Neuer Entwurf mit Bedeutung für die Online-Werbebranche vorgelegt
Die von vielen totgesagte ePrivacy-Verordnung lebt noch. Nachdem es der finnischen Ratspräsidentschaft angesichts zahlreicher Unstimmigkeiten zwischen den Mitgliedsstaaten nicht gelungen war, einen Konsens zu finden, hieß es Ende 2019, dass ein komplett neuer Entwurf her müsse. Nun hat die kroatische Ratspräsidentschaft jedoch am 21. Februar 2020 auf Basis des bisherigen Entwurfs einige Änderungen vorgeschlagen, die insbesondere für die Online-Werbebranche relevant sind.
Geändert
werden sollen nach dem neuen Entwurf die Artikel 6 und 8 sowie die
dazugehörigen Erwägungsgründe. Maßgeblich für die Onlinewerbebranche sind die
Änderungen in Art. 8 („Schutz der Endgeräteinformationen von Endbenutzern“),
der als Nachfolgenorm zu Art. 5 Abs. 3 der ePrivacy-Richtlinie den Einsatz von
Tracking-Technologien (wie z.B. Cookies) regeln soll.
Nun
doch: Interessenabwägung wie in der DSGVO
Nachdem
die bisherigen Entwürfe der ePrivacy-Verordnung vor allem auf die Einwilligung
beim Einsatz von Tracking-Technologien setzten, wird durch den neuen Entwurf
nun eine Abwägungslösung ins Spiel gebracht, die in Teilen an die aus der DSGVO
bekannte Interessenabwägung in Art. 6 Abs. 1 lit. f DSGVO erinnert.
Der
neu eingefügte Art. 8 Abs. 1 lit. g ePrivacy-VO-E lautet:
„1. The use of processing and storage capabilities of terminal equipment and the collection of information from end-users’ terminal equipment, including about its software and hardware, other than by the end-user concerned shall be prohibited, except on the following grounds: […]
(g) it is necessary
for the purpose of the legitimate interests pursued by a service provider to
use processing and storage capabilities of terminal equipment or to collect
information from an end-user’s terminal equipment, except when such interest is
overridden by the interests or fundamental rights and freedoms of the end-user.
The end-user’s
interests shall be deemed to override the interests of the service provider
where the end-user is a child or where the service provider processes, stores
or collects the information to determine the nature and characteristics of the
end-user or to build an individual profile of the end-user or the processing,
storage or collection of the information by the service provider contains
special categories of personal data as referred to in Article 9(1) of
Regulation (EU) 2016/679.“
Danach
soll der Einsatz von Tracking-Technologien, die auf Informationen aus dem
Endgerät des Nutzers zugreifen oder die Verarbeitungs- und
Speichermöglichkeiten des Endgeräts nutzen, dann zulässig sein, wenn dies für
die Verfolgung berechtigter Interessen des Diensteanbieters erforderlich ist,
es sei denn, die berechtigten Interessen oder die Grundrechte und
Grundfreiheiten des Nutzers überwiegen.
Die
berechtigten Interessen der Diensteanbieter werden zunächst einmal nicht auf
bestimmte Zwecke des Zugriffs beschränkt. Damit kommt der Vorschlag auf den
ersten Blick der Werbewirtschaft entgegen, denn er erlaubt im Prinzip auch den
Einsatz von Cookies oder Pixeln für das Ausspielen von Werbung.
Besonderheiten
im Rahmen der Interessenabwägung
Anders als in der DSGVO hat die kroatische Ratspräsidentschaft es aber nicht bei einer bloßen Generalklausel belassen, sondern noch im Normtext selbst Fälle formuliert, in denen die Abwägung regelmäßig zugunsten der Nutzer ausfällt.
Nach
der Norm wird davon ausgegangen, dass die Interessen der Endnutzer überwiegen,
- wenn der Endnutzer ein Kind ist oder
- wenn der Diensteanbieter die Informationen verarbeitet, speichert oder sammelt, um „das Wesen und die Eigenschaften des Endnutzers“ zu bestimmen oder
- um ein individuelles Profil des Endnutzers zu erstellen, oder
- wenn die Verarbeitung, Speicherung oder Sammlung der Informationen durch den Diensteanbieter besondere Kategorien personenbezogener Daten gemäß Artikel 9 Abs. 1 DSGVO enthält.
Neben
diesen Regelbeispielen, in denen von einem Überwiegen der Nutzerinteressen
ausgegangen wird, enthält der Entwurf im Erwägungsgrund (ErwG) 21b eine
genauere Beschreibung der in der Abwägung zu berücksichtigenden Punkte sowie
der berechtigten Interessen des Endnutzers.
So
ist nach ErwG 21b in der Abwägung zentral, ob ein Endnutzer vernünftigerweise mit
einem Tracking rechnen muss. Hierzu heißt es im Entwurf:
„Ein berechtigtes Interesse könnte geltend gemacht
werden, wenn der Endbenutzer im Rahmen einer bestehenden Kundenbeziehung mit
dem Dienstanbieter vernünftigerweise eine solche Speicherung, Verarbeitung oder
Sammlung von Informationen in oder von seinem Endgerät erwarten kann.“
Als
Beispiele führt der Entwurf etwa die Behebung von Sicherheitslücken oder die
Betrugsprävention an.
Sehr interessant ist, dass der Entwurf für Anbieter von Diensten, „welche die Meinungs- und Informationsfreiheit (auch für journalistische Zwecke) gewährleisten, wie zum Beispiel Online-Zeitungen oder andere Presseveröffentlichungen oder audiovisuelle Mediendienste“, eine Sonderregelung vorsieht. Sie können sich – trotz der Ausnahmetatbestände – auf berechtigte Interessen stützen, wenn ihre Dienste ohne direkte Geldzahlung zugänglich sind und ganz oder überwiegend durch Werbung finanziert werden, vorausgesetzt der Endnutzer erhält klare, präzise und benutzerfreundliche Informationen über die Zwecke der verwendeten Cookies oder ähnlicher Techniken. Für journalistische Inhalte kann das „berechtigte Interesse“ also auch ein Finanzierungsinteresse bedeuten.
Besonders problematisch für die Online-Werbebranche sind die Ausnahmegründe (2) und (3) in der neu geschaffenen Norm. Aufgrund der Formulierung ist zu befürchten, dass das normale Tracking (außerhalb des journalistischen Kontexts) doch nicht per Interessenabwägung möglich sein soll. Der Erwägungsgrund 21b liefert hierzu leider nur eine wenig erhellende Erklärung:
„Umgekehrt sollte sich ein Anbieter nicht auf legitime
Interessen berufen können, wenn die Speicherung oder Verarbeitung von
Informationen in den Endgeräten des Endnutzers oder die daraus gesammelten
Informationen dazu verwendet werden, das Wesen oder die Eigenschaften eines
Endnutzers zu bestimmen oder ein individuelles Profil eines Endnutzers zu
erstellen. In solchen Fällen haben die Interessen des Endnutzers und die
Grundrechte und -freiheiten Vorrang vor den Interessen des Diensteanbieters, da
solche Verarbeitungsvorgänge ernsthaft in das Privatleben eines Endnutzers
eingreifen können, z.B. wenn sie für Segmentierungszwecke, zur Überwachung des
Verhaltens eines bestimmten Endnutzers oder zur Erstellung von
Schlussfolgerungen bezüglich seines Privatlebens verwendet werden.“
Wann
Tracking dazu führt, dass „das Wesen oder die Eigenschaften eines Endnutzers“
bestimmt werden oder ein „individuelles Profil des Endnutzers“ entsteht, das
ernsthaft in das Privatleben des Endnutzers eingreift, bleibt auch unter Hinzuziehung
der Erwägungsgründe unklar.
Weitere
Schutzmaßnahmen für die Endnutzer
Will
ein Diensteanbieter Daten aufgrund einer Interessenabwägung verarbeiten, erlegt
der neue Art. 8 Abs. 1a ePrivacy-VO-E ihm weitere Pflichten auf, die dem Schutz
der Endnutzer dienen sollen. So darf der Anbieter die mittels Tracking
gewonnenen Daten nur nach vorheriger Anonymisierung an Dritte weitergeben
(Auftragsverarbeiter nach Art. 28 DSGVO sind hiervon nicht umfasst, da sie
keine Dritten im datenschutzrechtlichen Sinne sind).
Darüber
hinaus muss der Anbieter vor der Datenverarbeitung eine
Datenschutzfolgenabschätzung nach Art. 35 DSGVO durchführen und den Endnutzer
in einer effektiven und einfachen Art über die Verarbeitung und sein
Widerspruchsrecht informieren.
Unsere
Bewertung des neuen Entwurfs
Aus
Sicht der Online-Werbebranche ist der neue Entwurf im Prinzip zu begrüßen,
stellt er doch erstmals eine Bewegung weg vom Einwilligungserfordernis beim
Tracking dar. Die Einführung einer flexibleren Rechtsgrundlage neben der
Einwilligung ist in jedem Fall ein Fortschritt.
Problematisch
ist jedoch, dass gerade in Bezug auf das Tracking außerhalb von
journalistischen Webseiten aufgrund der im Entwurf enthaltenen Ausschlussgründe
abermals viel Verwirrung gestiftet wird.
Wenn
durch das Tracking „das Wesen oder die Eigenschaften eines Endnutzers“
bestimmt werden oder ein „individuelles Profil des Endnutzers“ entsteht,
das ernsthaft in das Privatleben des Endnutzers eingreift, muss wieder auf die
Einwilligung zurückgegriffen werden. Hier begibt sich der Entwurf in rechtlich
unklare Fahrwasser. Er spricht beispielhaft von einem ernsthaften Eingriff in
das Privatleben der Nutzer, wenn ihre Daten „für Segmentierungszwecke, zur
Überwachung des Verhaltens eines bestimmten Endnutzers oder zur Erstellung von
Schlussfolgerungen bezüglich seines Privatlebens“ verwendet werden.
Sinn
des Trackings ist regelmäßig, pseudonymisierte Profile der Endnutzer zu
erstellen, mit denen ihr Verhalten auf bestimmten Webseiten nachvollzogen
werden kann und das letztlich zur Ausspielung zielgerichteter Werbung genutzt
wird. Doch reicht das aus, um von einer Überwachung des Verhaltens bestimmter
Endnutzer zu sprechen? Dafür spricht, dass der Entwurf eine klare
Privilegierung journalistischer Webseiten vorsieht und für diese Angebote ein
Tracking und eine damit verbundene Werbefinanzierung ohne Einwilligung der
Nutzer anerkennt. Im Umkehrschluss bedeutet dies, dass bei allen anderen Formen
von Webseiten eine solche Lösung von den Verfassern des Entwurfs eher abgelehnt
wird. Dass aber zielgerichtete Werbung auf journalistischen Angeboten nur
funktioniert, wenn auch auf anderen Webseiten Informationen über den
betreffenden Endnutzer eingeholt wurden, wird im Entwurf nicht berücksichtigt.
Eine konsistente Lösung sieht anders aus.
Es bleibt damit zu hoffen, dass der Entwurf der kroatischen Ratspräsidentschaft nicht den Endpunkt der Debatte rund um die ePrivacy-Verordnung darstellt, sondern er den Stein mit neuem Schwung ins Rollen bringt und die Diskussion um den sinnvollen Umgang mit den berechtigten Interessen der Online-Werbebranche neu entfacht.
