Es gibt Konkretisierungen im neuen Entwurf der ePrivacy-Verordnung. Welche Änderungen kommen auf das digitale Business zu? Was gibt es Neues bei Cookies?
Das Fortschreiten digitaler Kommunikation geht weiter und weiter, genauso wie der Weg zur geplanten ePrivacy-Verordnung. Nach dem Entwurf unter der rumänischen Ratspräsidentschaft, der Ende Februar 2019 veröffentlicht wurde, kann nun auch der finnische Ratsvorsitz einen Vorschlag für die Verordnung vorweisen, die eigentlich schon für den Mai letzten Jahres vorgesehen war. Und der neue Entwurf ist nicht bloß eine weitere Idee, sondern durch zahlreiche Konkretisierungen eine deutliche Weiterentwicklung gegenüber dem vorigen Stand. Diesen wollen wir Ihnen in diesem Artikel vorstellen und auf künftige Änderungen schon einmal hinweisen.
Cookies: Ein altes Thema und noch immer nicht alles geklärt
Die Rechtslage zur Setzung von Cookies ist in Europa bislang sehr uneinheitlich geregelt. Der neue Entwurf sieht hier eine Erweiterung der Rechtsgrundlagen vor, sodass es in Deutschland nun mehr Gründe gibt, bei deren Vorliegen Webseitenbetreiber Cookies verwenden dürfen. Ins Auge fällt die Rechtsgrundlage, dass Cookies gesetzt werden dürfen, wenn dies für die „Sicherheit eines Dienstes der Informationsgesellschaft erforderlich ist“. Wann dies im Einzelfall zutrifft, wird die Praxis noch zeigen – doch weitere Voraussetzungen werden nicht gefordert, sodass viele Unternehmen auf diese Rechtsgrundlage zurückgreifen dürften. Die von vielen als zwingendes Erfordernis geforderte Einwilligung bleibt daher eine Rechtsgrundlage unter vielen.
Gleiches gilt, wenn Cookies für einen Dienst erforderlich sind, den sich der Nutzer „wünscht“. Dies entspricht allerdings weitestgehend der aktuellen Rechtslage in Deutschland, während die Voraussetzungen allerdings genauer beschrieben werden. Auch Cookies, die den Inhalt ausgefüllter Formulare oder von Online-Warenkörben speichern, fallen nach den Erwägungsgründen weiterhin unter diesen Tatbestand und sind somit zulässig. Der größte Vorteil dieser Regelung für hiesige Webseitenbetreiber wäre, dass mit diesem Entwurf die in Deutschland gängige Praxis europaweite Geltung hätte. Eine ähnliche Richtung schlägt der Entwurf bei der Nutzung von Tracking-Cookies ein. Solche Webseiten, die (überwiegend) durch Werbung finanziert werden, können tendenziell als erforderlich erachtet werden. Eigens hervorgehoben werden hier allerdings noch einmal die Informationspflichten, denen daher ein besonderes Augenmerk geschenkt werden sollte. Über die Cookies und ihren Zweck soll der Webseitenbesucher in klarer, präziser und nutzerfreundlicher Sprache informiert werden. Eine Einwilligung ist daher nicht erforderlich, allerdings sollte eine Cookie-Nutzung zu diesen Zwecken vom Webseitenbesucher „akzeptiert“ werden. Was darunter genau zu verstehen ist, wird in Zukunft durch Praxis oder Gerichte noch geklärt werden müssen. Jedenfalls dürften die Anforderungen deutlich geringer als die an eine Einwilligung sein. Diese Einordnung von Tracking-Cookies erkennt das Modell vieler für den Nutzer kostenloser Online-Angebote an, die sich durch auf den von den Cookies erfassten Daten basierende personalisierte Werbung finanzieren. Der Entwurf macht diese Praxis grundsätzlich einfacher.
Cookies nicht erzwingen
Um sich schnell Klarheit zu verschaffen, sind der Webseite vorgeschaltete Fenster praktisch für Unternehmen, um dem Besucher gar keine andere Möglichkeit zu lassen, als sich zum Thema Cookies zu entscheiden. Diese sogenannten Cookie-Walls können auch nach dem neuen Entwurf zulässig sein, doch gibt es weiterhin einiges zu beachten. Zunächst ist zu unterscheiden, ob es für die geplante Datenverarbeitung einer Einwilligung bedarf oder nicht. Benötigt der Webseitenbetreiber die Einwilligung, ist eine Cookie-Wall im Grundsatz zulässig. Er sollte aber ganz besonders darauf achten, dass die Einwilligung auf diese Weise auch freiwillig eingeholt wird. Denn die Freiwilligkeit der Einwilligung hat genauso wie in der DSGVO auch im ePrivacy-Entwurf einen besonders hohen Stellenwert. Die Zulässigkeit des Einsatzes von Cookie-Walls wird also auch in Zukunft sorgfältig zu prüfen sein. Hinzu kommt, dass der Entwurf auch Szenarien kennt, in denen Cookie-Walls wegen Unverhältnismäßigkeit nicht zulässig sein sollen. Beispiele sind Angebote von Behörden, deren Leistungen nicht von anderen Stellen erbracht werden können und der Webseitenbesucher auf die Leistung gerade dieser Behörde angewiesen ist.
Immer das Vorliegen der Rechtsgrundlage prüfen
Dass eine Rechtsgrundlage tatsächlich vorliegt und dass all ihre Voraussetzungen auch erfüllt sind, ist entscheidend für die Zulässigkeit von Datenverarbeitungen. Ganz besonders wichtig ist das bei der Einwilligung, weil ihre Voraussetzungen häufig komplex und auch die Konstellationen nicht immer einfach sind. Denn häufig gibt es neben dem Webseitenbetreiber und dem Besucher noch ein Werbenetzwerk, das die über Cookies erfassten Daten ausliest und weiterverwendet. Diese Konstellation greift auch der Entwurf auf und trägt der Tatsache Rechnung, dass hier sowohl Webseitenbetreiber als auch das Netzwerk von den Cookies profitieren. Er überträgt daher die Verantwortung für die Einwilligung auf beide Parteien. Unternehmen sind daher am besten beraten, Notwendigkeit und Vorliegen von Einwilligungen selbst sicherzustellen.
Der Entwurf äußert sich auch zum Online-Marketing, auch wenn sich im Vergleich zur aktuellen deutschen Rechtslage hier nicht viel ändern wird. Bereits jetzt ist es gängige Praxis, dass aus bestehenden Geschäftsbeziehungen erlangte Kontaktdaten für E-Mail-Werbung genutzt werden dürfen, solange für ähnliche Produkte oder Dienstleistungen geworben wird. Daran soll sich auch in Zukunft nicht viel ändern. Neu ist nur, dass die Daten DSGVO-konform erlangt geworden sein müssen. Das dürfte in den meisten Fällen ohnehin zutreffen, sollte aber zumindest noch einmal überprüft werden. Ansonsten muss aber auch mit dem neuen Entwurf die Rechtslage ganz besonders im Bereich Marketing weiterhin beobachtet werden. Denn an zahlreichen Stellen gibt es Möglichkeiten für die nationalen Gesetzgeber, eigene, strengere Regeln zu erlassen. Beispielsweise können die EU-Mitgliedsstaaten die Dauer, für die die Bestandskundendaten werblich verwendet werden, begrenzen. Zudem können sie bei telefonischen Werbeanrufen verpflichtend einführen, dass Vorwahlen oder Symbole mitgesendet werden müssen, die einen Anruf als Werbeanruf kennzeichnen.
Fazit
Der neue Entwurf zur ePrivacy-Verordnung orientiert sich an der bestehenden Praxis und versucht, die bestehenden rechtlichen und praktischen Gegebenheiten zu einem einheitlichen Rahmen zusammenzuziehen. Bezüglich des Einsatzes von Cookies sind die meisten Bestimmungen begrüßenswert und tragen zu einem höheren Maß an Rechtssicherheit für die Unternehmen bei. Für den besonders umstrittenen Bereich des Trackings versucht der Entwurf, die widerstreitenden Interessen zu einem sinnvollen Ausgleich zu bringen. Für die in Deutschland vergleichsweise lockere Gesetzeslage dürfte es stellenweise strengere Anforderungen geben als bisher, wobei es sich bei den vorgeschlagenen Regelungen auch um keine grundlegenden Änderungen handelt. Eine schnelle und einfache Anpassung dürfte für die meisten Unternehmen daher gut möglich sein. Durch seinen kompromissorientierten Ansatz kann der Entwurf in hohem Maße dazu beitragen, die ePrivacy-Verordnung endlich auf den Weg zu bringen.
