Neues von der ePrivacy-Verordnung

Während fünf Monate nach Inkrafttreten der Datenschutzgrundverordnung zumindest vorerst wieder etwas Ruhe in der Onlinemarketing-Branche einkehrt, dauern die Verhandlungen zur ePrivacy-Verordnung im Europäischen Rat an. Nach dem ursprünglichen Plan der Europäischen Kommission hätte die ePrivacy-VO als „Schwestergesetz“ der DSGVO bereits im Mai in Kraft treten sollen – nach Druck insbesondere der deutschen Branchenverbände waren die Regierungen aber erst einmal wieder in die Beratungen eingetreten. Währenddessen machte sich Ungewissheit breit, insbesondere zu der wichtigen Frage, ob für das Online-Tracking zukünftig tatsächlich eine (vorherige und freiwillige) Einwilligung der betroffenen Nutzer eingeholt werden muss.

Seit vergangenen Freitag liegt nun ein neuer Entwurf der österreichischen Ratspräsidentschaft für die ePrivacy-Verordnung vor – wir haben uns aus diesem Anlass die Frage gestellt: Was ist eigentlich der Stand der Verhandlungen?

  • Der aktuelle Zeitplan: Eine Entscheidung zum weiteren Vorgehen – also eine Verabschiedung der Verordnung noch 2018 oder eine Vertagung bis nach der Europawahl im Mai 2019 – fällt in der zuständigen Arbeitsgruppe des Rats schon in den nächsten Tagen. Wir gehen derzeit eher vom zweiten Szenario aus. Zu bemerken ist dabei auch, dass der aktuell vorliegende Entwurf der österreichischen Ratspräsidentschaft eine zweijährige Übergangsfrist vorsieht, was die deutsche Bundesregierung auch unterstützt.
  • Der Stand der Verhandlungen: Bei einem Teil der Verhandlungspunkte wurde im Europäischen Rat bereits Einigung erzielt, viele Punkte sind jedoch nach wie vor offen. Insbesondere stellt sich die Frage, bei wie vielen Themen noch gar keine echte Diskussion stattgefunden hat und wo sich hier noch unsicheres Terrain auftun könnte.
  • Der geplante Regelungsansatz: Die Grundregel der ePrivacy-Verordnung ist nach wie vor, dass die dort geregelten Verarbeitungstatbestände der Einwilligung des Betroffenen bedürfen (es gibt also nicht sechs Rechtsgrundlagen wie in Art. 6 Abs. 1 DSGVO) – die Musik spielt dann aber im gesetzlichen Ausnahmekatalog.
  • Standortdaten: Aus unserer Sicht relevant ist zunächst, dass das Thema „Standortdaten“ und deren Nutzung noch vollkommen offen ist. Die deutsche Bundesregierung setzt sich dafür ein, eine – wie auch immer geartete – „pseudonymisierte“ Nutzung zu erlauben.
  • Cookies und Tracking: Vollkommen offen ist auch noch das Thema „Cookies“ (mit diesem Sammelbegriff meinen wir an dieser Stelle auch alle anderen Identifikations- und Trackingmechanismen) in Artikel 8 des ursprünglichen Entwurfs der Europäischen Kommission. Die deutsche Bundesregierung fordert, dass das Kopplungsverbot im Kommissionsentwurf dahingehend abgeschwächt werden soll, dass also werbefinanzierte Dienste nicht ohne Einwilligung nutzbar sein müssen. Spannend ist insbesondere vor diesem Hintergrund, dass der am vergangenen Freitag veröffentlichte neue Diskussionsentwurf der österreichischen Ratspräsidentschaft dazu vorsieht, Tracking in werbefinanzierten Diensten unter die Definition der Ausnahme „zur Erbringung eines Dienstes erforderlich“ zu fassen. Das wäre ein großer Erfolg für die Onlinemarketing-Branche, da dann die ePrivacy-Verordnung das bestehende Tracking im Wesentlichen nicht tangieren würde.
  • Browser-Lösung: Vollkommen offen ist der Vorschlag zur so genannten Browser-Lösung, dem Nutzer die Entscheidung über Tracking zu Marketing-Zwecken über seine Browser-Einstellungen zu überlassen (Artikel 10 des Kommissionsentwurfs). Die Bundesregierung und auch die französische Regierung unterstützen diese Idee, sie ist aber nach wie vor umstritten.
  • Keine Ausnahmen für KMU: Nicht geplant sind Ausnahmen für kleine und mittelständische Unternehmen. Das heißt, dass das Gesetz für alle Unternehmen gleichermaßen gelten wird. Im Wesentlichen werden aber von den neuen Regeln ohnehin nur spezialisierte Dienstleister unmittelbar betroffen sein.
  • Die Position der Aufsichtsbehörden: Bis zum Inkrafttreten der ePrivacy-Verordung stellt sich die Frage, inwieweit die Aufsichtsbehörden auf der Grundlage der DSGVO gegen das Tracking zu Werbezwecken vorgehen wollen, sofern es ohne Einwilligung der Nutzer geschieht. Aus unserer Sicht wäre das eine „vorauseilende Umsetzung“ der ePrivacy-Verordnung mit den Mitteln der DSGVO. Die deutschen Aufsichtsbehörden haben in einer gemeinsamen Positionsbestimmung Anfang des Jahres verlautbart, dass sie an ihrer Auffassung festhalten, dass das deutsche Telemediengesetz (genauer: § 15 Abs. 3) die ePrivacy-Richtlinie unvollständig (das heißt falsch) umsetzt. Für November ist offenbar eine Entscheidung über das weitere Vorgehen der Aufsichtsbehörden geplant. Dies hängt möglicherweise im Wesentlichen davon ab, wie der weitere Zeitplan zur ePrivacy-Verordnung aussieht. Völlig ignoriert wird dabei aus unserer Sicht nach wie vor die Existenz des Artikel 6 Abs. 1 lit. f DSGVO (Verarbeitung personenbezogener Daten auf der Grundlagen berechtigter Interessen) und des Erwägungsgrunds 47 a.E. („Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“).
  • Unser Fazit: Die derzeitigen Entwicklungen im europäischen Rat sind aus Sicht der Onlinemarketing-Branche äußerst positiv zu bewerten. Es wird also keine Rückkehr zum reinen contextual advertising geben, wie ursprünglich zu befürchten war. Zu diskutieren bleibt, ob werbefinanzierte Inhalte das Modell der Zukunft bleiben, oder ob der Trend nicht doch hin zu registrierungsbasierten Diensten geht.

Brand Safety als rechtliche Pflicht? Zur Störerhaftung werbender Unternehmen

Werbung auf Websites mit redaktionellem Inhalt zu schalten oder schalten zu lassen, ist mit gutem Grund einer der beliebtesten Wege, auf sich als Unternehmen aufmerksam zu machen. Man erreicht den potenziellen Kunden quasi beiläufig. Um die eigene Marke im Netz zu schützen, greifen viele Unternehmen zu so genannten Brand Safety-Maßnahmen, das heißt, dass Werbung nur in markenkonformen Umfeldern im Internet ausgespielt wird.

Doch was passiert, wenn – unter Umständen unbewusst  Werbung auf einer Internetseite geschaltet wird, die durch ihr Angebot rechtsverletzend handelt? Kann der Werbende dafür haftbar gemacht werden?

Das Landgericht Frankfurt am Main entschied in diesem Zusammenhang schon vor einigen Jahren über einen Fall, in dem ein Interessenverband gegen ein bekanntes Telekommunikationsunternehmen auf Unterlassung klagte. Dieses warb auf einer Filesharing-Website für seine DSL-Flatrates. Die Website, auf der geworben wurde, bot fast ausschließlich Raubkopien sowie jugendgefährdende Medien an.Auch nach ersten einer (kostenfreien) Abmahnung durch den Interessenverband hatte das Telekommunikationsunternehmen die Werbung nicht offline genommen.

Klar ist dabei: Wer Raubkopien oder für jedermann zugängliche jugendgefährdende Filme auf seiner Website anbietet, macht sich strafbar und begeht nach § 3a UWG selbst einen Wettbewerbsverstoß.

Doch das Landgericht urteilte, auch das nur auf der Website mit herkömmlichen Bannern werbende Unternehmen sei zumindest ab Kenntnis Störer des Wettbewerbsverstoßes, da es dem Websitebetreiber durch die Werbung zu „erheblichen Einnahmen verhelfe“ und damit schon als „mitursächlich für die Existenz des rechtswidrigen Angebots“ anzusehen sei. Er nutze den Wettbewerbsverstoß des Seitenbetreibers aus, indem es auf dessen Website Werbung schaltete.

Als Störer haftet nämlich auch derjenige auf Unterlassung, der – auch wenn er weder Täter noch Teilnehmer eines Wettbewerbsverstoßes ist – in irgendeiner Weise willentlich und kausal zur einer Rechtsverletzung beiträgt.

Für Werbetreibende heißt das Folgendes:

Zwar gilt die Störerhaftung, so wie sie das LG Frankfurt statuiert, erst ab Kenntnis. Jeder, der Online-Marketing betreibt, sollte vor dem Hintergrund dieser Rechtsprechung jedoch aktiv brand-safety-Maßnahmen vornehmen.

Vor allem aber empfiehlt es sich, als Werbetreibender Werbenetzwerke vertraglich in die Pflicht zu nehmen, keine Werbung auf Websites mit rechtsverletzenden Inhalten zu schalten, um sie im Fall eines Rechtsstreits mit einem Mitbewerber oder Verband in Regress nehmen zu können.

Rechtliche Grenzen des E-Mail-Marketings – Was ändert sich durch die DSGVO?

Wenn es um E-Mail-Marketing geht, kursiert derzeit eine Reihe von Missverständnissen: Müssen für das E-Mail-Marketing neue Einwilligungen von den Empfängern eingeholt werden – und wenn ja, in welcher Form?

E-Mail

Zunächst erforderte jede E-Mail, die als „Werbung“ eingestuft werden kann, schon vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) ein so genanntes Double-Opt-in. Das Double-Opt-in ist die ausdrückliche Zustimmung des Empfängers in zwei Schritten: Wenn ein Kunde beispielsweise einen Newsletter abonnieren möchte, erfolgt in einem ersten Schritt die Einwilligung für den Eintrag in die Abonnenten-Liste. Im zweiten Schritt wird dem Kunden eine E-Mail mit der Bitte zugesandt, die Einwilligung zu bestätigen, um Missbrauch auszuschließen.

Sodann stammt das Erfordernis des Double-Opt-ins zum Schutz vor Spam tatsächlich nicht aus dem Datenschutzrecht, sondern aus dem Wettbewerbsrecht, wie auch der Begriff der E-Mail-„Werbung“ selbst (§ 7 Abs. 2 Nr. 2 UWG). „Werbung“ ist danach jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen zu fördern.

Die gute Nachricht: Wer bisher alles richtig gemacht hat, für den ergeben sich durch die DSGVO keine Änderungen.

Zu bedenken ist jedoch immer, dass auch eine E-Mail, in der um eine Einwilligung seitens des Empfängers gebeten wird, als Werbung zu betrachten ist, womit ein Double-Opt-in erforderlich ist. Deshalb waren die zahlreichen E-Mails, die viele Unternehmen kurz vor Inkrafttreten der DSGVO mit der Bitte um Abgabe einer wirksamen Einwilligung an ihre Kunden versandt haben in vielen Fällen rechtswidriger Spam und darüber hinaus sogar unwirksam, wenn dem Kunden nur die Möglichkeit zum Opt-out gegeben wurde.

Wie geht man vor, wenn das Double Opt-in bisher fehlte?

Für die unternehmerische Praxis ergeben sich drei Möglichkeiten.

  • Wenn bislang E-Mail-Kampagnen, also die Versendung von Werbung per Mail, ohne wirksame Einwilligung, durchgeführt wurden, kann diese Praxis einfach beibehalten werden, wobei das Risiko einer Abmahnung oder eines Bußgeldes in Kauf genommen werden muss.
  • Natürlich besteht auch die Möglichkeit per E-Mail um ein Opt-in zu bitten. Allerdings birgt auch – wie oben erläutert – eine solche E-Mail das Risiko einer Abmahnung oder eines Bußgeldes, weil diese E-Mails selbst rechtswidrigen Spam darstellen.
  • Zu guter Letzt besteht die Möglichkeit, alle bestehenden Kontakte ohne wirksame Einwilligung zu löschen und neue Maßnahmen zur Einholung der Einwilligung zu planen. Allerdings muss hierbei das Kopplungsverbot als „Einwilligungskiller“ beachtet werden: Die Einwilligung zur Teilnahme an einem Gewinnspiel oder zum Download eines Whitepapers darf nicht automatisch an die Einwilligung zum Abonnement eines Newsletters gekoppelt sein. Nur diese – schmerzhafte – Variante führt zu einem wirklich rechtskonformen E-Mail-Marketing, wenn bisher kein wirksames Double-Opt-in eingeholt wurde.

IP-Adressen anonymisieren – wann, wie und warum?

Seit dem Breyer-Urteil des Europäischen Gerichtshofs gelten auch dynamisch vergebene IP-Adressen als personenbezogene Daten und fallen damit unter das Datenschutzrecht. Diese Wertung wurde auch von der Datenschutzgrundverordnung (DSGVO) übernommen, die am 25. Mai 2018 in Kraft tritt und in allen EU-Mitgliedstaaten den Begriff der personenbezogenen Daten neu definiert.

Das hat zur Folge, dass an die Verarbeitung von IP-Adressen im Wesentlichen dieselben Anforderungen gestellt werden wie zum Beispiel an das Speichern von E-Mail-Adressen. Weil IP-Adressen aber natürlich für jede Übermittlung von Webinhalten erforderlich sind, kennt das Datenschutzrecht aber auch Ausnahmen von dem Grundsatz, dass personenbezogene Daten nur nach vorheriger Zustimmung des betroffenen Nutzers verarbeitet werden dürfen.

Der Prozess der Anonymisierung bietet die Möglichkeit, IP-Adressen so zu verarbeiten, dass das Datenschutzrecht gar keine Anwendung mehr findet. Denn schutzbedürftig sind nur diejenigen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. „Anonymisierung“ bedeutet also, die IP-Adresse so zu ändern, dass ein Rückschluss auf die Nutzeridentität nicht mehr möglich ist. Um dieses Ziel zu erreichen gibt es zwei Möglichkeiten: das Kürzen und das so genannte Hashing.

Das Kürzen von IP-Adressen (englisch: „trunkating“) erfolgt durch Entfernen des letzten Zeichenblocks einer IP-Adresse. Bei einer IPv4-Adresse würde dieser dann zum Beispiel durch eine Null oder einer andere Zahl ersetzt werden (Beispiel: aus 217.91.101.31 wird 217.91.101.0). Das „Hashing“ (deutsch: „zerhacken“) erfolgt durch die Verschlüsselung der IP-Adresse unter Verwendung eines speziellen Algorithmus. Derzeit entspricht der so genannte SHA-256-Algorithmus dem  Stand der Technik. Da die Anzahl von IP-Adressen auch nach Einführung des IPv6-Protokolls endlich ist, reicht die einfache Hashfunktion jedoch allein nicht aus, um die Anonymisierung der Daten zu gewährleisten. Deshalb ist nach dem „Hashing“ noch ein weiterer Schritt erforderlich, das sogenannte „Salting“, eine weitere Verschlüsselungstechnik. Nur so wird eine vollständige Anonymisierung erreicht.

Zusammenfassend bedeutet das: Wenn IP-Adressen zum frühestmöglichen Zeitpunkt wirksam anonymisiert werden, unterliegt deren weitere Verarbeitung nicht dem Datenschutzrecht und es sind keinerlei besondere Vorschriften zu beachten. Bevor jedoch eine solche Anonymisierung stattgefunden hat, gilt die Datenschutzgrundverordnung freilich uneingeschränkt. Eine Ausnahme vom Verbot der Verarbeitung von IP-Adressen, bei der die Verarbeitung der (vollständigen) IP-Adresse unter bestimmten Umständen zulässig sein kann, ist beispielsweise die Verhinderung von Klickbetrug.

Acht Missverständnisse über die Datenschutzgrundverordnung

Bereits 2016 wurde die EU-Datenschutzgrundverordnung (DSGVO) verabschiedet. Die Verordnung wird im Mai 2018 voll anwendbar. Für Unternehmen, die in Europa tätig sind, ist es entscheidend, ihren Geschäftsbetrieb an der neuen Regelung auszurichten. Allerdings begegnen wir regelmäßig Missverständnissen über die DSGVO. Die acht wichtigsten davon hat unser Brüsseler Kollege Edwin Jacobs, mit dem wir im Rahmen des Kanzleinetzwerks World IT Lawyers zusammen arbeiten, hier aufgeführt.

Missverständnis 1: Die DSGVO gilt nicht für kleine Unternehmen.

Obwohl einige Zugeständnisse an kleine Unternehmer und KMU gemacht wurden, gilt die DSGVO für alle Organisationen, die personenbezogene Daten verarbeiten. Die Auswirkungen der DSGVO auf Ihr Unternehmen hängen von der Art und Weise ab, wie Daten verarbeitet werden und nicht von der Anzahl der Datensätze oder der Größe der Organisation.

Missverständnis 2: Jede Firma, auf die die DSGVO anwendbar ist, muss einen Datenschutzbeauftragten einsetzen.

Ob die DSGVO auf ein Unternehmen anwendbar ist oder nicht, bedeutet nicht zwangsläufig, dass das Unternehmen einen Datenschutzbeauftragten (DSB) benennen muss. Dies gilt nur für öffentliche Institutionen, die Daten verarbeiten, Unternehmen, die personenbezogene Daten systematisch verarbeiten und Organisationen, die besonders sensible Daten (wie zum Beispiel Gesundheitsdaten) verarbeiten.

Auch wenn Ihr Unternehmen nicht in eine dieser Kategorien fällt, ist es dennoch empfehlenswert, einen DSB zu ernennen. Dies bietet zusätzliche Aufsicht und mehr Sicherheit im Fall von Streitigkeiten.

Missverständnis 3: Die Ernennung eines Datenschutzbeauftragten ist eine reine Formalität.

Die DSGVO verlangt, dass ein Datenschutzbeauftragter nachweislich Expertenwissen über Datenschutz und Datensicherheit hat. Eine einfache Ernennung einer Ihrer aktuellen Mitarbeiter als DSB reicht nicht aus. Darüber hinaus muss der ernannte DSB über die unternehmensspezifischen Datenprozesse hinreichend informiert werden.

Missverständnis 4: Unsere Firma verschlüsselt Daten, so dass wir DSGVO-konform sind.

Es ist ein Missverständnis, dass durch die bloße Verschlüsselung von Daten die DSGVO-Anforderungen erfüllt sind. Die Datenverschlüsselung sollte eher als Mindeststandard interpretiert werden und erfordert daher zusätzliche Maßnahmen. Unternehmen müssen zusätzliche Optionen zum Schutz personenbezogener Daten anbieten, wie zum Beispiel die Verwendung von zweistufigen Verifizierungen und das endgültige Löschen von Daten, die nicht mehr verwendet werden.

Missverständnis 5: Unsere Daten werden in der Cloud gespeichert, daher liegt die Verantwortung für die Datensicherheit beim Cloud-Provider und beim Security-Provider.

Die DSGVO gilt nicht nur für Unternehmen, die Daten speichern, sondern auch für Unternehmen, die diese Daten verarbeiten. Das bedeutet, dass die DSGVO auch gilt, wenn ein Unternehmen Drittanbieter für die Datenspeicherung bei der Verarbeitung von Daten einsetzt.

Missverständnis 6: Meine Firma hält das nationale Datenschutzgesetz ein, daher entsprechen wir der DSGVO.

Die DSGVO ersetzt die Datenschutzrichtlinie, die von allen Mitgliedsstaaten der Europäischen Union in nationales Recht umgesetzt wurde. Die DSGVO und die derzeitigen nationalen Datenschutzgesetze sind jedoch in vielerlei Hinsicht unterschiedlich. Es gibt zum Beispiel Unterschiede bei der Einwilligung, die Betroffene für die Verarbeitung ihrer Daten erteilen müssen oder dass der Betroffene bei einem Datenleck informiert werden muss. Es stimmt jedoch, dass die Einhaltung Ihres nationalen Datenschutzgesetzes einen einfacheren Übergang zur Erfüllung der DSGVO-Anforderungen ermöglicht.

Missverständnis 7: Meine Firma ist mit dem Privacy Shield konform, daher entsprechen wir der DSGVO.

Obwohl es viele Ähnlichkeiten zwischen den Vorschriften des Privacy Shield und den Bestimmungen der DSGVO gibt, ist es nicht wahr, dass diese beiden Systeme gleich sind. Das Privacy Shield bezieht sich nur auf eines der vielen DSGVO-Themen, nämlich internationale Datenübertragungen. Das Privacy Shield erwähnt beispielsweise keine Benutzerberechtigungen oder einen Datenschutzbeauftragten.

Missverständnis 8: Die DSGVO ist eine All-in-One-Lösung für die Datenverarbeitung in Europa.

Die DSGVO wurde als universelle Regulierung veröffentlicht, die die Gesetzgebung in Europa vereinfacht und vereinheitlicht. In der Praxis ist dies jedoch nicht der Fall. Für multinationale Konzerne ist die DSGVO nur die nächste Regulierung, die einer Reihe von bestehenden Regelungen hinzufügt wird. Zum Beispiel gibt es im Fall eines Datenlecks unterschiedliche gesetzliche Regelungen für die Meldepflicht. Darüber hinaus müssen Unternehmen die nationalen Datenschutzbestimmungen einhalten, die je nach Land variieren. Es wird noch komplizierter, wenn die DSGVO mit nationalen oder branchenspezifischen Richtlinien nicht übereinstimmt.

Ist ihr Unternehmen fit für die Datenschutzgrundverordnung? Falls Sie dazu Fragen haben, sprechen Sie uns an.