IP Deutschland GmbH
IP Deutschland GmbH
EUROPA MACHT MÄNNCHEN

Schwerpunkt DatenNach drei Jahren intensiver Diskussionen und einer zweijährigen Übergangszeit nach dem Inkrafttreten des konsolidierten Entwurfs im Mai 2016 wurde nun am 25. Mai 2018 die Datenerhebung auf europäischer Ebene offiziell neu geregelt, und einheitliche Vorschriften traten in Kraft.

Knapp daneben ist auch vorbei

Das Ziel, der rasant fortschreitenden technologischen Entwicklung zu entsprechen und das Datenschutzrecht auf nationaler, EU- und globaler Ebene zu harmonisieren und zu modernisieren, ist nur bedingt erreicht. Ein Blick auf die zentralen Punkte der EU-Datenschutz-Grundverordnung (DSGVO) zeigt, dass es noch einige Probleme zu lösen gilt. Die markantesten Auswirkungen betreffen die Dokumentations- und Informationspflicht sowie die Ausgestaltung von Einwilligungen. Die DSGVO ist für alle Unternehmen bindend, die ihren Sitz in einem EU-Mitgliedsstaat haben – auch für nichteuropäische Unternehmen und damit gleichzeitig für die großen US-Internetriesen wie Google, Facebook und Co., wenn sie ihre Angebote an Nutzer innerhalb der EU richten. Und hierin liegt die Krux.

Aus der Balance

Bei der entscheidenden Verschärfung der Dokumentationspflicht müssen Unternehmen dauerhaft dokumentieren, welche Daten erhoben werden, wie und wo sie verarbeitet werden und welcher Zweck mit der Datenerhebung verfolgt wird. Eine zentrale Rechtsgrundlage für die Verarbeitung von Daten soll nach wie vor die Einwilligung sein. Diese Idee ist grundsätzlich richtig, doch offenbart sich gerade bei der Umsetzung der Punkte Dokumentation und Einwilligung das Ungleichgewicht. Während den europäischen offenen Websites sozusagen der Boden unter den Füßen weggezogen wird, profitieren amerikanische Datenplattformen von ihrem bisherigen Geschäftsmodell "Daten gegen Dienstleistung". Die Einwilligung des Nutzers wird bereits bei der Registrierung abgefragt, so dass nicht nur vielfältige Log-in-Nutzerdaten gesammelt werden, sondern diese auch in eigene Messsysteme einfließen. Diese Einwilligungserklärungen bleiben zwar nur dann gültig, wenn sie der neuen DSGVO entsprechen. Nutzer der US-Dienste, wie Google und Facebook, sind aber daran gewöhnt, diese Einwilligung zu erteilen.

Der Teufel im Detail

Beim Punkt der Einwilligungserklärung ist die Detailtiefe neu. Es muss verständlich erklärt werden, was mit Begriffen wie "Log-Files" oder auch "Cookies" und "Zählpixel" gemeint ist, die nach der DSGVO weitgehend als personenbezogene Daten gelten. Für den Nutzer muss eindeutig erkennbar sein, welche Daten konkret zu welchem Zweck verarbeitet werden. Das bedeutet auch, dass die Nutzung personenbezogener Daten zweckgebunden ist. Glücklicherweise bleibt der Online-Wirtschaft noch ein kurzes Zeitfenster für die Verarbeitung von Nutzerdaten zu Targeting-Zwecken mit mit einer Widerspruchsmöglichkeit (Opt-out) – zumindest so lange, wie sich dies auf die sogenannten berechtigten Interessen aus der DSGVO stützen lässt. Es bleibt abzuwarten, ob die kommende e-Privacy-Verordnung (ePVO) dem dann endgültig einen Riegel vorschiebt. Eine weitere wichtige Neuerung sind Nutzerrechte wie das Recht auf Vergessenwerden. Wie bisher kann jederzeit Auskunft über die eigenen Daten eingefordert werden, um diese bearbeiten oder löschen zu lassen. Der Umfang hat sich hier aber erhöht. Ebenso hat der User das Recht, die Verarbeitung seiner Daten einschränken zu lassen, Widerspruch gegen die Verarbeitung einzulegen sowie das Recht, bei einem Anbieterwechsel seine Daten mitzunehmen bzw. übertragen zu lassen (Portabilität). Unternehmen, denen es bis Mai 2018 nicht gelingt, die erweiterten Vorgaben der neuen DSGVO umzusetzen, können zur Kasse gebeten werden. Bußgelder bis zu vier Prozent des globalen Jahresumsatzes oder bis zu 20 Millionen Euro können verhängt werden. Ob solche Bußgelder der Regelfall sein werden oder zunächst einfache Verwarnungen erteilt werden, ist noch offen.

Barriere statt Freiheit

Während die DSGVO die Grundsätze regelt, fokussiert sich die noch im Entwurf befindliche ePVO auf den Schutz von Daten bei der elektronischen Kommunikation, vor allem im Internet. Geschützt wird hier die Integrität des Endgeräts der Nutzer. Nach derzeitigem Entwurf verbietet die ePVO grundsätzlich das Verarbeiten von Merkmalen zur Geräteidentifizierung wie Cookies und IDs, wenn der Nutzer nicht ausdrücklich seine Einwilligung (Opt-in) erteilt hat. Besondere Bedeutung soll den Voreinstellungen von Browsern zukommen. Die EU macht es damit im Grunde unmöglich, digitale Angebote ohne Barrieren anzubieten und zu finanzieren. Die Folgen wären für die digitale Wirtschaft drastisch: Das Internet mit einer solchen Vielfalt an frei zugänglichen und kostenfreien Inhalten würde es damit nicht mehr geben. Es bleibt zu hoffen, dass dieses Szenario nicht Realität wird. Eines ist jedoch sicher: Der kommende Mai macht so einiges neu in der datengetriebenen Online-Welt.

Joachim Schütz›Keine Frage: Datenschutz ist wichtig. Aber bei der ePrivacy-Verordnung ist die europäische Politik weit übers Ziel hinausgeschossen und hat das ausgewogene Verhältnis zwischen Verbraucherschutz und den Interessen der Wirtschaft völlig aus dem Blick verloren.

Sollte die Verordnung wie geplant kommen, sind neben der interessensbasierten Ausspielung von Werbemitteln besonders die übergreifende Mediadatenerhebung durch neutrale Dritte und damit belastbare Parameter für die Aussteuerung, Messung und Abrechnung von Kampagnen in Gefahr.

Für Medien und Serviceanbieter wäre in der Konsequenz die Refinanzierung durch Online-Werbung in weiten Teilen eingeschränkt, Unternehmen und ihren Dienstleistern würden wichtige Daten für die Kommunikationsplanung fehlen. Aber auch wettbewerbspolitisch sind die geplanten Regelungen der ePrivacy-Verordnung problematisch: Während für weite Teile des Marktes die Datenverarbeitungsbefugnisse stark eingeschränkt wären, wären globale Anbieter mit ihren Log-in-Systemen kaum betroffen.‹


Joachim Schütz, OWM-Geschäftsführer