung der Nutzer eingesetzt werden. So wird es derzeit noch in Deutschland auf Basis des Telemediengesetzes gehandhabt.
- Die Opt-In-Regelung hingegen sieht eine aktive Einverständniserklärung der Nutzer vor.
Neben der Vereinheitlichung dieser parallel angewendeten Regelungen geht es bei der ePrivacy-Verordnung ebenfalls um eine Vereinfachung. Im Einklang mit der Zielsetzung der DSGVO sollen so in erster Linie die Nutzer europaweit noch mehr Einfluss auf den Umgang mit personenbezogenen Daten gewinnen. Zu diesem Zweck führt die ePrivacy-Verordnung neue Regelungen bezüglich des Umgangs mit Cookies ein:
- Ohne die Einwilligung der Nutzer dürfen zukünftig nur noch Cookies eingesetzt werden, die keinerlei Auswirkungen auf deren Privatsphäre haben. Darunter würden beispielsweise solche Cookies fallen, die nur für die Registrierung der Besucherzahlen auf einer bestimmten Website zuständig sind.
- Dienen die Cookies allerdings der Wiedererkennung der Nutzer (das sogenannte „Retargeting“), betrifft das die Privatsphäre und macht eine ausdrückliche Zustimmung durch den Nutzer notwendig. In diesem Zusammenhang wird von „unambiguous consent“ gesprochen.
Die Verordnung sieht dazu eine vereinfachte Möglichkeit für die Nutzer vor, um darüber zu entscheiden, welche Cookies sie akzeptieren möchten und welche nicht. Einwilligung und Ablehnung sollen durch allgemeine Voreinstellungen im Browser festgelegt werden können. Voraussetzung hierfür ist aber unter anderem, dass der Browser über einen Do-Not-Track-Mechanismus verfügt, der einerseits Cookies von direkt besuchten Webseiten akzeptieren, die von Drittanbietern (sogenannte „Third Party Cookies“) aber ablehnen kann.
Apple hat ein solches Feature zum Beispiel bereits im vergangenen Jahr für den Safari-Browser eingeführt. Mit der ePrivacy-Verordnung würden solche Einstellungsmöglichkeiten der Standard werden. Für die Nutzer könnte das unter anderem bedeuten, in Zukunft von den üblichen Hinweis-Bannern verschont zu bleiben.
Daneben räumt die Verordnung den Nutzern auch deutlich mehr Rechte zu, wenn es um den Widerruf einer einmal erteilten Einwilligung geht. Ein solcher Rücktritt von der Einverständniserklärung soll demnach alle sechs Monate möglich sein. Webseiten-Betreiber wiederum sollen Unterstützung gegen AdBlocker erhalten. Die Regelungen der Verordnung sollen den Betreibern zugestehen, Nutzer von ihrem Angebot auszuschließen, sollten diese AdBlocker verwenden. Ob hierfür allerdings überhaupt die rechtlichen Grundlagen geschaffen werden können, ist derzeit noch völlig offen.
Umsetzung weiterhin vertagt
Ebenso offen ist derzeit noch die Frage, wann die ePrivcay-Verordnung abgesegnet werden und in Kraft treten könnte. Ursprünglich sollte dies parallel zur DSGVO geschehen, seit Oktober 2017 ist allerdings kaum noch Bewegung im Entscheidungsfindungsprozess, der eine Lösung bringen soll, die von allen EU-Mitgliedstaaten mitgetragen wird. Der Bundesverband Digitale Wirtschaft (BVDW) e.V. geht beim aktuellen Stand der Entwicklung nicht davon aus, dass die Verordnung vor Ende 2019 in Kraft treten wird – was zudem, wie bei der DSGVO, mit einer Übergangsfrist (voraussichtlich von mindestens einem Jahr) verbunden wäre.
Zwar hat die bulgarische EU-Ratspräsidentschaft am 22. März noch einmal neue Vorschläge für die Regelungsinhalte vorgelegt. Die Aussichten auf einen Konsens sind aber weiterhin eher schlecht. Ähnlich beurteilt der BVDW die jüngsten Veränderungsvorschläge, die in einer Zusammenfassung der Veröffentlichung als „teils marginal, teils unverständlich bzw. in der Konsequenz nicht hilfreich“ bezeichnet werden. Eine „echte Beschäftigung/Beantwortung“ mit und von offenen Fragen, die bereits im Januar 2018 gestellt wurden, sei nicht zu erkennen.
Nach wie vor suchen die Mitgliedstaaten der EU nach einer gemeinsamen Lösung für die ePrivacy-Verordnung. fotolia.com ©areporter
Dabei hatte der unabhängig wirkende Europäische Datenschutzbeauftragte Giovanni Butarelli bereits im Vorfeld der bulgarischen Vorschläge in einer eigenen Veröffentlichung seiner Meinung darauf hingewiesen, wie wichtig es sei, den Wortlaut der ePrivacy-Verordnung zu verdeutlichen. Butarelli geht es dabei zwar in erster Linie um wirksame rechtliche Maßnahmen, um die Möglichkeiten der Online-Manipulation einzuschränken. Dennoch können seine Ausführungen ohne Zweifel in dem Sinne verstanden werden, dass es im gesamten Entscheidungsprozess auf mehr Klarheit ankommt.
Unterschiedliche Interessenlagen
Butarelli kann sich mit dieser Forderung auf eine breite gesellschaftliche Zustimmung berufen, die nach dem Datenskandal um Facebook und Cambridge Analytica auch öffentlich immer lauter wiederholt wird. Ungeachtet der Tatsache, dass das Datensammeln und -auswerten zu kommerziellen Zwecken kein Geheimnis ist, hat dieser Fall in aller Deutlichkeit aufgezeigt, welche Dimensionen der missbräuchlichen Datenverarbeitung möglich sind.
In der Folge steigt bei den Nutzern der Wunsch, bei der Erhebung und Weiterverarbeitung personenbezogener Daten wieder ein größeres Mitbestimmungsrecht zu haben. Die ePrivacy-Verordnung zielt genau darauf ab, allerdings spielt die wirtschaftliche Dimension eine nicht unerhebliche Rolle. Betreffen könnten die Regelungen der Verordnung nämlich weite Teile der personalisierten Online-Werbung, die sich in den vergangenen Jahren zu einem der erfolgreichsten Geschäftsmodelle entwickelt hat.
Wenn Tracking schon über die Browser-Voreinstellungen abgestellt werden kann, bedroht das die gesamte Online-Werbebranche. fotolia.com ©ruslan_khismatov
Das Online-Marketing ist auf Cookies angewiesen, nicht zuletzt auf genau die Third Party Cookies, die in Zukunft mit den strengsten Einschränkungen behaftet sein werden. Werden diese, wie es die Verordnung vorsieht, von den Nutzern schon in den Voreinstellungen abgeschaltet, ist das Tracking unmöglich. Wünschenswert für die Nutzer, die so sicherstellen können, an wen ihre Daten gehen.
Drastische Veränderungen der Online-Werbung
Ohne diese Daten fehlt jedoch der Online-Werbebranche die Grundlage, um personalisierte Angebote auf den angesteuerten Webseiten zu platzieren. Einzige Möglichkeit beim derzeitigen Stand des Entwurfs: Für jedes eingeblendete Werbebanner wird erst die Einwilligung des Nutzers eingeholt. Unter diesen Voraussetzungen befürchtet die Werbeindustrie Verluste in Milliardenhöhe, betroffen sind aber genauso die Seitenbetreiber, die ihrerseits auf die Werbeeinnahmen angewiesen sind.
Das Wissenschaftliche Institut für Infrastruktur und Kommunikationsdienste spricht in diesem Zusammenhang sogar von einer existenziellen Gefährdung werbefinanzierter digitaler Geschäftsmodelle. Zudem drohen bei Missachtung der Verordnung hohe Bußgelder, angelehnt an die DSGVO liegt der Höchstbetrag bei bis zu vier Prozent des weltweiten Vorjahresumsatzes oder bei bis zu 20 Millionen Euro.
Wie sich der Bereich der Online-Werbung mit dem Inkrafttreten der ePrivacy-Verordnung verändern wird, ist aber einerseits noch nicht abzusehen, andererseits zumindest in Teilen noch spekulativ: Bewegung wird aller Wahrscheinlichkeit nach erst dann wieder in den Prozess kommen, wenn die EU-Ratspräsidentschaft im Juli an Österreich weitergegeben wird. An den Eckpfeilern der Verordnung mit ihren Maßnahmen für einen selbstbestimmteren Umgang mit Tracking wird das allerdings nichts mehr ändern.