Nach der DSGVO ist vor der ePrivacy-Verordnung.
Und die wird nicht ohne. Das kann ich dir versichern!
Die gute Nachricht vorweg:
Noch ist nichts in Stein gemeißelt.
Ursprünglich sollte sie zusammen mit der DSGVO am 25.05.2018 anwendbar werden. Durch eine regelrechte Lobbyschlacht zwischen Datenschützern und Vertretern der Wirtschaft ist mit der neuen Verordnung jedoch wahrscheinlich nicht vor 2020 zu rechnen. Die damit beauftragten Arbeitsgruppen sind zerstritten und viele inhaltliche Fragen sind noch offen.
Dass sie kommen wird, ist jedoch beschlossene Sache. Wenn du Online-Unternehmer oder Blogger bist, wirst du dich über kurz oder lang damit beschäftigen müssen.
Damit du dich darauf vorbereiten kannst, habe ich dir alles in diesem Artikel zusammengestellt, was du dazu wissen musst:
Ich erkläre im Detail, was es mit der neuen Verordnung auf sich hat, welche Auswirkungen sie auf deinen Blog bzw. dein Online-Business haben könnte und was der aktuelle Stand ist (mit übersichtlicher Timeline!).
Ich werde diesen Artikel regelmäßig aktualisieren und um neue Entwicklungen ergänzen.
1.Was ist die ePrivacy-Verordnung?
Die ePrivacy-Verordnung ist sog. lex specialis zur DSGVO. Als übergeordnetes Sondergesetz präzisiert und ergänzt sie die DSGVO.
Sie soll die seit 2002 geltende ePrivacy-Richtlinie, die zuletzt in 2009 mit der sogenannten Cookie-Richtlinie aktualisiert wurde, ersetzen. Denn diese trägt in den Augen der EU-Kommission den aktuellen technischen Fortschritten nicht mehr Rechnung.
Sie ist der nächste Schritt auf dem Weg zum Digitalen Binnenmarkt in der EU und soll das Datenschutz-Niveau aller EU-Mitgliedstaaten aneinander angleichen und anheben.
Der Fokus der neuen Verordnung liegt dabei auf der Vertraulichkeit und der Wahrung der Privatsphäre bei elektronischer Kommunikation (wie z. B. E-Mails, SMS, Instant-Messenger oder Sprachanrufen).
Das sind die wichtigsten Eckpunkte:
1.1 Vertraulichkeit elektronischer Kommunikation
Textnachrichten, E-Mails oder Sprachanrufe sollen ohne Einwilligung des Nutzers nicht angezapft, abgehört, durchsucht oder gespeichert werden dürfen.
1.2 Opt-In für Cookies und andere Tracking-Methoden
Cookies und andere Tracking-Methoden sollen die Einwilligung des Nutzers erfordern. Opt-Ins werden also zur Pflicht!
Davon ausgenommen sind Cookies, die dem problemlosen Surfen dienen und die Privatsphäre nicht gefährden. Cookies zum Ermitteln von Zugriffszahlen dürfen ebenfalls ohne Einwilligung gesetzt werden.
1.3 Verarbeitung von Kommunikationsinhalten und -metadaten unterliegt der Einwilligung
Sowohl der Inhalt der Kommunikation als auch Metadaten (z. B. wer angerufen wurde, der Zeitpunkt des Anrufs, Standortdaten und Anrufdauer sowie besuchte Websites) unterliegen dem Schutz der Privatsphäre. Metadaten müssen gelöscht oder anonymisiert werden, wenn Nutzer ihre Einwilligung nicht gegeben haben.
1.4 Keine Direktwerbung ohne vorherige Einwilligung
Nutzer müssen eingewilligt haben, bevor „unerbetene kommerzielle Kommunikation“ an sie gerichtet wird. Das soll unabhängig von der verwendeten Technik (z. B. für automatische Anrufsysteme, SMS oder E-Mail) und auch für Telefonwerbung gelten. Bei Marketing-Anrufen muss zudem die Rufnummer angezeigt werden oder diese müssen durch eine besondere Vorwahl als solche erkennbar sein.
2. Für wen gilt die ePrivacy-Verordnung?
Während die DSGVO nur für personenbezogene Daten gilt, gilt die ePrivacy-Verordnung umfassend für alle Endnutzer. Sie soll Daten von natürlichen und juristischen Personen gleichermaßen schützen. Sie betrifft also nicht nur die Daten von Einzelpersonen sondern auch die von Unternehmen oder Vereinen!
Sie gilt für alle Anbieter elektronischer Kommunikationen, die sich an Endnutzer in der Europäischen Union wenden. Unabhängig davon, wo der Anbieter seinen Sitz hat und unabhängig davon, ob die Leistung kostenlos oder kostenpflichtig angeboten wird.
Das heißt im Klartext:
Nicht nur Online-Unternehmer, sondern auch Vereine, öffentliche Einrichtungen und Hobby-Blogger müssen sich an sie halten.
3. Welche Auswirkungen hat sie für Online-Unternehmer und Website-Betreiber?
Für Online-Unternehmer und Website-Betreiber sind vor allem die Artikel 8, 9 und 10 sowie die Erwägungsgründe 20, 21, 22, 23 und 24 interessant, bei denen es um Cookies und Tracking geht (falls du dich selbst in die Verordnung einlesen willst).
Hier ist meine Zusammenfassung möglicher Auswirkungen:
3.1 Cookies und andere Tracking-Methoden
Die Hürden für Online-Unternehmer und Website-Betreiber werden mit der ePrivacy-Verordnung noch einmal höher!
Denn mit der neuen Verordnung wird es nicht mehr möglich sein, die Nutzung von Cookies und anderer Tracking-Methoden mit berechtigtem Interesse nach Art. 6 Abs. 1 lit. f DSGVO zu begründen (obwohl bis heute nicht einwandfrei geklärt ist, wie weit dieses berechtigte Interesse überhaupt reicht).
Für das Speichern von Cookies und die Verwendung anderer Tracking-Methoden (wie z. B. Fingerprinting) benötigt man mit der neuen Verordnung nun eine Einwilligung (Opt-In). Diese Einwilligung muss jederzeit widerrufbar sein.
Dabei musst du damit rechnen, dass ca. 40-60% der Besucher, dir die Einwilligung verweigern werden. Hier ein kleiner Test, den ich mit dem WordPress-Plugin Borlabs Cookie durchgeführt habe:
512 von insgesamt 1055 (48,5%) aller Befragten haben ausgewählt, dass sie keine Cookies akzeptieren. 90 (8,5%), dass nur Cookies von der eigenen Domain gesetzt werden dürfen und 453 (42,9%), dass alle Cookies gesetzt werden dürfen.
Krass, oder?
Ausgenommen von diesem Opt-In-Zwang sind nur zwei Arten von Cookies:
- Technisch notwendige Cookies (wie z. B. Cookies, die den Inhalt eines Warenkorbs für den späteren Abruf speichern, das Ausfüllen von Online-Formularen über mehrere Seiten hinweg ermöglichen oder die Anmeldedaten für die aktuelle Sitzung speichern)
- Cookies zur Ermittlung von Besucherzahlen
Wie diese Einwilligung genau zu erfolgen hat, ist allerdings noch offen. Ursprünglich war geplant, dass Browser diese Funktion übernehmen und als „technische Gatekeeper“ dienen sollen.
Es könnte jedoch sein, dass der dazugehörige Artikel 10, wie von der österreichischen Ratspräsidentschaft in einer überarbeiteten Fassung von Juni 2018 vorgeschlagen, komplett gestrichen werden könnte. Das hieße, dass jeder Website-Betreiber Einwilligungen selbst einholen müsste, z. B. mit WordPress-Plugins wie Borlabs Cookie oder Cookie Notice.
Die hanebüchene Auflage, dass Nutzer in regelmäßigen Abständen von sechs Monaten an die Widerrufsmöglichkeit ihrer Einwilligung erinnert werden, wurde (Gott sei Dank!) mit dem aktualisierten Gesetzesentwurf vom 20.10.2017 gestrichen.
3.2 Website-Analyse
Laut Artikel 8 Abs. 1 lit. d (im dem aktualisierten Gesetzesentwurf vom 20.10.2017) ist die Speicherung von Cookies erlaubt und vom Einwilligungszwang ausgeschlossen, es sei denn…
sie ist für die Messung der Reichweite des vom Nutzer angeforderten Dienstes der Informationsgesellschaft technisch nötig, sofern diese Messung vom Betreiber oder in seinem Namen oder von einer unabhängigen Webanalyseagentur durchgeführt wird, die im öffentlichen Interesse – auch für wissenschaftliche Zwecke – tätig ist, sofern die Daten aggregiert sind und der Nutzer die Möglichkeit hat, der Nutzung zu widersprechen, und sofern personenbezogene Daten keinem Dritten zugänglich gemacht und die Grundrechte des Nutzers durch diese Messung nicht beeinträchtigt werden, und falls eine Publikumsmessung im Namen eines Betreibers von Diensten der Informationsgesellschaft durchgeführt wird, dürfen die erhobenen Daten nur von diesem Betreiber verarbeitet werden und müssen getrennt von den Daten aufbewahrt werden, die bei Publikumsmessungen erhoben wurden, die im Namen anderer Betreiber durchgeführt werden.
Das heißt, es dürfte auch ohne Einwilligung zulässig sein, Besucherzahlen mit Matomo oder einer anderen Software zu messen, die auf dem eigenen Server installiert ist (vorausgesetzt, man nutzt sie mit IP-Anonymisierung, AV-Vertrag, Opt-Out etc.).
Ich halte es jedoch für unwahrscheinlich, dass die Nutzung Google Analytics weiterhin ohne Opt-In möglich ist. Denn Google zählt wahrscheinlich nicht zu einer „unabhängigen Webanalyseagentur, die im öffentlichen Interesse – auch für wissenschaftliche Zwecke – tätig ist“.
Aber auch hier gilt:
Noch ist das letzte Wort nicht gesprochen. Änderungen zu diesem Passus in der Verordnung wurden schon diskutiert. Die österreichische Ratspräsidentschaft hat in in ihrer überarbeiteten Fassung von Juni 2018 ergänzt, dass Dritt-Anbieter für das Tracking erlaubt werden sollten:
it is necessary for audience measuring, provided that such measurement is carried out by the provider of the information society service requested by the end-user or by a third party on behalf of the provider of the information society service provided that conditions laid down in Article 28 of Regulation (EU) 2016/679 are met.; or
3.3 Affiliate-Marketing
Auch Affiliate-Marketing wird durch die ePrivacy-Verordnung erschwert werden. Cookie-Tracking ist die vorherrschende Methode, um einen Verkauf einem bestimmten Affiliate zuzuordnen.
Wenn man nun vor dem Setzen des Cookies um eine Einwilligung bitten muss, werden schätzungsweise 40 – 60% aller Verkäufe nicht zugeordnet, was entsprechend zu 40 – 60% Umsatzeinbußen führen wird.
Dennoch denke ich nicht, dass Affiliate-Marketing als Geschäftsmodell aussterben und nach wie vor nutzbar sein wird. Zum einen gibt es diverse andere Methoden, um Verkäufe zuzuordnen, wie z. B.:
- URL-Tracking, das ohne Cookies auskommt
- Session-Tracking, das zwar mit Cookies arbeitet, die aber möglicherweise unter die „technisch notwendigen Cookies“ fällt
- die Nutzung personalisierter Gutschein-Codes
- Die Erstellung eigener Landing-Pages für Affiliates
Zum anderen kann und wird sich bis zum finalen Entwurf noch so einiges an der ePrivacy-VO ändern. Es ist anzunehmen, dass die Liste der erlaubten Verarbeitungszwecke ohne Einwilligung eher länger als kürzer wird.
3.4 Verbot der Direktwerbung ohne Einwilligung
Soweit ich beurteilen kann, ändert sich in Deutschland durch das umfassende Verbot der Direktwerbung ohne Einwilligung nicht viel:
Denn durch den § 7 UWG ist bereits geregelt, dass Werbung nur dann zulässig ist, wenn sie keine unzumutbare Belästigung darstellt.
Und darunter fallen nicht nur Werbeanrufe an potenzielle Privatkunden, die ohne deren ausdrückliche Einwilligung erfolgen (sog. Cold Calling), sondern auch (mit einigen Ausnahmen) Werbeanrufe an Gewerbetreibende. Zudem umfasst der § 7 UWG auch die Werbung via elektronischer Kommunikation (E-Mail, SMS etc.).
4. Inkrafttreten und Anwendbarkeit der ePrivacy-Verordnung
Damit es zu einem finalen Gesetzesentwurf kommen kann, ist es erforderlich, dass sich EU-Kommission, EU-Parlament und der Rat der Europäischen Union in sogenannten Trilog-Verhandlungen zusammensetzen.
Wann das geschehen wird, ist noch nicht absehbar. Denn in den dazugehörigen Arbeitsgruppen zur ePrivacy-Verordnung geht es nur langsam voran.
Stark ausgebremst wurde der Prozess durch die österreichische Ratspräsidentschaft in der zweiten Jahreshälfte 2018, welche größere Änderungen und Streichungen ganzer Artikel zugunsten der digitalen Wirtschaft vorschlug und danach den Prozess hinauszögerte. Diesem Vorgehen gingen zahlreiche Treffen mit Lobbyisten voraus.
In seiner Legislative Train Schedule geht das EU-Parlament davon aus, dass der Europäische Rat in der ersten Jahreshälfte 2019 unter der rumänischen Ratspräsidentschaft zu einem Konsens kommt. Zu den Trilog-Verhandlungen wird es laut der Schedule jedoch erst nach den Europawahlen Ende Mai 2019 kommen.
Mit einem Inkrafttreten der ePrivacy-Verordnung ist dementsprechend wahrscheinlich nicht vor 2020 zu rechnen.
Zudem kann man davon ausgehen, dass es eine Übergangsfrist von mindestens einem Jahr geben wird bis die Verordnung auch anwendbar ist. Die deutsche Bundesregierung hält laut Stellungnahme vom 10. Juli 2018 (siehe Antwort der Staatssekretärin Claudia Dörr-Voß auf Seite 68) sogar eine Übergangsfrist von 2 Jahren erforderlich.
Mehr zu den einzelnen Stationen in der Timeline:
5. ePrivacy-Timeline
2021-2022
Anwendbarkeit der ePrivacy-Verordnung?
2020
25. Mai: Die EU-Kommission muss gemäß Art. 97 DSGVO bis zu diesem Tag dem EU-Parlament einen Bericht über die Bewertung und Überprüfung der DSGVO vorlegen. Dies könnte auch Auswirkungen auf die geplante ePrivacy-Verordnung haben.
1. – 2. Quartal: Inkrafttreten der ePrivacy-Verordnung?
2019
3. – 4. Quartal: Trilog-Verhandlungen von Rat, Parlament und Kommission über finalen Entwurf?
1. Juli: Finnland wird die EU-Ratspräsidentschaft übernehmen.
23. – 26. Mai: Europawahl 2019, in der 705 neue Abgeordnete in das Europäische Parlament gewählt werden (könnte die ePrivacy-Verordnung noch weiter hinauszögern).
1. Quartal: Weiterverhandlungen und Konsens über finalen Entwurf im Europäischen Rat?
1. Januar: Rumänien übernimmt die EU-Ratspräsidentschaft.
2018
23. November: Die österreichische Ratspräsidentschaft veröffentlicht einen Fortschrittsbericht zum Stand der Beratungen. In diesem werden abermals Bedenken geäußert, dass die ePrivacy-Verordnung in ihrer jetzigen Form Innovationen ausbremse.
10. Juli: Wenige Tage nach Beginn der österreichischen Ratspräsidentschaft legt diese ein überarbeitete Fassung vor. In dieser wird unter anderem eine komplette Streichung des Artikels 10 vorgeschlagen, damit Browser-Hersteller von der Pflicht zu befreit werden, die technische Umsetzung für die Einwilligung in Cookies bereitzustellen.
10. Juli: Die Bundesregierung nimmt Stellung (siehe Antwort der Staatssekretärin Claudia Dörr-Voß auf Seite 68) zum aktuellen Entwurf der ePrivacy-Verordnung. Dort spricht sie sich für eine eine Übergangsfrist von zwei Jahren nach Inkrafttreten bis zur Anwendbarkeit der ePrivacy-Verordnung aus.
1. Juli: Österreich übernimmt die EU-Ratspräsidentschaft.
12. Juni: Es erscheint eine aktualisierte Fassung mit kleineren Änderungen und möglichen Streitpunkten bei den Artikeln 6, 8 und 10.
18. Mai: Die bulgarische Ratspräsidentschaft veröffentlicht einen neuen Sachstandsbericht. Dort werden unter anderem Artikel 8 und 10 in Frage gestellt.
22. März: Die bulgarische Ratspräsidentschaft veröffentlicht eine aktualisierte Textfassung. Dort wird unter anderem vorgeschlagen, dass Endnutzer bei Erstinstallation einer Software über Privatsphäreeinstellungen unterrichtet werden und eine Einstellung zu wählen haben.
11. Januar: Die bulgarische Ratspräsidentschaft veröffentlicht sie einen Sachstandsbericht mit möglichen Änderungen und Streitpunkten, um „einen besseren Kompromiss zwischen dem Schutz der Privatsphäre und Innovationsanreizen zu schaffen“.
1. Januar: Bulgarien übernimmt die EU-Ratspräsidentschaft.
2017
5. Dezember: Ein aktualisierter Entwurf wird von der estnischen Ratspräsidentschaft vorgelegt.
17. November: Die estnische Ratspräsidentschaft legt einen Fortschrittsbericht zur ePrivacy-Verordnung vor. Im Fazit des Berichts heißt es, dass „bei den meisten Punkten noch viel Arbeit bevorstehe“ und, dass es noch „einige andere Punkte gäbe, mit denen man sich befassen müsse“. Ein Ende ist also lange noch nicht in Sicht.
20. Oktober: Das Europäische Parlament verabschiedet mit 318 zu 280 Stimmen einen überarbeiteten Gesetzesentwurf der ePrivacy-Verordnung. Dort wird neben anderen verbraucherfreundlichen Änderungen das Verbot sogenannter Cookie Walls (auch Tracking Walls) eingeführt.
1. Juli: Estland übernimmt die EU-Ratspräsidentschaft.
9. Juni: Der LIBE (Ausschuss für bürgerliche Freiheiten, Justiz und Inneres) veröffentlicht Änderungsvorschläge zum Entwurf der ePrivacy-Verordnung.
10. Januar: Die EU-Kommission veröffentlicht einen ersten Entwurf für die ePrivacy-Verordnung. In einer Pressemitteilung werden die Beweggründe für den Gesetzesentwurf dargelegt. Geplant ist, dass die Verordnung zusammen mit der DSGVO am 25.05.2018 angewendet werden kann.
2016
04. August: Die Ergebnisse der Konsultation werden vorgestellt.
April – Juli: Es wird eine öffentliche Konsultation zur Überarbeitung der ePrivacy-Richtlinie im Rahmen der Strategie zu einem Digitalen Binnenmarkt (engl. Digital Single Market) durchgeführt.
2009
25. November: Die sogenannte Cookie-Richtlinie ergänzt die bestehende ePrivacy-Richtlinie, um sie an die rasante Entwicklung des Marktes und der Technologie anzupassen. Mit ihr wird ist die Speicherung von Cookies nur noch zulässig, wenn eine Nutzer seine Einwilligung gegeben hat (Opt-In), allerdings nicht ausdrücklich.
2002
12. Juli: Die ePrivacy-Richtlinie („Datenschutzrichtlinie für elektronische Kommunikation“; 002/58/EG) tritt in Kraft.
6. Welche Strafen können verhängt werden?
Die zuständigen Ausichtsbehörden können, genauso wie bei der DSGVO, bei Verstößen gegen die Verordnung Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen, je nachdem welcher der Beträge höher ist.
7. Wer ist für die Durchsetzung der ePrivacy-Verordnung zuständig?
Für die Durchsetzung der ePrivacy-Verordnung sind dieselben Datenschutzbehörden der Mitgliedstaaten zuständig, die jetzt schon für die Durchsetzung der DSGVO zuständig sind.
In Deutschland sind das die jeweiligen Landesdatenschutzbehörden.
8. Was ist der Status Quo?
Bis die ePrivacy-Verordnung anwendbar ist, gilt die ePrivacy-Richtlinie von 2002, welche 2009 unter Erwägungsgrund 25 um die Anforderungen an Cookies ergänzt wurde (seitdem wird sie auch Cookie-Richtlinie genannt).
Die ePrivacy-Richtlinie legt die durch die Gesetzgebung umzusetzenden Mindestanforderungen für den Datenschutz in der elektronischen Kommunikation fest.
Sie ist jedoch, im Gegensatz zur neuen ePrivacy-Verordnung, nicht automatisch in allen Mitgliedsstaaten der EU gültig. Sie muss von jedem einzelnen Mitgliedsstaat in nationales Recht umgesetzt werden. In Deutschland wurde die Richtlinie 2004 in deutsches Recht transformiert, wofür das Telekommunikationsgesetz (TKG) geändert wurde.
Allerdings wurde die Richtlinie zur Änderung der Datenschutzrichtlinie für elektronische Kommunikation (sog. „Cookie-Richtlinie“) vom 25.11.2009 nicht in deutsches Recht umgesetzt.
9. ePrivacy-Verordnung vs. DSGVO
Was sind denn eigentlich genau die Unterschiede zwischen Datenschutzgrund-Verordnung (DSGVO) und der neuen ePrivacy-Verordnung?
Fassen wir noch einmal zusammen:
9.1 Grundverordnung vs. spezielles Gesetz
Wie schon aus dem Namen ersichtlich handelt es sich bei der DSGVO um eine Grundverordnung. Das heißt sie stellt das datenschutzrechtliche Fundament dar und gibt eine allgemeine Richtung im Umgang mit personenbezogenen Daten von EU-Bürgern vor.
Die ePrivacy-Verordnung hingegen ist ein spezielles Gesetz (sog. lex specialis), welches das allgemeine Gesetz in einem bestimmten Bereich verdrängt und Vorrang davor hat. Dieser Bereich ist die elektronische Kommunikation.
9.2 Erweiterter Geltungsbereich
Bei der DSGVO steht der Schutz personenbezogenen Daten, also der Daten von Einzelpersonen, im Mittelpunkt. Die ePrivacy-Verordnung hingegen gilt für alle Nutzer elektronischer Endgeräte.
Das heißt sie umfasst nicht nur die Kommunikation zwischen Unternehmen und Einzelpersonen, sondern auch zwischen Einzelperson und Einzelperson sowie zwischen Unternehmen und Unternehmen.
Bürger und Unternehmen erhalten durch die neuen Verordnung zudem einen konkreten Schutz und bestimmte Rechte, die in der DSGVO nicht enthalten sind. So wird z. B. die Vertraulichkeit und Integrität von Endgeräten (PC, Smartphone, Tablet usw.) gewährleistet. Auf diese Endgeräte darf nur nach vorheriger Einwilligung des Nutzers zugegriffen werden.
9.3 Wirkungspunkt im Informationsfluss
Die DSGVO ist zwar die Basis für die ePrivacy-Verordnung, im Informationsfluss greift die ePrivacy-Verordnung jedoch vorher.
Während die DSGVO Nutzern mehr Rechte und Kontrolle über ihre personenbezogenen Daten gibt, schützt die ePrivacy-Verordnung Nutzerdaten davor überhaupt personenbezogen zu werden.
Oder wie es im Sachstandstandsbericht vom 08. Juni 2018 definiert ist:
Nach Auffassung des Vorsitzes sollte der Schutz von Inhalten während des End-to-End-Austauschs zwischen Endnutzern bis zu dem Moment gewährleistet sein, in dem der Empfänger die Kontrolle über den Inhalt erlangt. Ab diesem Moment kommt der Schutz durch die Datenschutz-Grundverordnung zum Tragen.
