DSGVO vs. ePrivacy: Datenschutz, einfach erklärt

Seit Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft – und die ePrivacy-Verordnung „steht vor der Tür“. Doch was ist was? Und was kommt auf euch als Publisher als Nächstes zu? Wir räumen mit Unklarheiten auf.

Datenschutz: Aktueller Stand

Ihr fragt euch, was die in 2019 kommende ePrivacy-Verordnung (EPVO) mit sich bringt, was die Datenschutz-Grundverordnung (DSGVO) nicht kann? Das solltet ihr dazu wissen: inklusive Rückblick und Vorschau!

DSGVO

Was war: Bevor die Datenschutz-Grundverordnung in 2018 in Kraft trat, galt in Deutschland das Bundesdatenschutzgesetz (BDSG) – und somit die alte europäische Datenschutz-Richtlinie.

Was ist: Die DSGVO vereinheitlicht den Datenschutz in der EU. Sie regelt den Schutz der sogenannten personenbezogenen Daten wie Name, Geburts- oder Kontaktdaten – aber auch politische Meinungen, Gesundheit etc. Dazu zählen also alle Angaben, die ihr einem Website-Besucher zuordnet und ihn dadurch identifiziert. Laut der DSGVO seid ihr verpflichtet, eure User verständlich darüber zu informieren, dass ihr Daten erhebt und verarbeitet.

ePrivacy-Verordnung

Was ist: Seit 2002 regelt die ePrivacy-Richtlinie, wie Netzanbieter in der Telekommunikation mit Daten umzugehen haben. In 2009 wurde sie um die Cookie-Richtlinie ergänzt, die die Einwilligung (Consent) der Nutzer verlangt, bevor ihr Cookies setzen und das Surfverhalten eurer Besucher tracken dürft.

Was kommt: Die ePrivacy-Verordnung (EPVO), die in 2019 hinzukommt, löst diese Cookie-Richtlinie ab und erweitert die ePrivacy-Richtlinie um einige neue Regeln. In erster Linie soll die EPVO die personenbezogenen Daten explizit in der elektronischen Kommunikation vor Datenmissbrauch schützen. Laut der alten Cookie-Richtlinie zählen dazu, neben dem E-Mail-Verkehr, auch Spielen, Surfen und Shoppen.

Beide Verordnungen sollen die Regelungen für den Datenschutz in den EU-Mitgliedstaaten vereinheitlichen und die Privatsphäre eurer User stärker schützen.

Datenschutz: Beide Verordnungen im Vergleich

Doch was unterscheidet die beiden Vorschriften? In einfachen Worten: Während die ePrivacy speziell im Bereich der elektronischen Kommunikation eure Nutzer schützt, regelt die DSGVO den Datenschutz im Allgemeinen – ohne ihn auf digitale Medien zu beschränken. Somit könnt ihr die EPVO als die nächste Stufe der DSGVO betrachten.

Vergleichen wir doch an dieser Stelle die DSGVO und die EPVO direkt miteinander:

DSGVO:

  • schützt personenbezogene Daten im Allgemeinen;
  • beschränkt sich nicht ausschließlich auf die Online-Medien;
  • gilt als genereller Datenschutz-Rahmen.

EPVO:

  • schützt personenbezogene Daten bei der elektronischen Kommunikation;
  • betrifft ausschließlich die Online-Branche;
  • erweitert und präzisiert die DSGVO als Spezialgesetz.

Wie geht ihr damit um? Ihr müsst natürlich beide Datenschutz-Vorschriften einhalten. Sobald auch die ePrivacy-Verordnung in den EU-Staaten in Kraft tritt, haben die spezielleren ePrivacy-Bestimmungen gegenüber denen der Datenschutz-Grundverordnung Vorrang. Das heißt: Ist die EPVO vollzogen – es liegen euch also personenbezogene Daten vor –, greift die DSGVO. Diese reglementiert, wie ihr mit den gesammelten Daten umgeht – vor allem, wie ihr sie verarbeitet, speichert oder löscht.

Im Detail: Was regelt die DSGVO?

Die DSGVO ist geltendes Recht. Das bedeutet: Als Publisher müsst ihr den Text der Verordnung (neben dem BDSG) als Rechtsgrundlage für den Datenschutz verwenden. Haltet ihr die Richtlinien nicht ein, könnt ihr mit Bußgeld in Höhe von bis zu vier Prozent des gesamten weltweiten Jahresumsatzes rechnen. Im Speziellen gilt es laut Art. 5 DSGVO, folgende Grundsätze zu beachten:

  • Rechtmäßigkeit: Rechtmäßig verarbeitet ihr die personenbezogenen Daten nur, wenn es gesetzlich erlaubt ist – oder wenn eure User dies explizit eingewilligt haben.
  • Nachvollziehbarkeit: Ihr müsst die Besucher eurer Website transparent darüber informieren, welche Daten ihr für welchen Zweck erhebt.
  • Zweckbestimmung: Die genannten Zwecke für die Datenverarbeitung müsst ihr einhalten. Ausnahmsweise könnt ihr sie ändern, wenn der neue und der ursprüngliche Zweck eng zusammenhängen.
  • Datenminimierung: Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind.
  • Richtigkeit: Achtet darauf, dass ihr die Daten richtig speichert. Ansonsten müsst ihr sie berichtigen oder löschen.
  • Datensparsamkeit: Ihr dürft nur so wenig wie möglich personenbezogene Daten erheben und verarbeiten. Wenn ihr die Daten nicht mehr benötigt, müsst ihr sie löschen.
  • „Privacy by Design“: Laut DSGVO ist der Datenschutz mit der Technik eng verzahnt. Das heißt: Ihr müsst gewährleisten, dass die Datensicherheit bereits bei der Technikgestaltung, in der Entwicklungsphase Standard ist.
  • „Privacy by Default“: Hier geht es um die datenschutzfreundlichen Voreinstellungen eurer Websites, was bedeutet: Die personenbezogenen Daten sollen ohne Anpassungen durch Nutzer geschützt sein.
  • Meldepflicht: Habt ihr den Datenschutz, etwa durch eine Datenpanne, verletzt, seid ihr verpflichtet, dies dem Betroffenen innerhalb von 72 Stunden zu melden. Achtung: Laut Art. 33 DSGVO greift das nicht, wenn diese Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.

Was ändert die kommende ePrivacy?

Die EPVO wird in erster Linie die Regeln für das Setzen von Cookies verschärfen. So wird der alleinige Hinweis darauf rechtlich nicht mehr ausreichen. Was die ePrivacy-Verordnung genau regeln wird, könnt ihr in unserem Artikel “Alles über die ePrivacy-Verordnung” nachlesen.

Die beiden Verordnungen ergänzen sich gegenseitig: Das, was die Datenschutz-Grundvorordnung nicht aufgreift, reglementiert die EPVO.

Was passiert mit Cookies?

Aber wozu braucht ihr Cookies? Diese kleinen Textdateien, die auf dem System des Users gespeichert werden, erlauben Websites, deren Besucher „wiederzuerkennen“. Das soll das Surfen im Internet komfortabler machen – in etwa durch eine schnellere Navigation bereits besuchter Internetseiten und genutzter Dienste.

Wozu dienen Cookies?

Zusätzlich protokollieren Cookies das Surfverhalten eurer Nutzer: Dabei geht es um personenbezogene Daten wie Alter oder Geschlecht – sowie Interessen. Deshalb sind Cookies vor allem für das Online-Marketing sehr wichtig. Denn so könnt ihr die bei jedem User genau auf ihn zugeschnittene Online-Werbung ausspielen.

Was ist: Im Moment verpflichtet euch die DSGVO, in einem Pop-up-Fenster eure Besucher über das Setzen von Cookies zu informieren. Die meisten Browser lassen es auch zu – was Nutzer dennoch durch entsprechende Sicherheitseinstellungen verhindern können. Der aktuelle Datenschutz sieht in dieser Hinsicht keine explizite Zustimmung der User vor.

Was kommt: Künftig müsst ihr den Consent eurer User für den Einsatz von Cookies explizit einholen: Das Opt-in-Verfahren wird Pflicht! Zudem sollt ihr euren Website-Besuchern die Möglichkeit geben, die Einwilligung zu verweigern (Opt-out). Zudem neu: Die Browser-Standardeinstellung wird Cookies sperren. Diese können User selbst aktivieren.

Ausnahme: In wenigen Fällen dürft ihr Cookies ohne User-Zustimmung setzen – zum Beispiel die Session-Cookie für den Login-Status oder für den Warenkorb im Rahmen des Online-Shoppings.

Welche Folgen haben die DSGVO und EPVO für Publisher?

Im Großen und Ganzen habt ihr als Publisher nichts Schlimmes zu befürchten: Die geplante EPVO wird noch auf allen Ebenen heiß diskutiert. Wie jede Medaille hat eben auch die Datensicherheit zwei Seiten: Auf der einen stehen die Datenschützer, die für strenge Richtlinien plädieren, um sensible Daten natürlicher Personen maximal zu schützen. Auf der anderen Seite verteidigen die Online-Branche sowie die Wirtschaft ihre Interessen: Denn sie sehen ihre digitalen Werbeerlöse in Gefahr.

Wie groß hier die „Aufruhr“ ist, erkennt ihr am Offenen Brief der europäischen Medien- und Internetwirtschaft. Die deutschen Zeitschriften- und Zeitungsverleger VDZ und BDZV warnen unter anderem davor, dass durch die ePrivacy-Verordnung die absolute Datenhoheit allein bei den großen Playern wie Google oder Apple liegen würde.

Es gilt also abzuwarten. Voraussichtlich wird die ePrivacy frühestens Mitte 2019 in Kraft treten – mit einer Übergangsfrist, damit ihr euch auf die Änderungen einstellen könnt. Was solltet ihr bereits jetzt in Betracht ziehen? Mit diesen Tipps bereitet ihr euch auf die kommende EPVO vor:

  • Achtet bei euren Angeboten sowie bei der Werbegestaltung verstärkt auf den Mehrwert für eure Nutzer. So baut ihr ein vertrauensvolles Verhältnis zu eurer Zielgruppe auf. In Zukunft dürft ihr euren Website-Besuchern, die Cookies ablehnen, den Zugang zur Website nicht mehr verwehren. Also müsst ihr es ihnen so „schmackhaft“ wie möglich machen.
  • Informiert euch rechtzeitig darüber, welche Einwilligungs-Modelle es gibt und welches davon für euch am sinnvollsten ist.
  • Wer es ganz einfach haben möchte: Wendet euch an einen Consent Management Provider (CMP). Denn: Mit dem richtigen System dahinter – zum Beispiel dem Traffective Consent Management Tool – laufen alle datenschutzrechtlichen Prozesse vollautomatisiert. Und ihr könnt euch auf euer Kerngeschäft konzentrieren!

Habt ihr noch Fragen zur kommenden ePrivacy? Unsere Experten beraten euch gerne!

Leave a Reply