DSGVO und ePrivacy vor dem Hintergrund der Deutschen EU-Ratspräsidentschaft

Es gibt viel zu tun – Datenschutz im Licht der Deutschen EU-Ratspräsidentschaft

Klare Ansage der Bundeskanzlerin: Bei ihrem Auftritt vor dem Europäischen Parlament in Brüssel Anfang Juli nannte Angela Merkel das Vorantreiben der Digitalisierung in Europa als eines der Hauptthemen der deutschen EU-Ratspräsidentschaft. Dazu gehören vor allem auch der Datenschutz und die sinnvolle Umsetzung der europäischen ePrivacy-Verordnung als Ergänzung zur Datenschutz-Grundverordnung.

Seit Mai 2018 gilt nur noch eine Verordnung als Datenschutzgesetz für alle Mitgliedsstaaten der EU. Nach einer zweijährigen Übergangsfrist ist die Datenschutz-Grundverordnung (DSGVO) nun in allen Mitgliedstaaten der Europäischen Union gültig. Ob Kundenprofilbildung oder Online-Werbung – die DSGVO soll sicherstellen, dass personenbezogene Daten innerhalb der Europäischen Union geschützt sind, gleichzeitig aber den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten. Für Unternehmen hat sich mit den neuen Regeln der Aufwand erhöht, den Datenschutz umzusetzen. So dürfen personenbezogene Daten nur für einen zuvor festgelegten Zweck erhoben und nicht weiterverkauft werden. Generell gilt in der DSGVO (wie auch im alten Bundesdatenschutzgesetz) das Gebot der Datenminimierung, nach dem so wenige Daten wie möglich und nur so viele wie unbedingt für den Zweck nötig erhoben werden dürfen. Personen, die von der Datenerhebung betroffen sind, sollen jederzeit gut informiert sein. Deshalb gelten erweiterte Auskunftspflichten und das Gebot zu verständlichen Erklärungen, beispielsweise für die Datenschutzerklärung und Einwilligungstexte.

Datentransfer als Treiber der digitalen Transformation

Daten zu sammeln ist im Netz überall dort besonders verbreitet, wo digitale Dienstleistungen angeboten werden. Beispielsweise im Onlineshop: Denn wer die Bedürfnisse seiner Kunden genau kennt, kann jedem Interessenten ein individuelles Angebot zur richtigen Zeit machen. Voraussetzung ist natürlich, dass vorher relevante Daten gesammelt, verarbeitet und gespeichert werden. Mit der DSGVO ist dies schwieriger, wenn auch nicht unmöglich geworden. Unternehmen, die weiterhin Daten sammeln wollen, müssen einen höheren finanziellen Aufwand in Kauf nehmen. Zu den Herausforderungen gehörte nicht nur die Datenerhebung und Verarbeitung nur nach vorheriger Einwilligung. Auch die Dokumentationspflicht ist eine anspruchsvolle Aufgabe.

Investitionswettbewerb, der Wettbewerb der Dienste und Open Access sind europaweit Treiber der digitalen Transformation. Derzeit liegt Deutschland in Sachen Digitalisierung im europäischen Vergleich auf Platz 12, weist jedoch noch Defizite bei der Integration der Digitaltechnik sowie bei elektronischen öffentlichen Diensten auf. Auch zahlreiche Unternehmen hinken beim digitalen Austausch von Daten hinterher, so das Ergebnis des Index für die digitale Wirtschaft und Gesellschaft (DESI) der EU-Kommission.

Digitale Souveränität – Leitmotiv der deutschen EU-Ratspräsidentschaft

Die Corona-Pandemie und ihre Folgen haben mehr als deutlich gezeigt: eHealth, eLearning, Homeoffice bis hin zur digitalen Verwaltung sind entscheidend für die wirtschaftliche und gesellschaftliche Zukunft Deutschlands und Europas. Innovative digitale Dienste werden in Zukunft das Rückgrat wirtschaftlicher Entwicklung sein. Doch wie sieht es vor diesem Hintergrund mit zusätzlich verschärften Regeln zum Speichern, Löschen, verarbeiten und Dokumentieren von Daten aus?

Digitale Souveränität ist zu Recht ein Leitmotiv der deutschen Ratspräsidentschaft. Doch um diese Souveränität aktiv zu gestalten, muss auch die ePrivacy-Verordnung geklärt werden, die seit 2017 in der EU thematisiert wird. Die E-Privacy-Verordnung gilt eigentlich als Spezialgesetz der Datenschutz-Grundverordnung (DSGVO) und soll die Datenschutzvorgaben für digitale Kommunikationswege wie etwa Internet-Telefonie, E-Mails, Internetzugänge, Messaging-Dienste und Social Media verschärften. Außerdem soll standardmäßig gegen Tracking im Netz mithilfe von Cookies vorgegangen werden. Aber auch die Übermittlungen von Daten ohne Personenbezug, wie etwa im Internet der Dinge oder bei vernetzten Fahrzeugen, wären von der ePrivacy-Verordnung betroffen.

Opt-In oder Opt-out: Herausforderung ePrivacy-Verordnung:

Ursprünglich sollte die ePrivacy-Verordnung in der Europäischen Union zeitgleich mit der Umsetzung der DSGVO am 25. Mai 2018 verabschiedet werden. Ein erster Entwurf wurde bereits am 10. Januar 2017 vorgelegt. Ein tatsächliches Inkrafttreten ist nun für 2021/22 geplant. Mit einer Anwendung wird nicht vor 2023/24 gerechnet.

In Deutschland galt bislang eine Art Sonderweg in der Cookie-Frage: ein sogenanntes Opt-out-Modell erlaubte das Setzen von Werbecookies: Der Nutzer musste informiert werden und aktiv widersprechen, wenn er nicht wollte, dass seine Daten für Werbezwecke verwendet werden.

Die europäische Gesetzgebung sieht seit 2009 eine Einwilligungsregelung, das sogenannte Opt-in-Modell vor: Der Nutzer muss aktiv einwilligen, daher erscheinen Banner, die eine entsprechende Akzeptanz einfordern. Deutschland muss dies noch umsetzen. Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO), die seit zwei Jahren gilt, sind die Anforderungen an eine Einwilligung gestiegen. Danach muss es eine eindeutige bestätigende Handlung geben. Ende Mai hat der Bundesgerichtshof (BGH) entschieden: Vorangekreuzte Einwilligungen bei Online-Gewinnspielen mit Cookies sind unwirksam (Aktenzeichen I ZR 7/16). Damit bekräftigt Deutschlands höchstes Zivilgericht die strenge Rechtsauffassung des Europäischen Gerichtshofs (EuGH). Verbraucher müssen es nicht hinnehmen, dass ihre Daten ohne vorherige Einwilligung von Unternehmen gespeichert und weiterverarbeitet werden.

 

Cookies ausdrücklich erwünscht

Nach einem Urteil des Europäischen Gerichtshofs (C-673/17) müssen nämlich Website-Besucher, deren Daten durch Cookies beziehungsweise Tracking-Tools erfasst werden, dem Setzen dieser Cookies ausdrücklich zustimmen. Eine bereits voreingestellte Zustimmung, etwa durch eine bereits angeklickte Option, die die User durch Anklicken einer OK-Schaltfläche übernehmen können, genügt diesen Anforderungen nicht.

„Das Urteil hat Auswirkungen auf Adtech-Anbieter, App-Anbieter, Web-Analyse-Unternehmen, auf Webshops, Webseiten und auch auf Publisher. Plattformen, bei denen sich die Nutzer einloggen müssen, sind von der Verschärfung der Cookie-Praxis nicht betroffen. Deren Nutzer können mit ihrer Registrierung bereits eine weitreichende Einwilligung erteilen“, resümiert Handelsblatt-Redakteurin Catrin Bialek in der Handelsblatt-Ausgabe vom 29. Mai 2020.

Doch welche Cookies sind unbedingt erforderlich und sinnvoll? Dazu in diesem Blog demnächst mehr.

Eines ist aber schon jetzt offensichtlich: Es liegt in den Händen der deutschen EU-Ratspräsidentschaft, einen Kompromiss bei der Verabschiedung und Umsetzung der europäischen ePrivacy-Verordnung zu erzielen. Denn vielschichte Diskussionen um die Ausgestaltung der Regelungen, die insbesondere die Verwendung von Cookies beziehungsweise das Nutzertracking auf Websites reglementieren sollen, haben bisher eine Einigung verhindert. Übrigens: Die Corona-Krise bringt Schwung in die digitale Diskussion in der EU:  So will Deutschland seinen Einfluss während der EU-Ratspräsidentschaft nutzen, um die Corona-Tracing-Apps europaweit interoperabel zu gestalten.