Französische Aufsichtsbehörde CNIL veröffentlicht Aktionsplan für zielgerichtete Online-Werbung

Am 28. Juni 2019 veröffentlichte die französische Datenschutzbehörde (die „CNIL“) ihren Aktionsplan für 2019-2020, um die Regeln für zielgerichtete Online-Werbung festzulegen und die Unternehmen bei ihren Compliance-Bemühungen zu unterstützen.

Hintergrund

Die CNIL hat beschlossen, die gezielte Online-Werbung für 2019 zu einer Priorität zu machen, und zwar aus folgenden Gründen:

Die CNIL hatte zahlreiche Beschwerden von Einzelpersonen und gemeinnützigen Einrichtungen, Organisationen und Verbänden über die Online-Marketing-Praktiken erhalten. Im Jahr 2018 bezogen sich 21% der Beschwerden auf diese Themen.

Gleichzeitig erhielt die CNIL viele Fragen von Branchenexperten, die bestrebt waren, ihre Verpflichtungen aus der EU-Generaldatenschutzverordnung („GDPR“) besser zu verstehen. Diese Fragen bezogen sich auf zwei Hauptthemen:

Vor diesem Hintergrund beschloss die CNIL, einen Aktionsplan zur Aktualisierung ihrer bestehenden Leitlinien im Lichte der GDPR-Zustimmungserfordernisse anzunehmen und nicht länger auf die Umsetzung der ePrivacy-Verordnung zu warten, mit der die EU-Vorschriften für Direktmarketing und die Verwendung von Cookies harmonisiert werden sollen.

Der Aktionsplan der CNIL für 2019-2020 besteht aus zwei Hauptschritten:

Schritt 1: Veröffentlichung neuer Cookie-Richtlinien im Juli 2019

Die CNIL – die französische Datenschutzaufsichtsbehörde – kündigte soeben an, dass sie im Juli 2019 ihre alten Empfehlungen für Cookies aus 2013 aufheben und neue Leitlinien veröffentlichen wird,  die auf einer EU-weiten einheitlichen Auslegung des EU Rechts basieren werden.

Die CNIL wird  für die französischen Unternehmen eine Übergangsfrist von 12 Monaten vorsehen, um den neuen Cookie-Richtlinien zu entsprechen. Während dieser Übergangszeit wird die CNIL weiterhin akzeptieren, dass auch konkludente Einwilligungen, wie etwa das weitere Durchsuchen einer Website, als stillschweigende Zustimmung zur Verwendung von Cookies auf der Website bedeuten können.

Während der Übergangszeit wird die CNIL jedoch verlangen, dass Cookies erst nach Einholung der Zustimmung gesetzt werden. Dies verlangen übrigens die deutschen Aufsichtsbehörden, die DSK, ebenfalls. Näheres hatten sie in der Orientierungshilfe Telemedien dargestellt. https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf

Schritt 2:

In einem 2. Schritt wird eine Konsultation aller relevanten Interessengruppen zur Entwicklung von weiteren Empfehlungen bis Dezember 2019 – Anfang 2020 erfolgen. Die CNIL kündigte auch an, dass Arbeitsgruppen, die sich aus CNIL-Beamten und Interessengruppen des adtech-Ökosystems zusammensetzen (d.h. Web-Publisher, Werbetreibende, Dienstleister und Vermittler des Marketingökosystems und Vertreter der Zivilgesellschaft), in der zweiten Jahreshälfte 2019 zusammentreffen werden, um praktische Ansätze zur Erlangung der Zustimmung zu erarbeiten. Auf der Grundlage dieser Diskussionen wird die CNIL ihre Empfehlungen  Ende 2019 oder spätestens Anfang 2020 veröffentlichen. Diese Empfehlungsentwürfe werden der öffentlichen Konsultation zugänglich sein. Die CNIL wird die endgültige Fassung der Empfehlungen nach einem Zeitraum von sechs Monaten durchsetzen.

Die ePrivacyVO durch die Hintertür: Tracking nur noch mit Einwilligung?

ePrivacy-Verordnung: weiterhin keine Einigung in Sicht

Auch am Ende des ersten Quartals 2019 ist auf europäischer Ebene keine Einigung bezüglich der ePrivacy-Verordnung in Sicht: Auf der Suche nach einem Kompromiss hat der Europäische Rat lediglich neue Diskussionspapiere vorgelegt. Mittlerweile ist von einem Inkrafttreten nicht vor 2020 und einer Umsetzungsfrist von weiteren zwei Jahren auszugehen. Somit wird sich die ursprünglich als „Schwestergesetz“ zur DSGVO geplante ePrivacy-Verordnung um mindestens dreieinhalb Jahre verzögern.

Damit bleibt die Frage weiterhin offen, ob die ePrivacy-Verordnung für Cookies und andere zu Werbezwecken genutzte Tracking-Mechanismen eine Einwilligung (also ein echtes Opt-in) der Nutzer erfordern wird.

Der letzte Beitrag widmete sich bereits der Frage, welche Position die deutschen Aufsichtsbehörden derweil auf der Grundlage des bestehenden Rechts (also der DSGVO und des deutschen Telemediengesetzes) in Fällen des Trackings zu Werbezwecken einnehmen. Jetzt verdichten sich die Zeichen für eine „vorauseilende Umsetzung“ der ePrivacy-Verordnung durch die (deutschen) Aufsichtsbehörden mit den Mitteln der DSGVO.

Das Positionspapier der DSK

Die deutsche Datenschutzkonferenz (DSK), die sich aus den Datenschutzbehörden des Bundes und der Länder zusammensetzt, hat im April 2018 in einem Positionspapier verlauten lassen, dass nach ihrer Auffassung als Rechtsgrundlage für den Einsatz von Tracking-Mechanismen zu Werbezwecken kein berechtigtes Interesse des Werbetreibenden, sondern lediglich die Einwilligung (Opt-in) der Nutzer in Frage kommt.

Natürlich handelt es sich bei so einem Positionspapier lediglich um eine Behörden-„Meinung“. Von ihr gehen keine echten Rechtswirkungen wie etwa von einem Gerichtsurteil oder einem Gesetz aus. Trotzdem verdeutlicht sie den Standpunkt der Datenschutzbehörden in Bezug auf die Interpretation des bestehenden Rechts. Ein für Ende 2018 angekündigtes Folgepapier lässt jedoch weiterhin auf sich warten.

Das BayLDA kündigt jetzt „Konsequenzen“ an

Anfang Februar kündigte jetzt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) an, tatsächlich auf der Grundlage der DSGVO gegen Tracking zu Werbezwecken vorgehen zu wollen, sofern es ohne Einwilligung der Nutzer geschieht.

Anlässlich des „Safer Internet Day“ veröffentlichte das BayLDA das Ergebnis einer Untersuchung von 40 „bayerischen“ Websites auf ihre DSGVO-Konformität. Dabei ging das BayLDA ohne weitere Erläuterung von der Prämisse aus, dass die Verwendung von Tracking-Tools nicht nur eine Information in einer Datenschutzerklärung, sondern auch eine Einwilligung der Besucher erfordere:

BayLDA1

Abbildung 1: Nach Ansicht des BayLDA benötigt man für das Tracking zu Werbezwecken eine Einwilligung der User – und offenbar hält sich niemand an diese angebliche Regel (Quelle: BayLDA).

In einem weiteren Schritt verdeutlichte das BayLDA, dass die geforderte Einwilligung nicht in Form eines heute bereits vielfach verwendeten informatorischen „Cookie-Banners“ (nach ursprünglich britischem Vorbild), sondern in Form eines „Einwilligungs-Popups“ erfolgen muss, der eine echte Einwilligung im Sinne von Art. 7 DSGVO abfragt. (Ähnlich sehen das übrigens offenbar die Aufsichtsbehörden in Österreich und in den Niederlanden.)

BayLDA2

Abbildung 2: Nach Ansicht des BayLDA sind die bisher häufig verwendeten „Cookie-Banner“ für die angeblich erforderliche Einwilligung nicht ausreichend (Quelle: BayLDA).

Das BayLDA kündigte an, die Verhängung von Bußgeldern wegen Verletzung dieses angenommenen DSGVO-Verstoßes zu „prüfen“. Von der niedersächsischen Datenschutzbehörde ist Ähnliches zu hören; aus Hessen dagegen wird verlautbart, dass erst eine einheitliche Position gefunden werden müsse. Diesbezügliche Entscheidungen liegen bislang nicht vor.

Unsere Einschätzung

Wie bereits angedeutet ist diese unerwartet deutliche Position der bayerischen Aufsichtsbehörde nach wie vor verwunderlich, wo doch erstens die DSGVO in Erwägungsgrund 47 a.E. berechtigte Interessen als Rechtsgrundlage für das Online-Marketing ausdrücklich anerkennt und zweitens die Diskussion um eine Änderung dieses rechtlichen Zustands durch die ePrivacy-Verordnung wie dargestellt weiterhin andauert. Wir empfehlen daher, sich weiterhin auf die „herkömmliche“ Lösung mit einem einfachen Opt-out-Hinweis in der Datenschutzerklärung zu verlassen.

In Bezug auf die Position des BayLDA, das empört feststellt, dass 40 von 40 geprüften Websites die angeblichen Vorgaben der DSGVO zum Tracking nicht einhalten, sei der bekannte Witz vom Geisterfahrer auf der Autobahn erwähnt, der im Radio hört, wie vor ihm gewarnt wird und sich mit Blick auf die ihm entgegenkommenden Autos fragt: „Ein Geisterfahrer? Hunderte!“ Es bleibt insofern zu hoffen, dass sich das BayLDA an die eigene Stirn fasst und die eigene Position noch einmal überdenkt, bis für die ePrivacy-Verordnung eine Einigung gefunden ist.

Zur Verdeutlichung des aufgeworfenen Problems sei der aktuelle Stand der Diskussion noch einmal in einer Übersicht  zusammengefasst:

verwendete
Cookie-Lösung

Opt-out-Hinweis
in der Datenschutz-
erklärung

„Cookie-Banner“
(reiner Hinweis)

„Einwilligungs-
Popup“

User wird über das Tracking zu Werbe­zwecken informiert

User kann ein Opt-out erklären oder die Ein­willigung widerrufen

Cookie wird erst nach dem Einwilligungs-Klick gesetzt

X

X

User muss die Web­site auch ohne Einwilligungs-Klick verwenden können

*

aktuell
TMG-konform?

aktuell
DSGVO-konform?
unsere Ansicht:
Ansicht BayLDA: X
unsere Ansicht:
Ansicht BayLDA: X
unsere Ansicht:
Ansicht BayLDA:
zukünftig
ePrivacy-konform?

?

?

?

* Nach Ansicht der österreichischen Datenschutzbehörde sei es auch zulässig, für die Nutzung der Website ohne Tracking von den Usern eine Gebühr zu verlangen. Anderer Ansicht ist möglicherweise die niederländische Aufsichtsbehörde.

Rechtliche Grenzen des E-Mail-Marketings – Was ändert sich durch die DSGVO?

Wenn es um E-Mail-Marketing geht, kursiert derzeit eine Reihe von Missverständnissen: Müssen für das E-Mail-Marketing neue Einwilligungen von den Empfängern eingeholt werden – und wenn ja, in welcher Form?

E-Mail

Zunächst erforderte jede E-Mail, die als „Werbung“ eingestuft werden kann, schon vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) ein so genanntes Double-Opt-in. Das Double-Opt-in ist die ausdrückliche Zustimmung des Empfängers in zwei Schritten: Wenn ein Kunde beispielsweise einen Newsletter abonnieren möchte, erfolgt in einem ersten Schritt die Einwilligung für den Eintrag in die Abonnenten-Liste. Im zweiten Schritt wird dem Kunden eine E-Mail mit der Bitte zugesandt, die Einwilligung zu bestätigen, um Missbrauch auszuschließen.

Sodann stammt das Erfordernis des Double-Opt-ins zum Schutz vor Spam tatsächlich nicht aus dem Datenschutzrecht, sondern aus dem Wettbewerbsrecht, wie auch der Begriff der E-Mail-„Werbung“ selbst (§ 7 Abs. 2 Nr. 2 UWG). „Werbung“ ist danach jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen zu fördern.

Die gute Nachricht: Wer bisher alles richtig gemacht hat, für den ergeben sich durch die DSGVO keine Änderungen.

Zu bedenken ist jedoch immer, dass auch eine E-Mail, in der um eine Einwilligung seitens des Empfängers gebeten wird, als Werbung zu betrachten ist, womit ein Double-Opt-in erforderlich ist. Deshalb waren die zahlreichen E-Mails, die viele Unternehmen kurz vor Inkrafttreten der DSGVO mit der Bitte um Abgabe einer wirksamen Einwilligung an ihre Kunden versandt haben in vielen Fällen rechtswidriger Spam und darüber hinaus sogar unwirksam, wenn dem Kunden nur die Möglichkeit zum Opt-out gegeben wurde.

Wie geht man vor, wenn das Double Opt-in bisher fehlte?

Für die unternehmerische Praxis ergeben sich drei Möglichkeiten.

  • Wenn bislang E-Mail-Kampagnen, also die Versendung von Werbung per Mail, ohne wirksame Einwilligung, durchgeführt wurden, kann diese Praxis einfach beibehalten werden, wobei das Risiko einer Abmahnung oder eines Bußgeldes in Kauf genommen werden muss.
  • Natürlich besteht auch die Möglichkeit per E-Mail um ein Opt-in zu bitten. Allerdings birgt auch – wie oben erläutert – eine solche E-Mail das Risiko einer Abmahnung oder eines Bußgeldes, weil diese E-Mails selbst rechtswidrigen Spam darstellen.
  • Zu guter Letzt besteht die Möglichkeit, alle bestehenden Kontakte ohne wirksame Einwilligung zu löschen und neue Maßnahmen zur Einholung der Einwilligung zu planen. Allerdings muss hierbei das Kopplungsverbot als „Einwilligungskiller“ beachtet werden: Die Einwilligung zur Teilnahme an einem Gewinnspiel oder zum Download eines Whitepapers darf nicht automatisch an die Einwilligung zum Abonnement eines Newsletters gekoppelt sein. Nur diese – schmerzhafte – Variante führt zu einem wirklich rechtskonformen E-Mail-Marketing, wenn bisher kein wirksames Double-Opt-in eingeholt wurde.

Die Top 10: Was müssen Unternehmen tun, um auf die DSGVO vorbereitet zu sein?

Viele Unternehmen wissen inzwischen, dass sie sich auf die DSGVO vorbereiten müssen. Was was muss genau getan werden?

Hier eine Übersicht:

  1. Die Rechtsgrundlagen der Datenverarbeitung sind zu überprüfen und an die Anforderungen des 6 ff. DSGVO anzupassen.
  2. Die Anforderungen des 5 DSGVO müssen erfüllt und dokumentiert werden (Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung etc.)
  3. Die Verfahrensverzeichnisse („Verarbeitungsübersichten“) müssen überarbeitet und an den aktuellen Stand der DSGVO angepasst werden.
  4. Die technischen und organisatorischen Maßnahmen (TOMs) müssen überarbeitet und an den aktuellen Stand der DSGVO angepasst werden.
  5. Datenschutzfreundliche Architektur und Voreinstellungen (Privacy by Design und Privacy by Default) müssen untersucht und sichergestellt werden.
  6. Die Datenschutzerklärung eines Unternehmens muss überarbeitet und an die Vorgaben der DSGVO angepasst werden. Sonstige Informationspflichten (Art. 13,14 DSGVO) müssen erfüllt sein.
  7. Die Gewährleistung der sog. Betroffenenrechte, also die Rechte auf Auskunft, Berichtigung und Löschung und (neu) Datenübertragbarkeit der Daten von Betroffenen, müssen in einem Prozess beschrieben und dokumentiert werden.
  8. Meldung von Datenschutzverstößen: Es muss im Rahmen eines schriftlichen Prozesses beschrieben werden, was im Rahmen einer Datenpanne geschieht und wie dann auf welchem Wege die Aufsichtsbehörden informiert werden. Die Vorgaben des Art. 33 DSGVO müssen umgesetzt werden.
  9. Es muss geprüft werden, ob eine Datenschutzfolgeabschätzung durchgeführt werden muss. Falls sie durchgeführt werden muss, ist diese umzusetzen.
  10. Vertragsmanagement. Es muss ermittelt werden, welche Dienstleister eingesetzt werden und in welchen Fällen Auftragsverarbeitungsverträge (ADV) erforderlich sind. Etwa bestehende (Alt-) Auftragsdatenverarbeitungsverträge sind an die Vorgaben der DSGVO anzupassen.

Alle vorstehend beschriebenen Schritte müssen schließlich in einem einheitlichen Datenschutzmanagementkonzept zusammengefasst werden.

Falls wir Sie dabei unterstüzten sollen, melden Sie sich gern: Eickmeier@unverzagt.law, Tel. 040 414000 34.

Was bedeutet die ePrivacy-Verordnung genau für die Onlinebranche ?

Bereits am 10. Januar 2017 hat die EU-Kommission Ihren ersten offiziellen Entwurf der neuen ePrivacy Verordnung vorgestellt (Az: 2017/003 (COD). Es handelte sich um den Vorschlag für eine Verordnung des europäischen Parlamentes und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2008/58/EG (sog. ePrivacy Richtlinie, nachfolgend auch: „ePV“). Gem. Ziffer 1.2. dieses Entwurfes dient der Vorschlag als „lex specialis“ zur DSGVO dar und soll diese im Hinblick auf die elektronischen Kommunikationsdaten, die als personenbezogene Daten einzustufen sind, präzisieren und ergänzen. Alle Fragen der Verarbeitung personenbezogener Daten, die in diesem Vorschlag nicht spezifisch geregelt sind, sollen weiterhin von der Datenschutzgrundverordnung (DSGVO), die bekanntlich ab Mai diesen Jahres gilt,  erfasst werden. Dieser Entwurf der geplanten ePrivacy Verordnung wurde dem EU-Parlament und dem EU-Rat zugestellt.

Im EU-Parlament war der federführende EU-Ausschuss der sog. LIBE-Ausschuss. Nach langen Verhandlungen hat am 19. Oktober 2017 der LIBE-Ausschuss über den Entwurf für eine Verordnung über den Schutz der Privatsphäre im Internet, also über die ePrivacy Verordnung, abgestimmt (Protokoll der Plenarsitzung, Az: A8-0324/2017). Parallel dazu hat sich auch der EU-Rat in einer Arbeitsgruppe mit dem Verordnungsentwurf beschäftigt. Die Mitgliedsstaaten waren aufgefordert, ihre Stellungnahmen bis zum 14.08.2017 dorthin zu übersenden.  Der abgestimmte Entwurfstext des LIBE-Ausschusses wurde am 26.10.2017 zur Überraschung der Onlinebranche quasi unverändert durch das EU-Parlament angenommen (A8-0324/2017).

Mit diesem Ergebnis erfolgte zugleich das Mandat, das für den nächsten Verfahrensschritt nötig ist, für die Verhandlungen des Europäischen Parlaments mit dem Rat der Europäischen Union. 2018 dann sollen die sogenannten Trilog-Verhandlungen abgeschlossen sein und die Verordnung in Kraft treten. Ob die Kommission ihr angepeiltes Ziel, den Mai, als Datum halten kann, ist aber höchst unklar.

Wesentliche Inhalte des Entwurfs des LIBE-Ausschusses:

Die für die Onlinemarketingbranche wesentlichen Inhalte sind folgende:

  1. Die neue Definition des Begriffs „Direktvermarktung“ in Art. 4 Abs. 3 f stellt klar, dass hierin auch Onlinewerbung enthalten ist, die als Direktmarketing-Kommunikation verstanden wird.
  2. Cookies dürfen ohne ausdrückliche Einwilligung nur noch verarbeitet werden, wenn sie „streng erforderlich“ oder zwingend technisch notwendig sind um einen Dienst zu erbringen (Art. 8 Abs. 1 a, 2).
  3. Die Verwendung von „Cookie-Walls“ soll verhindert werden. Eine damit erzwungene Einwilligung soll unwirksam sein. Das mehrfache Bitten zur Zustimmung wird als missbräuchlich angesehen. Um solche missbräuchlichen Anfragen zu verhindern, sollen Nutzer Diensteanbieter beauftragen können, sich an ihre ablehnende Entscheidung zu erinnern und durch technische Spezifikationen, die die Nichtzustimmung signalisieren, sicherstellen. Dies könnte zum Beispiel „Dont ask me again“- Schaltfläche sein um auszuschließen, dass ein Diensteanbieter von Zeit zu Zeit nachfragt, ob die Nichtzustimmung nach wie vor gilt.
  4. Es muss vielmehr im Falle der Ablehnung des Einsatzes von Cookies die alternative Möglichkeit gegeben werden, das jeweilige Angebot auch ohne den Einsatz von Cookies nutzen zu können (Art. 9 Abs. 2).
  5. Der Einsatz von Cookies ist zulässig, wenn der Nutzer seine Einwilligung erteilt hat. Die neue Formulierung besagt aber jetzt, dass die Einwilligung für spezifische Zwecke gegeben werden muss und dass die Einwilligung keine Bedingung für den Zugang zu dem Service war.
  6. Der Entwurf sieht vor, dass Nutzer bei erstmaliger Installation des Browsers (oder bei einem neuen Update) „einstellen“ müssen, ob sie Cookies und wenn ja, welche Art von Cookies sie zulassen. Da 90 % der Nutzer eine restriktive Einstellung wählen werden, also insbesondere keine Third-Party Cookies zulassen werden, „schließt die Verordnung das Endgerät faktisch ab“ (so der VPRT). Die Verordnung sieht keinen Automatismus vor, der bei nachträglicher Einwilligung des Nutzers den Browser wieder aufschließt.
  7. Untersagt ist damit faktisch insbesondere das domainübergreifende Tracking und die Speicherung von Informationen über das Endgerät durch Dritte.
  8. Retargetingmodelle werden faktisch kaum noch umsetzbar.
  9. Erteilte Einwilligungen müssen jederzeit widerrufen werden können. Zudem muss in regelmäßigen Abständen von sechs Monaten an diese Möglichkeit erinnert werden.
  10. Cookies sind nur noch in Ausnahmen zulässig, nämlich (Art. 8 I): a) sie sind für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder b) der Endnutzer hat seine Einwilligung nach Maßgabe von Art. 9 gegeben (und damit – sehr unwahrscheinlich –  faktisch über den Browser) oder c) sie sind für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig oder d) sie sind für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt oder sie sind für die Sicherheit und Integrität des Dienstes erforderlich (…)

Nach Art. 10 muss zukünftig bei der Installation eines Browsers der Endnutzer über die Einstellungsmöglichkeiten zur Privatsphäre informiert werden und zudem muss zukünftig zur Fortsetzung der Installation vom Endnutzer die Einwilligung zu einer Einstellung verlangt werden.

In Verkehr gebrachte Software muss zudem darüber hinaus von Anfang an als Voreinstellung die Möglichkeit bieten zu verhindern, dass Dritte Informationen speichern können. Laut Entwurf muss Software, die den Zugang zum Internet ermöglicht (also Browser), künftig „standardmäßig […] verhindern, dass andere Parteien Informationen über das Endgerät eines Nutzers übertragen oder speichern und Informationen verarbeiten, die bereits auf dem Endgerät gespeichert oder von diesem Gerät gesammelt wurden“. Diese Default-Vorgabe verhindert standardmäßig die Verwendung aller Cookies, es sei denn, dass dies für das Funktionieren eines Online-Service technisch unbedingt erforderlich ist

Es wurde ein neuer Absatz eingeführt, in dem es heißt: „keinem Nutzer darf der Zugang zu Diensten oder Funktionen der Informationsgesellschaft verwehrt werden, unabhängig davon, ob diese Dienste vergütet werden oder nicht, mit der Begründung, dass sie ihre Einwilligung zur Verarbeitung personenbezogener Daten und/oder zur Nutzung der Verarbeitungs- oder Speicherfähigkeit ihrer Endgeräte nicht erteilt haben, die für die Bereitstellung dieser Dienste oder Funktionen nicht erforderlich ist“. Dies würde es nach Ansicht des BVDW den Publishern wohl weiterhin ermöglichen, Benutzer von der Nutzung ihres Dienstes auszuschließen, solange sie den Zugriff auf ihre Website ohne Datenerhebung im Rahmen eines Bezahlmodells ermöglichen.

Die „Ausnahme der Reichweitenmessung“ wurde so geändert, dass sie nicht mehr auf die „Messung von Webpublikum“ beschränkt ist, sondern auch von einer ersten Partei oder im Auftrag der „ersten Partei“ oder einer „Web-Analytics-Agentur im öffentlichen Interesse“ durchgeführt werden kann. Dritten, die Reichweitenmessungen im Auftrag Dritter durchführen, ist es untersagt, Daten mit Daten anderer zu verschmelzen.

Haben Sie weitere Fragen zur ePrivacy Verordnung ? Dann melden Sie sich bei uns, eickmeier@unverzagt.law oder 040 414 00034.