Ist meine Consent-Management-Lösung bereit für die ePrivacy-Verordnung?
Sara Sihelnik, 30. Juli 2019Wenn man sich in ein Thema einlesen möchte, führt die Online-Recherche oft zu Wikipedia. Doch was, wenn die Digitalenzyklopädie für den gesuchten Begriff keine deutsche Beschreibung bereithält und der englische Artikel deutliche Lücken und Mängel aufweist? Ein deutliches Signal dafür, dass ein Thema noch mit vielen Unklarheiten belegt und relativ neu ist.
So ergeht es aktuell Vielen, die sich über die bevorstehende ePrivacy-Verordnung informieren möchten: Beim Suchbegriff „ePrivacy-Verordnung“ gelangt man bei Wikipedia auf den Artikel zur aktuellen ePrivacy-Richtlinie („Datenschutzrichtlinie für elektronische Kommunikation“), die bereits 2002 in Kraft getreten ist. Das weckt Erinnerungen an die Einführung der DSGVO im Mai 2018: Unklarheit war auch hier bei Vielen das vorherrschende Gefühl.
Doch kann man sich sinnvoll auf die neue ePrivacy-Verordnung vorbereiten? Was passiert mit bereits gesammelten Einwilligungen von Nutzern, wenn die ePrivacy-Verordnung kommt? Und: Warum handhabt jede Website das Thema Nutzereinwilligungen und -information anders? Auch wenn sich die meisten Fragen hinsichtlich der ePrivacy-Verordnung noch nicht eindeutig beantworten lassen, hier ein paar Ratschläge für Websitebetreiber, um die Umstellung auf die künftige ePrivacy-Verordnung zu erleichtern.
Wie kann ich mich auf die ePrivacy-Verordnung vorbereiten?
Es klingt simpel, aber es ist wahr: Der erste wichtige Schritt, sich auf die kommende ePrivacy-Verordnung vorzubereiten, besteht darin, sich an die aktuelle ePrivacy-Richtlinie zu halten. Sicher wird sich die neue Verordnung in einigen Punkten von der bestehenden Richtlinie unterscheiden, trotzdem wird es aber auch mit sehr hoher Wahrscheinlichkeit viele Überschneidungen oder zumindest Ähnlichkeiten geben. Die Unterschiede, die zu erwarten sind, lassen sich dann leichter angehen.
Wer also heute bereits eine Consent-Management-Lösung nutzt, um die Zustimmung bzw. Ablehnung seiner digitalen Besucher zur Datennutzung abzufragen und zu verwalten, sollte sichergehen, dass die Lösung der bereits geltenden ePrivacy-Richtlinie entspricht. Hilfestellung bieten der Blick in andere EU-Länder, Handlungsempfehlungen der Datenschutzbehörden oder die Zusammenarbeit mit Partnern, die Erfahrung in der Umsetzung der ePrivacy-Richtlinie haben.
Was passiert mit bereits gesammelten Einwilligungen?
Nur in Fällen, in denen die Einwilligung zur Datenverarbeitung und zum Datenzugriff nicht bereits dem Rechtsstandard der DSGVO entspricht, verliert diese Einwilligung unter der bevorstehenden ePrivacy-Verordnung ihre Wirkung. Denn vor Einführung der DSGVO mussten Nutzer noch nicht zwangsläufig eine eindeutige bestätigende Handlung abgeben, nachdem sie darüber informiert wurden, wer ihre Daten für welche Zwecke sammelt und verarbeitet. Jetzt müssen Nutzer aber die Möglichkeit haben, alle Anbieter und Verarbeitungszwecke einzusehen und eine Auswahl zu treffen. Darüber hinaus müssen Verantwortliche in der Lage sein nachzuweisen, dass ihnen eine rechtliche Einwilligung vorliegt.
Wenn Sie also heute Nutzer DSGVO-konform um eine Einwilligung zum Verarbeiten ihrer Daten bitten, schaffen Sie damit eine solide Ausgangssituation für weitere neue Datenschutzvorgaben. Es gibt starke Indizien dafür, dass derart erhaltene Einwilligungen auch unter der ePrivacy-Verordnung ihre Gültigkeit behalten werden. Eines dieser Indizien ist, dass die vorgelegte ePrivacy-Verordnung eine Einwilligung analog der Anforderungen in der DSGVO erfordert. Weder der EU-Rat noch das EU-Parlament haben vorgeschlagen diese Vorlage zu verändern.
Warum handhabt jede Website das Thema Nutzereinwilligungen anders?
Viele Formulierungen in der DSGVO sind schwammig. Entsprechend unterschiedlich wurden diese von Websitebetreibern, Datenschutzbeauftragten und Lösungsanbietern interpretiert. Nach einem Jahr DSGVO sehen wir jetzt klarer, was eine „rechtliche Zustimmung“ ausmacht – dank der Leitlinien, Meinungen und Urteile von Regulierungsbehörden und Gerichten. Ausgehend von der Definition des Einwilligungsbegriffs der DSGVO muss es sich um eine freiwillige, spezifische, informierte und unmissverständliche Angabe der Wünsche der betroffenen Person in Form einer Erklärung oder zustimmenden Handlung handeln. Vom Websitebetreiber vorab mit einem Häkchen versehene Einwilligungsentscheidungen werden von der DSGVO explizit ausgeschlossen. Auch sogenannte Cookie-Banner, die Nutzer darauf hinweisen, dass die Nutzung der Website als Einwilligung betrachtet wird, und die von den meisten Websiteanbietern europaweit zur Umsetzung der ePrivacy-Richtlinie eingesetzt werden, entsprechen in den meisten Fällen nicht den Anforderungen der DSGVO.
Kurz zusammengefasst: Consent-Management-Lösungen, die eine freie Entscheidung des Nutzers einholen, alle Nutzungszwecke und Third-Party-Unternehmen angeben und die Möglichkeit bieten, einzelne Anbieter und Nutzungszwecke ein- oder auszuschließen, und Signale senden, die es allen Beteiligten erlauben nachzuweisen, dass eine Einwilligung vorliegt, sind demnach datenschutzkonform.
Das Fazit: Nachsorge ist die beste Vorsorge
Auch wenn hinsichtlich der bevorstehenden neuen ePrivacy-Verordnung noch einiges unklar ist: Websitebetreiber tun gut daran, sich umfangreich und wiederholt mit der bereits bestehenden ePrivacy-Richtlinie sowie der 2018 in Kraft getretenen DSGVO auseinanderzusetzen und ihre bestehenden Prozesse und Lösungen vor dem Hintergrund der jüngsten Rechtsprechung nochmals zu prüfen. Auch wenn mit der ePrivacy-Verordnung Neues auf uns zukommen wird, ist es am einfachsten, diese Neuerungen zu adaptieren, wenn man auf dem jeweils aktuellsten Stand der Dinge ist. Und dabei hilft dann auch Wikipedia wieder weiter und weiß: Ein Update ist eine Aktualisierung, eine Fortschreibung, ein Nachfolgemodell oder eine Verbesserung.
EVENT-TIPP ADZINE Live - Industry Preview - Media & Tech Agenda 2025 am 22. Januar 2025, 11:00 Uhr - 12:30 Uhr
Welche Themen sollten Advertiser und ihre Agenturen, aber auch die Medien, ganz oben auf der Agenda haben für 2025? Welche Technologien werden bei den großen Herausforderungen, wie z.B. Datenschutz, Addressability, Qualitätssicherung, Messbarkeit und Einkaufseffizienz im digitalen Mediabusiness 2025 eine wichtige Rolle spielen? Jetzt anmelden!