Neue Privacy Verordnung – das sollten Websitenbetreiber wissen

Diese Woche hat Affilinet einige Partner zu einem Privacy-Workshop eingeladen, in dem die rechtlichen Rahmenbedingungen bzgl. Cookies sowie neue Bestrebungen zu dem Thema auf EU-Ebene vorgestellt wurden. Eine Umfrage zum aktuellen Informationsstand unter den Teilnehmern am Anfang des Workshops hat gezeigt, dass das Wissen und auch das Interese zu dem Thema offensichtlich bei allen sehr überschaubar ist 😉 Aber bereits nach dem ersten Vortrag eines Lobbyisten ist allen Beteiligten sehr schnell klar geworden, dass sich jeder Websitenbetreiber recht zeitnah mit dem Thema Datenschutzbestimmungen intensiver auseinandersetzen sollte, da das, was aktuell in Brüssel geplant wird, auf Websitenbetreiber und Business-Modelle in Deutschland definitiv einen großen Impact haben wird.

Bis dato: „EU Cookierichtlinie“ von 2009

Auf EU Ebene wurde 2009 die E-Privacy-Richtlinie (auch als Cookie-Richtlinie bekannt) beschlossen, die von der Informationspflicht und der Einholung der Einwilligung des Nutzers beim Setzen eines Cookies ausgeht. Artikel 5 Abs.3 der RiLi2009/136/2009 besagt:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

In Deutschland wird dies bisher im Telemediengesetz (TMG) in § 15 Abs. 3 geregelt:

„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.“

Bislang ist die Opt-Out Anforderung aus dem TMG, die lediglich die jederzeitige Widerspruchsmöglichkeit des Nutzer bzgl. der Trackingmaßnahme vorsieht, deutlich „softer“ als die Anforderung der expliziten Einholung der Einwilligung eines jeden Nutzers (Opt-In). Die schwammige Formulierung in der EU-Privacy Richtlinie lässt einen Interpretationsspiel hinsichtlich der Anforderungen zur Einholung der Einwilligung offen. Ob nun die Möglichkeit eines Opt-Out genügt oder die strengeren Anforderungen an ein Opt-In erfüllt werden müssen, hängt letztlich von der jeweiligen nationalen Umsetzung ab. Bis dato wurde diese “Umsetzung” in Deutschland nicht in nationales Recht vorgenommen.

Die neue EU Verordnung 2013/2014

Die Umsetzung der Cookierichtlinie von 2009 in einzelnen Ländern scheint den Datenschützern in Brüssel nun nicht mehr zu genügen, so dass nun an einer neuen Datenschutz-Verordnung (nicht mehr Richtlinie!) auf EU-Ebene gearbeitet wird, die dann automatisch für alle Länder bindend ist – aktuell werden hierzu verschiedene Entwürfe diskutiert und die Lobbyisten/Verbände haben die Möglichkeit, entsprechend Eingaben zu machen bzw. Korrekturvorschläge abzugeben.

Einige wesentliche Trends der aktuellen Entwürfe zur Verordnung zeichnen sich bereits ab:

1. Deutliche Stärkung der Verbraucherrechte
2 Ausweitung des Personenbezugs – das heisst, es geht nicht mehr nur um Cookies, sondern jegliche Form des Trackings (z.B. auch Fingerprinting)
3. Stärkung der Einwilligung (Opt-Out als strikte Ausnahme)
4. Sonderregelungen für Profiling
5. Umsatzbezogene Bußgelder sowie Verbandsklagerechte

Einen Vorgeschmack gibt es schon in Holland und England

Wie gesagt ist die neue Privacy-Verordnung noch „work in Progress“, aber insbesondere bei zu Werbezwecken gesetzten Cookies muss wohl in Zukunft (d.h. ab Inkrafttreten dieser Verordung bzw, nach einer Übergangsfrist wohl ab Sommer 2016) sehr prominent die Zustimmung des Endnutzers explizit eingeholt werden. In Holland wurde bereits die EU-Privacy-Richtline 2009 in nationales Gesetz umgesetzt – wie eine Implementierung nach dem Wunsch der EU-Komission aussehen kann, sieht man sehr gut bei der Website rtl.nl. Der User sieht hier gar keinen Content mehr, wenn er nicht in das Setzen von Cookies explizit einwilligt.

Etablierung kommerzieller Compliance-Dienstleister

In England (auch hier ist die Richtlinie von 2009 bereits in nationales Gesetzt umgesetzt) ist die Einbindung nicht ganz so heftig, aber sicherlich auch nicht unbedingt userfreundlich, wie eine mögliche Einbindung des Anbieters truste.co.uk via eines fixen „Bumpers“ zeigt. Auf Europaebene gibt es schon einige Anbieter wie eben truste, evidon oder cookieq, die kommerzielle Lösungen anbieten, mit denen Websitenbetreiber die Compliance-Regeln (d.h. zum Beispiel die Dokumentation, wann wofür das Opt-In gegeben wurde) gewährleisten.

Die Gute Nachricht ist, dass erste Auswertungen bei Einbindung des festen Bumpers zeigen, dass anscheinend nur wenige User die Cookie-Präferenzen überhaupt ändern – nur 1% der user klicken darauf, davon klicken nur 8% auf „mehr erfahren“.

Next steps:

Wie gesagt werden auf EU-Ebene nun wohl die neuen Regelungen beschlossen und in eine Verordnung gefasst, die voraussichtlich ab 2016 dann in Kraft treten wird.

Einige Netzwerke bereiten sich bereits jetzt vor, in dem in einer Art „Selbsverpflichtung“ in Kürze spezielle Compliance-Module mit der Opt-In-Möglichkeit zur Verfügung stellen werden, die die Websitenbetreiber dann einbinden können. Die Hoffnung ist, dass die Verordnung nicht so heftig sein wird, wenn die EU-Kommissare in Brüssel bereits jetzt sehen, dass die Websitenbetreiber sich proaktiv mit dem Thema auseinandersetzen und die Verbraucherrechte in Bezug auf Tracking ernst nehmen.

Ich hoffe, ich habe gerade die rechtlichen Regelungen korrekt wiedergegeben – für mich war hier vieles Neuland, so dass ich gar nicht schnell genug mitschreiben konnte. Aber nochmals Danke an Affilinet, dass Ihr uns für dieses Thema sensibilisiert habt. Absolut lesenswert sind auch die beiden Whitepapers zum Thema von Affilinet.


admin

Kommentare

  1. […] Insight-M iCrossing-Blog Traffective iBusiness […]

  2. […] Insight-M iCrossing-Blog Traffective iBusiness affiliateboy.de […]

  3. […] Neue Privacy Verordnung – das sollten Webseitenbetreiber wissen […]