ePrivacy und DSGVO – das große Wissens-Update

Kaum ist die DSGVO in unsern Köpfen verankert, klopft auch schon das nächste Schreckgespenst in Form der ePrivacy-Verordnung an. Doch ist alles tatsächlich so schlimm wie gedacht und was kommt wirklich auf Unternehmen zu? Susanne Klein von der Frankfurter Kanzlei Beiten Burckhard beantwortete diese Fragen bei unserem Seminar „Internetrecht“ in der IHK Hanau.
ePrivacy-Verordnung – ein extrem weiter Anwendungsbezug
Ursprünglich sollten die DSGVO und die ePrivacy-Verordnung zeitgleich in Kraft treten. Dabei dient die DSGVO dem allgemeinen Schutz personenbezogener Daten und die ePrivacy-Verordnung deckt die Vertraulichkeit elektronischer Kommunikationsdaten ab. Klingt schwammig? Unter elektronischen Kommunikationsdaten ist z.B. folgendes zu verstehen:
- Inhaltsdaten, die Unternehmen in Form von Content auf ihre Website oder auf ihre sozialen Kanäle stellen
- Metadaten (Datum und Uhrzeit des Abrufs, besuchte Webseiten, Standortdaten…)
- Informationen in Bezug auf die Endeinrichtungen (Geräte) des Endnutzers (insbesondere Cookies und Tracking)
- Machine2Machine-Kommunikation (Stichwort „Internet of Things, Connected Cars und Smart Homes)
- „Over-the-top“-Dienste z.B. Instant-Messenger wie WhatsApp oder Skype, webgestützte Mail-Dienste wie Gmail und VoIP-Telefonie

Rechtliche Anforderungen für Website-Betreiber
Die ePrivacy-Verordnung gilt für alle Anbieter elektronischer Kommunikationsdienste, die eine App oder Website betreiben und mit Cookies bzw. Analysewerkzeugen das Nutzerverhalten auswerten möchten, vor allem zur Ermöglichung von Direktwerbung. Hier ist auch das Marktort-Prinzip zu beachten: Das bedeutet, dass die Verordnung für alle Anbieter von Kommunikationsdiensten in der EU gilt, auch wenn es keine Niederlassung in der EU gibt (in diesem Fall ist ein EU-Vertreter obligatorisch).
Im Gegensatz zu bisherigen gesetzlichen Regelungen gilt die Verordnung sowohl für natürliche, als auch juristische Personen (Unternehmen) und deckt sowohl personenbezogene als auch nicht-personenbezogene Datenerhebung ab.
Für all diese Daten gilt bei der Erhebung wie bei der DSGVO die Regel: „Verbot mit Erlaubnisvorbehalt“. Susanne Klein empfiehlt deshalb, sich früh damit vertraut zu machen auf welcher gesetzlicher Grundlage Sie künftig diese Daten erheben wollen. Unternehmen haben zwei Möglichkeiten: entweder die Einwilligung der betreffenden Person (Art. 4a Abs. 1 ePrivacy-VO-E) oder der gesetzliche Erlaubnistatbestand (Art. 6, 8, 16 ePrivacy-VO-E)
Das klingt jetzt alles sehr komplex. Deshalb machen wir hier gedanklich einen Stopp, weil die e-Privacy-Verordnung dieses Jahr aufgrund der Europawahl im Mai wohl nicht mehr in Kraft treten wird. Laut Susanne Klein wird das auch noch ein Weilchen dauern. Aufgrund des weiten Anwendungsbezuges gebe es noch jede Menge Unklarheiten. Selbst wenn es die Verordnung 2020 schaffe in Kraft zu treten, gebe es eine Übergangszeit von 2 Jahren, sodass Unternehmen noch ein bisschen Zeit haben, sich auf die ePrivacy-Verordnung vorzubereiten. Nichtsdestotrotz sollten Sie die Verordnung weiterhin auf dem Schirm haben, denn wie wir alle wissen: Weihnachten kommt stets schneller als gedacht. ;)
DSGVO – Abmahnwelle bleibt aus
Panik, Wut, Frustration und Desinteresse. Die DSGVO hat letztes Jahr ganz schön für Aufruhr gesorgt. Seit fast einem Jahr begleitet sie uns nun, aber die befürchtete Abmahnwelle blieb laut Susanne Klein aus. Das lag vor allem daran, dass die DSGVO nicht nur für Unternehmen, sondern wohl auch für Kontrollstellen und Behörden „überraschend“ kam und viel Arbeit mit sich brachte. Trotz allem verursachte die Verordnung teils skurrile Fälle.
Regeln für Website und Marketing
Bei der Datenschutz-Grundverordnung gilt der Grundsatz, dass eine Datenverarbeitung nur dann rechtmäßig ist, wenn eine Rechtsgrundlage dafür vorliegt. Dies kann entweder eine Einwilligung (Art. 6 Abs. 1 a) DSGVO) sein oder ein gesetzlicher Erlaubnistatbestand (Art. 6 Abs. 1 b) - f) DSGVO oder Spezialgesetz). Aber von welchen Datenverarbeitungen sprechen wir eigentlich? Dazu zählen beispielsweise:
- Kontaktformulare auf der Website
- Newsletter / E-Mail-Adressen
- Cookies
- Social Plugins (z.B. Facebook-Like-Button)
- Webtracking und Analyse (z.B. Google Analytics, Facebook Pixel etc.)
- personalisierte Werbung (z.B. Google und Social Media Ads)
Ein zentrales Instrument bleibe laut Susanne Klein die Einwilligung. Diese müsse aber freiwillig, in informierter Weisen, unmissverständlich und eindeutig abgegeben werden. Vorangekreuzte Haken oder Stillschweigen sind demnach nicht als gültige Einwilligung anzusehen. Eine Einwilligung müsse zwar nicht schriftlich abgegeben werden, trotzdem ist dies die sicherste Variante, da Sie als Unternehmer in der Nachweispflicht sind. Vergessen Sie auch nicht den Interessenten über sein Widerrufsrecht zu belehren und beachten Sie das generelle Kopplungsverbot (beispielsweise ist es nicht erlaubt den Abschluss des Kaufvorgangs an ein Newsletterabo zu knüpfen).
Die zweite Möglichkeit personenbezogene Daten zu verarbeiten ist ein berechtigtes Interesse des Unternehmens. Und natürlich haben Sie als Unternehmer großes Interesse an diesen Daten. Aber so leicht ist es dann doch nicht. Ihre Interessen dürfen beispielsweise nicht die schutzwürdigen Interessen des Betroffenen überwiegen. Das bedeutet u.a. dass Sie sich an die Grundsätze der Datensparsamkeit, Zweckbindung, Rechtmäßigkeit und Transparenz halten müssen. Und dabei müssen Sie stets das UWG (§ 7 Abs. 3) im Auge behalten, denn hier werden einige Punkte wie beispielsweise Post- oder elektronische Werbung eindeutig geregelt.
Kleiner Tipp: Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter DSGVO: www.datenschutzkonferenz-online.de/media/oh/20181107_oh_werbung.pdf
Checkliste Onlinerecht
Stehen alle Gesellschafter im Impressum? Haben Sie die richtige Telefonnummer in der Datenschutzerklärung angegeben und das Einverständnis aller Rechteinhaber von Ihren Inhalten eingeholt? Nutzen Sie unsere Checkliste, um die Basics in Sachen Websiterecht abzuarbeiten. Sie ist exklusiv zur Veranstaltung erschienen.
Hier geht's lang: Checkliste Onlinerecht