Neues von der ePrivacy-Verordnung

Neuer Entwurf mit Bedeutung für die Online-Werbebranche vorgelegt

Die von vielen totgesagte ePrivacy-Verordnung lebt noch. Nachdem es der finnischen Ratspräsidentschaft angesichts zahlreicher Unstimmigkeiten zwischen den Mitgliedsstaaten nicht gelungen war, einen Konsens zu finden, hieß es Ende 2019, dass ein komplett neuer Entwurf her müsse. Nun hat die kroatische Ratspräsidentschaft jedoch am 21. Februar 2020 auf Basis des bisherigen Entwurfs einige Änderungen vorgeschlagen, die insbesondere für die Online-Werbebranche relevant sind.

Geändert werden sollen nach dem neuen Entwurf die Artikel 6 und 8 sowie die dazugehörigen Erwägungsgründe. Maßgeblich für die Onlinewerbebranche sind die Änderungen in Art. 8 („Schutz der Endgeräteinformationen von Endbenutzern“), der als Nachfolgenorm zu Art. 5 Abs. 3 der ePrivacy-Richtlinie den Einsatz von Tracking-Technologien (wie z.B. Cookies) regeln soll.

Nun doch: Interessenabwägung wie in der DSGVO

Nachdem die bisherigen Entwürfe der ePrivacy-Verordnung vor allem auf die Einwilligung beim Einsatz von Tracking-Technologien setzten, wird durch den neuen Entwurf nun eine Abwägungslösung ins Spiel gebracht, die in Teilen an die aus der DSGVO bekannte Interessenabwägung in Art. 6 Abs. 1 lit. f DSGVO erinnert.

Der neu eingefügte Art. 8 Abs. 1 lit. g ePrivacy-VO-E lautet:

„1. The use of processing and storage capabilities of terminal equipment and the collection of information from end-users’ terminal equipment, including about its software and hardware, other than by the end-user concerned shall be prohibited, except on the following grounds: […]

(g) it is necessary for the purpose of the legitimate interests pursued by a service provider to use processing and storage capabilities of terminal equipment or to collect information from an end-user’s terminal equipment, except when such interest is overridden by the interests or fundamental rights and freedoms of the end-user.

The end-user’s interests shall be deemed to override the interests of the service provider where the end-user is a child or where the service provider processes, stores or collects the information to determine the nature and characteristics of the end-user or to build an individual profile of the end-user or the processing, storage or collection of the information by the service provider contains special categories of personal data as referred to in Article 9(1) of Regulation (EU) 2016/679.“

Danach soll der Einsatz von Tracking-Technologien, die auf Informationen aus dem Endgerät des Nutzers zugreifen oder die Verarbeitungs- und Speichermöglichkeiten des Endgeräts nutzen, dann zulässig sein, wenn dies für die Verfolgung berechtigter Interessen des Diensteanbieters erforderlich ist, es sei denn, die berechtigten Interessen oder die Grundrechte und Grundfreiheiten des Nutzers überwiegen.

Die berechtigten Interessen der Diensteanbieter werden zunächst einmal nicht auf bestimmte Zwecke des Zugriffs beschränkt. Damit kommt der Vorschlag auf den ersten Blick der Werbewirtschaft entgegen, denn er erlaubt im Prinzip auch den Einsatz von Cookies oder Pixeln für das Ausspielen von Werbung.

Besonderheiten im Rahmen der Interessenabwägung

Anders als in der DSGVO hat die kroatische Ratspräsidentschaft es aber nicht bei einer bloßen Generalklausel belassen, sondern noch im Normtext selbst Fälle formuliert, in denen die Abwägung regelmäßig zugunsten der Nutzer ausfällt.

Nach der Norm wird davon ausgegangen, dass die Interessen der Endnutzer überwiegen,

  • wenn der Endnutzer ein Kind ist oder
  • wenn der Diensteanbieter die Informationen verarbeitet, speichert oder sammelt, um „das Wesen und die Eigenschaften des Endnutzers“ zu bestimmen oder
  • um ein individuelles Profil des Endnutzers zu erstellen, oder
  • wenn die Verarbeitung, Speicherung oder Sammlung der Informationen durch den Diensteanbieter besondere Kategorien personenbezogener Daten gemäß Artikel 9 Abs. 1 DSGVO enthält.

Neben diesen Regelbeispielen, in denen von einem Überwiegen der Nutzerinteressen ausgegangen wird, enthält der Entwurf im Erwägungsgrund (ErwG) 21b eine genauere Beschreibung der in der Abwägung zu berücksichtigenden Punkte sowie der berechtigten Interessen des Endnutzers.

So ist nach ErwG 21b in der Abwägung zentral, ob ein Endnutzer vernünftigerweise mit einem Tracking rechnen muss. Hierzu heißt es im Entwurf:

„Ein berechtigtes Interesse könnte geltend gemacht werden, wenn der Endbenutzer im Rahmen einer bestehenden Kundenbeziehung mit dem Dienstanbieter vernünftigerweise eine solche Speicherung, Verarbeitung oder Sammlung von Informationen in oder von seinem Endgerät erwarten kann.“

Als Beispiele führt der Entwurf etwa die Behebung von Sicherheitslücken oder die Betrugsprävention an.

Sehr interessant ist, dass der Entwurf für Anbieter von Diensten, „welche die Meinungs- und Informationsfreiheit (auch für journalistische Zwecke) gewährleisten, wie zum Beispiel Online-Zeitungen oder andere Presseveröffentlichungen oder audiovisuelle Mediendienste“, eine Sonderregelung vorsieht. Sie können sich – trotz der Ausnahmetatbestände – auf berechtigte Interessen stützen, wenn ihre Dienste ohne direkte Geldzahlung zugänglich sind und ganz oder überwiegend durch Werbung finanziert werden, vorausgesetzt der Endnutzer erhält klare, präzise und benutzerfreundliche Informationen über die Zwecke der verwendeten Cookies oder ähnlicher Techniken. Für journalistische Inhalte kann das „berechtigte Interesse“ also auch ein Finanzierungsinteresse bedeuten.

Besonders problematisch für die Online-Werbebranche sind die Ausnahmegründe (2) und (3) in der neu geschaffenen Norm. Aufgrund der Formulierung ist zu befürchten, dass das normale Tracking (außerhalb des journalistischen Kontexts) doch nicht per Interessenabwägung möglich sein soll. Der Erwägungsgrund 21b liefert hierzu leider nur eine wenig erhellende Erklärung:

„Umgekehrt sollte sich ein Anbieter nicht auf legitime Interessen berufen können, wenn die Speicherung oder Verarbeitung von Informationen in den Endgeräten des Endnutzers oder die daraus gesammelten Informationen dazu verwendet werden, das Wesen oder die Eigenschaften eines Endnutzers zu bestimmen oder ein individuelles Profil eines Endnutzers zu erstellen. In solchen Fällen haben die Interessen des Endnutzers und die Grundrechte und -freiheiten Vorrang vor den Interessen des Diensteanbieters, da solche Verarbeitungsvorgänge ernsthaft in das Privatleben eines Endnutzers eingreifen können, z.B. wenn sie für Segmentierungszwecke, zur Überwachung des Verhaltens eines bestimmten Endnutzers oder zur Erstellung von Schlussfolgerungen bezüglich seines Privatlebens verwendet werden.“

Wann Tracking dazu führt, dass „das Wesen oder die Eigenschaften eines Endnutzers“ bestimmt werden oder ein „individuelles Profil des Endnutzers“ entsteht, das ernsthaft in das Privatleben des Endnutzers eingreift, bleibt auch unter Hinzuziehung der Erwägungsgründe unklar.

Weitere Schutzmaßnahmen für die Endnutzer

Will ein Diensteanbieter Daten aufgrund einer Interessenabwägung verarbeiten, erlegt der neue Art. 8 Abs. 1a ePrivacy-VO-E ihm weitere Pflichten auf, die dem Schutz der Endnutzer dienen sollen. So darf der Anbieter die mittels Tracking gewonnenen Daten nur nach vorheriger Anonymisierung an Dritte weitergeben (Auftragsverarbeiter nach Art. 28 DSGVO sind hiervon nicht umfasst, da sie keine Dritten im datenschutzrechtlichen Sinne sind).

Darüber hinaus muss der Anbieter vor der Datenverarbeitung eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO durchführen und den Endnutzer in einer effektiven und einfachen Art über die Verarbeitung und sein Widerspruchsrecht informieren.

Unsere Bewertung des neuen Entwurfs

Aus Sicht der Online-Werbebranche ist der neue Entwurf im Prinzip zu begrüßen, stellt er doch erstmals eine Bewegung weg vom Einwilligungserfordernis beim Tracking dar. Die Einführung einer flexibleren Rechtsgrundlage neben der Einwilligung ist in jedem Fall ein Fortschritt.

Problematisch ist jedoch, dass gerade in Bezug auf das Tracking außerhalb von journalistischen Webseiten aufgrund der im Entwurf enthaltenen Ausschlussgründe abermals viel Verwirrung gestiftet wird.

Wenn durch das Tracking „das Wesen oder die Eigenschaften eines Endnutzers“ bestimmt werden oder ein „individuelles Profil des Endnutzers“ entsteht, das ernsthaft in das Privatleben des Endnutzers eingreift, muss wieder auf die Einwilligung zurückgegriffen werden. Hier begibt sich der Entwurf in rechtlich unklare Fahrwasser. Er spricht beispielhaft von einem ernsthaften Eingriff in das Privatleben der Nutzer, wenn ihre Daten „für Segmentierungszwecke, zur Überwachung des Verhaltens eines bestimmten Endnutzers oder zur Erstellung von Schlussfolgerungen bezüglich seines Privatlebens“ verwendet werden.

Sinn des Trackings ist regelmäßig, pseudonymisierte Profile der Endnutzer zu erstellen, mit denen ihr Verhalten auf bestimmten Webseiten nachvollzogen werden kann und das letztlich zur Ausspielung zielgerichteter Werbung genutzt wird. Doch reicht das aus, um von einer Überwachung des Verhaltens bestimmter Endnutzer zu sprechen? Dafür spricht, dass der Entwurf eine klare Privilegierung journalistischer Webseiten vorsieht und für diese Angebote ein Tracking und eine damit verbundene Werbefinanzierung ohne Einwilligung der Nutzer anerkennt. Im Umkehrschluss bedeutet dies, dass bei allen anderen Formen von Webseiten eine solche Lösung von den Verfassern des Entwurfs eher abgelehnt wird. Dass aber zielgerichtete Werbung auf journalistischen Angeboten nur funktioniert, wenn auch auf anderen Webseiten Informationen über den betreffenden Endnutzer eingeholt wurden, wird im Entwurf nicht berücksichtigt. Eine konsistente Lösung sieht anders aus.

Es bleibt damit zu hoffen, dass der Entwurf der kroatischen Ratspräsidentschaft nicht den Endpunkt der Debatte rund um die ePrivacy-Verordnung darstellt, sondern er den Stein mit neuem Schwung ins Rollen bringt und die Diskussion um den sinnvollen Umgang mit den berechtigten Interessen der Online-Werbebranche neu entfacht.

Kommt die ePrivacy-Verordnung – oder kommt sie nicht?

Erfreulicherweise hat sich die Bundesregierung am 29. März im Rahmen einer sogenannten kleinen Anfrage zum aktuellen Verfahrensstand der ePrivacy-VO geäußert. Kurz gefasst: Es wird noch lange Zeit dauern, bis die e Privacy-Verordnung wirklich kommt, jedenfalls geschieht das nicht mehr in diesem Jahr 2019.

Die ePrivacy-Verordnung, so die Bundesregierung, wurde unter der österreichischen Ratspräsidentschaft im 2. Halbjahr 2018 auf der Ebene der Ratsarbeitsgruppe weiter beraten. Österreich hat für den Ministerrat (Telekommunikation) am 4. Dezember 2018 einen Fortschrittsbericht vorgelegt und eine Aussprache durchgeführt.

Nachdem die derzeit amtierende rumänische Ratspräsidentschaft angekündigt hatte, die Themenfelder rund um den digitalen Binnenmarkt voranzutreiben, ist nun beabsichtigt, auch die Verhandlungen zur ePrivacy-Verordnung in diesem Halbjahr so weit wie möglich voranzubringen, gegebenenfalls auch bis hin zu einer Einigung im Rat. Derzeit wird der Vorschlag auf der Grundlage aktueller Präsidentschaftstexte weiterhin auf der Ebene der Ratsarbeitsgruppe diskutiert (die aktuellen Vorschläge der rumänischen Präsidentschaft sind online abrufbar). Ein genauer Zeitplan der Ratspräsidentschaft liegt jedoch nicht vor.

Ein Abschluss der Verhandlungen, so die Bundesregierung, vor den Europawahlen ist nach gegenwärtigem Sachstand eher unwahrscheinlich. Die Dauer der Beratungen sei dem Bemühen geschuldet, die unterschiedlichen Interessen aller beteiligten Kreise angemessen zum Ausgleich zu bringen. Käme es zu einer Einigung auf einen Ratstext, wäre dieser erst einmal Grundlage für weitere Verhandlungen mit dem Europäischen Parlament.

Was wird aus dem für die Werbewirtschaft so bedeutsame Kopplungsverbot bei der Einwilligung?

Auch dazu hat sich die Bundesregierung noch einmal geäußert: Die Bundesregierung hat im Zuge der Beratungen auf Ratsebene vorgeschlagen, dass werbefinanzierte Onlinedienste die Möglichkeit haben sollten, ihre Nutzung von der Einwilligung in Cookies für Werbezwecke abhängig zu machen. In diesem Zusammenhang hat die Bundesregierung weiterhin eine Regelung in der ePrivacy-Verordnung vorgeschlagen, dass Endnutzer im Browser selbst wirksame Einstellungen zum Schutz ihrer Privatsphäre vornehmen können. Dadurch sollen Anreize im Markt für verschiedene Optionen gesetzt werden, so auch für eine Bezahlvariante ohne Tracking.

Die Bundesregierung verweist insoweit auf die weiterhin laufenden Verhandlungen. Ziel ist vor allem, ein hohes Schutzniveau für die Vertraulichkeit von Kommunikationsdaten und zugleich den Spielraum für Innovation und digitale Geschäftsmodelle zu erhalten und die Datensouveränität zu stärken. Eine abschließende Meinungsbildung dazu steht noch aus.

Immerhin stellt sich die Bundesregierung mit dieser Aussage auf die Seite der Onlinewerbewirtschaft – die dringend auf eine Klärung dieser Frage angewiesen ist.

Was bedeutet die ePrivacy-Verordnung genau für die Onlinebranche ?

Bereits am 10. Januar 2017 hat die EU-Kommission Ihren ersten offiziellen Entwurf der neuen ePrivacy Verordnung vorgestellt (Az: 2017/003 (COD). Es handelte sich um den Vorschlag für eine Verordnung des europäischen Parlamentes und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2008/58/EG (sog. ePrivacy Richtlinie, nachfolgend auch: „ePV“). Gem. Ziffer 1.2. dieses Entwurfes dient der Vorschlag als „lex specialis“ zur DSGVO dar und soll diese im Hinblick auf die elektronischen Kommunikationsdaten, die als personenbezogene Daten einzustufen sind, präzisieren und ergänzen. Alle Fragen der Verarbeitung personenbezogener Daten, die in diesem Vorschlag nicht spezifisch geregelt sind, sollen weiterhin von der Datenschutzgrundverordnung (DSGVO), die bekanntlich ab Mai diesen Jahres gilt,  erfasst werden. Dieser Entwurf der geplanten ePrivacy Verordnung wurde dem EU-Parlament und dem EU-Rat zugestellt.

Im EU-Parlament war der federführende EU-Ausschuss der sog. LIBE-Ausschuss. Nach langen Verhandlungen hat am 19. Oktober 2017 der LIBE-Ausschuss über den Entwurf für eine Verordnung über den Schutz der Privatsphäre im Internet, also über die ePrivacy Verordnung, abgestimmt (Protokoll der Plenarsitzung, Az: A8-0324/2017). Parallel dazu hat sich auch der EU-Rat in einer Arbeitsgruppe mit dem Verordnungsentwurf beschäftigt. Die Mitgliedsstaaten waren aufgefordert, ihre Stellungnahmen bis zum 14.08.2017 dorthin zu übersenden.  Der abgestimmte Entwurfstext des LIBE-Ausschusses wurde am 26.10.2017 zur Überraschung der Onlinebranche quasi unverändert durch das EU-Parlament angenommen (A8-0324/2017).

Mit diesem Ergebnis erfolgte zugleich das Mandat, das für den nächsten Verfahrensschritt nötig ist, für die Verhandlungen des Europäischen Parlaments mit dem Rat der Europäischen Union. 2018 dann sollen die sogenannten Trilog-Verhandlungen abgeschlossen sein und die Verordnung in Kraft treten. Ob die Kommission ihr angepeiltes Ziel, den Mai, als Datum halten kann, ist aber höchst unklar.

Wesentliche Inhalte des Entwurfs des LIBE-Ausschusses:

Die für die Onlinemarketingbranche wesentlichen Inhalte sind folgende:

  1. Die neue Definition des Begriffs „Direktvermarktung“ in Art. 4 Abs. 3 f stellt klar, dass hierin auch Onlinewerbung enthalten ist, die als Direktmarketing-Kommunikation verstanden wird.
  2. Cookies dürfen ohne ausdrückliche Einwilligung nur noch verarbeitet werden, wenn sie „streng erforderlich“ oder zwingend technisch notwendig sind um einen Dienst zu erbringen (Art. 8 Abs. 1 a, 2).
  3. Die Verwendung von „Cookie-Walls“ soll verhindert werden. Eine damit erzwungene Einwilligung soll unwirksam sein. Das mehrfache Bitten zur Zustimmung wird als missbräuchlich angesehen. Um solche missbräuchlichen Anfragen zu verhindern, sollen Nutzer Diensteanbieter beauftragen können, sich an ihre ablehnende Entscheidung zu erinnern und durch technische Spezifikationen, die die Nichtzustimmung signalisieren, sicherstellen. Dies könnte zum Beispiel „Dont ask me again“- Schaltfläche sein um auszuschließen, dass ein Diensteanbieter von Zeit zu Zeit nachfragt, ob die Nichtzustimmung nach wie vor gilt.
  4. Es muss vielmehr im Falle der Ablehnung des Einsatzes von Cookies die alternative Möglichkeit gegeben werden, das jeweilige Angebot auch ohne den Einsatz von Cookies nutzen zu können (Art. 9 Abs. 2).
  5. Der Einsatz von Cookies ist zulässig, wenn der Nutzer seine Einwilligung erteilt hat. Die neue Formulierung besagt aber jetzt, dass die Einwilligung für spezifische Zwecke gegeben werden muss und dass die Einwilligung keine Bedingung für den Zugang zu dem Service war.
  6. Der Entwurf sieht vor, dass Nutzer bei erstmaliger Installation des Browsers (oder bei einem neuen Update) „einstellen“ müssen, ob sie Cookies und wenn ja, welche Art von Cookies sie zulassen. Da 90 % der Nutzer eine restriktive Einstellung wählen werden, also insbesondere keine Third-Party Cookies zulassen werden, „schließt die Verordnung das Endgerät faktisch ab“ (so der VPRT). Die Verordnung sieht keinen Automatismus vor, der bei nachträglicher Einwilligung des Nutzers den Browser wieder aufschließt.
  7. Untersagt ist damit faktisch insbesondere das domainübergreifende Tracking und die Speicherung von Informationen über das Endgerät durch Dritte.
  8. Retargetingmodelle werden faktisch kaum noch umsetzbar.
  9. Erteilte Einwilligungen müssen jederzeit widerrufen werden können. Zudem muss in regelmäßigen Abständen von sechs Monaten an diese Möglichkeit erinnert werden.
  10. Cookies sind nur noch in Ausnahmen zulässig, nämlich (Art. 8 I): a) sie sind für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder b) der Endnutzer hat seine Einwilligung nach Maßgabe von Art. 9 gegeben (und damit – sehr unwahrscheinlich –  faktisch über den Browser) oder c) sie sind für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig oder d) sie sind für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt oder sie sind für die Sicherheit und Integrität des Dienstes erforderlich (…)

Nach Art. 10 muss zukünftig bei der Installation eines Browsers der Endnutzer über die Einstellungsmöglichkeiten zur Privatsphäre informiert werden und zudem muss zukünftig zur Fortsetzung der Installation vom Endnutzer die Einwilligung zu einer Einstellung verlangt werden.

In Verkehr gebrachte Software muss zudem darüber hinaus von Anfang an als Voreinstellung die Möglichkeit bieten zu verhindern, dass Dritte Informationen speichern können. Laut Entwurf muss Software, die den Zugang zum Internet ermöglicht (also Browser), künftig „standardmäßig […] verhindern, dass andere Parteien Informationen über das Endgerät eines Nutzers übertragen oder speichern und Informationen verarbeiten, die bereits auf dem Endgerät gespeichert oder von diesem Gerät gesammelt wurden“. Diese Default-Vorgabe verhindert standardmäßig die Verwendung aller Cookies, es sei denn, dass dies für das Funktionieren eines Online-Service technisch unbedingt erforderlich ist

Es wurde ein neuer Absatz eingeführt, in dem es heißt: „keinem Nutzer darf der Zugang zu Diensten oder Funktionen der Informationsgesellschaft verwehrt werden, unabhängig davon, ob diese Dienste vergütet werden oder nicht, mit der Begründung, dass sie ihre Einwilligung zur Verarbeitung personenbezogener Daten und/oder zur Nutzung der Verarbeitungs- oder Speicherfähigkeit ihrer Endgeräte nicht erteilt haben, die für die Bereitstellung dieser Dienste oder Funktionen nicht erforderlich ist“. Dies würde es nach Ansicht des BVDW den Publishern wohl weiterhin ermöglichen, Benutzer von der Nutzung ihres Dienstes auszuschließen, solange sie den Zugriff auf ihre Website ohne Datenerhebung im Rahmen eines Bezahlmodells ermöglichen.

Die „Ausnahme der Reichweitenmessung“ wurde so geändert, dass sie nicht mehr auf die „Messung von Webpublikum“ beschränkt ist, sondern auch von einer ersten Partei oder im Auftrag der „ersten Partei“ oder einer „Web-Analytics-Agentur im öffentlichen Interesse“ durchgeführt werden kann. Dritten, die Reichweitenmessungen im Auftrag Dritter durchführen, ist es untersagt, Daten mit Daten anderer zu verschmelzen.

Haben Sie weitere Fragen zur ePrivacy Verordnung ? Dann melden Sie sich bei uns, eickmeier@unverzagt.law oder 040 414 00034.

 

Facebook Custom Audiences – doch datenschutzkonform ?

Die Bayerischen Datenschutzbehörden überprüfen derzeit den Einsatz von Facebook-Custom-Audiences. Zu diesem Zweck versendet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) derzeit Fragebögen zu Facebook-Custom-Audiences und dessen Verwendung. Dieser Fragebogen erfasst beide derzeit häufig eingesetzten Varianten von Facebook-Custom-Audiences, nämlich der Einsatz von Facebook-Custom-Audiences über die eigenen Kundenlisten (CRM) und der Einsatz von Facebook-Custom-Audiences über die eigene Website (Custom Audiences from your Website).

In seinem Schreiben vertritt das BayLDA die Auffassung, dass der Einsatz von Facebook-Custom-Audiences über die Kundenlisten nur auf der Grundlage einer Einwilligung des Webseitennutzers zulässig ist.

Dagegen ist der Einsatz von Facebook-Custom-Audiences from your Website unter Beachtung der Voraussetzungen des § 15 Abs. 3 TMG zulässig ! Das bedeutet, dass der Verwender in seiner eigenen Datenschutzerklärung über den Einsatz von Facebook-Custom-Audiences in seiner Datenschutzerklärung hinweisen muss und darüber hinaus ein Opt-Out-Verfahren zur Verfügung stellt, mit dem der Nutzer der Nutzung seiner Daten im Rahmen dieses Prozesses widersprechen kann.

Damit schafft das BayLDA immerhin für Facebook-Custom-Audiences from your Website endlich eine datenschutzrechtliche Klarstellung, die sehr erfreulich ist. Wie der Einsatz von Facebook-Custom-Audiences über die eigenen Kundenlisten endgültig durch das BayLDA entschieden wird, bleibt noch abzuwarten.

 

 

Die deutsche Übersetzung der ePrivacy-Verordnung ist veröffentlicht – das Ende des werbefinanzierten Internets?

 

Seit kurzem ist die deutsche Fassung der ePrivacy-Verordnung veröffentlicht. Der aktuelle Entwurf stellt, wie bereits an anderer Stelle erwähnt, eine erhebliche Bedrohung für die Unternehmen der Onlinemarketingbranche dar. Wörtlich hat auch der BVDW in seinem Factsheet hervorgehoben:

„Sollte der Entwurf wie beabsichtigt Realität werden, bedeutet es nichts anderes als das Ende des werbefinanzierten Internets. Gem. Art. 8 Abs. 1 der Verordnung sollen Webseitenbetreiber nur noch dann Cookies einsetzen können, wenn sie eine explizite Erlaubnis des Nutzers erhalten haben.“

 Die für die Onlinebranche wichtigsten Regeln befinden sich in den Art. 8 und 9 des Verordnungsentwurfes:

„Artikel 8

Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen

Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen.

Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer sie erfolgt aus folgenden Gründen:

  1. sie ist für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder
  2. der Endnutzer hat seine Einwilligung gegeben oder
  3. sie ist für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig oder
  4. sie ist für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt.

Die Erhebung von Informationen, die von Endeinrichtungen ausgesendet werden, um sich mit anderen Geräten oder mit Netzanlagen verbinden zu können, ist untersagt, außer

  1. sie erfolgt ausschließlich zum Zwecke der Herstellung einer Verbindung und für die dazu erforderliche Dauer oder
  2. es wird in hervorgehobener Weise ein deutlicher Hinweis angezeigt, der zumindest Auskunft gibt über die Modalitäten der Erhebung, ihren Zweck, die dafür verantwortliche Person und die anderen nach Artikel 13 der Verordnung (EU) 2016/679 verlangten Informationen, soweit personenbezogene Daten erfasst werden, sowie darüber, was der Endnutzer der Endeinrichtung tun kann, um die Erhebung zu beenden oder auf ein Minimum zu beschränken.

Voraussetzung für die Erhebung solcher Informationen ist die Anwendung geeigneter technischer und organisatorischer Maßnahmen, die ein dem Risiko angemessenes Schutzniveau nach Artikel 32 der Verordnung (EU) 2016/679 gewährleisten.

Die nach Absatz 2 Buchstabe b zu gebenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht  wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die Erhebung zu.

Der Kommission wird die Befugnis übertragen, nach Artikel 27 delegierte  Rechtsakte zur Bestimmung der Informationen, die durch standardisierte Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.

Artikel 9

Einwilligung

(1) Für die Einwilligung gelten die Begriffsbestimmung und die Voraussetzungen, die in Artikel 4 Nummer 11 und Artikel 7 der Verordnung (EU) 2016/679 festgelegt sind.

(2) Unbeschadet des Absatzes 1 kann die Einwilligung für die Zwecke des Artikels 8 Absatz 1 Buchstabe b – soweit dies technisch möglich und machbar ist – in den passenden technischen Einstellungen einer Software, die den Zugang zum Internet ermöglicht, gegeben werden.

(3) Endnutzern, die ihre Einwilligung zur Verarbeitung elektronischer Kommunikationsdaten nach Artikel 6 Absatz 2 Buchstabe c und Artikel 6 Absatz 3 Buchstaben a und b gegeben haben, wird nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 die Möglichkeit eingeräumt, ihre Einwilligung jederzeit zu widerrufen; sie werden in regelmäßigen Abständen von sechs Monaten an diese Möglichkeit erinnert, solange die Verarbeitung andauert.“

Diese beiden Artikel sind im Zusammenhang mit den so genannten Erwägungsgründen zu lesen, die nicht selbst Teil des Gesetzestextes sind. Sie spiegeln jedoch die Gedanken und Erwägungen der EU-Kommission wieder und helfen bei der Auslegung des Gesetzeswortlautes.

Die wichtigsten Erwägungsgründe 21–24 lauten:

„(21) Ausnahmen von der Verpflichtung, die Einwilligung in die Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen oder den Zugriff auf in Endeinrichtungen gespeicherte Informationen einzuholen, sollten auf Situationen beschränkt sein, in denen kein oder nur ein geringfügiger Eingriff in die Privatsphäre stattfindet. Beispielsweise sollte keine Einwilligung eingeholt werden für ein technisches Speichern oder Zugreifen, das zu dem rechtmäßigen Zweck, die vom Endnutzer ausdrücklich gewünschte Nutzung eines bestimmten Dienstes zu ermöglichen, unbedingt notwendig und verhältnismäßig ist. Dazu gehört auch das Speichern von Cookies für die Dauer einer für den Besuch einer Website einmal aufgebauten Sitzung, um die Eingaben des Endnutzers beim Ausfüllen von Online Formularen, die sich über mehrere Seiten erstrecken, mitverfolgen zu können. Cookies können auch ein legitimes und nützliches Hilfsmittel sein, um beispielsweise den Webdatenverkehr zu einer Website zu messen. Konfigurationsprüfungen, die Anbieter von Diensten der Informationsgesellschaft vornehmen, um ihren Dienst entsprechend den Einstellungen des Endnutzers bereitstellen zu können, wie auch das bloße Feststellen der Tatsache, dass das Gerät des Endnutzers die vom Endnutzer angeforderten Inhalte nicht empfangen kann, sollten nicht als Zugriff auf ein Gerät oder als Nutzung der Verarbeitungsfunktionen des Geräts betrachtet werden.

 (22) Die Methoden zur Bereitstellung von Informationen und die Einholung der Einwilligung des Endnutzers sollten so benutzerfreundlich wie möglich sein. Wegen der allgegenwärtigen Verwendung von Verfolgungs-Cookies und anderer Verfolgungstechniken werden die Endnutzer immer häufiger aufgefordert, ihre Einwilligung in die Speicherung solcher Verfolgungs-Cookies in ihren Endeinrichtungen zu geben. Infolge dessen werden die Endnutzer mit Einwilligungsanfragen überhäuft. Mit Hilfe technischer Mittel für die Erteilung der Einwilligung, z. B. durch transparente und benutzerfreundliche Einstellungen, könnte dieses Problem behoben werden. Deshalb sollte diese Verordnung die Möglichkeit vorsehen, dass die Einwilligung durch die entsprechenden Einstellungen in einem Browser oder einer anderen Anwendung erteilt werden kann. Die Auswahl, die Endnutzer bei der Festlegung ihrer allgemeinen Einstellungen zur Privatsphäre in einem Browser oder einer anderen Anwendung getroffen haben, sollte für Dritte verbindlich und ihnen gegenüber auch durchsetzbar sein. Webbrowser sind eine Art von Softwareanwendung, die es ermöglicht, Informationen aus dem Internet abzurufen und darzustellen. Andere Arten von Anwendungen wie solche, die Anrufe und die Nachrichtenübermittlung ermöglichen oder Navigationshilfe bieten, sind dazu ebenfalls in der Lage. Ein Großteil der Vorgänge, die zwischen dem Endnutzer und der Website ablaufen, werden von Webbrowsern abgewickelt. Aus dieser Sicht kommt ihnen eine Sonderstellung zu, wenn es darum geht, den Endnutzern die Kontrolle über den Informationsfluss zu und von ihrer Endeinrichtung zu erleichtern. So können Webbrowser insbesondere als Torwächter dienen und den Endnutzern helfen, ein Speichern von Informationen in ihren Endeinrichtungen (wie Smartphones, Tablets oder Computer) bzw. den Zugriff darauf zu verhindern.

 (23) Die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen wurden in Artikel 25 der Verordnung DE 21 DE (EU) 2016/679 festgeschrieben. Gegenwärtig haben die meisten weitverbreiteten Browser für Cookies die Standardeinstellung „Alle Cookies annehmen“. Deshalb sollten Anbieter von Software, die das Abrufen und Darstellen von Informationen aus dem Internet erlaubt, dazu verpflichtet sein, die Software so zu konfigurieren, dass sie die Möglichkeit bietet zu verhindern, dass Dritte Informationen in der Endeinrichtung speichern; diese Einstellung wird häufig als „Cookies von Drittanbietern zurückweisen“ bezeichnet. Den Endnutzern sollte eine Reihe von Einstellungsmöglichkeiten zur Privatsphäre angeboten werden, die vom höheren Schutz (z. B. „Cookies niemals annehmen“) über einen mittleren Schutz (z. B. „Cookies von Drittanbietern zurückweisen“ oder „Nur Cookies von Erstanbietern annehmen“) bis zum niedrigeren Schutz (z. B. „Cookies immer annehmen“) reicht. Solche Einstellungen zur Privatsphäre sollten in leicht sichtbarer und verständlicher Weise dargestellt werden.

 (24) Damit Webbrowser die in der Verordnung (EU) 2016/679 vorgeschriebene Einwilligung der Endnutzer, z. B. in die Speicherung von Verfolgungs-Cookies von Drittanbietern, einholen können, sollten sie unter anderem eine eindeutige bestätigende Handlung von der Endeinrichtung des Endnutzers verlangen, mit der dieser seine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich erklärte Zustimmung zur Speicherung solcher Cookies in seiner Endeinrichtung und zum Zugriff darauf bekundet. Eine solche Handlung kann als bestätigend verstanden werden, wenn Endnutzer zur Einwilligung beispielsweise die Option „Cookies von Drittanbietern annehmen“ aktiv auswählen müssen und ihnen die dazu notwendigen Informationen gegeben werden. Hierzu müssen die Anbieter von Software, die den Zugang zum Internet ermöglicht, verpflichtet werden, die Endnutzer zum Zeitpunkt der Installation darauf hinzuweisen, dass die Einstellungen zur Privatsphäre unter den verschiedenen Möglichkeiten ausgewählt werden können, und sie aufzufordern, eine Wahl zu treffen. Die gegebenen Informationen sollten die Endnutzer nicht davon abschrecken, höhere Einstellungen zur Privatsphäre zu wählen, und sie sollten alle wichtigen Informationen über die mit der Annahme von Cookies von Drittanbietern verbundenen Risiken enthalten, wozu auch das Anlegen langfristiger Aufzeichnungen über die Browserverläufe des Betroffenen und die Verwendung solcher Aufzeichnungen zur Übermittlung gezielter Werbung gehören. Es sollte gefördert werden, dass Webbrowser den Endnutzern einfache Möglichkeiten bieten, die Einstellungen zur Privatsphäre während der Benutzung jederzeit zu ändern, und dem Nutzer erlauben, Ausnahmen für bestimmte Websites zu machen oder in Listen festzulegen oder anzugeben, von welchen Websites Cookies (auch von Drittanbietern) immer oder niemals angenommen werden sollen.“

Für weitere Informationen lesen Sie unseren bereits erschienenen Beitrag. Es bleibt abzuwarten, wie die finale Fassung der Verordnung wirklich lauten wird.