Was wird geregelt? 

Wie dargestellt, geht es eigentlich um die private Kommunikation der Bürger. Doch spätestens seit 2009 beinhaltet die Kommunikation konkret auch alle anderen Dienste – vom Surfen über das Shoppen bis hin zum Spielen.

Damit sind Plattformen wie Whatsapp und Facebook genauso betroffen wie redaktionelle Seiten, E-Commerce-Anbieter, die Informationsangebote von Vereinen oder Online-Spiele.

Ab wann gilt die neue Verordnung?

Diese Frage lässt sich noch nicht beantworten. Die ePrivacy-Verordnung ist noch nicht verabschiedet. Der früheste denkbare Zeitpunkt für eine verbindliche Gültigkeit wäre Ende Mai 2019.  

Der Gesetzestext des EU-Parlaments liegt seit Oktober vor. Derzeit arbeiten die Mitgliedsstaaten an ihren Stellungnahmen. Ein Entwurf der Bundesregierung wurde bereits verfasst. Laut Einschätzung des Bundeswirtschaftsministeriums dürfte die Stellungnahme des Rats erst im kommenden Sommer vorliegen.

Erst dann, und wenn auch die EU-Kommission ihre abschließenden Anmerkungen gemacht hat, geht es in die finale Runde. Sollten keine wesentlichen Diskrepanzen bestehen, dürfe die Verordnung schnell verabschiedet werden. Laut Bundesregierung könnte dies frühestens im Herbst 2018 der Fall sein.

Falls wesentliche Streitpunkte auf den Tisch liegen, kommt es im Trilog zwischen Rat, Kommission und Parlament zu Verhandlungen. In diesem Fall ist eine Einigung wohl frühestens im Herbst kommenden Jahres realistisch, der Prozess könnte sich aber auch bis ins Jahr 2019 hineinziehen. Nach Verabschiedung der Verordnung gilt zunächst eine Übergangsphase. Ob diese ein oder zwei Jahre betragen wird, ist offen. Das ursprüngliche Ziel für das Inkrafttreten war der 25. Mai 2018, dem Ende der Übergangsfrist für die Datenschutzgrundverordnung. Dieser Termin ist kaum mehr zu halten.

Was wäre neu?

Cookie-Tracking Im Moment gilt in Deutschland die Opt-out-Lösung und es reicht hierfür eine Pseudonymisierung der Daten. Dazu werden die Nutzer vereinfacht zu (Ziel-)Gruppen zusammengefasst. Ein Rückschluss auf das Verhalten des Einzelnen darf hinterher nicht mehr möglich sein. Das reicht für Werbezwecke völlig aus. Alles andere wäre Direktmarketing und erfordert eine Zustimmung. Um Profildaten jedoch künftig zu erheben, bedarf es zwingend einer ausdrücklichen Zustimmung. Es wird keine Unterscheidung zwischen pseudonymem und personenbezogenem Tracking geben.

Erlaubt sind nur noch Cookies, die für den Betrieb eines Dienstes zwingend erforderlich sind, etwa für die Warenkorbfunktion. Daneben gibt es noch die Möglichkeit, Daten im Dienste der Wissenschaft zu erheben. Fraglich ist, ob Dienstleister wie die AGOF oder die IVW Reichweiten messen dürfen.

Die Reichweitenmessung wäre nur mehr eingeschränkt möglich. Als Kompromiss wurde zwar erlaubt, dass eine rein statistische Auswertung der Reichweiten erlaubt wird, solange dies nicht zu individuellen Profilen führt und die Daten nach sehr kurzer Zeit gelöscht werden. Nur darf diese Reichweitenmessung nicht über verschiedenen Webseiten und Auftraggeber zusammengeführt werden. Die AGFO-Messung, die auch die Basisdaten wie die Soziodemografie für das deutsche Internet liefern, wäre nicht mehr generell zulässig.

Die Zustimmung für eine Datenerhebung muss ausdrücklich erfolgen, nachweisbar sein und sie darf nicht an den Dienst gekoppelt sein. Ein Aussperren der Nutzer, die dem Werbetracking nicht zustimmen, ist nicht erlaubt. Daneben muss jeder einzelnen Datennutzung zugestimmt werden (siehe DSGVO am Ende).

Die Zugangssoftware (Browser, Apps Betriebssysteme) müssen eine Option enthalten, alle Cookies von Dritten auszuschließen. Zudem liegt bei Ihnen die technische Zuständigkeit für die Zustimmung. Bei jeder Zustimmung oder Änderung muss der User dies in den Systemeinstellungen vornehmen. Nutzerfreundlich ist diese Lösung sicher nicht. Zudem müssten die Browser diese detaillierten Zustimmungsmöglichkeiten auch bereitstellen.   

Die Datenerhebung durch Drittfirmen wird weitgehend ausgeschlossen, beziehungsweise ist nur mehr möglich, wenn der Nutzer dieser Form der Datenverarbeitung ausdrücklich zustimmt. Nachdem derzeit bei einem Seitenabruf Werbeflächen programmatisch im Markt angeboten werden, setzen stets mehrere Dienstleister Cookies, um zu prüfen, ob sie den Werbekontakt im Bieterverfahren kaufen wollen. Dies ist künftig laut der ePrivacy-Verordnung faktisch kaum mehr möglich.   

Was läuft aus Sicht der Werbeindustrie schief?

Eigentlich wäre nach Ansicht der Verbände die DSGVO absolut ausreichend. Doch die EU-Parlamentarier wollen – wie in der Vergangenheit über die ePrivacy-Richtlinie - explizit die private Kommunikation schützen. Das macht Birgit Sippel, seit Oktober Vorsitzende im verantwortlichen Parlamentsausschuss und Mitglied der sozialdemokratischen Fraktion in einem Interview mit Eurractiv auch deutlich: Es handele sich eigentlich nur um eine Novelle alter Regeln. Demnach sei die Kommunikation via SMS geregelt aber nicht etwa ein Dienst wie WhatsApp.

Dies ist auch in der Begründung der Richtlinie ersichtlich. Hier ist die Rede von einer Novellierung der Regeln für 'Internetdienste, die eine interpersonelle Kommunikation ermöglichen. Exemplarisch werden VoIP-Telefonie, Instant-Messaging und webgestützte E-Mail-Dienste genannt. Massenkommunikation oder der Abruf von Inhalten wird hier nicht erwähnt. Dies zieht sich auch die die Diskussionen bei Anhörungen. Die Verbände bezeichnen die drohenden Einbußen der Content-Anbieter daher schon als Kollateralschaden der EU-Politik.    

Aber es geht natürlich auch um Werbung. Die Aufregung sei laut Sippel eine Folge der Tatsache, dass viele Praktiken heute bis zu einem gewissen Grad bereits illegal seien und einige Unternehmen daran festhalten wollten. Und hier spricht sie explizit den Umgang mit Cookies an. Sippel ist auch diejenige, die die Verhandlungen mit der Kommission und dem Rat führen wird.

Sie macht auch all jenen, die auf eine Ausnahme für die Datensammlung aufgrund eines berechtigten Interesses hoffen, eine Absage. Der Argumentation von Unternehmen, die glauben, sie könnten ein Interesse begründen, weil es ein Business-Modell sei, Daten zu sammeln, will sie nicht folgen.

Wer würde profitieren?

"Knackpunkt war die Frage, ob und inwieweit Internet-Dienste die Daten der Nutzerinnen und Nutzer ohne deren ausdrückliche Zustimmung weiterverarbeiten dürfen. Dabei geht es um das ausufernde Verfolgen auch über viele Webseiten hinweg durch Anbieter wie Google Analytics oder Facebook mit Like-Buttons oder unsichtbaren Trackern", schreibt etwa Jan Albrecht, Grünen-Abgeordneter im EU-Parlament und einer der Wortführer zum Thema im EU-Parlament, auf seiner Site.

Doch so wie es aussieht, dürfte Facebook kaum Schaden nehmen. Auf  Daten, die über die Like-Buttons auf Websites entstehen, müsste der Konzern zwar weitgehend verzichten. Aber für das Geschäft des Social-Media-Riesen, das auf einen Walled-Garden setzt, wäre  das nur ein kleiner Verlust. Denn für sein geschlossenes System kann Facebook sicher sehr einfach eine Zustimmung einholen.

Google wäre schon eher eingeschränkt. Der Suchmaschinen-Riese ist unbestritten auf ein freizugängliches Web angewiesen. Wenn nichts mehr gesucht wird, bezahlt auch niemand mehr für Suchmaschinenanzeigen. Hierzu dient auch Googles Display-Werbeprogramm. Die Umsätze hingegen wären zu verschmerzen. 2016 betrug der Anteil, der nach den Zahlungen an die Website-Betreiber bei Google verblieb, nur mehr sechs Prozent der gesamten Werbeerlöse. Für den Rest sorgt fast ausschließlich die Suche. Aber dank des eigenen Betriebsystems Android (auf Smarttphones, auf TV-Geräten und im Internet-of-Things) fällt es Google sicher leichter, Nutzern Zustimmungen abzutrotzen, als einfachen Website-Betreibern.

Unternehmen die sich Log-in-Pools anschließen, haben zumindest eine Chance, den Schaden zu begrenzen. Aber es ist fraglich, ob die jeweiligen Reichweiten und Abrufzahlen ausreichen, um die datengetriebene Werbewelt von heute aufrecht zu erhalten. Derzeit sind für Deutschland vor allem Verimi und die Allianz von United Internet und den TV-Konzernen RTL und ProSiebenSat.1 zu nennen.

Welche Rolle spielt die Datenschutzgrundverordnung?

Die Datenschutzgrundverordnung regelt den generellen Umgang mit Daten. Die neue Verordnung trat am 25. Mai 2016 in Kraft. Sie gilt in den EU-Mitgliedsstaaten nach einer Übergangsfrist von zwei Jahren, sprich am 25. Mai 2018, verbindlich. Die ePrivacy-Verordnung soll dieses Regelwerk mit Blick auf die elektronische Kommunikation ergänzen. Geht es nach der Werbeindustrie und den Verbänden, wäre die DSGVO absolut ausreichend, zumal sie aus Sicht der Nutzer ohnehin schon den Schutz der Daten erhöht.

Was sind die wesentlichen Neuerungen der DSGVO?

Generell ändert sich die die Rechtslage durch die neue Verordnung kaum. Es gibt allerdings einige Neuerungen, die sich durchaus auswirken werden.   

Die Einwilligung in eine Datenverarbeitung ist formal etwas aufwändiger als bisher. Eine Einwilligung erfordert eine freiwillige, eindeutige Handlung. Das kann das Anklicken eines Kästchens auf einer Webseite sein. Keine Einwilligung liegt bei Stillschweigen vor, also wenn standardmäßig ein Kästchen bereits angekreuzt ist. Zudem fordert die DSGVO, dass verschiedene Datenverarbeitungsvorgänge jeweils eine gesonderte Einwilligung erfolgen muss. Ein Kreuz für alles ist also nicht mehr zulässig.

Verbände haben nach der künftigen DSGVO das Recht zu klagen. Bisher konnten beispielsweise Verbraucherschützer gegen Unternehmen nur vorgehen, wenn diese in den Allgemeinen Geschäftsbedingungen (AGB) gegen Datenschutzvorschriften verstießen. Diese Befugnis wird auf andere Vorschriften erweitert, etwa wenn Daten für Werbung, Markt- und Meinungsforschung, für die Profilbildung den Adresshandel oder, wie es heißt, "vergleichbare kommerzielle Zwecke" genutzt werden.

Es gilt ein verschärftes Kopplungsverbot. Dienste nur unter der Bedingung anzubieten, dass Daten verarbeitet werden, ist nicht zulässig, wenn diese Daten nicht unmittelbar für den Dienst notwendig sind. Ein Werbetracking gehört hier nicht dazu. In der Praxis müssen also Dienstleistung einmal mit und einmal ohne Einwilligung angeboten werden.

Die möglichen Geldbußen für Verstöße wurden drastisch erhöht. Sie können sich auf bis zu vier Prozent des weltweiten Umsatzes pro Verstoß belaufen. Im alten Bundesdatenschutzgesetz lag die Höchstgrenze bei 300.000 Euro. Dies würde auch bei Verstößen gegen die ePrivacy-Verordnung gelten. 


Autor: Leif Pellikan

ist Redakteur beim Kontakter und bei W&V. Er hat sich den Ruf des Lötkolbens erworben - wenn es technisch oder neudeutsch programmatisch wird, kennt er die Antworten. Wenn nicht, fragt er in Interviews bei Leuten wie Larry Page, Sergey Brin oder Yannick Bolloré nach. 


Alle Dossiers