Schon lange pfeifen es die Spatzen von den Dächern: Nach der DSGVO ist vor der ePrivacy-Verordnung. Für Websitebetreiber und Internet-Unternehmer ist der Umgang mit Datenschutz schon lange ein großes Thema und mit der ePrivacy-Verordnung werden die Auflagen in Bezug auf Datenschutz noch strenger. Jeder Unternehmer, der im Internet seine Brötchen verdient, ist gut beraten sich auf die neue “Datenschutz-Verordnung” vorzubereiten.
Ursprünglich hätte die ePrivacy-Verordnung gemeinsam mit der am 25.Mai 2018 in Kraft tretenden EU-Datenschutzgrundverordnung an den Start gehen sollen. Doch die Mühlen mahlen langsam innerhalb der Europäischen Union. Fest steht allerdings: Die ePrivacy-Verordnung kommt, der Datenschutz wird noch ernster genommen und der Konsument wird besser geschützt. Dass das allerdings für die digitale Wirtschaft gravierende Folgen haben wird, ist auch klar.
Was ist die ePrivacy-Verordnung?
Die geplante ePrivacy-Verordnung schafft gemeinsam mit der EU-DSGVO eine neue Regelung für digitale Medien und elektronische Kommunikationsdienste. Diese Verordnung über Privatsphäre und elektronische Kommunikation ist ein Gesetz, welches von der EU-Kommission erstellt wird. Das Gesetz ist noch nicht in Kraft, soll aber in den nächsten zwei Jahren in Kraft treten. Die aktuellen Entwürfe der Verordnung stufen alle digitalen Endgeräte im Bereich des Online-Marketings grundsätzlich als „personenbezogen“ ein. Das bedeutet, dass es in Zukunft für Online-Unternehmer immer schwerer wird, Daten auszuwerten und zu analysieren. Die Einführung dieser Verordnung ergänzt bzw. hebt die Datenschutzrichtlinien für elektronische Kommunikation der einzelnen Mitgliedsstaaten der Europäischen Union auf. Ziel der Verordnung ist es, „die Achtung des Privatlebens, die Vertraulichkeit der Kommunikation und den Schutz personenbezogener Daten in der elektronischen Kommunikation” in der EU zu gewährleisten. So steht es auf der ersten Seite der Verordnung. Sie können sich unter https://ec.europa.eu die deutsche Fassung der Verordnung als PDF herunterladen.
Was bedeutet das für Webseiten?
Es ist stark anzunehmen, dass es für Webseiten nach der Verordnung grundlegende Veränderungen speziell im Setzen von Cookies geben wird. Zurzeit ist es noch möglich, dass Webseitenbetreiber Ihre User einfach nur auf die Verwendung von Cookies hinweisen und dem User die Möglichkeit bieten Cookies „auszuschalten“. Diese Variante nennt man Opt-out-Methode. Nach der Verordnung wird es in den meisten Fällen nur noch Opt-in-Methoden geben. Das heißt der User muss aktiv Cookies erlauben bzw. aktivieren. Aber dazu gehen wir im Verlauf des Textes noch näher ein.
Bei AdSimple® sieht der Cookie-Hinweis folgendermaßen aus:
AdSimple®-Cookie-Manager (Opt-out Variante)
Wie wird die ePrivacy-Verordnung aussehen?
Derzeit gibt es zwei Vorschläge, wie die ePrivacy-Verordnung umgesetzt werden könnte. Entweder basiert die Umsetzung auf dem Vorschlag des EU-Rates oder auf dem Vorschlag des europäischen Parlaments. Für Werbetreibende würde der Vorschlag des EU-Rates weniger Steine in den Weg legen. Falls die Ausführung allerdings auf dem Vorschlag des europäischen Parlaments beruht, sieht es für Werber düster aus. Denn diese Version erlaubt keinen Einsatz eines datengetriebenen Werbemodells ohne aktive Zustimmung der User. Das heißt im Klartext, jegliche Analyse Tools wie beispielsweise Google Analytics dürfen ohne Zustimmung der User nicht verwendet werden. Noch ist aber nicht das letzte Wort in diesem Zusammenhang gesprochen. Unternehmer treten im Moment mit den politischen Entscheidungsträgern in Dialog, um gemeinsam die bestmögliche Lösung für Konsumenten und Unternehmer zu erzielen. Insbesondere Österreich sperrt sich gegen ein Einwilligungserfordernis (Opt-in) bezüglich der Nutzung von Cookies. Es wird davon ausgegangen, dass Mitte 2019 eine endgültige Fassung der ePrivacy-Verordnung vorliegt.
Wann kommt die ePrivacy-Verordnung?
Eigentlich sollte sie schon da sein, denn ursprünglich war sie auf den 25. Mai 2018 angesetzt. Für Online-Unternehmer ist wohl jedes Jahr ohne ePrivacy-Verordnung ein gewonnenes Jahr. Die Diskussionen zwischen EU-Rat, Europäischen Parlament und EU-Kommission sind in vollem Gange. Wir können davon ausgehen, dass heuer (Jahr 2019) die ePrivacy-Verordnung abgeschlossen ist und der endgültige Rechtstext feststeht. Nach einer Anpassungsphase wird die Verordnung als EU-Recht durchgesetzt. Bis das Gesetz allerdings auch wirklich in Kraft tritt, werden noch etwa zwei Jahre vergehen. Die Geschäftsführerin des Interactive Advertising Bureau (IAB) Townsend Feehan prognostizierte sogar in einem Interview mit internetworld.at, dass die ePrivacy-Verordnung frühestens 2022 in Kraft treten wird:
„Ich denke, die Endfassung der ePrivacy-Verordnung wird bis Ende des Jahres oder Anfang des nächsten Jahres von der Europäischen Kommission angenommen werden. Danach wird es vermutlich eine zweijährige Verzögerung geben, bevor die ePrivacy-Verordnung in Europa umgesetzt wird.“
Im Moment gelten noch die ePrivacy-Richtlinien aus dem Jahr 2002. Die ePrivacy-Verordnung soll diese ersetzen. Bekannt sind die Richtlinien auch unter den Namen „The Cookie Law“ oder „Cookie Richtlinien“.
Unterschied zwischen Verordnung und Richtlinie
Verordnungen müssen ab dem Inkrafttreten in der ganzen EU automatisch rechtsverbindlich werden. Hingegen müssen Richtlinien nur von den EU-Ländern in nationales Recht umgesetzt werden. Das heißt die einzelnen Länder dürfen selbst entscheiden, wie sie die vorgesetzten Ziele der EU erreichen.
Natürlich wird sich die ePrivacy-Verordnung auch inhaltlich von den Richtlinien unterscheiden. Die Richtlinien wurden 2009 das letzte Mal überarbeitet. Seitdem hat sich aber in der digitalen Welt bekanntlich einiges getan und die ePrivacy-Verordnung will daher auch Mängel der Richtlinien ausmerzen und den Datenschutz verschärfen.
Welchen Einfluss hat die ePrivacy-Verordnung auf Cookies?
Ein Grund, warum sich die Verhandlungen rundum die Verordnung so in die Länge ziehen, ist die Uneinigkeit über die Verwendung von Cookies. Bisher musste ein Websitebetreiber nur auf Cookies hinweisen und man ging von einer „Zustimmungsmündigkeit“ aus. Doch dadurch, dass viele User nicht genau über Cookies Bescheid wissen und keine Antwort auch als Zustimmung gedeutet wird, sollte das in der neuen Verordnung geändert werden. Diese Einwilligungsregel (Opt-out) wird in dieser Art und Weise ganz sicher fallen. Opt-out meint in diesem Fall, dass grundsätzlich Daten eines Users mitgetrackt werden, solange der User dies nicht aktiv unterbindet. Solche Cookie-Banner, die nur über die Verwendung von Cookies informieren oder nur auffordern, die Cookies zu akzeptieren, wird es in Zukunft folglich nicht mehr geben.
Gibt es Cookies nur noch mit Einwilligung?
Da Cookies für rein analytische Zwecke nicht in den Schutz personenbezogener Daten eingreifen, schlägt die Verordnung vor, diese Art von Cookies von der Zustimmungspflicht auszunehmen. Das sind zum Beispiel Cookies, die die Besucherzahl einer Website messen. Allerdings sind hier nur Cookies von Erstanbietern gemeint. Es ist bis dato noch nicht klar, ob Drittanbieter (wie z.B. Google Analytics) von dieser Ausnahme profitieren werden. Der Einsatz von Cookies wird auf jeden Fall komplizierter.
Welche Folgen hat die ePrivacy-Verordnung für Unternehmer?
Wenn Sie Online-Unternehmer sind, dann müssen Sie mit verschärften Regeln im Umgang mit Cookies und Werbetrackern rechnen. Speziell die Opt-in-Regelung für die Datenverarbeitung und Datenspeicherung wird Online-Unternehmer vor große Herausforderungen stellen. Wenn Sie beispielsweise Google Analytics nutzen, werden Sie in Zukunft die aktive Zustimmung Ihrer User brauchen.
Google-Analytics-Daten
Eine Studie des WIK (wissenschaftliches Institut für Infrastruktur und Kommunikationsdienste GmbH) untersuchte 2017 die möglichen Folgen der ePrivacy-Verordnung auf die digitale Werbebranche. Im Zentrum der Studie stand die geplante Opt-in-Lösung für Cookies. Schätzungen zufolge würden bei der Einführung der neuen Verordnung nur 11% der User einem Einsatz von Cookies zustimmen. Das würde das gesamte digitale Werbebudget um ein Drittel schrumpfen lassen. Bis die Verordnung rechtskräftig ist, fallen Cookies unter den Einflussbereich der in Kapitel 1 der DSVGO definierten personenbezogenen Daten.
Fazit
Noch ist das letzte Wort in Bezug auf die ePrivacy-Verordnung nicht gesprochen. Doch für Online-Unternehmer ist es ratsam, sich jetzt schon intensiv mit diesem Thema auseinanderzusetzen. Denn fix ist, dass die Verordnung kommt und dass die Datenschutz-Regelungen strenger werden. Speziell der Medienbereich könnte sich nach der Verordnung dahin entwickeln, dass User entweder über datenbasierte Werbung kostenlos Inhalte konsumieren oder für dieselben Inhalte zahlen müssen. Kritik am aktuellen Vorschlag für die Verordnung kommt mittlerweile nicht nur aus der Medienbranche, sondern auch aus der Automobilbranche oder Immobilienbranche. Die Diskussionen zwischen Wirtschaft und Datenschutz laufen auf Hochtouren und noch nie war das Spannungsverhältnis zwischen dieser beiden Interessensgruppen größer. Man darf also wirklich gespannt sein, welche Auswirkungen die ePrivacy-Verordnung in naher Zukunft für die gesamte digitale Wirtschaft haben wird.
