Ab dem 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung verbindlich in Kraft. In diesem Zuge hat die EU-Kommission Anfang 2017 die ergänzende E-Privacy-Verordnung eingeleitet. Diese Verordnung soll die Grundlegende EU-Datenschutz-Grundverordnung, in Hinblick auf die elektronische Kommunikation, ergänzen und so die persönlichen Daten der Nutzer zusätzlich schützen. Dies betrifft neben der privaten Kommunikation der Nutzer, alle Dienste wie das Surfen, Online-Spiele, Plattformen wie Facebook und WhatsApp, als auch E-Commerce und redaktionelle Seiten.
Im Allgemeinen sind alle Unternehmen, die eine Website mit Cookies betreiben und Marketingmaßnahmen wie Retargeting nutzen, betroffen. Auch bei Unternehmen die nicht als werbungstreibend gelten, müssen die rechtlichen Hinweise angepasst werden. Eine technische Anpassung am Tracking und der Website-Analyse kann ebenso erforderlich werden.
Die E-Privacy-Verordnung befindet sich derzeit noch in der Abstimmung und ist dementsprechend noch nicht final von der Europäischen Union verabschiedet. Es besteht die Möglichkeit, dass sich an den Inhalten des derzeitigen Entwurfs noch Änderungen ergeben. Die Verabschiedung der Verordnung sehen Experten für Ende 2018 vor. Mit der verpflichtenden ein- bis zweijährigen Übergangsfrist tritt die Verordnung aller voraussichtlich nach erst im Jahre 2020 in Kraft.
Voraussichtliche Änderungen durch die E-Privacy-Verordnung
- Das Cookie-Tracking konnte bisher mit einer Opt-out-Lösung und einer Daten-Pseudonymisierung gehandhabt werden. Hierbei werden die Nutzer zu Zielgruppen zusammengefasst, so dass das Verhalten der einzelnen Nutzer nicht getrackt werden kann. Zukünftig muss für die Erhebung von Profildaten eine eindeutige Zustimmung erfolgen. Somit entfällt die Unterscheidung zwischen einem personenbezogenem und einem pseudonymen Tracking.
- Die Verwendung von Cookies ist nur noch erlaubt, wenn sie eindeutig für die Handhabung des Dienstes notwendig ist (z.B. Warenkorbfunktion).
- Eine Datenerhebung erfordert nach der neuen E-Privacy-Verordnung einer nachweislichen, ausdrücklichen Zustimmung. Zudem besteht ein Kopplungsverbot an die Dienste, wonach einem Nutzer der das Webtracking ablehnt, der Dienst nicht verwehrt werden darf. Die Zustimmung zur Datennutzung muss einzeln erfolgen.
- Eine Datenerhebung von Drittanbietern ist von nun an nur noch möglich, wenn der Nutzer dieser Art der Datenverarbeitung eindeutig zustimmt.
- Die Reichweitenmessung wird zukünftig nur noch eingeschränkt möglich sein. Es sind nunmehr nur noch statistische Auswertungen erlaubt, die keinen Zusammenhang zu individuellen Profilen zulassen und die Daten zeitnah löscht. Eine Zusammenführung verschiedener Reichweitenmessungen von Webseiten und Unternehmen darf nicht erfolgen.
- In Zukunft muss über die Zugangssoftware wie beispielsweise Betriebssysteme, Browser und Apps, die Möglichkeit bestehen, die Verwendung von Cookies von Dritten auszuschließen. Die technische Zustimmung oder Änderung liegt somit in der Zugangssoftware und muss von den Nutzern in Ihren Systemeinstellungen erfolgen oder angepasst werden.
Die E-Privacy-Verordnung wird von Verbänden und der Werbeindustrie scharf kritisiert, da diese den Datenschutz durch die DSVGO als absolut ausreichend empfinden. Dennoch besteht die EU-Kommission darauf, einen übergreifenden Schutz der persönlichen Daten der Nutzer, mittels der E-Privacy-Verordnung zu gewährleisten.
Die E-Privacy-Verordnung bezieht sich auf die EU-Datenschutz-Grundverordnung. Bei nicht-Einhaltung der Verordnung droht den Unternehmen, wie bei der DSVGO, ein Bußgeld von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes.