tl;dr / Management-Summary

Die bisher spannendsten Neuerungen des geplanten, deutschen Datenschutzgesetzes sind:

• die klaren, ausdrücklich geregelten Ausnahmetatbestände für das Einwilligungserfordernis (über die technische Erforderlichkeit entsprechend dem 5 Abs. 3 ePrivacy-Richtlinie hinaus) über vertragliche Verpflichtung oder zur Erfüllung gesetzlicher Pflichten

• die mögliche Wiederbelebung von “Do-Not-Track”-Browsereinstellungen über ErwGr. 66 Satz 3

• die Neuregelung von Zuständigkeiten des BfDI (= Bundesbeauftragten für den Datenschutz und die Informationsfreiheit). Die Bundesregierung hat sich im Zuge der ePrivacy-VO Verhandlungen darauf verständigt, dass sich die Datenschutzaufsicht zukünftig an der DSGVO orientieren soll, soweit die Verarbeitung personenbezogener Daten betroffen ist.

• die Orientierung des Bußgeldrahmens an Art. 83ff DSGVO

 

ePrivacy, DSGVO und Co. – Was bisher geschah

Für die 2009 überarbeitete “EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation”, die sogenannte ePrivacy-Richtlinie, haben sich damals nur einige wenige Spezialist*innen interessiert, vermutlich auch aus dem Grund, dass europäische Richtlinien zunächst an die Mitgliedstaaten und nicht an die einzelnen Unternehmen adressiert sind. Die DSGVO hingegen hat bereits 2016 ihre Schatten vorausgeworfen und für angespannte Unruhe gesorgt, da eine Verordnung im Gegensatz zu den Richtlinien unmittelbar geltendes Recht darstellt und so ohne gesetzgeberische Zwischenschritte von allen Unternehmen zu befolgen war und ist. Vom Großkonzern bis zum Kaninchenzüchter*innenverein – und nicht zuletzt in der digitalen Beratungsbranche – war die Unsicherheit groß: Kann ich überhaupt noch Daten erheben? Muss ich wirklich schon für kleine Vergehen 4% meines Jahresumsatzes als Strafe zahlen? Gleicht das Bemühen um “echte” DSGVO-Compliance nicht einer Sisyphos-Aufgabe a.k.a. PDCA-Zyklus, die aufgrund mangelnder Orientierungshilfen schlechterdings mit einem hohen Frustrationspotenzial verbunden und möglicherweise am Ende noch nicht einmal im Interesse der Verbraucher*innen ist? Und wann kommen endlich verbindliche Aussagen, was denn nun noch erlaubt ist und was nicht?

Wie wir heute wissen, wurde alles etwas heißer gekocht als gegessen. Schließlich blieb die mit dem Geltungsbeginn der DSGVO (Mai 2018) befürchtete Welle an Abmahnungen und Sanktionen aus. Dennoch lassen nicht nur die in Deutschland vereinzelt verhängten Geldbußen, sondern insbesondere das zwischenzeitlich auch gerichtlich bestätigte Bußgeld der französischen Aufsichtsbehörde (CNIL) gegenüber Google in Höhe von 50 Mio. € aufhorchen und gerade die Online-Branche einen verstohlenen Blick zu unseren französischen Nachbarn werfen, die offenbar wesentlich rigoroser durchgreifen als ihre Pendants anderswo in Europa.

 

Beim Datenschutz bleibt es spannend.

Die bisher weitgehende Kulanz der deutschen Datenschutzbehörden sollte uns jedoch nicht zu sehr in Sicherheit wiegen. Einerseits ist auf der praktischen Ebene für viele Anwendungsfälle noch immer eine gewisse Unsicherheit im Hinblick auf datenschutzrelevante Sachverhalte zu konstatieren, z.B.: Was ist beim Tracking die sogenannte “Reichweitenmessung”? Das ist eine nicht ganz unerhebliche Frage vor dem Hintergrund, da je nach Differenzierungsparameter entweder eine Einwilligung einzuholen ist oder nicht. Wo fängt das Tracking an und wo hört die “bloße” Reichweitenmessung auf? Wieviel Nudging ist beim Consent Banner erlaubt, ohne dass die Freiwilligkeit der Einwilligung bezweifelt werden muss? Andererseits schwebt auf der gesetzgeberischen, (noch) theoretischen Ebene das Damokles-Schwert der ePrivacy-Verordnung über unser aller Köpfen: Die einen sagen, sie wird noch strenger als die DSGVO, andere sagen, sie wird wesentlich liberaler, wieder andere sagen, dass die ePrivacy-Verordnung ohnehin nicht kommen wird, da die Richtlinie schon so veraltet ist und gar keine Wirksamkeit für die neuen digitalen Fragen unserer Zeit hat. Das Thema der künstlichen Intelligenz beispielsweise spielte zum Zeitpunkt des Entstehens (2002 bzw. 2009) keine so große Rolle wie heute. Gerade wird in der EU zwar über einen Kompromiss der ePrivacy-Verordnung verhandelt, der die Diskrepanz zwischen digitaler Lebenswirklichkeit und den veralteten Richtlinien etwas schließen soll. Fraglich bleibt aber auch hier, ob das Ergebnis dieser Verhandlungen den aktuellen Anforderungen genügen kann. Zumindest befindet sich die ePrivacy-VO im Arbeitsprogramm der EU-Kommission für das Jahr 2020. Es bleibt zu hoffen, dass unter deutscher EU-Ratspräsidentschaft ein tragfähiger Kompromiss gelingt, allerdings scheint Deutschland selbst nicht mehr warten zu wollen.

 

Cookie-Leaks – Was es mit dem neuen deutschen Datenschutzgesetz auf sich hat

Die Nachricht schlug in Datenschutz-Kreisen ein wie eine Bombe! Am Freitag, 31.07.2020, ist ein Dokument aus dem deutschen Bundesministerium für Wirtschaft und Energie (BMWi) geleakt worden, das nichts geringeres ist als der Entwurf eines deutschen Datenschutzgesetzes mit dem sehr eingängigen Titel: „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetzes und weiterer Gesetze“.

Das Herzstück des Entwurfs ist der Vorschlag für ein echtes, eigenes, modernes, Bürger*innen- und Wirtschafts-freundliches deutsches Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien, oder “kurz” gesagt: Telekommunikations-Telemedien-Datenschutz-Gesetz oder noch kürzer: TTDSG oder derzeit korrekter: TTDSG-E, wobei das “-E” für das Entwurfsstadium steht.

Seit Einführung der DSGVO schiebt Deutschland es hinaus, das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG) an die Rahmenbedingungen der DSGVO anzupassen, vor allem in dem Bereich, der FELD M und unsere Kund*innen am meisten interessiert: Dem Nutzer*innentracking. Gleichzeitig sollen die Cookie-Bestimmungen aus der ePrivacy-Richtlinie in Abstimmung mit der DSGVO endlich in deutsches Recht übertragen werden.

Diese als TTDSG-E geplante, eierlegende Wollmilchsau des Datenschutzes wird uns von nun an vermutlich für viele Monate (und Jahre?) beschäftigen. Meinen ersten Eindruck über die anstehenden Neuerungen möchte ich nun kurz zusammenfassen:

 

Neues von Altmaier – Datenschutz-Neuerungen aus dem BMWi

Ziel des Gesetzes

Grundsätzlich war vieles von dem, was nun in den Gesetzesentwurf Eingang fand, auch so zu erwarten, da es sowohl die gesetzlichen Vorgaben der ePrivacy-Richtlinie und der DSGVO als auch die Konkretisierung derselben durch  die jüngsten Urteile des EuGH und des BGH aufgreift und konsolidiert.

Im Referentenentwurf des neuen Datenschutzgesetzes ist eingangs von der Absicht zu lesen, dass “funktionierende Geschäftsmodelle weder beeinträchtigt noch Innovationen in der digitalen Welt behindert werden, insbesondere mit Blick auf das Internet der Dinge und die Marktposition kleiner und mittlere Unternehmen sowie Start-ups im Online-Handel gegenüber den großen den Markt dominierenden Unternehmen.” Demnach will das BMWi das Datenschutzrecht so gestalten, dass es für Endnutzer*innen von Online-Diensten wie auch für die Wirtschaft möglichst verträglich ist. So weit, so gut.

 

Jetzt geht’s ans Eingemachte: Cookies und Einwilligungen

Absehbar war in jedem Fall die Anpassung des TKG und TMG infolge des EuGH-Urteils-planet49 und seiner Bestätigung durch den BGH, nachdem die deutschen Aufsichtsbehörden zuvor schon im März 2019 in ihrer Orientierungshilfe für Anbieter von Telemedien die §§ 12ff. TMG als nicht richtlinienkonform erachtet haben. Die juristischen Feinheiten der vom BGH offenbar als möglich erachteten richtlinienkonformen Auslegung des § 15 TMG und der Begründung der Aufsichtsbehörden, warum dies eigentlich nicht möglich sein soll, soll uns an dieser Stelle im Hinblick auf den Gegenstand dieses Beitrags nicht weiter interessieren. Das TTDSG-E übernimmt die Ergebnisse der o.g. Urteile in Bezug auf die Anforderungen an eine wirksame Einwilligung wie sie uns bereits bekannt sind und stellt zudem als Grundregel für das “Speichern von Informationen auf Endeinrichtungen des Endnutzers oder de[n] Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind” das Erfordernis einer informierten Einwilligung auf. (vgl. § 9 Abs. 1 TTDSG-E)

Vom grundsätzlichen Einwilligungserfordernis soll allerdings wie bisher auch schon die Speicherung solcher Informationen, die technisch für die Erbringung des Dienstes erforderlich sind, ausgenommen sein. Zudem – und das ist in dieser Klarheit neu – soll eine Einwilligung auch dann nicht erforderlich sein, wenn die Speicherung oder der Zugriff vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen oder die Verarbeitung  zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist. (vgl. § 9 Abs. 2 TTDSG-E)

Nicht ganz neu ist der Vorschlag, die Endnutzer*innen könnten die Einwilligung auch erklären, indem sie eine dafür vorgesehene Einstellung des Browsers oder eine andere Anwendung auswählen. (vgl. § 9 Abs. 4 TTDSG-E)

Aus dem Vorgenannten ergeben sich verschiedene Fragestellungen.

• Zum Einen die Frage, inwiefern die Vertragsgestaltung damit künftig als zusätzliches Instrument zur Herstellung einer rechtmäßigen Verarbeitung herangezogen wird bzw. werden kann. Es ist absehbar, dass eine entsprechende Regelung Datenschutz-Expert*innen und Anwält*innen auf den Plan ruft und hier möglicherweise innerhalb kurzer Zeit neue Best-Practices in der Vertragsgestaltung entstehen könnten.
• Andererseits ist die Rückbesinnung auf die Browsereinstellung als Ausdrucksmöglichkeit autonomer Willensbildung der betroffenen Personen ein spannender Punkt, den bereits ErwGr. 66 zur sog. Cookie-Richtlinie von 2009 in seinem Satz 3 vorstellt: „Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“ Die Browsereinstellungen, die man auch als “Do-Not-Track”(DNT)-Funktion kennt, könnten die Cookie-Banner, die nicht nur vielen Website-Betreiber*innen, sondern eben auch  den Nutzer*innen ein Dorn im Auge sind, nach und nach verschwinden lassen. Auch schon in den letzten Jahren gab es viele Befürworter*innen. Im Januar 2019 wurde das DNT-Standardisierungsgremium beim W3C geschlossen, ohne dass der Status eines W3C-Standards erreicht wurde. Als Gründe wurden für diesen Schritt die nicht ausreichenden Implementierungszahlen und fehlende Anzeichen für die Unterstützung von DNT seitens der Browser-Hersteller und anderer Beteiligter angegeben. Die Realität hat die Welt der Webanalyse also gelehrt, dass die DNT-Einstellung kaum berücksichtigt wurde, weshalb einige Browser-Anbieter sie nach und nach auch wieder entfernten. Die aktuellen Entwicklungen lassen erwarten, dass die Browser die Do-Not-Track-Funktionalität wieder anbieten.

Ein klares Argument für die globale Browser-Einstellung ist sicher, dass eine Differenzierung der Cookie-Zwecke auf dieser Flughöhe nicht zwingend notwendig ist. Nach wie vor ist es für die Anforderungen an die Setzung von Cookies irrelevant, ob die durch die Cookies erhobenen und gespeicherten Daten personenbezogen sind. Daher kann diese Entscheidung auch ohne Präzisierung auf Zwecke und Art der Daten erfolgen.

Zwei zentrale Fragen bleiben aber auch nach diesen Neuerungen aus dem vorliegenden Entwurf:

• Erstens die Frage, inwiefern die Anbieter*innen von kostenlosen Diensten ihre Nutzer*innen dazu “zwingen” können, Cookies zuzulassen und damit ihre Informationen und Dienste nur bei Einwilligung zugänglich zu machen und
• zweitens treibt uns, unsere Kund*innen und CMP-Partner*innen die Frage um, wie die Zukunft der Consent-Management-Plattformen aussieht.

Bezüglich der ersten Frage wird im Rahmen der ePrivacy hier noch um einen europäischen Kompromiss gerungen. Das TTDSG-E hingegen legt nahe, dass zukünftig verstärkt auf alternative Rechtsgrundlagen wie z.b. Verträge in Form von Nutzungsbedingungen zurückgegriffen wird. Zur Beantwortung der Frage nach der Zukunft der Consent-Management-Plattformen (CMP) möchte ich im Folgenden mit meiner persönlichen Einschätzung eine Möglichkeit vorstellen.

 

Die CMP ist tot – Lang lebe die CMP!

Die meisten Firmen haben in den letzten zwei Jahren einen Prozess zur Implementierung einer Consent-Management-Plattform durchlaufen. Tool-Auswahl, Implementierung, Bannergestaltung sowie Opt-In-Optimierung und Auswertung der Consent-Daten haben Zeit und Budget in Anspruch genommen. Auch jetzt befinden sich noch viele Firmen mitten im Findungs-, Auswahl- oder Implementierungsprozess.

Nach den neuesten Entwicklungen steht nun die folgende Frage im Raum: Wenn die Rechtmäßigkeit der Verarbeitung  über vertragliche Kniffe oder über die Einwilligung mittels Browsereinstellung hergestellt werden kann, und ersteres für die Website-Betreiber*innen vermutlich höhere Opt-In-Raten bedeutet und zweiteres die Nutzer*innen vom Zwang zum Bannerklick befreit, braucht es dann überhaupt noch Consent Management Plattformen?

Der Gesetzesentwurf ist neu und welche Bestimmungen letztlich in ein Gesetz einfließen bzw. welche Best-Practices sich dann herauskristallisieren, steht noch in den Sternen. Allerdings ist meine Einschätzung, dass die Einwilligungen über das Banner nach wie vor die beste Lösung darstellen.

Das Permission-Marketing ist zu einer immer wichtigeren Komponente des Marketings geworden und sein Siegeszug hält an. Der vermeintliche Zwang zur Einführung eines Banners ist eben nicht nur notwendiges Übel, sondern eine gute Möglichkeit, mit den Nutzer*innen der Seite direkt zu kommunizieren über das, was sie ganz persönlich betrifft, nämlich den Umgang mit den eigenen Daten. So kann das Einholen von Consent als vertrauensbildende Maßnahme gesehen werden, die auf ein Markenversprechen mit Wohlfühlcharakter einzahlt. Transparenz, Sicherheit, Individualität und hohe Datenschutzansprüche sind Werte, die über ein solches Banner vermittelt werden können und nicht zuletzt dem so oft bemühten Recht auf informationelle Selbstbestimmung und Vertraulichkeit der (elektronischen) Kommunikation zur vollen Entfaltung verhelfen.

Neben der vertrauensbildenden Wirkung können Firmen durch einen eigenen Banner auf der Seite auch die globale “Do-Not-Track”-Funktion aufheben, da der Consent auf der einzelnen Website den individuellen Willen der Besucher*innen immer präziser abbilden wird als der vermutlich ein einziges Mal gegebene oder abgelehnte Consent in den Browsereinstellungen. So können mit Banner nach wie vor mehr Daten erhoben werden, vor allem wenn im Banner gut kommuniziert wird, Mehrwerte aufgezeigt werden und es sich um eine vertrauenswürdige Marke handelt.

Ein realistisches Szenario ist auch, dass die Cookie-Banner zwar kurzfristig verschwinden könnten, die Websitebetreiber*innen jedoch nach der Überprüfung des Browser-Consent-Status im Falle der Nicht-Einwilligung ein Pop-Up einsetzen werden, um die Nutzer*innen der Website darauf hinzuweisen, wie die Browsereinstellungen angepasst werden können und warum die Einwilligung hier sinnvoll ist. Damit bleibt die “Belästigung” der Nutzer*innen durch Banner erhalten, nur dass es für die Nutzer*innen einen weiteren Schritt bedeuten würde, erst in die Browsereinstellungen zu wechseln. Dieses Szenario zeigt, dass bei Nicht-Einwilligung im Browser das bisherige Cookie-Banner kaum abgelöst werden wird, wenn Website-Betreiber*innen relevante Marketingdaten erheben wollen.

Da die Do-Not-Track-Funktion ebenfalls schon in der ePrivacy-Richtlinie berücksichtigt wurde und nur kurzzeitig bei Browser-Anbieter und den Nutzer*innen Beachtung fand, bleibt offen, ob eine Niederschrift in deutsches Gesetz die Relevanz der Browsereinstellungen nun maßgeblich verbessern kann und die Umsetzung überhaupt glückt. Auf den Einsatz einer Consent-Management-Plattform würde ich jedenfalls vorerst und vermutlich auch langfristig nicht verzichten.

 

Standortdaten

Auch Standortdaten und Geo-Locations finden Eingang ins TTDSG-E. Deren Erhebung solle ebenfalls nur bei vorliegender Einwilligung geschehen, außer die Erhebung ist zur Ausführung eines gewünschten Dienstes erforderlich. Das TTDSG-E sieht vor, dass Geo-Informationen anonymisiert und die Nutzer*innen von mobilen Devices per „Textmitteilung an das Endgerät“ darüber informiert werden müssen, wenn der genaue Standort erhoben wurde. Diese Regelung könnte das Aus für standortbasierte Werbung in Deutschland bedeuten.

 

Neuverteilung der Zuständigkeiten und Orientierungen

Ein Blick in den Teil 4 des TTDSG-E zeigt, dass sich die Höhe der Geldbuße und der Umgang mit Ordnungswidrigkeiten im Wesentlichen nach den Vorgaben der DSGVO richten soll. § 27 TTDSG-E sieht eine geteilte behördliche Zuständigkeit im Hinblick auf die Durchsetzung des TTDSG vor. So soll die Aufsicht über die Einhaltung solcher Normen, die den Schutz personenbezogener Daten betrifft dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) obliegen. Die Bundesnetzagentur (BNetzA) soll ex negativo für alle Bestimmungen zuständig sein, die nicht den Schutz personenbezogener Daten betreffen.

 

Weitere Inhalte und Ausblick

Ebenfalls Eingang in das Gesetz werden Regelungen zu sogenannten PIMS (= Personal- Information-Management-Systemen) finden (eine ausführliche Behandlung dieser würde locker einen eigenen Artikel füllen) sowie zu hörenden und sehenden Devices wie beispielsweise Smart Speaker, die künftig Audiomitschnitte nur noch erstellen dürfen, wenn die Nutzer*innen unter anderem über den Start- und Endzeitpunkt der Aufnahmen informiert werden.

Grundsätzlich ist für das Gesetz keine Übergangsfrist vorgesehen. Nach Art. 25 TTDSG-E soll es direkt am Tag nach der Verkündung gelten – dafür angesetzt ist der 21. Dezember 2020. Das wäre ein höchst ambitionierter Zeitplan und ich würde vorsichtig bezweifeln, dass es bei diesem Zieldatum bleibt. Allerdings mahnt uns die Möglichkeit durchaus, den Entwurf ernst zu nehmen, die Entwicklungen intensiv zu verfolgen und etwaige anstehende Entscheidungen zu treffen.

Der Gesetzesentwurf ist umfangreich, daher habe ich mich in diesem Artikel zunächst auf die Punkte konzentriert, die für FELD M und unsere Kund*innen am wichtigsten sind. Updates und Informationen zu weiteren Inhalten, werden je nach Aktualität auf unserem FELD M Blog aufgegriffen und behandelt. Über Feedback, Fragen und Ideen für weitere Fragestellungen, die wir auf unserem Blog behandeln sollen, freue ich mich in den Kommentaren!