17.07.2017 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Nicht nur die neue Datenschutzgrundverordnung mit den vielen zu erledigenden Prüfungen und Dokumentationspflichten beschäftigt momentan die Unternehmen, die künftigen Horror-Bußgeldern entgehen wollen. 20 Mio. Euro oder 4 % des letzten weltweiten Jahresumsatzes als Maximum wird auch von der neuen E-Privacy Verordnung (ePVO) angedroht. Die regelt völlig neu den Umgang mit Tracking und Cookies und die Grundlangen für die Direktwerbung.
So langsam wachen die Unternehmen in Deutschland auf. Am 25.05.2018 ist Stichtag. Dann gilt das neue Datenschutzrecht der europäischen Datenschutzgrundverordnung, DS-GVO. Die bringt eine Änderung der Beweislage. Dann müssen Unternehmen bei einer Anfrage, einer Beschwerde oder einem Datenklau nachweisen, dass die Datenverarbeitung korrekt erfolgte. Das erfordert aber eine umfangreiche Dokumentation der Verarbeitungsverfahren und deren Bewertung. Es ist zu analysieren, welche Dokumentation besteht und was noch alles fehlt. Einwilligungen müssen auf die neuen Anforderungen hin überprüft werden. Das, was fehlt, muss erstellt werden. Auch Auftragsdatenverarbeitungsverträge mit den Dienstleistern müssen neu gefasst werden. Die IT-Sicherheit muss auf den Prüfstand. Da steht auch kleinen Unternehmen viel Arbeit bevor.
Die DS-GVO enthält allgemeine Datenschutzgrundsätze und Vorgaben. Die sich immer mehr ausbreitende Digitalisierung und der eCommerce kommen nur am Rande vor. Dieser Missstand soll durch eine neue ePrivacy-Verordnung behoben werden. Wie die große Schwester, die DS-GVO, soll auch die ePVO ab dem 25.05.2018 direkt in allen Mitgliedsstaaten gelten. Aber sie liegt bislang nur im Entwurf vor.
Die Verordnung soll für Anbieter von elektronischen Kommunikationsdiensten und für gegenständliche Kommunikationsdienste (Telefonate, Internetzugang, Instant-Messaging-Dienste, E-Mails, Internet-Telefonie oder Personal-Messaging) Regelungen bereithalten und die bislang bekannten rauben eCommerce-Unternehmen den Atem.
Zentrales Beispiel ist das Tracking. Bislang dürfen Unternehmen die Besucher ihrer Webseiten erfassen und in pseudonymer Form dabei sich ergebende Daten speichern und auswerten. Voraussetzung ist ein Hinweis und für die Datenerhebung notwendige Speicherungen auf Endgeräten der Nutzer in Form von Cookies lassen sich per Opt-Out-Verfahren rechtfertigen. Nur die bekannten Banner auf den Webseiten, die auf den Cookie-Einsatz hinweisen, sind erforderlich. Daran haben sich viele Nutzer schon gewöhnt. Mit der ePVO entfällt aber die Cookie-Richtlinie und auch die §§ 11 ff. des deutschen Telemediengesetzes (TMG) gelten dann nicht mehr.
Im Entwurf der ePVO ist neu vorgesehen, dass es kein Tracking mehr ohne Einwilligung des Nutzers geben soll. Pseudonyme Profilbildungen fallen nach dem Entwurfsstand weg; entweder erfolgt die Datennutzung völlig anonym oder sie ist nur mit Einwilligung möglich.
Auch das Cookie-Opt-out entfällt in der bislang bekannten Form. Man will der Häufung von Einwilligungsverlangen entgegenwirken. Dafür sollen Browsereinstellungen zum Tracking („Do not track“) oder zur Cookie-Akzeptanz ausreichende Legitimation gewähren. Zitat: „Deshalb sollte diese Verordnung die Möglichkeit vorsehen, dass die Einwilligung durch die entsprechenden Einstellungen in einem Browser oder einer anderen Anwendung erteilt.“ Zudem werden für die Konfiguration oder Leistungserbringung notwendige Cookies ohne Einwilligung erlaubt.
(Noch) nicht realisiert ist der in der DS-GVO enthaltene Grundsatz von „Privacy by Design“. So fordern Verbraucherverbände und Datenschützer Nachbesserungen der ePVO. Dort soll vorgegeben werden, dass die Voreinstellungen in der Software, etwa bei den Internetbrowsern z. B. ein Tracking oder das Setzen von Cookies, erst einmal in der Standardeinstellung versagen.
Auch die Direktwerbung durch elektronische Medien wird neu geregelt. Die bekannte Ausnahme in § 7 Abs. 3 UWG für die Nutzung von E-Mail-Adressen von Käufern für die Bewerbung „ähnlicher Waren“ wird weitgehend inhaltsgleich mit zusätzlichen Anforderungen geregelt. Bei der Direktwerbung macht die Verordnung übrigens keine Unterschiede zwischen B2B oder B2C, wenn die Regelungen für „Unerbetene Kommunikation“ in Art. 16 behandelt werden.
Auch die Telefonwerbung unterfällt den neuen Regelungen. Unternehmer, die Direktwerbeanrufe tätigen, müssen eine Rufnummer angeben, unter der sie erreichbar sind. Der Angerufene soll zudem schon gleich vor Annahme des Anrufs erkennen können, dass dort ein Werbeanruf droht. Die Verordnung verlangt beim Anruf die Signalisierung eines besonderen Codes oder Nutzung einer besonderen Vorwahl. Anschlussinhaber werden dann solche Anrufe generell sperren können.
Erleichterung scheint es dort zu geben, wo den Mitgliedsstaaten erlaubt wird Direktwerbeanrufe-Konzepte vorzusehen, wonach die Tätigung „nur bei Endnutzern erlaubt ist, die natürliche Personen sind und dem Erhalt solcher Kommunikation nicht widersprochen haben.“ Das wäre ein Opt-out-System, mit dem sich die Werbewirtschaft anfreunden könnte. Ob allerdings gerade in Deutschland von der Möglichkeit Gebrauch gemacht wird, steht in den Sternen.
Neben Abmahnbefugnissen drohen auch Bußgelder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs oder bis 20 Mio. Euro für bestimmte Verstöße. Das macht die Unternehmen wach wie bei der DS-GVO.
Die Werbewirtschaft läuft Sturm und sieht das mehrheitlich werbefinanzierte Angebot im Internet gefährdet, das ja auf Datenaustausch angewiesen ist. Das einwilligungsbasierte Marketing zielt natürlich auf Marktteilnehmer mit Kundenkontakt. Solche ohne diesen Direktkontakt werden benachteiligt. Das sieht man als Markteingriff an.
Es werden vehement Änderungen gefordert. Aber auch dem EU-Parlament bzw. den befassten Ausschüssen (führend der Innenausschuss LIEBE) gehen die Regelungen nicht weit genug. Marju Lauristin, promovierte Literurwissenschaftlerin, die als Berichterstatterin und Verhandlungsführerin für das Parlament fungiert, hat gerade erst am 21.06.2017 dem EU-Parlament einen knackigen Vorschlag präsentiert, der eine Reihe von Nachbesserungen fordert. Neben Ende-zu-Ende-Verschlüsselung von Kommunikationsinhalten und der Forderung nach Erstreckung auf weitere Sachverhalte steht vor allem „Privacy by Design“ auf der Speisekarte.
Andererseits ist zu hören, dass einige Mitgliedsstaaten eine Stärkung des Datenschutzes verhindern wollen. Ob dies dann nur der Abwehr von Weiterungen dient oder es auch an bisher vorgesehene Regelungen geht, muss sich zeigen.
Vor dem Hintergrund der zu erwartenden weiteren Diskussionen und Auseinandersetzungen erscheint das zeitliche Ziel, die ePVO mit der DS-GVO zusammen in Kraft treten zu lassen, mehr als ehrgeizig. Die Trilog-Verhandlungen sind für November-Dezember in diesem Jahr geplant. Oft werden dann Verordnungsinhalte in Nacht-und-Nebel-Aktionen neu gefasst oder entfallen gegen andere Verhandlungsziele. Das dürfte schwierig werden.
Eigentlich müssen sich Unternehmen schon längst mit den Änderungen beschäftigen. Aus ihnen folgen umfangreiche Umstellungen, neue Leistungsinhalte und Absprachen mit den Dienstleistern und manchmal sogar neue Geschäftsmodelle. Andererseits existiert bislang nur ein umstrittener Entwurf und der kann noch inhaltliche Änderungen in alle Richtungen erfahren, auch wenn die kommende neue Struktur schon deutlich durchschimmert. Aber diese Unsicherheit ist natürlich Gift und mit Aktionismus ist wenig geholfen. Eine Prüfung, welche Auswirkungen die bisherigen neuen Regelungen denn hätten, ist aber dringend anzuraten.
X
