Gerade erst hat der europäische Datenschutz das turbulente, durch die DSGVO geprägte Jahr 2018, hinter sich gebracht, da erscheinen schon weitere Änderungen durch die ePrivacy-Verordnung am Horizont. Im Folgenden soll Aufschluss über den aktuellen Stand der Verordnung und die voraussichtlichen Änderungen bezüglich der Cookie-Nutzung gegeben werden.
Der Inhalt im Überblick
Was ist die ePrivacy-Verordnung?
Die ePrivacy-Verordnung ist eine EU-Verordnung und geht auf eine Initiative der EU-Kommission im Januar 2017 zurück. Die Verordnung befindet sich zu Zeit jedoch noch im Gesetzgebungsverfahren und liegt nur als Entwurf vor. Die ePrivacy-Verordnung wird die ePrivacy-Richtlinie, die in Deutschland größtenteils in dem Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) umgesetzt wurde ablösen. Des Weiteren soll sie die DSGVO für den Bereich der elektronischen Kommunikation ergänzen.
Wann findet die ePrivacy-Verordnung Anwendung?
In welchen Fällen die Verordnung angewendet wird, richtet sich nach dem sachlichen und territorialen Anwendungsbereich, der in Art. 2 und 3 des Entwurfs geregelt wird. Hiernach findet die Verordnung Anwendung bei der Verarbeitung elektronischer Kommunikationsdaten, die bei der Nutzung elektronische Kommunikationsdienste erfolgt und auf Informationen, die sich auf die Endeinrichtung des Endnutzers beziehen. Örtlich richtet sich die Verordnung an Anbieter von elektronischer Kommunikation, die ihre Dienste Endnutzer in der EU anbieten.
Folgende elektronische Kommunikationsvorgänge können betroffen sein:
- Internetzugang
- Instant-Messaging-Dienste
- Webgestützte E-Mail-Dienste
- Internettelefonie
- Personal-Messaging
- Soziale Medien
Zu erwähnen ist auch, dass die Verordnung für die Verarbeitung von personenbezogenen als auch nicht personenbezogener Daten gilt und die Kommunikationsdaten von natürlichen Personen sowie juristischen Personen schützen soll.
Welche Änderungen sind für die Nutzung von Cookies vorgesehen?
Von den Änderungen werden insbesonders der Umgang mit Cookies sowie die werbliche Ansprache, mittels elektronischer Kommunikationsmittel wie E-Mail und Telefon betroffen sein, wobei Art. 16 Abs. 2 des Entwurfs der ePrivacy-Verordnung dem Inhalt des § 7 Abs. 3 UWG entspricht.
Einsatz von Cookies
Der Einsatz von Cookies wird komplizierter. Ungefragt sollen Seitenbetreiber nur noch solche Daten über Cookie erfassen dürfen, die für wesentliche Funktionen der Website notwendig sind. Das bedeutet, dass die derzeit genutzte Opt-Out-Lösung für den Einsatz von Cookies nicht mehr ausreichen wird. Aktuell ist es möglich, dass der Nutzer beim Aufrufen einer Website in der Datenschutzerklärung über die Nutzung der Cookies informiert wird und dem Nutzer die Möglichkeit gegeben wird, der Verwendung von Cookies zu widersprechen.
Der Entwurf der ePrivacy-Verordnung sieht in Art. 8 Abs. 1 vor, dass die Nutzung von Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer untersagt ist. Auch sind nach Art. 8 Abs. 2 des Entwurfs die Erhebung von Informationen, die von Endeinrichtungen des Endnutzers ausgesendet werden, um eine Verbindung mit einem anderen Gerät und/oder mit Netzanlagen herzustellen untersagt. Der Entwurf sieht für Art. 8 Abs. 1 und 2 jedoch Ausnahmetatbestände vor. Diese sind z.B.:
- eine ausschließliche für die Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetzwerk Notwendigkeit
- sie ist für die Bereitstellung eines vom Endnutzers gewünschten Dienst der Informationsgesellschaft notwendig
- der Endnutzer hat seine Einwilligung gegeben
- sie ist für die Messung des Webpublikums nötig, sofern die Messung des vom Endnutzers gewünschten Dienstes der Informationsgesellschaft vom Betreiber durchgeführt wird
Cookies nur noch mit Einwilligung?
Nach Art. 9 des Entwurfs ist die Nutzung von Cookies daher nur noch aufgrund einer Einwilligung nach den Bedingungen der DSGVO rechtmäßig. Der Nutzer soll zukünftig seine Zustimmung zu Cookies durch allgemeine Voreinstellungen im Browser treffen können. Gemäß der neuen ePrivacy-Verordnung dürfen nur noch Cookies, welche keine Auswirkungen auf die Privatsphäre des Nutzers haben, ohne Einwilligung gesetzt werden. Dazu zählen z. B. Cookies, die die Besucheranzahl einer Website analysieren. Das Erfordernis der Einwilligung wird insbesondere die Online-Werbewirtschaft vor große Herausforderungen stellen, da davon auszugehen ist, dass eine nicht geringe Zahl von Verbrauchern ihre Einwilligung zur Nutzung von Cookies auf ihren Endgeräten verweigern werden. Eine mögliche Lösung für Werbetreibende könnte im Contextual Marketing liegen. Als „Contextual Targeting“ werden Auslieferungsverfahren für Online-Ads bezeichnet, welche mithilfe semantischer Verfahren versuchen, in Sekundenbruchteilen die aktuelle Stimmung sowie das Interesse eines Users zu verstehen und ihm gezielt zum jeweiligen betrachteten Kontext passende, relevante Werbung auszuliefern. Da hier nur der Inhalt sowie die Stimmung des vom Users angeschauten Inhalts mit dem des Werbebanners verglichen wird, ist ein Einsatz von Cookies nicht notwendig.
Wie weit ist die Umsetzung?
Noch ist über den endgültigen Inhalt aber noch nicht entschieden. Insbesondere Österreich sperrt sich gegen ein Einwilligungserfordernis bezüglich der Nutzung von Cookies. Es wird davon ausgegangen das frühestens Mitte 2019 eine endgültige Fassung der ePrivacy-Verordnung vorliegen wird und diese erst im Jahr 2022 Anwendbarkeit findet.
Wie die ePrivacy-Verordnung am Ende also aussehen wird, steht bis jetzt noch in den Sternen. Trotz alledem ist den Verwendern von Cookies anzuraten, sich mit dem möglichen Szenario, der grundsätzliche Einwilligung auseinanderzusetzen und eine praktische Lösung zur Umsetzung zu finden.
Kompromissvorschlag des Rats der Europäischen Union vom 04.02.2019
Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications)
Discussion on possible compromise solutions
Brussels, 4 February 2019
Council of the European Union
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_5934_2019_INIT&from=EN
Wie soll man derzeit Cookies noch richtig implementieren? Ich glaube, dass kaum einer dies wirklich korrekt macht. Könnten Sie hierzu etwas Aufklärung betreiben und Tipps geben? Vielen Dank
Aktuelle Informationen zum datenschutzkonformen Einsatz von Cookies finden Sie etwa im FAQ zu Cookies und Tracking des Landesdatenschutzbeauftragten Baden-Württemberg und in der Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Ländern für Anbieter von Telemedien, welche wir unter dem Gesichtspunkt des Trackings auch hier besprochen haben.