Schlagwort: Tracking

Contextual Targeting ohne personenbezogene Daten – warum die DSGVO häufig gar nicht greift

Geschrieben am von Dr. Frank Eickmeier

Im Online-Marketing wird Targeting regelmäßig reflexartig mit hochen Datenschutz-Anforderungen gleichgesetzt. Insbesondere im Programmatic Advertising dominiert die Annahme, dass bei jeder Form der Werbeaussteuerung zwangsläufig personenbezogene Daten verarbeitet werden und damit die DSGVO anwendbar ist. Diese Sichtweise greift jedoch zu kurz.

Reines Contextual Targeting kann – bei entsprechender technischer Ausgestaltung – vollständig außerhalb des Anwendungsbereichs der DSGVO liegen. Dieser Beitrag zeigt, unter welchen Voraussetzungen das der Fall ist und welche Konsequenzen sich daraus auch für branchenübliche Standards wie das IAB Transparency & Consent Framework sowie für zukünftige Regulierungsvorhaben ergeben.

Ausgangspunkt: Die DSGVO setzt personenbezogene Daten voraus

Die DSGVO ist kein allgemeines „Internetregulierungsrecht“. Sie findet ausschließlich Anwendung, wenn personenbezogene Daten verarbeitet werden (Art. 2 Abs. 1 DSGVO).

Der zentrale Prüfungsmaßstab lautet daher nicht sofort, ob eine Verarbeitung „zulässig“ ist, sondern erst einmal, ob überhaupt personenbezogene Daten vorliegen.

Personenbezogen sind Daten nur dann, wenn sie sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Erforderlich ist stets ein Bezug zu einer konkreten Person – sei es unmittelbar oder mittelbar.

Rein sachbezogene Informationen, etwa über Inhalte von Webseiten, fallen nicht darunter.

Was ist Contextual Targeting im rechtlichen Sinne?

Beim Contextual Targeting wird Werbung ausschließlich anhand des Umfelds ausgespielt, in dem sie erscheint. Maßgeblich sind also Inhalte, nicht Nutzer.

Typischerweise werden dabei folgende Elemente analysiert:
– Themen und Keywords einer Seite
– semantische Strukturen
– Taxonomien und Kategorien
– Sentiment oder Tonalität

Diese Informationen werden zu Kontextsegmenten verdichtet, die als Entscheidungsgrundlage für die Werbeausspielung dienen.

Entscheidend ist: Diese Daten beziehen sich auf Inhalte, nicht auf Personen.

Wann Contextual Targeting tatsächlich „DSGVO-frei“ ist

Ob Contextual Targeting datenschutzrechtlich relevant ist, hängt ausschließlich von der konkreten technischen Umsetzung ab.

Ein Modell fällt nur dann vollständig aus der DSGVO heraus, wenn konsequent auf jeglichen Personenbezug verzichtet wird. Das setzt insbesondere voraus:

– keine Verarbeitung von IP-Adressen, auch nicht temporär
– keine Nutzung von Cookies, Device IDs oder vergleichbaren Identifikatoren
– keine Wiedererkennung von Nutzern über mehrere Interaktionen hinweg
– keine Bildung von Nutzerprofilen, auch nicht pseudonym
– keine Verknüpfung mit anderen Datenquellen
– keine Möglichkeit der Re-Identifizierung

Sind diese Voraussetzungen erfüllt, werden ausschließlich inhaltsbezogene Daten verarbeitet. Ein Personenbezug fehlt vollständig.

Warum Context IDs keine personenbezogenen Daten sind

In der Praxis werden häufig sogenannte Context IDs oder Segment-IDs verwendet. Diese stehen für bestimmte Inhaltskategorien oder Umfelder.

Rechtlich entscheidend ist, worauf sich diese IDs beziehen:

– Beziehen sie sich auf Nutzer oder Geräte, liegt personenbezogene Verarbeitung vor.
– Beziehen sie sich ausschließlich auf Inhalte oder Platzierungen, fehlt der Personenbezug.

Context IDs, die lediglich beschreiben, dass sich eine Anzeige etwa im Umfeld „Sport“, „Finanzen“ oder „Reisen“ befindet, enthalten keinerlei Information über eine natürliche Person.

Auch wenn solche Segmente im Auktionsprozess genutzt werden, bleibt die Verarbeitung rein sachbezogen.

Warum auch keine mittelbare Identifizierbarkeit vorliegt

Häufig wird argumentiert, ein Personenbezug könne bereits deshalb vorliegen, weil irgendwo in der Wertschöpfungskette personenbezogene Daten existieren. Diese Argumentation überzeugt nicht. Maßgeblich ist, ob die konkret verarbeiteten Daten eine Identifizierung ermöglichen oder zumindest einen Anknüpfungspunkt dafür bieten. Fehlen jegliche Identifier und erfolgt keine Verknüpfung mit Dritt-Daten, besteht auch keine theoretische Re-Identifizierbarkeit. Die bloße Einbettung in ein Ad-Tech-Ökosystem reicht nicht aus, um einen Personenbezug zu begründen.

Abgrenzung zu verhaltensbasiertem Targeting

Die rechtliche Bewertung wird klarer, wenn man Contextual Targeting vom klassischen Behavioral Targeting abgrenzt.

Während verhaltensbasiertes Targeting typischerweise auf folgenden Elementen beruht:
– Tracking über Cookies oder IDs,
– Wiedererkennung von Nutzern,
– Profilbildung über Zeit,
– geräteübergreifende Zuordnung,

fehlen all diese Elemente beim reinen Contextual Targeting vollständig.

Die Werbeentscheidung erfolgt nicht „wegen“ einer Person, sondern „wegen“ eines Inhalts.

Keine Anwendbarkeit der DSGVO

Fehlt es an personenbezogenen Daten, ist der sachliche Anwendungsbereich der DSGVO nicht eröffnet.

Das hat weitreichende Konsequenzen:
– keine Pflicht zur Rechtsgrundlage (Art. 6 DSGVO)
– keine Informationspflichten (Art. 13, 14 DSGVO)
– keine Betroffenenrechte
– keine Anforderungen an Auftragsverarbeitung oder Joint Controllership

Die datenschutzrechtliche Prüfung endet bereits auf der ersten Stufe.

Keine Einordnung als Vendor im TCF 2.0

Das IAB Transparency & Consent Framework (TCF 2.0) ist ein Branchenstandard zur Verwaltung von Einwilligungen im Programmatic Advertising. Es adressiert ausschließlich Verarbeitungsvorgänge, die personenbezogene Daten betreffen – insbesondere Tracking, Profiling und personalisierte Werbung. Ein „Vendor“ im Sinne des TCF ist daher zwingend ein Akteur, der personenbezogene Daten verarbeitet und hierfür eine Rechtsgrundlage benötigt.

Fehlt es – wie beim strikt umgesetzten Contextual Targeting – an jeder Verarbeitung personenbezogener Daten, entfällt diese Voraussetzung vollständig.

Die Folge ist klar:
– keine Einbindung in Consent-Mechanismen
– keine Verarbeitung von TC Strings
– keine Verpflichtung zur Teilnahme am TCF

Eine Einordnung als Vendor wäre systemwidrig, da das gesamte Framework auf der Existenz personenbezogener Daten aufbaut.

Warum auch zukünftige Regulierung („Digitaler Omnibus“) nichts ändert

Aktuelle regulatorische Entwicklungen auf EU-Ebene zielen darauf ab, bestehende Digitalregeln zu bündeln und zu schärfen. Unter Schlagworten wie „Digitaler Omnibus“ werden insbesondere Anpassungen im Zusammenspiel von DSGVO, ePrivacy, Digital Services Act und weiteren Regelwerken diskutiert.

Diese Initiativen verfolgen vor allem drei Ziele:
– Stärkung von Transparenz und Durchsetzung
– Vereinheitlichung von Pflichten
– Schließung von Regelungslücken bei datengetriebenen Geschäftsmodellen

Entscheidend ist jedoch: Auch zukünftige Regulierung knüpft weiterhin an bekannte Tatbestände an.

Insbesondere bleiben zentrale Anknüpfungspunkte:
– personenbezogene Daten
– Zugriff auf Endgeräte
– personalisierte Beeinflussung von Nutzern
– Plattformverantwortlichkeit

Ein Modell, das bewusst auf all diese Elemente verzichtet, bleibt strukturell außerhalb dieses Regelungsregimes. Weder die Bündelung bestehender Vorschriften noch deren Verschärfung führt dazu, dass rein sachbezogene Datenverarbeitungen plötzlich erfasst werden.

Fazit

Contextual Targeting ist nicht per se „datenschutzfrei“ – kann es aber sein.

Entscheidend ist eine konsequent personenbezogenheitsfreie Architektur. Sobald auf Identifier, Tracking und Nutzerbezug vollständig verzichtet wird, handelt es sich nicht mehr um eine Verarbeitung personenbezogener Daten.

Die Konsequenz ist grundlegend: Die DSGVO ist dann nicht anwendbar.

Darauf aufbauende Systeme wie das TCF greifen ebenfalls nicht. Und auch zukünftige regulatorische Entwicklungen ändern an dieser Einordnung nichts.

Für die Praxis bedeutet das: Wer Contextual Targeting technisch sauber umsetzt, kann sich bewusst außerhalb der datenschutzrechtlichen Regulatorik positionieren – nicht durch Gestaltung der Rechtsgrundlage, sondern durch Vermeidung ihres Anwendungsbereichs.

EU-US Data Privacy Framework: EU-Kommission veröffentlicht Angemessenheitsbeschluss für Datentransfers in die USA

Geschrieben am von Dr. Frank Eickmeier

Die Europäische Kommission hat heute den lange erwarteten Angemessenheitsbeschluss für die neue EU-US-Datenschutzvereinbarung („EU-US Data Privacy Framework“) veröffentlicht. Der Beschluss stellt fest, dass die Vereinigten Staaten nunmehr ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten also „gefahrlos“ aus der EU an US-Unternehmen, die an dem neuen Programm teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.

Welche Maßnahmen sieht die neue Vereinbarung vor?

Die jetzt geltende Vereinbarung zwischen der EU und den USA führt neue verbindliche Vorgaben ein, um die vom Europäischen Gerichtshof im berühmten „Schrems II“-Urteil geäußerten Bedenken auszuräumen, einschließlich einer Beschränkung der Zugriffrechte von US-Geheimdiensten auf EU-Daten auf das „notwendige und verhältnismäßige“ Maß und sogar der Einrichtung eines unabhängigen Datenschutzüberprüfungs-„Gerichts“ (DPRC), zu dem EU-Bürger Zugang haben. Das neue Programm sieht erhebliche Verbesserungen gegenüber dem alten Mechanismus vor, der unter dem so genannten „Privacy Shield“-Programm galt. Stellt das DPRC beispielsweise fest, dass Daten unter Verstoß gegen die neuen Vorgaben erhoben wurden, kann es die Löschung der Daten anordnen.

Der neue EU-US-Datenschutzrahmen soll so einen sicheren Austausch für Daten von EU-Bürgern gewährleisten und Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Hintergrund der Entscheidung der EU-Kommission war eine Vereinbarung mit der US-Regierung, die darauf aufbauend wesentliche neue Verwaltungsvorschriften zum Schutz personenbezogener Daten von EU-Bürgern erlassen.

EU-Bürger können bestimmte Rechtsbehelfe in Anspruch nehmen, wenn ihre Daten von US-Unternehmen rechtswidrig verarbeitet werden. Darüber hinaus sehen die neuen Regelungen auf US-Seite eine Reihe von Garantien gegen den ungehemmten Zugriff von US-Behörden auf Daten vor, die auf der Grundlage des Programms übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu den Daten soll auf das Maß beschränkt werden, das zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.

Wie geht es jetzt weiter?

US-Unternehmen können dem Programm nun beitreten, indem sie sich gegenüber der US-Regierung verpflichten, eine Reihe bestimmter Datenschutzregeln einzuhalten, darunter zum Beispiel die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und eine Kontinuität des entsprechenden Schutzes zu gewährleisten, wenn personenbezogene Daten wiederum an Dritte weitergegeben werden. Es ist davon auszugehen, dass die großen Anbieter wie Google und Facebook zu den ersten Unternehmen gehören, die in das Register der US-Regierung aufgenommen werden und dass über die nächsten Monate nach und nach alle relevanten Dienstleister folgen werden.

Europäische Unternehmen müssen dann nur prüfen, ob ihre Anbieter bereits dem neuen Programm unterfallen und einen entsprechenden Hinweis in ihre Datenschutzerklärung aufnehmen. Mehr ist dann tatsächlich nicht zu tun.

Wird die neue Regelung Bestand haben?

Das Funktionieren der neuen Vereinbarung soll in regelmäßigen Abständen von der Europäischen Kommission zusammen mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um zu überprüfen, ob alle relevanten Elemente vollständig in den US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Es ist jedoch davon auszugehen, dass europäische Datenschutz-Aktivisten gegen die Entscheidung der EU-Kommission gerichtlich vorgehen werden – allen voran der Österreicher Max Schrems, der bereits zweimal einen Angemessenheitsbeschluss für die USA zu Fall gebracht hat. Das neue Data Privacy Framework ist aus Sicht seiner Organisation im Wesentlichen nur eine Kopie des gescheiterten Privacy-Shields, das wichtige der zuvor kritisierten Punkte vermissen lässt. Das letzte Wort hat dann wiederum der Europäische Gerichtshof. Echte Sicherheit besteht also erst nach einem entsprechenden Urteil, also in etwa zwei bis drei Jahren.

Das TCF 2.2 geht an den Start – das sollten Sie jetzt wissen:

Geschrieben am von Dr. Frank Eickmeier

Um den Akteuren im Online-Ökosystem dabei zu helfen, die Anforderungen der EU-Datenschutzrichtlinie sowie der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, hat der europäische Verband der Onlinebranche IAB eine überarbeitete Fassung des als „Transparency & Consent Framework“ bezeichneten Branchenstandards verabschiedet, das so genannte TCF 2.2. Eine Arbeitsgruppe aus Vetretern der beteiligten Unternehmen hat intensiv an einer überarbeiten Standardisierung der Pflicht-Informationen und Auswahlmöglichkeiten gearbeitet, die den Nutzern vor der Verarbeitung ihrer Daten zur Verfügung gestellt werden sollten, sowie an der Art und Weise, wie darauf aufbauenden Entscheidungen der Nutzer umgesetzt werden.

Ziel der Änderung ist die Anpassung des Branchenstandards an die Anforderungen der Rechtsprechung und der europäischen Datenschutzbehörden. Das IAB möchte es deshalb den betroffenen Marktteilnehmern ermöglichen, über das Transparency & Consent Framework 2.2 diesen Vorgaben gerecht zu werden. Das TCF 2.2 tritt bereits am 16. Mai 2023 in Kraft – und die Umsetzungsfristen für betroffene Unternehmen sind extrem kurz.

Die wichtigste Neuerungen des TCF 2.2 sind:

  • Abschaffung der Rechtsgrundlage des berechtigten Interesses für die Personalisierung von Online-Werbung und -Inhalten: Unternehmen können nun nur noch auf der Grundlage einer wirksamen Einwilligung der Nutzer pseudonyme Daten verarbeiten, um individuelle Werbung und Inhalte auszuspielen.
  • erweiterte Informationen für Nutzer in Bezug auf die Verarbeitungszwecke: Die in der Einwilligungsabfrage enthaltenen Angaben zu den Zwecken, für die die erhobenen Daten genutzt werden können, wurden überarbeitet. Die Informationen sollen jetzt verständlicher sein und wurden dazu auch um konkrete Beispiele ergänzt.
  • erweiterte Informationen für Nutzer in Bezug auf die Datenempfänger: Zu den Empfängern der Daten der Nutzer werden zusätzliche Informationen bereitgestellt, nämlich:
    • konkret vom jeweiligen Datenempfänger erhobene Datenkategorien
    • Speicherfristen für die erhobenen Daten beim jeweiligen Datenempfänger
    • falls einschlägig (und noch zulässig): die berechtigten Interessen des Datenempfängers für die Datenverarbeitung
  • Transparenz über die Anzahl der Datenempfänger: In der Einwilligungsabfrage muss zukünftig die Gesamtzahl der Datenempfänger bereits auf der ersten Ebene offen gelegt werden.
  • neue Anforderungen für den Widerruf der Einwilligung durch die Nutzer: Über eine spezielle Schaltfläche muss es möglich sein, die Einwilligungsabfrage erneut aufzurufen und die Einwilligung zu widerrufen.

Die meisten Anbieter von Websites und Apps werden sich zur Umstellung auf das TCF 2.2 an den Anbieter ihrer Einwilligungsabfrage (auch als „Cookie-Banner“ oder Consent Management Platform (CMP) bezeichnet) wenden. Auf Datenempfänger kommen dagegen größere technische Umstellungen zu.

Falls Sie Fragen zur Umsetzung des TCF 2.2 haben, melden Sie sich gern direkt bei uns.

Kommt die ePrivacy-Verordnung – oder kommt sie nicht?

Geschrieben am von Dr. Frank Eickmeier

Erfreulicherweise hat sich die Bundesregierung am 29. März im Rahmen einer sogenannten kleinen Anfrage zum aktuellen Verfahrensstand der ePrivacy-VO geäußert. Kurz gefasst: Es wird noch lange Zeit dauern, bis die e Privacy-Verordnung wirklich kommt, jedenfalls geschieht das nicht mehr in diesem Jahr 2019.

Die ePrivacy-Verordnung, so die Bundesregierung, wurde unter der österreichischen Ratspräsidentschaft im 2. Halbjahr 2018 auf der Ebene der Ratsarbeitsgruppe weiter beraten. Österreich hat für den Ministerrat (Telekommunikation) am 4. Dezember 2018 einen Fortschrittsbericht vorgelegt und eine Aussprache durchgeführt.

Nachdem die derzeit amtierende rumänische Ratspräsidentschaft angekündigt hatte, die Themenfelder rund um den digitalen Binnenmarkt voranzutreiben, ist nun beabsichtigt, auch die Verhandlungen zur ePrivacy-Verordnung in diesem Halbjahr so weit wie möglich voranzubringen, gegebenenfalls auch bis hin zu einer Einigung im Rat. Derzeit wird der Vorschlag auf der Grundlage aktueller Präsidentschaftstexte weiterhin auf der Ebene der Ratsarbeitsgruppe diskutiert (die aktuellen Vorschläge der rumänischen Präsidentschaft sind online abrufbar). Ein genauer Zeitplan der Ratspräsidentschaft liegt jedoch nicht vor.

Ein Abschluss der Verhandlungen, so die Bundesregierung, vor den Europawahlen ist nach gegenwärtigem Sachstand eher unwahrscheinlich. Die Dauer der Beratungen sei dem Bemühen geschuldet, die unterschiedlichen Interessen aller beteiligten Kreise angemessen zum Ausgleich zu bringen. Käme es zu einer Einigung auf einen Ratstext, wäre dieser erst einmal Grundlage für weitere Verhandlungen mit dem Europäischen Parlament.

Was wird aus dem für die Werbewirtschaft so bedeutsame Kopplungsverbot bei der Einwilligung?

Auch dazu hat sich die Bundesregierung noch einmal geäußert: Die Bundesregierung hat im Zuge der Beratungen auf Ratsebene vorgeschlagen, dass werbefinanzierte Onlinedienste die Möglichkeit haben sollten, ihre Nutzung von der Einwilligung in Cookies für Werbezwecke abhängig zu machen. In diesem Zusammenhang hat die Bundesregierung weiterhin eine Regelung in der ePrivacy-Verordnung vorgeschlagen, dass Endnutzer im Browser selbst wirksame Einstellungen zum Schutz ihrer Privatsphäre vornehmen können. Dadurch sollen Anreize im Markt für verschiedene Optionen gesetzt werden, so auch für eine Bezahlvariante ohne Tracking.

Die Bundesregierung verweist insoweit auf die weiterhin laufenden Verhandlungen. Ziel ist vor allem, ein hohes Schutzniveau für die Vertraulichkeit von Kommunikationsdaten und zugleich den Spielraum für Innovation und digitale Geschäftsmodelle zu erhalten und die Datensouveränität zu stärken. Eine abschließende Meinungsbildung dazu steht noch aus.

Immerhin stellt sich die Bundesregierung mit dieser Aussage auf die Seite der Onlinewerbewirtschaft – die dringend auf eine Klärung dieser Frage angewiesen ist.

Was bedeutet die ePrivacy-Verordnung genau für die Onlinebranche ?

Geschrieben am von Dr. Frank Eickmeier

Bereits am 10. Januar 2017 hat die EU-Kommission Ihren ersten offiziellen Entwurf der neuen ePrivacy Verordnung vorgestellt (Az: 2017/003 (COD). Es handelte sich um den Vorschlag für eine Verordnung des europäischen Parlamentes und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2008/58/EG (sog. ePrivacy Richtlinie, nachfolgend auch: „ePV“). Gem. Ziffer 1.2. dieses Entwurfes dient der Vorschlag als „lex specialis“ zur DSGVO dar und soll diese im Hinblick auf die elektronischen Kommunikationsdaten, die als personenbezogene Daten einzustufen sind, präzisieren und ergänzen. Alle Fragen der Verarbeitung personenbezogener Daten, die in diesem Vorschlag nicht spezifisch geregelt sind, sollen weiterhin von der Datenschutzgrundverordnung (DSGVO), die bekanntlich ab Mai diesen Jahres gilt,  erfasst werden. Dieser Entwurf der geplanten ePrivacy Verordnung wurde dem EU-Parlament und dem EU-Rat zugestellt.

Im EU-Parlament war der federführende EU-Ausschuss der sog. LIBE-Ausschuss. Nach langen Verhandlungen hat am 19. Oktober 2017 der LIBE-Ausschuss über den Entwurf für eine Verordnung über den Schutz der Privatsphäre im Internet, also über die ePrivacy Verordnung, abgestimmt (Protokoll der Plenarsitzung, Az: A8-0324/2017). Parallel dazu hat sich auch der EU-Rat in einer Arbeitsgruppe mit dem Verordnungsentwurf beschäftigt. Die Mitgliedsstaaten waren aufgefordert, ihre Stellungnahmen bis zum 14.08.2017 dorthin zu übersenden.  Der abgestimmte Entwurfstext des LIBE-Ausschusses wurde am 26.10.2017 zur Überraschung der Onlinebranche quasi unverändert durch das EU-Parlament angenommen (A8-0324/2017).

Mit diesem Ergebnis erfolgte zugleich das Mandat, das für den nächsten Verfahrensschritt nötig ist, für die Verhandlungen des Europäischen Parlaments mit dem Rat der Europäischen Union. 2018 dann sollen die sogenannten Trilog-Verhandlungen abgeschlossen sein und die Verordnung in Kraft treten. Ob die Kommission ihr angepeiltes Ziel, den Mai, als Datum halten kann, ist aber höchst unklar.

Wesentliche Inhalte des Entwurfs des LIBE-Ausschusses:

Die für die Onlinemarketingbranche wesentlichen Inhalte sind folgende:

  1. Die neue Definition des Begriffs „Direktvermarktung“ in Art. 4 Abs. 3 f stellt klar, dass hierin auch Onlinewerbung enthalten ist, die als Direktmarketing-Kommunikation verstanden wird.
  2. Cookies dürfen ohne ausdrückliche Einwilligung nur noch verarbeitet werden, wenn sie „streng erforderlich“ oder zwingend technisch notwendig sind um einen Dienst zu erbringen (Art. 8 Abs. 1 a, 2).
  3. Die Verwendung von „Cookie-Walls“ soll verhindert werden. Eine damit erzwungene Einwilligung soll unwirksam sein. Das mehrfache Bitten zur Zustimmung wird als missbräuchlich angesehen. Um solche missbräuchlichen Anfragen zu verhindern, sollen Nutzer Diensteanbieter beauftragen können, sich an ihre ablehnende Entscheidung zu erinnern und durch technische Spezifikationen, die die Nichtzustimmung signalisieren, sicherstellen. Dies könnte zum Beispiel „Dont ask me again“- Schaltfläche sein um auszuschließen, dass ein Diensteanbieter von Zeit zu Zeit nachfragt, ob die Nichtzustimmung nach wie vor gilt.
  4. Es muss vielmehr im Falle der Ablehnung des Einsatzes von Cookies die alternative Möglichkeit gegeben werden, das jeweilige Angebot auch ohne den Einsatz von Cookies nutzen zu können (Art. 9 Abs. 2).
  5. Der Einsatz von Cookies ist zulässig, wenn der Nutzer seine Einwilligung erteilt hat. Die neue Formulierung besagt aber jetzt, dass die Einwilligung für spezifische Zwecke gegeben werden muss und dass die Einwilligung keine Bedingung für den Zugang zu dem Service war.
  6. Der Entwurf sieht vor, dass Nutzer bei erstmaliger Installation des Browsers (oder bei einem neuen Update) „einstellen“ müssen, ob sie Cookies und wenn ja, welche Art von Cookies sie zulassen. Da 90 % der Nutzer eine restriktive Einstellung wählen werden, also insbesondere keine Third-Party Cookies zulassen werden, „schließt die Verordnung das Endgerät faktisch ab“ (so der VPRT). Die Verordnung sieht keinen Automatismus vor, der bei nachträglicher Einwilligung des Nutzers den Browser wieder aufschließt.
  7. Untersagt ist damit faktisch insbesondere das domainübergreifende Tracking und die Speicherung von Informationen über das Endgerät durch Dritte.
  8. Retargetingmodelle werden faktisch kaum noch umsetzbar.
  9. Erteilte Einwilligungen müssen jederzeit widerrufen werden können. Zudem muss in regelmäßigen Abständen von sechs Monaten an diese Möglichkeit erinnert werden.
  10. Cookies sind nur noch in Ausnahmen zulässig, nämlich (Art. 8 I): a) sie sind für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder b) der Endnutzer hat seine Einwilligung nach Maßgabe von Art. 9 gegeben (und damit – sehr unwahrscheinlich –  faktisch über den Browser) oder c) sie sind für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig oder d) sie sind für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt oder sie sind für die Sicherheit und Integrität des Dienstes erforderlich (…)

Nach Art. 10 muss zukünftig bei der Installation eines Browsers der Endnutzer über die Einstellungsmöglichkeiten zur Privatsphäre informiert werden und zudem muss zukünftig zur Fortsetzung der Installation vom Endnutzer die Einwilligung zu einer Einstellung verlangt werden.

In Verkehr gebrachte Software muss zudem darüber hinaus von Anfang an als Voreinstellung die Möglichkeit bieten zu verhindern, dass Dritte Informationen speichern können. Laut Entwurf muss Software, die den Zugang zum Internet ermöglicht (also Browser), künftig „standardmäßig […] verhindern, dass andere Parteien Informationen über das Endgerät eines Nutzers übertragen oder speichern und Informationen verarbeiten, die bereits auf dem Endgerät gespeichert oder von diesem Gerät gesammelt wurden“. Diese Default-Vorgabe verhindert standardmäßig die Verwendung aller Cookies, es sei denn, dass dies für das Funktionieren eines Online-Service technisch unbedingt erforderlich ist

Es wurde ein neuer Absatz eingeführt, in dem es heißt: „keinem Nutzer darf der Zugang zu Diensten oder Funktionen der Informationsgesellschaft verwehrt werden, unabhängig davon, ob diese Dienste vergütet werden oder nicht, mit der Begründung, dass sie ihre Einwilligung zur Verarbeitung personenbezogener Daten und/oder zur Nutzung der Verarbeitungs- oder Speicherfähigkeit ihrer Endgeräte nicht erteilt haben, die für die Bereitstellung dieser Dienste oder Funktionen nicht erforderlich ist“. Dies würde es nach Ansicht des BVDW den Publishern wohl weiterhin ermöglichen, Benutzer von der Nutzung ihres Dienstes auszuschließen, solange sie den Zugriff auf ihre Website ohne Datenerhebung im Rahmen eines Bezahlmodells ermöglichen.

Die „Ausnahme der Reichweitenmessung“ wurde so geändert, dass sie nicht mehr auf die „Messung von Webpublikum“ beschränkt ist, sondern auch von einer ersten Partei oder im Auftrag der „ersten Partei“ oder einer „Web-Analytics-Agentur im öffentlichen Interesse“ durchgeführt werden kann. Dritten, die Reichweitenmessungen im Auftrag Dritter durchführen, ist es untersagt, Daten mit Daten anderer zu verschmelzen.

Haben Sie weitere Fragen zur ePrivacy Verordnung ? Dann melden Sie sich bei uns, eickmeier@unverzagt.law oder 040 414 00034.