Die ePrivacy-Verordnung soll insbesondere die Privatsphäre innerhalb des elektronischen Datenverkehrs schützen und dient damit dem Datenschutz in Fällen elektronischer Kommunikation. Allerdings wird der ursprünglich geplante Zeitpunkt des Inkrafttretens der ePrivacy-Verordnung nicht erreicht werden, sondern vermutlich erst im Jahr 2019 liegen.
Die ePrivacy-Verordnung diente ursprünglich auch dem Ziel einen Ausgleich zwischen dem Schutz der Privatsphäre und Unternehmensinteressen zu schaffen. Fragt man Vertreter der Werbebranche, so wird schnell deutlich, dass die Interessen von Online-Werbenden aus ihrer Sicht in der ePrivacy-Verordnung kaum bis gar nicht verwirklicht wurden, insbesondere wegen einer nicht zufriedenstellenden Regelung zur Cookie-Nutzung.
Wie ist die Cookie-Nutzung bisher geregelt?
Bisher gilt in Deutschland für die Verwendung von Cookies die sog. Opt-Out-Lösung, das heißt Unternehmen, die auf ihren Websites Cookies verwenden wollen, müssen Nutzer über die Verwendung von Cookies informieren und diesen die Möglichkeit geben, der Nutzung von Cookies zu widersprechen (§ 15 Abs. 3 S. 1, 2 TMG). Dies geschieht bisher in der Regel durch sog. „Cookie-Banner“, die beim Aufrufen entsprechender Websites eingeblendet werden. Die unabhängigen Datenschutzbehörden von Bund und Ländern verlangen jedoch seit Anwendung der Datenschutzgrundverordnung am 25.05.2018 für bestimmte sog. „Tracking-Mechanismen“ eine echte (informierte) Einwilligung. Die Praxis des Opt-Out ist damit in Zukunft nicht in allen Fällen risikofrei umsetzbar.
Erforderlich ist allerdings auch in diesem Fall, dass die Daten pseudonymisiert erhoben werden. Das heißt vor allem, dass die erhobenen Daten nicht dazu führen dürfen, dass die Identität des Nutzers bekannt wird. Insbesondere dürfen die Daten nicht mit anderen Daten über den Nutzer zusammengeführt werden, da hierdurch das Risiko der Identifizierbarkeit steigt. Vielmehr werden die Nutzer zu Nutzergruppen (etwa „30-jährige Hobby-Läufer“) zusammengefasst, um Werbung interessengerecht gestalten zu können. Unternehmen, die Werbezwecke verfolgen, bezeichnen diese Regelung überwiegend als ausreichend.
Was bedeutet die ePrivacy-Verordnung für die Cookie-Nutzung?
Nach den bisherigen Entwürfen zur ePrivacy-Verordnung dürfen Cookies auch bei Pseudonymisierung der Daten nur noch mit Einwilligung erhoben werden. Im neuesten Entwurf der ePrivacy-Verordnung vom Rat der Europäischen Union vom 13.04.2018 ist ein Verbot mit Erlaubnisvorbehalt für das Direktmarketing enthalten. Im Falle der Nutzung von Cookies für Zwecke des Direktmarketings ist eine Einwilligung der Nutzer einzuholen. Es besteht damit keine Unterscheidung mehr zwischen pseudonymisierter und personenbezogener Datenerhebung in Form des Trackings. Die ePrivacy-Verordnung geht nach ihren aktuellen Entwürfen jedoch noch einen Schritt weiter. Mit ihr wird ein verschärftes Koppelungsverbot eingeführt, wonach die Nutzung der Website nicht mehr von der Einwilligung zur Datenerhebung (z.B. durch Cookies) abhängig gemacht werden kann. Nur, wenn die Datenerhebung zur Website-Nutzung unbedingt erforderlich ist, was beispielsweise bei der Warenkorbfunktion beim Online-Shopping erfüllt sein dürfte, ist eine solche Koppelung zulässig. Darüber hinaus ist die Datenerhebung bei Websitenutzung nur noch zu wissenschaftlichen Zwecken zulässig.
Unter keine der beiden Ausnahmen fällt die Datenerhebung zu Werbezwecken. Konsequenz dieses Koppelungsverbotes ist, dass die Dienstleistung der Website (z.B. das Nachrichtenportal) einmal mit Einwilligung (und ohne Datenerhebung) und einmal ohne Einwilligung angeboten werden müssen, damit es auch ohne Einwilligung eine Möglichkeit zur Nutzung der Website gibt und das Koppelungsverbot nicht verletzt ist.
Das bisherige Geschäftsmodell kostenfreier Web-Dienste, wie Nachrichtenportale, bestand häufig darin, den Betrieb der Websites durch Werbung zu finanzieren. Diesem Geschäftsmodell könnte durch die ePrivacy-Verordnung jedoch die Grundlage entzogen werden. Denn eines der beiden Webangebote muss im Wesentlichen ohne die Messung von Zugriffsdaten auskommen. Unter Umständen darf nicht einmal die Zahl der Website-Besuche gezählt werden. Ob auch die Reichweitenmessung vollständig verboten sein soll, befindet sich aktuell in der Diskussion. Der aktuelle Entwurf vom 13.04.2018 des Rates der Europäischen Union scheint die Reichweitenmessung zuzulassen, solange aus dieser keine Rückschlüsse auf die Identität der Nutzer gezogen werden können. An der Platzierung von Werbung auf einem solchen Web-Angebot haben Werbetreibende jedoch kein Interesse, da Online-Werbung gerade von der Messung zur Ermittlung verbesserter Angebote lebt. Sein Angebot lässt sich für den Website-Betreiber dann zwar unter Umständen dadurch finanzieren, dass er hierfür ein kostenpflichtiges Abo einführt, für Werbetreibende besteht dann jedoch keine Möglichkeit mehr, die entgangenen Einnahmen auszugleichen. Lediglich das einwilligungsbasierte Web-Angebot darf derart ausgestaltet sein, dass Zugriffsdaten weiterhin digital gemessen werden. Es soll Nutzern damit freistehen, welches Web-Angebot sie nutzen, ob sie also mit Geld oder mit Ihren Daten bezahlen wollen.
Zudem befürchten Anbieter der Medien- und Digitalwirtschaft, dass US-Big-Player wie Amazon oder Facebook durch technische Ausgestaltung des Logins die „Notwendigkeit der Datenerhebung zur Website-Nutzung“ konstruieren und damit das Koppelungsverbot umgehen könnten. Den übrigen, kleineren, Anbietern würde dadurch ein erheblicher Wettbewerbsnachteil entstehen, Werbende hätten darüber hinaus weniger Auswahl, wo Werbung am besten platziert werden soll.
Die unabhängigen Datenschutzbehörden des Bundes und der Länder erklärten am 26. April 2018, dass gemäß der DSGVO auch für den Einsatz von „Tracking-Mechanismen“, wie z.B. Cookies, eine vorherige informierte Einwilligung erforderlich sei (https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf). Die Anforderungen an eine Einwilligung nach der ePrivacy-Richtlinie (deren Überarbeitung in der ePrivacy Verordnung münden soll,) müssten den Anforderungen an eine Einwilligung nach der DSGVO entsprechen. Daher sei die Einwilligung auch im Falle der Cookie-Nutzung insgesamt im Einklang mit dem europäischen Datenschutzrecht und der Datenschutzpraxis vieler Mitgliedstaaten. Dagegen sieht die Interessenvertretung der Betriebsdatenschutzbeauftragten die Cookie-Nutzung für Zwecke der Direktwerbung als „berechtigtes Interesse“ nach der DSGVO an und sieht die Cookie-Nutzung dann als zulässig an, wenn das Interesse an Direktwerbung das Interesse der Nutzer am Schutz ihrer Privatsphäre überwiegt. Bei Pseudonymisierung der Daten und transparenter Darstellung der Interessenabwägung sei ein solches Überwiegen der Unternehmensinteressen anzunehmen. Eine Einwilligung für die Nutzung von Cookies wäre dann nicht erforderlich. Es bleibt abzuwarten, wie andere Aufsichtsbehörden in Europa und die Gerichte die Cookie-Nutzung im Einzelnen nach der DSGVO bewerten werden.
Fazit: Was sollten Werbetreibende jetzt beachten?
Werbetreibende sollten zunächst unbedingt beachten, dass sich die ePrivacy-Verordnung bisher nur im Entwurfsstadium befindet und noch eingehender Beratung unterzogen wird. Allerdings geben die bisherigen Entwürfe einen deutlichen Einblick in die, in Zukunft schwieriger werdende Platzierung von Online-Werbung. Werbende sind daher einerseits aufgefordert, sich etwa durch Verbände am öffentlichen Diskurs zur ePrivacy-Verordnung zu beteiligen und zudem gleichzeitig ihre Geschäftsmodelle an den erkennbaren Leitlinien der ePrivacy-Verordnung auszurichten.