EU-US Data Privacy Framework: EU-Kommission veröffentlicht Angemessenheitsbeschluss für Datentransfers in die USA

Die Europäische Kommission hat heute den lange erwarteten Angemessenheitsbeschluss für die neue EU-US-Datenschutzvereinbarung („EU-US Data Privacy Framework“) veröffentlicht. Der Beschluss stellt fest, dass die Vereinigten Staaten nunmehr ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten also „gefahrlos“ aus der EU an US-Unternehmen, die an dem neuen Programm teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.

Welche Maßnahmen sieht die neue Vereinbarung vor?

Die jetzt geltende Vereinbarung zwischen der EU und den USA führt neue verbindliche Vorgaben ein, um die vom Europäischen Gerichtshof im berühmten „Schrems II“-Urteil geäußerten Bedenken auszuräumen, einschließlich einer Beschränkung der Zugriffrechte von US-Geheimdiensten auf EU-Daten auf das „notwendige und verhältnismäßige“ Maß und sogar der Einrichtung eines unabhängigen Datenschutzüberprüfungs-„Gerichts“ (DPRC), zu dem EU-Bürger Zugang haben. Das neue Programm sieht erhebliche Verbesserungen gegenüber dem alten Mechanismus vor, der unter dem so genannten „Privacy Shield“-Programm galt. Stellt das DPRC beispielsweise fest, dass Daten unter Verstoß gegen die neuen Vorgaben erhoben wurden, kann es die Löschung der Daten anordnen.

Der neue EU-US-Datenschutzrahmen soll so einen sicheren Austausch für Daten von EU-Bürgern gewährleisten und Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Hintergrund der Entscheidung der EU-Kommission war eine Vereinbarung mit der US-Regierung, die darauf aufbauend wesentliche neue Verwaltungsvorschriften zum Schutz personenbezogener Daten von EU-Bürgern erlassen.

EU-Bürger können bestimmte Rechtsbehelfe in Anspruch nehmen, wenn ihre Daten von US-Unternehmen rechtswidrig verarbeitet werden. Darüber hinaus sehen die neuen Regelungen auf US-Seite eine Reihe von Garantien gegen den ungehemmten Zugriff von US-Behörden auf Daten vor, die auf der Grundlage des Programms übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu den Daten soll auf das Maß beschränkt werden, das zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.

Wie geht es jetzt weiter?

US-Unternehmen können dem Programm nun beitreten, indem sie sich gegenüber der US-Regierung verpflichten, eine Reihe bestimmter Datenschutzregeln einzuhalten, darunter zum Beispiel die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und eine Kontinuität des entsprechenden Schutzes zu gewährleisten, wenn personenbezogene Daten wiederum an Dritte weitergegeben werden. Es ist davon auszugehen, dass die großen Anbieter wie Google und Facebook zu den ersten Unternehmen gehören, die in das Register der US-Regierung aufgenommen werden und dass über die nächsten Monate nach und nach alle relevanten Dienstleister folgen werden.

Europäische Unternehmen müssen dann nur prüfen, ob ihre Anbieter bereits dem neuen Programm unterfallen und einen entsprechenden Hinweis in ihre Datenschutzerklärung aufnehmen. Mehr ist dann tatsächlich nicht zu tun.

Wird die neue Regelung Bestand haben?

Das Funktionieren der neuen Vereinbarung soll in regelmäßigen Abständen von der Europäischen Kommission zusammen mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um zu überprüfen, ob alle relevanten Elemente vollständig in den US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Es ist jedoch davon auszugehen, dass europäische Datenschutz-Aktivisten gegen die Entscheidung der EU-Kommission gerichtlich vorgehen werden – allen voran der Österreicher Max Schrems, der bereits zweimal einen Angemessenheitsbeschluss für die USA zu Fall gebracht hat. Das neue Data Privacy Framework ist aus Sicht seiner Organisation im Wesentlichen nur eine Kopie des gescheiterten Privacy-Shields, das wichtige der zuvor kritisierten Punkte vermissen lässt. Das letzte Wort hat dann wiederum der Europäische Gerichtshof. Echte Sicherheit besteht also erst nach einem entsprechenden Urteil, also in etwa zwei bis drei Jahren.

Was bedeutet die ePrivacy-Verordnung genau für die Onlinebranche ?

Bereits am 10. Januar 2017 hat die EU-Kommission Ihren ersten offiziellen Entwurf der neuen ePrivacy Verordnung vorgestellt (Az: 2017/003 (COD). Es handelte sich um den Vorschlag für eine Verordnung des europäischen Parlamentes und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2008/58/EG (sog. ePrivacy Richtlinie, nachfolgend auch: „ePV“). Gem. Ziffer 1.2. dieses Entwurfes dient der Vorschlag als „lex specialis“ zur DSGVO dar und soll diese im Hinblick auf die elektronischen Kommunikationsdaten, die als personenbezogene Daten einzustufen sind, präzisieren und ergänzen. Alle Fragen der Verarbeitung personenbezogener Daten, die in diesem Vorschlag nicht spezifisch geregelt sind, sollen weiterhin von der Datenschutzgrundverordnung (DSGVO), die bekanntlich ab Mai diesen Jahres gilt,  erfasst werden. Dieser Entwurf der geplanten ePrivacy Verordnung wurde dem EU-Parlament und dem EU-Rat zugestellt.

Im EU-Parlament war der federführende EU-Ausschuss der sog. LIBE-Ausschuss. Nach langen Verhandlungen hat am 19. Oktober 2017 der LIBE-Ausschuss über den Entwurf für eine Verordnung über den Schutz der Privatsphäre im Internet, also über die ePrivacy Verordnung, abgestimmt (Protokoll der Plenarsitzung, Az: A8-0324/2017). Parallel dazu hat sich auch der EU-Rat in einer Arbeitsgruppe mit dem Verordnungsentwurf beschäftigt. Die Mitgliedsstaaten waren aufgefordert, ihre Stellungnahmen bis zum 14.08.2017 dorthin zu übersenden.  Der abgestimmte Entwurfstext des LIBE-Ausschusses wurde am 26.10.2017 zur Überraschung der Onlinebranche quasi unverändert durch das EU-Parlament angenommen (A8-0324/2017).

Mit diesem Ergebnis erfolgte zugleich das Mandat, das für den nächsten Verfahrensschritt nötig ist, für die Verhandlungen des Europäischen Parlaments mit dem Rat der Europäischen Union. 2018 dann sollen die sogenannten Trilog-Verhandlungen abgeschlossen sein und die Verordnung in Kraft treten. Ob die Kommission ihr angepeiltes Ziel, den Mai, als Datum halten kann, ist aber höchst unklar.

Wesentliche Inhalte des Entwurfs des LIBE-Ausschusses:

Die für die Onlinemarketingbranche wesentlichen Inhalte sind folgende:

  1. Die neue Definition des Begriffs „Direktvermarktung“ in Art. 4 Abs. 3 f stellt klar, dass hierin auch Onlinewerbung enthalten ist, die als Direktmarketing-Kommunikation verstanden wird.
  2. Cookies dürfen ohne ausdrückliche Einwilligung nur noch verarbeitet werden, wenn sie „streng erforderlich“ oder zwingend technisch notwendig sind um einen Dienst zu erbringen (Art. 8 Abs. 1 a, 2).
  3. Die Verwendung von „Cookie-Walls“ soll verhindert werden. Eine damit erzwungene Einwilligung soll unwirksam sein. Das mehrfache Bitten zur Zustimmung wird als missbräuchlich angesehen. Um solche missbräuchlichen Anfragen zu verhindern, sollen Nutzer Diensteanbieter beauftragen können, sich an ihre ablehnende Entscheidung zu erinnern und durch technische Spezifikationen, die die Nichtzustimmung signalisieren, sicherstellen. Dies könnte zum Beispiel „Dont ask me again“- Schaltfläche sein um auszuschließen, dass ein Diensteanbieter von Zeit zu Zeit nachfragt, ob die Nichtzustimmung nach wie vor gilt.
  4. Es muss vielmehr im Falle der Ablehnung des Einsatzes von Cookies die alternative Möglichkeit gegeben werden, das jeweilige Angebot auch ohne den Einsatz von Cookies nutzen zu können (Art. 9 Abs. 2).
  5. Der Einsatz von Cookies ist zulässig, wenn der Nutzer seine Einwilligung erteilt hat. Die neue Formulierung besagt aber jetzt, dass die Einwilligung für spezifische Zwecke gegeben werden muss und dass die Einwilligung keine Bedingung für den Zugang zu dem Service war.
  6. Der Entwurf sieht vor, dass Nutzer bei erstmaliger Installation des Browsers (oder bei einem neuen Update) „einstellen“ müssen, ob sie Cookies und wenn ja, welche Art von Cookies sie zulassen. Da 90 % der Nutzer eine restriktive Einstellung wählen werden, also insbesondere keine Third-Party Cookies zulassen werden, „schließt die Verordnung das Endgerät faktisch ab“ (so der VPRT). Die Verordnung sieht keinen Automatismus vor, der bei nachträglicher Einwilligung des Nutzers den Browser wieder aufschließt.
  7. Untersagt ist damit faktisch insbesondere das domainübergreifende Tracking und die Speicherung von Informationen über das Endgerät durch Dritte.
  8. Retargetingmodelle werden faktisch kaum noch umsetzbar.
  9. Erteilte Einwilligungen müssen jederzeit widerrufen werden können. Zudem muss in regelmäßigen Abständen von sechs Monaten an diese Möglichkeit erinnert werden.
  10. Cookies sind nur noch in Ausnahmen zulässig, nämlich (Art. 8 I): a) sie sind für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder b) der Endnutzer hat seine Einwilligung nach Maßgabe von Art. 9 gegeben (und damit – sehr unwahrscheinlich –  faktisch über den Browser) oder c) sie sind für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig oder d) sie sind für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt oder sie sind für die Sicherheit und Integrität des Dienstes erforderlich (…)

Nach Art. 10 muss zukünftig bei der Installation eines Browsers der Endnutzer über die Einstellungsmöglichkeiten zur Privatsphäre informiert werden und zudem muss zukünftig zur Fortsetzung der Installation vom Endnutzer die Einwilligung zu einer Einstellung verlangt werden.

In Verkehr gebrachte Software muss zudem darüber hinaus von Anfang an als Voreinstellung die Möglichkeit bieten zu verhindern, dass Dritte Informationen speichern können. Laut Entwurf muss Software, die den Zugang zum Internet ermöglicht (also Browser), künftig „standardmäßig […] verhindern, dass andere Parteien Informationen über das Endgerät eines Nutzers übertragen oder speichern und Informationen verarbeiten, die bereits auf dem Endgerät gespeichert oder von diesem Gerät gesammelt wurden“. Diese Default-Vorgabe verhindert standardmäßig die Verwendung aller Cookies, es sei denn, dass dies für das Funktionieren eines Online-Service technisch unbedingt erforderlich ist

Es wurde ein neuer Absatz eingeführt, in dem es heißt: „keinem Nutzer darf der Zugang zu Diensten oder Funktionen der Informationsgesellschaft verwehrt werden, unabhängig davon, ob diese Dienste vergütet werden oder nicht, mit der Begründung, dass sie ihre Einwilligung zur Verarbeitung personenbezogener Daten und/oder zur Nutzung der Verarbeitungs- oder Speicherfähigkeit ihrer Endgeräte nicht erteilt haben, die für die Bereitstellung dieser Dienste oder Funktionen nicht erforderlich ist“. Dies würde es nach Ansicht des BVDW den Publishern wohl weiterhin ermöglichen, Benutzer von der Nutzung ihres Dienstes auszuschließen, solange sie den Zugriff auf ihre Website ohne Datenerhebung im Rahmen eines Bezahlmodells ermöglichen.

Die „Ausnahme der Reichweitenmessung“ wurde so geändert, dass sie nicht mehr auf die „Messung von Webpublikum“ beschränkt ist, sondern auch von einer ersten Partei oder im Auftrag der „ersten Partei“ oder einer „Web-Analytics-Agentur im öffentlichen Interesse“ durchgeführt werden kann. Dritten, die Reichweitenmessungen im Auftrag Dritter durchführen, ist es untersagt, Daten mit Daten anderer zu verschmelzen.

Haben Sie weitere Fragen zur ePrivacy Verordnung ? Dann melden Sie sich bei uns, eickmeier@unverzagt.law oder 040 414 00034.

 

Facebook Custom Audiences – doch datenschutzkonform ?

Die Bayerischen Datenschutzbehörden überprüfen derzeit den Einsatz von Facebook-Custom-Audiences. Zu diesem Zweck versendet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) derzeit Fragebögen zu Facebook-Custom-Audiences und dessen Verwendung. Dieser Fragebogen erfasst beide derzeit häufig eingesetzten Varianten von Facebook-Custom-Audiences, nämlich der Einsatz von Facebook-Custom-Audiences über die eigenen Kundenlisten (CRM) und der Einsatz von Facebook-Custom-Audiences über die eigene Website (Custom Audiences from your Website).

In seinem Schreiben vertritt das BayLDA die Auffassung, dass der Einsatz von Facebook-Custom-Audiences über die Kundenlisten nur auf der Grundlage einer Einwilligung des Webseitennutzers zulässig ist.

Dagegen ist der Einsatz von Facebook-Custom-Audiences from your Website unter Beachtung der Voraussetzungen des § 15 Abs. 3 TMG zulässig ! Das bedeutet, dass der Verwender in seiner eigenen Datenschutzerklärung über den Einsatz von Facebook-Custom-Audiences in seiner Datenschutzerklärung hinweisen muss und darüber hinaus ein Opt-Out-Verfahren zur Verfügung stellt, mit dem der Nutzer der Nutzung seiner Daten im Rahmen dieses Prozesses widersprechen kann.

Damit schafft das BayLDA immerhin für Facebook-Custom-Audiences from your Website endlich eine datenschutzrechtliche Klarstellung, die sehr erfreulich ist. Wie der Einsatz von Facebook-Custom-Audiences über die eigenen Kundenlisten endgültig durch das BayLDA entschieden wird, bleibt noch abzuwarten.

 

 

Die deutsche Übersetzung der ePrivacy-Verordnung ist veröffentlicht – das Ende des werbefinanzierten Internets?

 

Seit kurzem ist die deutsche Fassung der ePrivacy-Verordnung veröffentlicht. Der aktuelle Entwurf stellt, wie bereits an anderer Stelle erwähnt, eine erhebliche Bedrohung für die Unternehmen der Onlinemarketingbranche dar. Wörtlich hat auch der BVDW in seinem Factsheet hervorgehoben:

„Sollte der Entwurf wie beabsichtigt Realität werden, bedeutet es nichts anderes als das Ende des werbefinanzierten Internets. Gem. Art. 8 Abs. 1 der Verordnung sollen Webseitenbetreiber nur noch dann Cookies einsetzen können, wenn sie eine explizite Erlaubnis des Nutzers erhalten haben.“

 Die für die Onlinebranche wichtigsten Regeln befinden sich in den Art. 8 und 9 des Verordnungsentwurfes:

„Artikel 8

Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen

Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen.

Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer sie erfolgt aus folgenden Gründen:

  1. sie ist für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder
  2. der Endnutzer hat seine Einwilligung gegeben oder
  3. sie ist für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig oder
  4. sie ist für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt.

Die Erhebung von Informationen, die von Endeinrichtungen ausgesendet werden, um sich mit anderen Geräten oder mit Netzanlagen verbinden zu können, ist untersagt, außer

  1. sie erfolgt ausschließlich zum Zwecke der Herstellung einer Verbindung und für die dazu erforderliche Dauer oder
  2. es wird in hervorgehobener Weise ein deutlicher Hinweis angezeigt, der zumindest Auskunft gibt über die Modalitäten der Erhebung, ihren Zweck, die dafür verantwortliche Person und die anderen nach Artikel 13 der Verordnung (EU) 2016/679 verlangten Informationen, soweit personenbezogene Daten erfasst werden, sowie darüber, was der Endnutzer der Endeinrichtung tun kann, um die Erhebung zu beenden oder auf ein Minimum zu beschränken.

Voraussetzung für die Erhebung solcher Informationen ist die Anwendung geeigneter technischer und organisatorischer Maßnahmen, die ein dem Risiko angemessenes Schutzniveau nach Artikel 32 der Verordnung (EU) 2016/679 gewährleisten.

Die nach Absatz 2 Buchstabe b zu gebenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht  wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die Erhebung zu.

Der Kommission wird die Befugnis übertragen, nach Artikel 27 delegierte  Rechtsakte zur Bestimmung der Informationen, die durch standardisierte Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.

Artikel 9

Einwilligung

(1) Für die Einwilligung gelten die Begriffsbestimmung und die Voraussetzungen, die in Artikel 4 Nummer 11 und Artikel 7 der Verordnung (EU) 2016/679 festgelegt sind.

(2) Unbeschadet des Absatzes 1 kann die Einwilligung für die Zwecke des Artikels 8 Absatz 1 Buchstabe b – soweit dies technisch möglich und machbar ist – in den passenden technischen Einstellungen einer Software, die den Zugang zum Internet ermöglicht, gegeben werden.

(3) Endnutzern, die ihre Einwilligung zur Verarbeitung elektronischer Kommunikationsdaten nach Artikel 6 Absatz 2 Buchstabe c und Artikel 6 Absatz 3 Buchstaben a und b gegeben haben, wird nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 die Möglichkeit eingeräumt, ihre Einwilligung jederzeit zu widerrufen; sie werden in regelmäßigen Abständen von sechs Monaten an diese Möglichkeit erinnert, solange die Verarbeitung andauert.“

Diese beiden Artikel sind im Zusammenhang mit den so genannten Erwägungsgründen zu lesen, die nicht selbst Teil des Gesetzestextes sind. Sie spiegeln jedoch die Gedanken und Erwägungen der EU-Kommission wieder und helfen bei der Auslegung des Gesetzeswortlautes.

Die wichtigsten Erwägungsgründe 21–24 lauten:

„(21) Ausnahmen von der Verpflichtung, die Einwilligung in die Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen oder den Zugriff auf in Endeinrichtungen gespeicherte Informationen einzuholen, sollten auf Situationen beschränkt sein, in denen kein oder nur ein geringfügiger Eingriff in die Privatsphäre stattfindet. Beispielsweise sollte keine Einwilligung eingeholt werden für ein technisches Speichern oder Zugreifen, das zu dem rechtmäßigen Zweck, die vom Endnutzer ausdrücklich gewünschte Nutzung eines bestimmten Dienstes zu ermöglichen, unbedingt notwendig und verhältnismäßig ist. Dazu gehört auch das Speichern von Cookies für die Dauer einer für den Besuch einer Website einmal aufgebauten Sitzung, um die Eingaben des Endnutzers beim Ausfüllen von Online Formularen, die sich über mehrere Seiten erstrecken, mitverfolgen zu können. Cookies können auch ein legitimes und nützliches Hilfsmittel sein, um beispielsweise den Webdatenverkehr zu einer Website zu messen. Konfigurationsprüfungen, die Anbieter von Diensten der Informationsgesellschaft vornehmen, um ihren Dienst entsprechend den Einstellungen des Endnutzers bereitstellen zu können, wie auch das bloße Feststellen der Tatsache, dass das Gerät des Endnutzers die vom Endnutzer angeforderten Inhalte nicht empfangen kann, sollten nicht als Zugriff auf ein Gerät oder als Nutzung der Verarbeitungsfunktionen des Geräts betrachtet werden.

 (22) Die Methoden zur Bereitstellung von Informationen und die Einholung der Einwilligung des Endnutzers sollten so benutzerfreundlich wie möglich sein. Wegen der allgegenwärtigen Verwendung von Verfolgungs-Cookies und anderer Verfolgungstechniken werden die Endnutzer immer häufiger aufgefordert, ihre Einwilligung in die Speicherung solcher Verfolgungs-Cookies in ihren Endeinrichtungen zu geben. Infolge dessen werden die Endnutzer mit Einwilligungsanfragen überhäuft. Mit Hilfe technischer Mittel für die Erteilung der Einwilligung, z. B. durch transparente und benutzerfreundliche Einstellungen, könnte dieses Problem behoben werden. Deshalb sollte diese Verordnung die Möglichkeit vorsehen, dass die Einwilligung durch die entsprechenden Einstellungen in einem Browser oder einer anderen Anwendung erteilt werden kann. Die Auswahl, die Endnutzer bei der Festlegung ihrer allgemeinen Einstellungen zur Privatsphäre in einem Browser oder einer anderen Anwendung getroffen haben, sollte für Dritte verbindlich und ihnen gegenüber auch durchsetzbar sein. Webbrowser sind eine Art von Softwareanwendung, die es ermöglicht, Informationen aus dem Internet abzurufen und darzustellen. Andere Arten von Anwendungen wie solche, die Anrufe und die Nachrichtenübermittlung ermöglichen oder Navigationshilfe bieten, sind dazu ebenfalls in der Lage. Ein Großteil der Vorgänge, die zwischen dem Endnutzer und der Website ablaufen, werden von Webbrowsern abgewickelt. Aus dieser Sicht kommt ihnen eine Sonderstellung zu, wenn es darum geht, den Endnutzern die Kontrolle über den Informationsfluss zu und von ihrer Endeinrichtung zu erleichtern. So können Webbrowser insbesondere als Torwächter dienen und den Endnutzern helfen, ein Speichern von Informationen in ihren Endeinrichtungen (wie Smartphones, Tablets oder Computer) bzw. den Zugriff darauf zu verhindern.

 (23) Die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen wurden in Artikel 25 der Verordnung DE 21 DE (EU) 2016/679 festgeschrieben. Gegenwärtig haben die meisten weitverbreiteten Browser für Cookies die Standardeinstellung „Alle Cookies annehmen“. Deshalb sollten Anbieter von Software, die das Abrufen und Darstellen von Informationen aus dem Internet erlaubt, dazu verpflichtet sein, die Software so zu konfigurieren, dass sie die Möglichkeit bietet zu verhindern, dass Dritte Informationen in der Endeinrichtung speichern; diese Einstellung wird häufig als „Cookies von Drittanbietern zurückweisen“ bezeichnet. Den Endnutzern sollte eine Reihe von Einstellungsmöglichkeiten zur Privatsphäre angeboten werden, die vom höheren Schutz (z. B. „Cookies niemals annehmen“) über einen mittleren Schutz (z. B. „Cookies von Drittanbietern zurückweisen“ oder „Nur Cookies von Erstanbietern annehmen“) bis zum niedrigeren Schutz (z. B. „Cookies immer annehmen“) reicht. Solche Einstellungen zur Privatsphäre sollten in leicht sichtbarer und verständlicher Weise dargestellt werden.

 (24) Damit Webbrowser die in der Verordnung (EU) 2016/679 vorgeschriebene Einwilligung der Endnutzer, z. B. in die Speicherung von Verfolgungs-Cookies von Drittanbietern, einholen können, sollten sie unter anderem eine eindeutige bestätigende Handlung von der Endeinrichtung des Endnutzers verlangen, mit der dieser seine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich erklärte Zustimmung zur Speicherung solcher Cookies in seiner Endeinrichtung und zum Zugriff darauf bekundet. Eine solche Handlung kann als bestätigend verstanden werden, wenn Endnutzer zur Einwilligung beispielsweise die Option „Cookies von Drittanbietern annehmen“ aktiv auswählen müssen und ihnen die dazu notwendigen Informationen gegeben werden. Hierzu müssen die Anbieter von Software, die den Zugang zum Internet ermöglicht, verpflichtet werden, die Endnutzer zum Zeitpunkt der Installation darauf hinzuweisen, dass die Einstellungen zur Privatsphäre unter den verschiedenen Möglichkeiten ausgewählt werden können, und sie aufzufordern, eine Wahl zu treffen. Die gegebenen Informationen sollten die Endnutzer nicht davon abschrecken, höhere Einstellungen zur Privatsphäre zu wählen, und sie sollten alle wichtigen Informationen über die mit der Annahme von Cookies von Drittanbietern verbundenen Risiken enthalten, wozu auch das Anlegen langfristiger Aufzeichnungen über die Browserverläufe des Betroffenen und die Verwendung solcher Aufzeichnungen zur Übermittlung gezielter Werbung gehören. Es sollte gefördert werden, dass Webbrowser den Endnutzern einfache Möglichkeiten bieten, die Einstellungen zur Privatsphäre während der Benutzung jederzeit zu ändern, und dem Nutzer erlauben, Ausnahmen für bestimmte Websites zu machen oder in Listen festzulegen oder anzugeben, von welchen Websites Cookies (auch von Drittanbietern) immer oder niemals angenommen werden sollen.“

Für weitere Informationen lesen Sie unseren bereits erschienenen Beitrag. Es bleibt abzuwarten, wie die finale Fassung der Verordnung wirklich lauten wird.

Entwurf der EU-ePrivacy-Verordnung: (Katastrophale) Konsequenzen für die Onlinewerbung ?

Setzen von Cookies und Verarbeitung von IP-Adressen in der Onlinewerbungnach der geplanten EU-ePrivacy-Verordnung

Oder: „Das Ende des Internets so wie wir es kennen ?“

Überblick über die wichtigsten Änderungen nach der Veröffentlichung des finalen Verordnungsvorschlags vom 10.01.2017

 Bereits im Dezember 2016 ist der Entwurf einer neuen ePrivacy-Verordnung der Europäischen Kommission geleakt worden. Nun wurde die finale Version vom 10.01.2017 als offizieller Vorschlag der EU Kommission veröffentlicht. Die neue Verordnung soll die in die Jahre gekommene ePrivacy-Richtlinie 2002/58/EG ablösen und die Datenschutz-Grundverordnung (DSGVO) flankieren, die zum 25. Mai 2018 in Kraft tritt. Anders als die alte ePrivacy-Richtlinie ist die geplante ePrivacy-Verordnung unmittelbar in allen Mitgliedstaaten anwendbar und hat Vorrang gegenüber nationalen Gesetzen. Insoweit in der Vergangenheit diskutiert worden war, ob die ePrivacy-Richtlinie in Deutschland vollständig umgesetzt wurde, erübrigt sich diese Frage bei der nun vorgeschlagenen Verordnung, die keine Umsetzung durch den deutschen Gesetzgeber erfordert.

Der europäische Verband der Onlinewerbebranche IAB Europe hat den Entwurf in einer ersten Stellungnahme scharf kritisiert:

 „Die Kommission hatte die perfekte Gelegenheit, ihr Interesse an besseren und klügeren Regeln durch die Abschaffung der veralteten und unnötigen Cookie Law unter Beweis zu stellen“,

so Townsend Feehan, Geschäftsführer von IAB Europe.

„Endlich erkennt die Kommission die wichtige Rolle von Werbung für die Finanzierung kostenloser Onlineinhalte an und stellt gleichzeitig ein Gesetz vor, das diesem Geschäftsmodell klar Schaden zufügen wird – ohne den Nutzern echte Vorteile für den Schutz ihrer Privatsphäre und ihrer Daten zu bieten. Wer dachte, dass Cookie-Banner nerven, wird enttäuscht sein, dass es nicht besser wird.“

 Auch aus aus der Wirtschaft kam Kritik. Der Bundesverband Digitale Wirtschaft (BVDW) warnte vor „einer fundamentalen Gefährdung der heutigen Informationsgesellschaft“.

Im nachfolgenden soll daher aufgezeigt werden, worin die Bedrohung traditioneller Geschäftsmodelle der Onlinewirtschaft liegen könnte.

 1)    Aktuelle Situation

Die Verwendung von Third party-Cookies ist nach der derzeit in Deutschland geltenden Rechtslage auch ohne die Einwilligung des betroffenen Nutzers zulässig, solange dem Nutzer ein Recht zum Widerspruch („Opt-out“) eingeräumt wird. Dies, obwohl die geltende ePrivacy-Richtlinie etwas anderes vermuten lässt:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“ (Artikel 5 Abs. 3 ePrivacy-RL 2002/58/EG in der Fassung der RL 2009/136/EG)

Wie der Bundesgerichtshof nämlich 2008 im „Payback-Urteil“ entschied (BGHZ 177, 253 – Payback), stellt § 15 Abs. 3 Telemediengesetz (TMG) klar, dass es bei der Nutzung von Verbindungsdaten ausreicht, eine Opt-out Lösung für den Widerspruch des Nutzers anzubieten.

Der Gesetzeswortlaut des § 15 Abs. 3 TMG besagt:

„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.“

 In einer Stellungnahme des deutschen Bundeswirtschaftsministeriums zur Umsetzung der ePrivacy-Richtlinie heißt es, dass die auch als „Cookie-Richtlinie“ bekannte Regelung durch die Vorschriften des Telemediengesetzes ausreichend umgesetzt sei. Solange in Third party-Cookies keine personenbezogenen Informationen enthalten sind, sind diese jedenfalls als Pseudonyme im Sinne von § 15 Abs. 3 TMG zu qualifizieren mit der Folge, dass ihr Einsatz zulässig war, solange dem User auf der jeweiligen Website eine Opt-out Möglichkeit gegeben wird .

Weil andere Mitgliedstaaten, zum Beispiel das Vereinigte Königreich, bei der Umsetzung der ePrivacy-Richtlinie deutlich strenger vorgingen und vor allem aufgrund der strengeren Datenschutz-Anforderungen von Google gegenüber den Nutzern von Google AdSense, sind auch viele deutsche Websitebetreiber und Cookie-Verwender in der Praxis auf die Einholung der Nutzereinwilligung ausgewichen, indem sie ein „Cookie-Banner“ einblenden.

2) Inhalt der geplanten  ePrivacy-Verordnung

Die ePrivacy-Verordnung soll ergänzend zu der ab Ende Mai 2018 geltenden Datenschutz-Grundverordnung speziell den Bereich der elektronischen Kommunikation und den Umgang mit personenbezogenen Daten regeln.

Die für Cookies interessanten Regelungen finden sich in Artikel 8 und Artikel 9. Besonders interessant sind die der Verordnung vorangestellten Erwägungsgründe 21 bis 24, die sich explizit mit der Verwendung von Tracking Cookies und Third party-Cookies auseinandersetzen. Die Erwägungsgründe einer Verordnung sind freilich nicht selbst Teil des Gesetzestexts. Sie spiegeln jedoch die Gedanken und Erwägungen der EU-Kommission wieder und helfen bei der Auslegung des Gesetzeswortlauts. Die genannten Erwägungsgründe lauten wie folgt:

“(21) Exceptions to the obligation to obtain consent to make use of the processing and storage capabilities of terminal equipment or to access information stored in terminal equipment should be limited to situations that involve no, or only very limited, intrusion of privacy. For instance, consent should not be requested for authorizing the technical storage or access which is strictly necessary and proportionate for the legitimate purpose of enabling the use of a specific service explicitly requested by the end-user. This may include the storing of cookies for the duration of a single established session on a website to keep track of the end-user’s input when filling in online forms over several pages. Cookies can also be a legitimate and useful tool, for example, in measuring web traffic to a website. Information society providers that engage in configuration checking to provide the service in compliance with the end-user’s settings and the mere logging of the fact that the end-user’s device is unable to receive content requested by the end-user should not constitute access to such a device or use of the device processing capabilities.

 (22) The methods used for providing information and obtaining end-user’s consent should be as user-friendly as possible. Given the ubiquitous use of tracking cookies and other tracking techniques, end-users are increasingly requested to provide consent to store such tracking cookies in their terminal equipment. As a result, end-users are overloaded with requests to provide consent. The use of technical means to provide consent, for example, through transparent and user-friendly settings, may address this problem. Therefore, this Regulation should provide for the possibility to express consent by using the appropriate settings of a browser or other application. The choices made by end-users when establishing its general privacy settings of a browser or other application should be binding on, and enforceable against, any third parties. Web browsers are a type of software application that permits the retrieval and presentation of information on the internet. Other types of applications, such as the ones that permit calling and messaging or provide route guidance, have also the same capabilities. Web browsers mediate much of what occurs between the end-user and the website. From this perspective, they are in a privileged position to play an active role to help the end-user to control the flow of information to and from the terminal equipment. More particularly web browsers may be used as gatekeepers, thus helping end-users to prevent information from their terminal equipment (for example smart phone, tablet or computer) from being accessed or stored.

 (23) The principles of data protection by design and by default were codified under Article 25 of Regulation (EU) 2016/679. Currently, the default settings for cookies are set in most current browsers to ‘accept all cookies’. Therefore providers of software enabling the retrieval and presentation of information on the internet should have an obligation to configure the software so that it offers the option to prevent third parties from storing information on the terminal equipment; this is often presented as ‘reject third party cookies’. End-users should be offered a set of privacy setting options, ranging from higher (for example, ‘never accept cookies’) to lower (for example, ‘always accept cookies’) and intermediate (for example, ‘reject third party cookies’ or ‘only accept first party cookies’). Such privacy settings should be presented in a an easily visible and intelligible manner.

 (24) For web browsers to be able to obtain end-users’ consent as defined under Regulation (EU) 2016/679, for example, to the storage of third party tracking cookies, they should, among others, require a clear affirmative action from the end-user of terminal equipment to signify his or her freely given, specific informed, and unambiguous agreement to the storage and access of such cookies in and from the terminal equipment. Such action may be considered to be affirmative, for example, if end-users are required to actively select ‘accept third party cookies’ to confirm their agreement and are given the necessary information to make the choice. To this end, it is necessary to require providers of software enabling access to internet that, at the moment of installation, end-users are informed about the possibility to choose the privacy settings among the various options and ask them to make a choice. Information provided should not dissuade end-users from selecting higher privacy settings and should include relevant information about the risks associated to allowing third party cookies to be stored in the computer, including the compilation of long-term records of individuals‘ browsing histories and the use of such records to send targeted advertising. Web browsers are encouraged to provide easy ways for end-users to change the privacy settings at any time during use and to allow the user to make exceptions for or to whitelist certain websites or to specify for which websites (third) party cookies are always or never allowed.”

In den Erwägungsgründen 21 bis 24 schätzt die EU-Kommission die derzeitige Lage des Datenschutzes im Internet ein. Es würden derzeit viel zu viele Anfragen zur Einwilligung an den Nutzer gestellt. Diese vielen Einwilligungsanfragen würden den Internetnutzer überfordern (Erwägungsgrund 22). Daher sei es erforderlich, einerseits Datenverarbeitungen mit niedriger Relevanz von dem Erfordernis einer Einwilligung auszuklammern. So soll es zum Beispiel keiner Einwilligung bedürfen, wenn ein Session Cookie gesetzt wird, das das Ausfüllen eines mehrseitigen Formulars ermöglicht. Dieses soll ohne gesonderte Einwilligung gesetzt werden dürfen sein (Erwägungsgrund 21). Auch zu „technisch erforderlichen“ Tracking Cookies, etwa zur Messung etwa des Traffic einer Website, müsse der User nicht gesondert befragt werden.

Nach der vorgeschlagenen Verordnung der Kommission soll dagegen bei allen übrigen Third party-Cookies und anderen Tracking Cookies die Einwilligung des betroffenen Users erforderlich werden. Nach unserer ersten Einschätzung hätte diese Regelung erhebliche Auswirkungen auf die gesamte Onlinebranche.

Zur Form der Einwilligung priorisiert die EU-Kommission in den Erwägungsgründen 21 – 25 das Konzept, dass die Einwilligung künftig über die Datenschutzeinstellungen im Browser des betroffenen Users erfolgen könne. Dies sei dann möglich, wenn dem Nutzer beim Festlegen der entsprechenden Einstellungen klar ist, dass er dadurch etwa in das Setzen von Tracking Cookies einwilligt. Unter Bezug auf die in der Verordnung 2016/679/EU geplanten Vorschriften zu einem Privacy by Design   ruft die EU Kommission die Browser-Hersteller zu mehr Transparenz und Klarheit bei den Einstellungen zum Datenschutz auf. Mittels einfachem und verständlichem Weg sollten die Hersteller dem Nutzer in den Browser-Einstellungen die Auswahl eröffnen, zwischen beispielsweise „Keine Cookies akzeptieren“, „Third-Party Cookies ablehnen“ und „Nur First-Party Cookies akzeptieren“ zu entscheiden. Bereits bei der Installation des Browsers soll der Nutzer über die möglichen Einstellungen zum Datenschutz informiert werden und zur Auswahl aufgefordert werden.

Eine erst einmal erteilte Einwilligung soll nach den Erwägungsgründen 34 und 35 widerruflich sein, und zwar jederzeit und möglichst einfach.

Abgesehen von dem Einsatz von Cookies hat Erwägungsgrund 20 noch eine besondere Relevanz. Danach wird für die Nutzung vieler Techniken, die Informationen des Verbraucherendgeräts verarbeiten, eine Einwilligung des Nutzers erforderlich.

(20) […] “Given that such equipment contains or processes information that may reveal details of an individual’s emotional, political, social complexities, including the content of communications, pictures, the location of individuals by accessing the device’s GPS capabilities, contact lists, and other information already stored in the device, the information related to such equipment requires enhanced privacy protection. Furthermore, the so-called spyware, web bugs, hidden identifiers, tracking cookies and other similar unwanted tracking tools can enter end-user’s terminal equipment without their knowledge in order to gain access to information, to store hidden information and to trace the activities. Information related to the end-user’s device may also be collected remotely for the purpose of identification and tracking, using techniques such as the so-called ‘device fingerprinting’, often without the knowledge of the end-user, and may seriously intrude upon the privacy of these end-users. Techniques that surreptitiously monitor the actions of end-users, for example by tracking their activities online or the location of their terminal equipment, or subvert the operation of the end-users’ terminal equipment pose a serious threat to the privacy of end-users. Therefore, any such interference with the end-user’s terminal equipment should be allowed only with the end-user’s consent and for specific and transparent purposes.”

Demgegenüber meint die EU Kommission laut Erwägungsgrund 25, dass Verbindungsdaten, beispielsweise die MAC-Adresse oder die IMEI-Nummer von Endgeräten, auch ohne Einwilligung des Nutzers genutzt werden dürfen, insoweit kein hohes Risiko für die Datensicherheit der Nutzer besteht. Insoweit solche Verbindungsdaten erhoben werden, müssen den Nutzern bereits vor der Erhebung deutliche Hinweise aufgezeigt werden, damit sich der Nutzer sich, wie bei videoüberachten Bereichen, der Erfassung entziehen kann.

In Erwägungsgrund 32 der Verordnung wird der Begriff des „direct marketing“ als jede Art von Werbung beschrieben, die über elektronische Kommunikation dem End-User zugesandt wird. Das beinhaltet auch Nachrichten von politischen Parteien und Non-Profit Organisationen.

Die EU Kommission sieht in Erwägungsgrund 17 das Erfordernis der Nutzung von Metadaten („electronic communications metadata“) durch Anbieter von Kommunikationsdienstleistungen beispielsweise zur Verbesserung von öffentlichem Transport und Infrastruktur. Zu diesen Zwecken sei eine Anonymisierung der Daten nicht erforderlich, vielmehr könne die Nutzung der Metadaten mit einem „identifier“ (Pseudonymisierung) zulässig sein. Insoweit hohe Risiken bei der Verarbeitung dieser Metadaten bestehen, muss im Wege der Artikel 35 und 36 der DS-GVO 2016/679/EU eine Datenschutz-Folgenabschätzung und die vorherige Konsultation der Aufsichtsbehörde vorgenommen werden.

3) Die Regelungen im Einzelnen

Gesetzestechnisch geht die Kommission folgendermaßen vor: Nach Art. 8 Abs. 1 des Verordnungsvorschlags ist die Nutzung von „Rechen- und Speicherleistung“ des „Nutzerendgerätes“ grundsätzlich verboten, es sei denn, der Nutzer erklärt seine Einwilligung  oder die Nutzung von Rechten- und Speicherleistung ist erforderlich für die Darstellung der Website und für Messungen des Web Traffics.

“Article 8 Protection of information stored in and related to end-users’ terminal equipment

 The use of processing and storage capabilities of terminal equipment and the collection of information from end-users’ terminal equipment, including about its software and hardware, other than by the end-user concerned shall be prohibited, except on the following grounds:

(a) it is necessary for the sole purpose of carrying out the transmission of an electronic communication over an electronic communications network; or

(b) the end-user has given his or her consent; or

(c) it is necessary for providing an information society service requested by the end-user; or

(d) if it is necessary for web audience measuring, provided that such measurement is carried out by the provider of the information society service requested by the end-user.”

 Art. 8 Abs. 1 lit. a kommt vor allem den Websitebetreibern zugute, die nun zum Einsatz von zwingend erforderlichen Cookies, ohne die ein Abruf der Websiteinhalte nicht möglich wäre, keine gesonderte Einwilligung des Nutzers brauchen. Doch auch weitere Cookies, wie beispielsweise Tracking und Session Cookies, sind ohne Einwilligung zulässig, wenn sie für die Darstellung von Diensten der Informationsgesellschaft erforderlich sind und die der Nutzer abruft.

Dabei wird der Begriff „Dienste der Informationsgesellschaft“ wie einst in Artikel 1 Nummer 2 der Richtlinie 98/34/EG in der Fassung der Richtlinie 98/48/EG definiert weit verstanden.

„2. ‚Dienst‘: eine Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung.

Im Sinne dieser Definition bezeichnet der Ausdruck

– ‚im Fernabsatz erbrachte Dienstleistung‘ eine Dienstleistung, die ohne gleichzeitige physische Anwesenheit der Vertragsparteien erbracht wird;

– ‚elektronisch erbrachte Dienstleistung‘ eine Dienstleistung, die mittels Geräten für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen wird und die vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischem Wege gesendet, weitergeleitet und empfangen wird;

– ‚auf individuellen Abruf eines Empfängers erbrachte Dienstleistung‘ eine Dienstleistung, die durch die Übertragung von Daten auf individuelle Anforderung erbracht wird.“

In den Erwägungsgründen beispielhaft genannt sind Tracking Cookies für Webformulare und Session Cookies für Web-Traffic Messungen.

Ob unter die Ausnahmen nach Art. 8 Abs. 1 lit. c auch Analyse-Tools wie Google Analytics fallen, hängt von der Auslegung der Einschränkung „carried out by the provider“ ab. Das ist hier problematisch, da Google Analytics nicht identisch ist mit dem Websitebetreiber, der den gewünschten Dienst der Informationsgesellschaft anbietet. Jedenfalls ist Google Analytics kein Fall von Art. 8 Abs. 1 lit. a, da der Service nicht zur Übermittlung der Inhalte erforderlich ist.

Art. 8 Abs. 2 der Verordnung befasst sich daneben mit den Daten, welche das Endgerät des Nutzers bei der Kommunikation im Netz von sich aus übermittelt. Dabei ist insbesondere an die IP-Adresse und an den User agent zu denken. Das Speichern dieser Daten soll grundsätzlich verboten sein, es sei denn, dies ist „zur Herstellung einer Verbindung erforderlich“.

Ausnahmsweise dürfen diese Daten gesammelt werden, wenn ein „eindeutiger und deutlich sichtbarer“ Hinweis angezeigt wird, der angibt, wie, von wem und aus welchem Grund die Daten gespeichert werden, sowie die Schritte erläutert, die der Nutzer zur „Minimierung“ dieser Datenverarbeitungen unternehmen kann. Hierzu dürfte auch das Tracking von Verbindungsdaten gehören, etwa durch die MAC-Adresse oder die IMEI-Nummer. Diesbezüglich verhalten sich die Erwägungsgründe 20 und 25 zueinander auf den ersten Blick widersprüchlich. Es ist vermutlich wertend zu beachten, in welcher Intensität das Tracking des Nutzers in dessen Privatsphäre eindringt.

 “Article 8 Protection of information related to end-users’ terminal equipment

[…]

  1. The collection of data emitted by terminal equipment to enable it to connect to another device and or network equipment by natural or legal persons other than end-users concerned shall be prohibited, except:
  • if it is done exclusively in order and for the time necessary to establish a possible connection;
  • if a clear and prominent notice is displayed to the public informing of, at least, the modalities of the collection its purpose, the person responsible for it and of any measure the end-user of the terminal equipment can take to minimise the collection, and,

When such data is used for direct marketing and profiling, the end-user shall have the right to object as provided for in Article 21 of the GDPR […].”

Art. 9 des Verordnungsvorschlags regelt die Form der Einwilligung des Nutzers, die sich vorrangig nach Art. 7 der kommenden Datenschutz-Grundverordnung bestimmt. Danach ist die Einwilligung grundsätzlich formlos möglich, muss aber nachweisbar dokumentiert werden und kann jederzeit widerrufen werden.

Nach Artikel 9 Abs. 2 des Verordnungsvorschlags kann die Einwilligung auch durch eine Einstellung des Nutzers im Browser erfolgen, jedoch nur, „soweit dies technisch möglich und praktikabel ist“. Sollte der Nutzer nach dieser Vorschrift in seinem Browser die Datenschutzeinstellungen so konfigurieren, dass Third party-Cookies zugelassen werden, so willigt er beim Besuch einer Website in die Setzung dieser Cookies ein:

“Article 9 Consent

  1. The definition of and conditions for consent provided for under Articles 4(11) and 7 of Regulation (EU) 2016/679/EU shall apply.
  2. Without prejudice to paragraph 1, where technically possible and feasible, for the purposes of point (b) of Article 8(1), consent may be expressed by using the appropriate technical settings of a software application enabling access to the internet.
  3. End-users who have consented to the processing of electronic communications data as set out in point (c) of Article 6(2) and points (a) and (b) of Article 6(3) shall be given the possibility to withdraw their consent at any time as set forth under Article 7(3) of Regulation (EU) 2016/679 and be reminded of this possibility at periodic intervals of 6 months, as long as the processing continues.”

Beachtet man die oben erörterten Erwägungsgründe, so müssen die Begriffe „technically possible and effective“ dahingehend gedeutet werden, dass der verwendete Browser dem Nutzer hinreichend transparent und einfach die Konfiguration der Datenschutzeinstellung ermöglicht, so dass es dem tatsächlichen Willen des Nutzers entspricht, wenn er der Setzung von einwilligungsbedürftigen Third party-Cookies oder Tracking-Cookies zustimmt. Genaueres lässt sich an dieser Stelle nicht sagen, da unklar ist, ob und wie sich Art. 25 Abs. 1 der kommenden Datenschutzgrundverordnung 2016/670/EU (Privacy by Design) mit der Pflicht für Hersteller zur datenfreundlichen Gestaltung von Produkten überhaupt durchsetzt.

Diesbezüglich hat die EU Kommission in Artikel 10 der Verordnung festgelegt, dass jede Software, die eine elektronische Kommunikation eröffnet, eine Option anbieten soll, um das Speicherung von Informationen auf dem Endgerät oder das Nutzen der Prozessorleistung des Endgeräts durch Dritte zu verhindern. Nach Absatz 2 und Absatz 3 soll der Hersteller bereits bei Installation oder aber durch ein Update den Nutzer über die entsprechenden Optionen zum Datenschutz aufklären.

Nach Artikel 9 Abs. 3 der Verordnung muss eine erteilte Einwilligung durch den Nutzer widerruflich sein, und zwar zu jeder Zeit. Der Nutzer muss im Intervall von sechs Monaten an die Option des Widerrufs erinnert werden. Dies jedoch nur, wenn die Daten weiterhin verarbeitet werden. Wird folglich nach einer erfolgten Einwilligung ein Cookie platziert, so muss der Nutzer nach Ablauf von sechs Monaten die Möglichkeit haben, die Einwilligung in das Cookie zu widerrufen. In der Folge muss das Cookie gelöscht oder inaktiviert werden.

 Sollte der Verordnungsvorschlag daher so umgesetzt werden, wird die Rechtslage für Cookies in der EU deutlich erschwert. Es entspricht wohl nicht dem Willen der EU-Kommission, der von Cookies abhängigen Onlinewerbebranche das Wasser abzugraben, da sie die Entscheidung über den Umgang mit Userdaten in die Hände der User selbst geben möchte.

Zur Stärkung der Rechtsposition des Nutzers soll sich der Verordnungsvorschlag jedoch auch gegen die heimliche Überwachung der Nutzer („surreptitious monitoring“) richten. Immerhin soll die Nutzung von Rechen- und Speicherleistung des Endnutzergerätes stärker reglementiert werden, was voraussichtlich weitreichende Folgen haben wird.

Vielmehr soll die geplante Verordnung den Ansatz des „Privacy by Design“ verfolgen. Softwarehersteller sollen ihre Produkte so anpassen, dass die Nutzer mehr Klarheit über die Verwendung ihrer Daten erhalten und diese besser steuern können. Wie die großen Browserhersteller darauf reagieren werden, lässt sich bislang nicht abschätzen.

Solange nicht geklärt ist, wie nach den Vorstellungen der EU-Kommission „technisch mögliche und effektive“ Browsereinstellungen auszusehen haben, wird die geplante ePrivacy-Verordnung dazu führen, dass sowohl das Setzen von Cookies als auch die Verarbeitung von IP-Adressen und User agents europaweit von der vorherigen Einwilligung der betroffenen Nutzer abhängig ist. Die Lösung des Problems durch einen Opt-out, einen Hinweis in der Datenschutzerklärung oder ein einfaches Hinweisbanner wäre damit passé.

Schließlich wird die ePrivacy-Verordnung aufgrund ihrer Kopplung mit der Datenschutz-Grundverordnung viel weitreichendere Wirkung auch für Unternehmen außerhalb der Europäischen Union entfallen, da sie die Rechte von den Websitebesuchern aus der EU gleichsam beachten müssen.

4) Ausblick

Anders als bei der Datenschutz-Grundverordnung mit ihrer langen Übergangsfrist soll die ePrivacy-Verordnung bereits sechs Monate nach ihrer Veröffentlichung in Kraft treten (Art. 31 Abs. 2). Daher gilt es, das weitere Gesetzgebungsverfahren genau im Auge zu behalten.

Im Falle eines Verstoßes gegen die dargestellten Vorschriften kann die zuständige Aufsichtsbehörde drakonische Strafen von bis zu 20 Millionen Euro oder 4 % der Unternehmenseinkünfte verhängen. Betroffene Unternehmen sollten sich daher unbedingt auf die Umsetzung der neuen Regelungen vorbereiten.

5) Zusammenfassung

Nach dem aktuellen Vorschlag der ePrivacy-Verordnung darf allein der Besuch einer Website durch den Endverbraucher nicht mehr als Einwilligung in eine gesonderte Datenverarbeitung verstanden werden.

Die derzeit gebräuchlichen Banner mit dem Inhalt „Mit dem Besuch dieser Website akzeptieren sie (konkludent) die Verwendung von Cookies“ oder dem Hinweis „Wir benutzen Cookies“ und einem OK-Button werden unzulässig sein, da dem Nutzer keine echte Wahl bezüglich der Abgabe einer Einwilligung verbleibt. Es genügt auch nicht, darauf hinzuweisen, dass der betroffene Nutzer in seinem Browser bestimmte Datenschutzeinstellungen vornehmen kann.

Vielmehr muss dem Nutzer beim ersten Aufruf der Website und noch vor der ersten Platzierung eines einwilligungsbedürftigen Cookies ein Hinweis auf die Verwendung von Cookies dargestellt werden, bei dem der Nutzer die Wahl hat, dem zuzustimmen oder es abzulehnen. Die Darstellung kann durch ein Banner oder ein Hinweisfenster erfolgen, das nicht übersehen werden kann. Die Zustimmung muss per Opt-In abgefragt werden. Opt-In bedeutet dabei, dass im Fall einer Checkbox diese nicht bereits mit einem Häkchen versehen sein darf. Der Nutzer muss zur Zustimmung unzweideutig selbst auf „Zustimmen“ klicken, als würde er einen Internetkauf abschließen. Tut er dies nicht und lässt das Banner/ den Hinweis unbeachtet, dürfen keine einwilligungsbedürftigen Cookies platziert werden.

Sollte der Nutzer ablehnen, darf die Website für ihn jedoch nicht gesperrt sein. In dem Erwägungsgrund 42 der Datenschutz-Grundverordnung heißt es nämlich, dass die Gestaltung so erfolgen muss, dass der Nutzer „[…] in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“ Hier spricht einiges dafür, einen Nachteil anzunehmen, wenn einem Nutzer, der nicht Einwilligt, der Inhalt der Website vorenthalten würde. Dies lässt sich jedoch nicht mit letztendlicher Sicherheit sagen, da bisher unklar ist, wie ein „Nachteil“ definiert werden wird.

Außerdem muss der Websitebetreiber auch den Nutzern, die ihre Einwilligung bereits erklärt haben, jederzeit ein Opt-out, also eine Option zum späteren Widerruf der Einwilligung, anbieten.

Nicht zuletzt sollten Websitebetreiber zukünftig auch die Browsereinstellung „Do Not Track“ von jedem Nutzer abfragen, da dies bereits das Nicht-Einwilligen des Nutzers festlegt.

Für die Websitebetreiber wird das stringente Einhalten der neuen Regeln der ePrivacy-Verordnung einen nicht unerheblichen Aufwand zur Anpassung der Websites und Kosten bedeuten. Insbesondere beim Website-Monitoring müssen die Unternehmen in Zukunft sehr genau abwägen, welche Datenerhebungen einer Nutzereinwilligung bedürfen. Bis zum Inkrafttreten der Norm ist noch mit intensiven Verhandlungen und viel Lobbyarbeit zu rechnen.

Benötigen Sie Unterstüzung bei der Umsetzung der ePrivay-Verordnung, dann nehmen Sie gerne Kontakt zu uns auf (Eickmeier@unverzagt.law, Tel. 040 414 00034).