14.02.2018

Was bedeutet die ePrivacy-Verordnung für die Onlinebranche?

 

Sie wird als Schreckgespenst oder Damoklesschwert betitelt und versetzt die Onlinebranche in Aufregung: die ePrivacy-Verordnung der Europäischen Union. ePrivacy GmbH fasst für Sie zusammen, was bisher geschah und welche Auswirkungen die Verordnung möglicherweise auf die Onlinebranche haben wird.

Was bisher geschah

Den ersten offiziellen Entwurf der neuen ePrivacy-Verordnung (ePV) hat die EU-Kommission bereits am 10. Januar 2017 vorgestellt: Die vorgeschlagene EU-Verordnung sollte die alte ePrivacy-Richtlinie (Richtlinie 2008/58/EG) ersetzen und die ab Mai 2018 gültige Datenschutz-Grundverordnung (DSGVO) im Hinblick auf personenbezogene elektronische Kommunikationsdaten präzisieren und ergänzen. Dieser Entwurf der geplanten ePrivacy Verordnung wurde dem EU-Parlament und dem EU-Rat zugestellt.

Nach langen Verhandlungen hat der im EU-Parlament für die ePrivacy-Verordnung zuständige LIBE-Ausschuss am 19. Oktober 2017 über den Entwurf abgestimmt. Dieser im Ausschuss abgestimmte Entwurfstext wurde eine Woche später zur Überraschung der Onlinebranche quasi unverändert durch das EU-Parlament angenommen. Parallel dazu hat sich auch der EU-Rat in einer Arbeitsgruppe mit dem Entwurf beschäftigt. Die Mitgliedsstaaten waren aufgefordert, ihre Stellungnahmen bis zum 14. August 2017 dorthin zu übersenden.

Mit der Annahme des Entwurfes durch das EU-Parlament erfolgte das Mandat für den nächsten Verfahrensschritt – die Verhandlungen des EU-Parlaments mit dem EU-Rat. 2018 sollen die sogenannten Trilog-Verhandlungen zwischen Kommission, Parlament und Rat abgeschlossen werden und die Verordnung in Kraft treten. Ob die Kommission ihr angepeiltes Zieldatum – Mai 2018 ­– halten kann, ist jedoch höchst unklar. Experten gehen eher von einer Umsetzung in 2019 aus.

Wesentliche Regelungen für die Onlinebranche

Die neue Definition des Begriffs „Direktvermarktung“ in Art. 4 Abs. 3 f ePV stellt klar, dass auch Onlinewerbung als Direktmarketing-Kommunikation verstanden wird.

Cookies dürfen ohne ausdrückliche Einwilligung nur noch verarbeitet werden, wenn sie „streng erforderlich“ oder zwingend technisch notwendig sind, um einen Dienst zu erbringen (Art. 8 Abs. 1 a, 2).

Die Verwendung von „Cookie-Walls“ soll verhindert werden und eine damit erzwungene Einwilligung unwirksam sein, denn das mehrfache Bitten um Zustimmung wird als Missbrauch angesehen. Um dieses zu verhindern, sollen Nutzer Diensteanbieter beauftragen können, sich an ihren Widerspruch zu erinnern. Die Anbieter sollen die Speicherung der Nutzerentscheidung durch technische Spezifikationen sicherstellen. Dies könnte zum Beispiel eine „Dont ask me again“- Schaltfläche sein, durch die der Nutzer ausschließen kann, dass ein Diensteanbieter von Zeit zu Zeit nachfragt, ob die Nichtzustimmung nach wie vor gilt.

Im Falle der Ablehnung von Cookies muss der Nutzer eine alternative Möglichkeit erhalten, das jeweilige Angebot auch ohne den Einsatz von Cookies zu nutzen (Art. 9 Abs. 2).

Der Einsatz von Cookies ist zulässig, wenn der Nutzer seine Einwilligung erteilt hat. Die neue Formulierung besagt aber jetzt, dass die Einwilligung für spezifische Zwecke gegeben werden muss und keine Bedingung für den Zugang zum Service sein darf.

Der Entwurf sieht vor, dass Nutzer bei erstmaliger Installation des Browsers (oder bei einem neuen Update) „einstellen“ müssen, ob sie Cookies und, wenn ja, welche Art von Cookies sie zulassen. Da 90 % der Nutzer eine restriktive Einstellung wählen werden, also insbesondere keine Third-Party Cookies zulassen werden, „schließt die Verordnung das Endgerät faktisch ab“ (so der Verband Privater Rundfunk und Telemedien VPRT). Die Verordnung sieht keinen Automatismus vor, der bei nachträglicher Einwilligung des Nutzers den Browser wieder aufschließt. Untersagt sind damit faktisch insbesondere das domainübergreifende Tracking und die Speicherung von Informationen über das Endgerät durch Dritte. Retargetingmodelle werden faktisch kaum noch umsetzbar.

Erteilte Einwilligungen müssen jederzeit widerrufen werden können. Zudem muss in regelmäßigen Abständen von sechs Monaten an diese Möglichkeit erinnert werden.

Cookies sind nur noch in Ausnahmen zulässig, nämlich (Art. 8 I):

a) sie sind für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder

b) der Endnutzer hat seine Einwilligung nach Maßgabe von Art. 9 gegeben (d.h. – sehr unwahrscheinlich –  faktisch über den Browser) oder

c) sie sind für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig oder

d) sie sind für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt oder

e) sie sind für die Sicherheit und Integrität des Dienstes erforderlich.

Nach Art. 10 muss zukünftig bei der Installation eines Browsers der Endnutzer über die Einstellungsmöglichkeiten zur Privatsphäre informiert werden und seine Einwilligung zu einer Einstellung geben, bevor die Installation fortgesetzt wird.

Software, die den Zugang zum Internet ermöglicht (also ein Browser), muss künftig „standardmäßig […] verhindern, dass andere Parteien Informationen über das Endgerät eines Nutzers übertragen oder speichern und Informationen verarbeiten, die bereits auf dem Endgerät gespeichert oder von diesem Gerät gesammelt wurden“. Diese Default-Vorgabe verhindert standardmäßig die Verwendung aller Cookies, es sei denn, dass dies für das Funktionieren eines Online-Services technisch unbedingt erforderlich ist.

Es wurde ein neuer Absatz eingeführt, in dem es heißt: „keinem Nutzer darf der Zugang zu Diensten oder Funktionen der Informationsgesellschaft verwehrt werden, unabhängig davon, ob diese Dienste vergütet werden oder nicht, mit der Begründung, dass sie ihre Einwilligung zur Verarbeitung personenbezogener Daten und/oder zur Nutzung der Verarbeitungs- oder Speicherfähigkeit ihrer Endgeräte nicht erteilt haben, die für die Bereitstellung dieser Dienste oder Funktionen nicht erforderlich ist“. Dies würde es nach Ansicht des BVDW den Publishern wohl weiterhin ermöglichen, Benutzer von der Nutzung ihres Dienstes auszuschließen, solange sie den Zugriff auf ihre Website ohne Datenerhebung im Rahmen eines Bezahlmodells ermöglichen.

Die „Ausnahme der Reichweitenmessung“ wurde so geändert, dass sie nicht mehr auf die „Messung von Webpublikum“ beschränkt ist, sondern auch von einer ersten Partei oder im Auftrag der „ersten Partei“ oder einer „Web-Analytics-Agentur im öffentlichen Interesse“ durchgeführt werden kann. Dritten, die Reichweitenmessungen im Auftrag Dritter durchführen, ist es untersagt, Daten mit Daten anderer zu verschmelzen.

Haben Sie weitere Fragen zur ePrivacy Verordnung ? Dann melden Sie sich gern bei uns!

Dr. Frank Eickmeier 

 

 

Haben Sie Fragen oder anregungen an uns?

Sprechen Sie uns gerne an