Seit Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft – und die ePrivacy-Verordnung „steht vor der Tür“. Doch was ist was? Und was kommt auf euch als Publisher als Nächstes zu? Wir räumen mit Unklarheiten auf.
Ihr fragt euch, was die in 2019 kommende ePrivacy-Verordnung (EPVO) mit sich bringt, was die Datenschutz-Grundverordnung (DSGVO) nicht kann? Das solltet ihr dazu wissen: inklusive Rückblick und Vorschau!
Was war: Bevor die Datenschutz-Grundverordnung in 2018 in Kraft trat, galt in Deutschland das Bundesdatenschutzgesetz (BDSG) – und somit die alte europäische Datenschutz-Richtlinie.
Was ist: Die DSGVO vereinheitlicht den Datenschutz in der EU. Sie regelt den Schutz der sogenannten personenbezogenen Daten wie Name, Geburts- oder Kontaktdaten – aber auch politische Meinungen, Gesundheit etc. Dazu zählen also alle Angaben, die ihr einem Website-Besucher zuordnet und ihn dadurch identifiziert. Laut der DSGVO seid ihr verpflichtet, eure User verständlich darüber zu informieren, dass ihr Daten erhebt und verarbeitet.
Was ist: Seit 2002 regelt die ePrivacy-Richtlinie, wie Netzanbieter in der Telekommunikation mit Daten umzugehen haben. In 2009 wurde sie um die Cookie-Richtlinie ergänzt, die die Einwilligung (Consent) der Nutzer verlangt, bevor ihr Cookies setzen und das Surfverhalten eurer Besucher tracken dürft.
Was kommt: Die ePrivacy-Verordnung (EPVO), die in 2019 hinzukommt, löst diese Cookie-Richtlinie ab und erweitert die ePrivacy-Richtlinie um einige neue Regeln. In erster Linie soll die EPVO die personenbezogenen Daten explizit in der elektronischen Kommunikation vor Datenmissbrauch schützen. Laut der alten Cookie-Richtlinie zählen dazu, neben dem E-Mail-Verkehr, auch Spielen, Surfen und Shoppen.
Beide Verordnungen sollen die Regelungen für den Datenschutz in den EU-Mitgliedstaaten vereinheitlichen und die Privatsphäre eurer User stärker schützen.
Doch was unterscheidet die beiden Vorschriften? In einfachen Worten: Während die ePrivacy speziell im Bereich der elektronischen Kommunikation eure Nutzer schützt, regelt die DSGVO den Datenschutz im Allgemeinen – ohne ihn auf digitale Medien zu beschränken. Somit könnt ihr die EPVO als die nächste Stufe der DSGVO betrachten.
Vergleichen wir doch an dieser Stelle die DSGVO und die EPVO direkt miteinander:
Wie geht ihr damit um? Ihr müsst natürlich beide Datenschutz-Vorschriften einhalten. Sobald auch die ePrivacy-Verordnung in den EU-Staaten in Kraft tritt, haben die spezielleren ePrivacy-Bestimmungen gegenüber denen der Datenschutz-Grundverordnung Vorrang. Das heißt: Ist die EPVO vollzogen – es liegen euch also personenbezogene Daten vor –, greift die DSGVO. Diese reglementiert, wie ihr mit den gesammelten Daten umgeht – vor allem, wie ihr sie verarbeitet, speichert oder löscht.
Die DSGVO ist geltendes Recht. Das bedeutet: Als Publisher müsst ihr den Text der Verordnung (neben dem BDSG) als Rechtsgrundlage für den Datenschutz verwenden. Haltet ihr die Richtlinien nicht ein, könnt ihr mit Bußgeld in Höhe von bis zu vier Prozent des gesamten weltweiten Jahresumsatzes rechnen. Im Speziellen gilt es laut Art. 5 DSGVO, folgende Grundsätze zu beachten:
Die EPVO wird in erster Linie die Regeln für das Setzen von Cookies verschärfen. So wird der alleinige Hinweis darauf rechtlich nicht mehr ausreichen. Was die ePrivacy-Verordnung genau regeln wird, könnt ihr in unserem Artikel „Alles über die ePrivacy-Verordnung“ nachlesen.
Die beiden Verordnungen ergänzen sich gegenseitig: Das, was die Datenschutz-Grundvorordnung nicht aufgreift, reglementiert die EPVO.
Aber wozu braucht ihr Cookies? Diese kleinen Textdateien, die auf dem System des Users gespeichert werden, erlauben Websites, deren Besucher „wiederzuerkennen“. Das soll das Surfen im Internet komfortabler machen – in etwa durch eine schnellere Navigation bereits besuchter Internetseiten und genutzter Dienste.
Zusätzlich protokollieren Cookies das Surfverhalten eurer Nutzer: Dabei geht es um personenbezogene Daten wie Alter oder Geschlecht – sowie Interessen. Deshalb sind Cookies vor allem für das Online-Marketing sehr wichtig. Denn so könnt ihr die bei jedem User genau auf ihn zugeschnittene Online-Werbung ausspielen.
Was ist: Im Moment verpflichtet euch die DSGVO, in einem Pop-up-Fenster eure Besucher über das Setzen von Cookies zu informieren. Die meisten Browser lassen es auch zu – was Nutzer dennoch durch entsprechende Sicherheitseinstellungen verhindern können. Der aktuelle Datenschutz sieht in dieser Hinsicht keine explizite Zustimmung der User vor.
Was kommt: Künftig müsst ihr den Consent eurer User für den Einsatz von Cookies explizit einholen: Das Opt-in-Verfahren wird Pflicht! Zudem sollt ihr euren Website-Besuchern die Möglichkeit geben, die Einwilligung zu verweigern (Opt-out). Zudem neu: Die Browser-Standardeinstellung wird Cookies sperren. Diese können User selbst aktivieren.
Ausnahme: In wenigen Fällen dürft ihr Cookies ohne User-Zustimmung setzen – zum Beispiel die Session-Cookie für den Login-Status oder für den Warenkorb im Rahmen des Online-Shoppings.
Im Großen und Ganzen habt ihr als Publisher nichts Schlimmes zu befürchten: Die geplante EPVO wird noch auf allen Ebenen heiß diskutiert. Wie jede Medaille hat eben auch die Datensicherheit zwei Seiten: Auf der einen stehen die Datenschützer, die für strenge Richtlinien plädieren, um sensible Daten natürlicher Personen maximal zu schützen. Auf der anderen Seite verteidigen die Online-Branche sowie die Wirtschaft ihre Interessen: Denn sie sehen ihre digitalen Werbeerlöse in Gefahr.
Wie groß hier die „Aufruhr“ ist, erkennt ihr am Offenen Brief der europäischen Medien- und Internetwirtschaft. Die deutschen Zeitschriften- und Zeitungsverleger VDZ und BDZV warnen unter anderem davor, dass durch die ePrivacy-Verordnung die absolute Datenhoheit allein bei den großen Playern wie Google oder Apple liegen würde.
Es gilt also abzuwarten. Voraussichtlich wird die ePrivacy frühestens Mitte 2019 in Kraft treten – mit einer Übergangsfrist, damit ihr euch auf die Änderungen einstellen könnt. Was solltet ihr bereits jetzt in Betracht ziehen? Mit diesen Tipps bereitet ihr euch auf die kommende EPVO vor:
Habt ihr noch Fragen zur kommenden ePrivacy? Unsere Experten beraten euch gerne!