ePrivacy Auswirkungen in der Praxis

ePrivacy - Auswirkungen in der Praxis

Die durch die DSGVO bedingten Umsetzungsmaßnahmen stellten (und stellen) sich aufgrund zahlreicher ungeklärter Auslegungsfragen in der Praxis als kompliziert dar. Ebenso sind die Herausforderungen, die die ePrivacy-Verordnung für die Praxis hervorrufen wird, sowohl vielfältig als auch komplex.

Die durch die DSGVO bedingten Umsetzungsmaßnahmen stellten (und stellen) sich aufgrund zahlreicher ungeklärter Auslegungsfragen in der Praxis als kompliziert dar. Ebenso sind die Herausforderungen, die die ePrivacy-Verordnung für die Praxis hervorrufen wird, sowohl vielfältig als auch komplex. Bereits jetzt sollten deshalb aus der Unternehmensperspektive vorbereitend und vorsorglich mögliche, aus der ePrivacy-Verordnung voraussichtlich resultierende Anpassungserfordernisse näher betrachtet werden.

Wer ist betroffen?

Zum Anwendungsbereich der ePrivacy-Verordnung gehören:

  • Inhaltsdaten, die die Kommunikation selbst betreffen
  • Metadaten, insbesondere betreffend angerufene Nummern, aufgerufene Webseiten, Standortdaten und Weiteres

Somit wird unter anderem die Nutzung von Cookies von der ePrivacy-Verordnung berührt werden.

Ferner wird die ePrivacy-Verordnung gelten für Informationen in Bezug auf die Endeinrichtung der Endnutzer. Dazu gehören beispielsweise:

  • Computer
  • Smartphones
  • Tablets

Von der ePrivacy-Verordnung betroffen sind darüber hinaus auch weitere, neuartige Formen von Kommunikationsdiensten. Gemeint ist damit jeder datengestützte Informationsaustausch. Hierzu zu rechnen sind beispielsweise:

  • Over-The-Top-Dienste
  • Messenger-Dienste
  • webbasierte E-Mail-Dienste
  • der Datenaustausch zwischen Maschine und Maschine

Die geplante e-Privacy-Verordnung wird demnach weitreichende Auswirkungen auf die gesamte Online-Branche haben.

ePrivacy-Verordnung und eCommerce

Elektronische Kommunikationsdaten sind vertraulich und unterliegen somit (auch) dem Schutz des Fernmeldegeheimnisses. Eingriffe werden in Art. 5 des Entwurfs der ePrivacy-Verordnung zunächst untersagt, bevor die darauffolgenden Artikel verschiedene Ausnahmen von diesem Verbot aufführen. Eine für die Praxis besonders bedeutsame Rolle spielen nach dem Entwurfstext der ePrivacy-Verordnung vor allem folgende Artikel:

  •  Art. 6 (zur erlaubten Verarbeitung elektronischer Kommunikationsdaten)
  •  Art. 8 (zur Verarbeitung und Speicherung von Informationen über Endnutzer)

Darüber hinaus sind im Datenschutzrecht regulatorische Ansätze üblich. Dazu gehören Regelungen zur

  • technischen Erforderlichkeit
  • Einwilligung der Betroffenen

In diesem Sinne könnten Endgeräteinformationen verarbeitet werden dürfen, falls dies im Rahmen des Kommunikationsvorgangs oder eines gewünschten Dienstes (technisch) erforderlich ist oder der Endnutzer einwilligt. Wie schon die DSGVO sieht der Entwurf der ePrivacy-Verordnung bei einem Verstoß empfindliche Bußgelder und Sanktionen vor.

Auswirkungen der ePrivacy-Verordnung auf Cookies

Wichtige neue Regelungen trifft die ePrivacy-Verordnung überdies in Bezug auf Cookies. Damit verbunden sind relevante Änderungen insbesondere für die Digitalwerbung. Bereits die geltende ePrivacy-Richtlinie legte hierfür einen europäischen Rechtsrahmen fest. Als Richtlinie galt sie aber nicht unmittelbar in den Mitgliedsstaaten. Die jeweilige staatliche Umsetzung divergierte folgerichtig stark. So erfolgte in Deutschland die Umsetzung beispielsweise nicht explizit, sondern es wurde davon ausgegangen, die bestehenden Rechtsnormen genügten bereits den Anforderungen. Hier schafft die ePrivacy-Verordnung eine begrüßenswerte Einheitlichkeit, da sie unmittelbar in allen Mitgliedstaaten anwendbar sein wird.

Generell bestimmt der Entwurf der ePrivacy-Verordnung, dass Cookies mit Auswirkungen auf die Privatsphäre des Endnutzers nur nach vorheriger, ausdrücklicher Einwilligung gesetzt werden dürfen. Ausgenommen sind somit beispielsweise Cookies, die lediglich die Besucheranzahl einer Webseite analysieren. Die Zustimmung oder die Ablehnung von Cookies soll durch allgemeine Voreinstellungen im Browser getroffen werden können.

Anforderungen werden damit primär an Browser-Anbieter gerichtet. Jeder Browser-Anbieter muss Folgendes implementieren:

  • einen Do-Not-Track-Mechanismus
  • einen Differenzierungsmechanismus

Dieser Differenzierungsmechanismus betrifft insofern:

  • eigene Cookies des Webseitenbetreibers (sog. First-Party-Cookies)
  • Cookies von Drittanbietern (sog. Third Party Cookies)

ePrivacy-Verordnung und Third Party Cookies

Werbeunternehmen, die ihre Aktivitäten primär über Third-Party-Cookies steuern und auf Werbeformen wie dem sogenannten Retargeting basieren, werden von einer versagten Einwilligung erheblich berührt. Das betrifft wiederum insbesondere die Finanzierung derjenigen Webseiten, deren Einnahmen maßgeblich von Third-Party-Cookies abhängig sind. Mögliche Alternativen wären kontextuelles Targeting sowie semantisches Targeting. Beides wäre ohne Cookies und ohne personenbezogene Datenerhebung realisierbar.

Darüber hinaus soll eine einmal erteilte Einwilligung nach sechs Monaten widerrufen werden können. Die Löschung bestimmter Datensätze, insbesondere betreffend personenbezogene Daten, muss deshalb jederzeit möglich sein. Dieses Erfordernis könnte einen hohen technischen Modifikationsaufwand erfordern. Weiterhin anzuführen sind diesbezüglich

  •  Pflichten für die Betreiber öffentlich zugänglicher Kommunikationsdienste und Verzeichnisse
  • Prüfmöglichkeit für Webseiten-Betreiber, ob Nutzer Adblocker verwenden

Art. 16 der ePrivacy-Verordnung

Eine weitere wichtige Änderung sieht Artikel 16 des Entwurfs der ePrivacy-Verordnung vor. Diese Norm betrifft die Direktwerbung über elektronische Kommunikationsdienste. Eine solche Direktwerbung bedarf der vorherigen Einwilligung. Ausgeweitet wird zudem der Anwendungsbereich, denn unter die betroffenen elektronischen Kommunikationsdienste fallen nun unter anderem (auch) OTT-Dienste. Daher können beispielsweise Privatnachrichten in sozialen Netzwerken oder Messenger-Diensten Direktwerbung darstellen. Der Begriff Werbung dürfte in Anlehnung an die bisherige Rechtsprechung weit zu verstehen sein und in diesem Sinne beispielsweise auch Bewertungsanfragen umfassen. Werbung via E-Mail bleibt nach dem aktuellen Stand des Entwurfs der ePrivacy-Verordnung grundsätzlich erlaubt. Voraussetzung dafür ist allerdings, dass

  • die E-Mail-Adresse mit dem Verkauf eines Produktes erlangt wurde,
  • die Direktwerbung eigene ähnliche Produkte betrifft und
  • dem Kunden die Widerspruchsmöglichkeit ersichtlich gemacht wird

Über den Charakter als Werbung ist der Empfänger zu informieren.

Artikel veröffentlicht am: 23. November 2018

 

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr