Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) ist in Kraft getreten. Dank einer Übergangsregelung wird diese erst ab 25. Mai 2018 gelten und wird die EU-Datenschutzrichtlinie ersetzen. Obwohl das Ende der Frist naht und nicht weniger als Millionen-Bußgelder bei Nicht-Umsetzung drohen, vernachlässigen deutsche IT- und Digitalunternehmen das Thema bislang. Die meisten haben sich noch gar nicht mit dem Thema beschäftigt, nur wenige bereits mit ersten Maßnahmen angefangen oder diese umgesetzt.
Nach jahrelangen Verhandlungen hat die EU den Datenschutz neu gefasst: Die EU-DSGVO wird für alle Mitgliedsstaaten ab 25. Mai 2018 zur verbindlichen Regelung. Kein Grund zur Panik, aber Zeit für Unternehmen, sich mit dem Thema zu beschäftigen und Vorbereitungen zu treffen. Wie sieht es in Theorie und Praxis aus?
Deutsche Unternehmen hatten schon in der Vergangenheit einen hohen datenschutzrechtlichen Standard. Die erste wichtigste Info für sie lautet: Die bisherigen Grundprinzipien „Datenvermeidung und Datensparsamkeit“, „Zweckbindung“, „Verbote mit Erlaubnisvorbehalt“ und „Transparenz“ bleiben im Kern bestehen, hier ändert sich also nicht viel.
Die Auswirkungen
Die praktischen Auswirkungen für die Online-Branche sind jedoch, zumindest auf den ersten Blick, weitreichender. Der Anwendungsbereich der neuen EU-DSGVO wird erheblich ausgeweitet. Neben den klassischen personenbezogenen Daten wird nunmehr klargestellt, dass ein Online Identifier auch und zweifelsfrei ein personenbezogenes Datum ist. Bisher fiel unter diesen Begriff ein Datum, das eine natürliche Person identifizieren konnte, zum Beispiel Vor- oder Nachname, Telefonnummer, E-Mail-Adresse etc.
Da jedoch Cookies, User-IDs, IP-Adressen, Mac-Adressen etc. aus der Sicht der Online-Branche natürliche Personen nicht ohne weiteres identifizierbar machten, wurde in der Vergangenheit vielfach die These vertreten, dass diese Daten nicht als personenbezogen einzustufen seien. Die Verarbeitung dieser Daten damit nicht dem Anwendungsbereich der Datenschutzgesetze unterliege. Hier stellt die neue EU-DSGVO unmissverständlich klar, dass zukünftig Online-Identifikatoren, wie Cookies, IP-Adressen, IDFAs (Identifier for Advertisers), Google-Ad-IDs etc., klar als personenbezogene Daten zu betrachten seien.
Dazu heißt es in der EU-DSGVO: „Im Sinne dieser Verordnung bezeichnet der Ausdruck ‚personenbezogen Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (‚betroffene Person‘) beziehen, als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“
Hinzukommen laut Gesetz Online-Identifikatoren, die durch ihre Geräte, Anwendungen, Tools und Protokolle bereitgestellt werden, z. B. Internet-Protokoll-Adressen, Cookie-Identifikatoren oder andere.
„Berechtigtes Interesse“ eröffnet Möglichkeiten
Was bedeutet das für die Praxis in Unternehmen? Die Verarbeitung solcher Online-Identifikatoren bedarf zukünftig der Einwilligung. Der Betroffene muss eine solche Einwilligung für genau definierte Zwecke abgeben. Doch zur Beruhigung: In vielen Fällen wird eine solche Einwilligung vermutlich gar nicht erforderlich sein, was an der neu geschaffenen „Online-Marketing-Klausel“ des Art. 6 der EU-DSGVO liegt. Denn dort sind unterschiedliche Gründe benannt, die eine einwilligungslose Verarbeitung personenbezogener Daten erlauben, „wenn und soweit mindestens einer der folgenden Punkte zutrifft“, zum Beispiel:
„Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“
Diese wichtige Klausel öffnet ein Fenster zur Nutzung von personenbezogenen Daten, insbesondere auch „Identifiern“, zur nutzungsbasierten und getargeteten Online-Werbung. Personenbezogene Daten können nach dieser Regelung nämlich bei einem „berechtigten Interesse“ des Datenverarbeiters genutzt werden, solange diese berechtigten Interessen nicht offensichtlich hinter den Interessen des Betroffenen zurückstehen müssen. Dass das Interesse der digitalen Werbetreibenden ein berechtigtes Interesse ist, ergibt sich aus einem Hinweis in den sog. „Erwägungsgründen“, in dem das Interesse von direkt Werbetreibenden genannt wird. Damit steht fest, dass die Interessen der Werbetreibenden laut EU-DSGVO als „berechtigte Interessen“ gelten können.
Einwilligung nicht immer nötig
Auch zukünftig werden die meisten Geschäftsmodelle der Online-Branche ohne eine Einwilligung auskommen, solange sie sich innerhalb des Anwendungsbereiches dieser „redlichen Erwartungen“ ihrer User bewegen. Wie weit der Umfang dieser „redlichen Erwartungen“ tatsächlich geht, bleibt abzuwarten. Möglicherweise macht es für Unternehmen auch Sinn, diese „redlichen Erwartungen“ in ihrer eigenen Datenschutzerklärung anzusprechen.
Darüber hinaus fordert die EU-DSGVO, dass bei der Verarbeitung von Nutzungsdaten zwingend ein Opt-out möglich sein muss. Die Informationen über das Widerspruchsrecht müssen spätestens beim ersten Kontakt mit der datenverarbeitenden Stelle, zum Beispiel Erstbesuch der Website, erstes Öffnen der App, gegeben werden. Das kann z. B. in der Datenschutzerklärung geschehen oder über das zentral gesteuerte Präferenzmanagement-Tool unter www.meine-cookies.org. Diese Plattform basiert auf der vom BVDW maßgeblich getragenen Selbstregulierung der Werbewirtschaft beim Online-Behavioral-Targeting (OBA) über den Deutschen Datenschutzrat Online Werbung (DDOW).
Ich empfehle, das konkrete Vorgehen mit einem spezialisierten Anwalt durchzugehen oder den Datenschutzbeauftragten, sofern vorhanden, zu befragen.
Wesentliche Businessmodelle nicht bedroht
Was kann die Online-Branche aus der neuen EU-DSGVO für Schlüsse ziehen? Zunächst einmal kann sie tief durchatmen, denn wesentliche Businessmodelle sind auch in Zukunft nicht bedroht. Zwar ist der Begriff „personenbezogene Daten“ erweitert bzw. konkretisiert worden, so dass sich zukünftig definitiv nicht mehr die Haltung vertreten lässt, Cookie-IDs, IP-Adressen und andere Online-Identifikatoren seien „anonym“. Dennoch: In der Praxis dürfte diese Änderung keine größeren Auswirkungen haben. Was vor allem an dem neu gefassten Art. 6 liegt, konkret der Online-Marketing-Klausel. Die Verarbeitung personenbezogener Daten zum Zwecke der Onlinewerbung wird zukünftig auf die „berechtigten Interessen“ der Unternehmen gestützt werden – diese wurden hervorgehoben und Werbeinteressen damit gestärkt. Ein Opt-out für User muss jedoch zukünftig bei der Verarbeitung von Nutzungsdaten zwingend möglich sein. Der Königsweg ist und bleibt es natürlich, die Zustimmung des Users zur Verwendung seiner Daten einzuholen. Happy Adserving!