Den Fortschritt der ePrivacy-Verordnung
Wir schauen uns den Fortschritt der ePrivacy-Verordnung an und prüfen, ob sich der neueste Entwurf vom derzeitigen Stand der Dinge in Bezug auf Cookies und Direktmarketing unterscheidet.
Die ePrivacy Directive 2002 (Richtlinie), die zuletzt 2009 geändert wurde (im Vereinigten Königreich durch die Privacy and Electronic Communications Regulations oder PECR, ebenfalls fünfmal geändert), deckt den Universaldienst und die Nutzerrechte in Bezug auf elektronische Kommunikationsnetze und -dienste ab. Für die Mehrheit der Unternehmen befassen sich die wichtigsten Elemente mit der Verwendung von Cookies und ähnlichen Technologien sowie mit Regeln für das elektronische Marketing. Die Anbieter von Kommunikationsnetzen und -diensten müssen auch die Sicherheits- und Datenschutzverpflichtungen einhalten.
Der ursprüngliche Vorschlag | ePrivacy-Verordnung
Die Europäische Kommission hat im Rahmen ihrer Initiative zum digitalen Binnenmarkt einen Vorschlag für eine ePrivacy-Verordnung (Verordnung) zur Überarbeitung der Richtlinie und zur Harmonisierung der Anwendung in der gesamten EU veröffentlicht. Ursprünglich war beabsichtigt, dass die Verordnung gleichzeitig mit der Allgemeinen Datenschutzverordnung (DSGVO) am 25. Mai 2018 in Kraft tritt, aber das sah immer ehrgeizig aus, und es ist nun wahrscheinlich, dass die Verordnung nicht vor den Europawahlen im Mai 2019 fertig gestellt wird.
Der erste Vorschlag für eine ePrivacy-Verordnung wurde im Januar 2017 veröffentlicht. Es:
- Gilt für “over the top”-Dienstleister wie WhatsApp, Facebook, Gmail und Skype und nicht nur für Telekommunikationsdienstleister.
- Er hat die Form einer Verordnung und nicht einer Richtlinie.
- Betrifft sowohl Inhalte als auch Metadaten aus der elektronischen Kommunikation – beide müssen anonymisiert oder gelöscht werden, wenn die Nutzer nicht zugestimmt haben, es sei denn, dies ist für Abrechnungszwecke erforderlich.
- Bietet traditionellen Telekommunikationsanbietern mehr Spielraum für die Nutzung von Daten und die Bereitstellung zusätzlicher Dienste, vorbehaltlich einer entsprechenden Zustimmung.
- Optimiert die Regeln für Cookies – die Zustimmung zu Cookies kann über die Browsereinstellungen erteilt werden, und die Zustimmung ist nicht erforderlich, wenn nicht vertrauliche, eindringliche Cookies das Interneterlebnis verbessern und Cookies gesetzt werden, um Besucher einer Website zu zählen.
- Verbietet unaufgeforderte elektronische Direktmarketing-Kommunikation an Verbraucher mit allen Mitteln, einschließlich Telefonanrufen, wenn die Nutzer keine Einwilligung erteilt haben, es sei denn, es gelten Ausnahmen.
- Ermöglicht es den Mitgliedstaaten, zu verlangen, dass Marketinganrufer ihre Telefonnummer angeben oder eine spezielle Vorwahl verwenden.
- Verbessert die Durchsetzung, unter anderem durch die Anpassung der Sanktionen bei Nichteinhaltung an die im Rahmen der DSGVO.
Vom Rat vorgenommene Änderungen | ePrivacy-Verordnung
Inmitten umfangreicher Lobbyarbeit veröffentlichte die derzeitige österreichische Ratspräsidentschaft der Europäischen Union im Juli 2018 einen überarbeiteten Entwurf mit einigen wesentlichen Änderungen. Die Vorschläge vom Juli schlugen vor, die ursprünglichen Anforderungen um Informationen, die den Benutzern über Cookies von Drittanbietern zur Verfügung gestellt werden müssen, zu verwässern und die Anforderungen, die Benutzer zur Auswahl von Datenschutzeinstellungen zu veranlassen, wenn neue Datenschutzoptionen verfügbar sind. Der Vorsitz erklärte, dass die ursprünglichen Vorschläge nicht praktikabel seien und zu einer “consent fatigue” führen würden.
Die Vorschläge vom Juli 2018 enthielten auch weitere Ausnahmen vom Verbot, Cookies unter bestimmten Umständen zu löschen, z.B. für Betrugsbekämpfung, Sicherheit und statistische Zwecke, oder wenn die Nutzer die Wahl haben, die Dienste mit oder ohne Cookies zu nutzen, die ihre personenbezogenen Daten erfassen.
Die zum Zeitpunkt der Erstellung des Dokuments letzten Änderungen wurden am 19. Oktober 2018 veröffentlicht, mit weiteren Änderungen am Juli-Entwurf, insbesondere an den Artikeln 6 (Zulässige Verarbeitung) und 10 (Schutz der Endgeräte der Endverbraucher).
Es wird davon ausgegangen, dass Österreich nicht mehr tun will, als eine Statusaktualisierung herauszugeben, bevor es die Akte im Januar 2019 an den rumänischen Ratsvorsitz übergibt. Sobald der Rat seinen Standpunkt festgelegt hat, werden die Verhandlungen mit dem Europäischen Parlament aufgenommen, sofern sie ihren eigenen Standpunkt festgelegt haben. Aufgrund der Unterbrechung der Wahlen bedeutet dies, dass die ePrivacy-Verordnung höchstwahrscheinlich nicht vor 2020 in Kraft treten wird.
Wie sieht der Standpunkt im letzten Ratsentwurf aus?
In Bezug auf Zustimmung, Cookies und Direktmarketing schlägt der jüngste Entwurf des Europäischen Rates Folgendes vor. Der endgültige vereinbarte Standpunkt des Rates wird die Grundlage für die Verhandlungen mit dem Europäischen Parlament bilden.
Cookie Consent Manager | 2-wöchige kostenlose Testversion
Starten Sie eine 2-wöchige kostenlose Testversion für unsere kostenpflichtigen Pläne oder erstellen Sie ein Kostenloses Konto. …
Einwilligung | ePrivacy-Verordnung
Die Bestimmungen über die Zustimmung nach der DSGVO gelten für natürliche und juristische Personen (d.h. Einzelpersonen und Unternehmen) nach der Verordnung. Das bedeutet, dass die Zustimmung freiwillig erteilt, informiert, konkretisiert und durch ein klares, positives Handeln eindeutig auf die Wünsche des Einzelnen hingewiesen werden muss. Während die DSGVO-Definition der Einwilligung seit dem 25. Mai 2018 für die Datenschutzrichtlinie ePrivacy gilt, hat die Richtlinie ursprünglich die Definition in der Datenschutzrichtlinie 1995 verwendet (frei gegeben, spezifisch und informiert).
Die Auswirkungen der strengeren Zustimmungshürde in Bezug auf die Marketingkommunikation dürften jedoch zum Zeitpunkt des Inkrafttretens der Verordnung weniger stark spürbar sein, da die meisten Unternehmen bis dahin daran gewöhnt sein sollten, die Zustimmung im Rahmen der DSGVO zu berücksichtigen. Etwas weniger deutlich ist die Situation in Bezug auf die Zustimmung zu Cookies.
Cookies (und andere ähnliche Technologien) | ePrivacy-Verordnung
Nach der neuesten Fassung von Artikel 8 der Verordnung ist die Verwendung von Technologien wie Cookies zum Sammeln von Informationen aus den “Endgeräten” (Geräten) der Endverbraucher oder zur Nutzung der Verarbeitungs- und Speichermöglichkeiten dieser Geräte verboten, es sei denn, es handelt sich um eine solche:
- Sie ist ausschließlich für den Zweck der Übertragung einer elektronischen Kommunikation erforderlich;
- Der Endverbraucher hat seine Zustimmung gegeben;
- Sie ist notwendig, um einen vom Endverbraucher gewünschten “Dienst der Informationsgesellschaft” bereitzustellen;
- Sie ist notwendig für die Publikumsmessung (mit Einschränkungen);
- Sie ist notwendig für die Sicherheit, die Betrugsbekämpfung oder die Aufdeckung technischer Mängel in befristeter Form;
- Dies ist für ein Software-Update erforderlich (vorbehaltlich zusätzlicher Anforderungen); oder
- Es ist notwendig, Endgeräte als Reaktion auf eine Notfallkommunikation zu lokalisieren.
- Beachten Sie, dass es auch Anforderungen an das Sammeln von Informationen zur Geräteverbindung gibt, die außerhalb des Geltungsbereichs dieses Artikels liegen.
Nach der alten Definition von Zustimmung gab es einige Unklarheiten darüber, ob die Zustimmung zu Cookies und ihren Entsprechungen implizit (Opt-out) oder explizit (Opt-in) erfolgen könnte, wobei die EU-Mitgliedstaaten unterschiedliche Ansätze verfolgen. Es ist klar, dass die Einwilligung nun einen eindeutigen Hinweis auf die Wünsche der betroffenen Person geben muss, so dass Untätigkeit oder Schweigen unzureichend sein werden, aber Fragen zur Erfassung der konkreten Einwilligung bleiben.
Nach dem jüngsten Verordnungsentwurf des Rates kann (muss aber nicht) die Zustimmung zum Setzen von Cookies auf Endgeräten durch Browsereinstellungen oder, wie es im Verordnungsentwurf heißt, “die geeigneten technischen Einstellungen einer in Verkehr gebrachten Software, die elektronische Kommunikation ermöglicht, einschließlich des Abrufs und der Präsentation von Informationen im Internet” ausgedrückt werden. Die so gesammelte Zustimmung muss nicht die Person identifizieren, sondern kann mit einem technischen Protokoll nachgewiesen werden.
In früheren Entwürfen enthielt Artikel 10 die Anforderung, dass Software (einschließlich Browser) die Möglichkeit bietet, zu verhindern, dass Dritte Informationen auf Endgeräten speichern. Bei der Installation musste der Endbenutzer über die Optionen der Datenschutzeinstellungen informiert werden und seine Einstellungen auswählen, um die Installation abzuschließen. In Bezug auf bestehende Software mussten die Datenschutzoptionen zum Zeitpunkt des ersten Updates und auf jeden Fall bis zu einem Longstop-Datum vorgelegt werden. Der Europäische Datenschutzbeauftragte hatte sich für diese (und möglicherweise weitere) Anforderungen an die Granularität der technischen Einstellungen eingesetzt, um eine Benutzerkontrolle zu ermöglichen, und für eine Anforderung, dass die Datenschutzeinstellungen standardmäßig auf dem höchsten Niveau eingestellt werden sollten. Keines dieser Elemente ist in dem vorliegenden Entwurf enthalten, der den ursprünglichen Artikel 10 in seiner Gesamtheit gestrichen hat.
Die Cookie-Regeln in der Verordnung sind viel sinnvoller, wenn Artikel 10 einbezogen wird. Nach der DSGVO ist der Datenschutz durch Design und Standard erforderlich. Das bedeutet, dass die Datenschutzeinstellungen standardmäßig auf den höchsten Wert gesetzt werden müssen. Eine mögliche Auslegung dieser Anforderung ohne Artikel 10 besteht darin, dass Browser am Tag des Inkrafttretens der Verordnung die Cookies standardmäßig ablehnen müssen, es sei denn, sie fallen unter eine Ausnahmeregelung zur Zustimmungspflicht. Aber was ist, wenn der Benutzer nichts tut, um dies zu ändern? Websites können die Browsereinstellungen selbst nicht überschreiben, und es sind die Browser, die von Fall zu Fall um eine besondere Zustimmung bitten müssten. Obwohl Firefox über ein Plugin verfügt, mit dem Sie Cookies ablehnen, auf einer bestimmten Website für eine bestimmte Sitzung akzeptieren oder dauerhaft für eine bestimmte Website akzeptieren können, erreichen nicht alle Browser diese Granularität. Ohne sie ist es unwahrscheinlich, dass die Einstellung von Cookies über Browser weder den gesetzlichen noch den kommerziellen Anforderungen entspricht.
Es ist auch schwer zu erkennen, wie die Browsereinstellungen die Anforderung erfüllen könnten, dass die Zustimmung ohne signifikante Granularität spezifisch ist. Die meisten aktuellen Browsereinstellungen können verwendet werden, um allgemeine Arten von Cookies mit Ja oder Nein zu kennzeichnen oder Sie aufzufordern, sich selbst zu entscheiden, aber ohne individuell mit Websites umzugehen, würde die Zustimmung zu einer bestimmten Art von Cookie auf allgemeiner Basis die Anforderung erfüllen, dass die Zustimmung spezifisch ist?
Die Verordnung in ihrer neuesten Fassung lässt eine Reihe von Fragen zu Cookies unklar. Das wahrscheinlichste Ergebnis ist, dass Websites, ohne ausreichend ausgeklügelte Browseroptionen, die zum Industriestandard werden, ihre eigenen Cookies weiterhin über Banner und Pop-ups verwalten müssen, anstatt sich auf Browser zu verlassen, die dies tun. Klar ist, dass für alle Cookies, die nicht unter eine der Ausnahmeregelungen fallen, nun eine Opt-in-Zustimmung erforderlich ist.
Sind Sie eine Agentur, ein Webdesigner oder ein anderer potentieller Reseller?
Verdienen Sie 30% Provision, werfen Sie einen Blick auf unser Reseller-Modell oder kontaktieren Sie uns für Kundenzahlen über 500
Unerwünschte und direkte Marketingkommunikation | ePrivacy-Verordnung
Die Richtlinie verbietet die Verwendung von automatisierten Anrufen, Faxen (was ist das noch einmal?) oder E-Mails für Direktmarketingzwecke ohne Zustimmung, es sei denn, im speziellen Fall von E-Mails, in denen der Teilnehmer bereits Waren oder Dienstleistungen von dem Unternehmen erhalten hat, in diesem Fall können sie elektronisches Marketing für ähnliche Produkte und Dienstleistungen erhalten, solange zum Zeitpunkt der Erfassung der Daten und bei jeder Kommunikation ein Recht auf Widerspruch besteht. Darüber hinaus sind die Mitgliedstaaten verpflichtet, dafür zu sorgen, dass kostenlose, unaufgeforderte, nicht-elektronische Direktmarketing-Kommunikation entweder die Zustimmung der Person erfordert oder es Einzelpersonen ermöglicht, sich vom Empfang auszuschließen.
Mit dem jüngsten Verordnungsentwurf des Rates wird ein ähnliches Verbot für die Nutzung elektronischer Kommunikationsdienste für den Versand von Direktmarketing-Mitteilungen an “natürliche Personen” verhängt. Sie definiert Direktmarketing-Kommunikation als “jede Form von Werbung, ob schriftlich oder mündlich, die an einen oder mehrere identifizierte oder identifizierbare Endnutzer von elektronischen Kommunikationsdiensten gesendet wird, einschließlich der Durchführung von Sprach-zu-Sprache-Anrufen, der Verwendung automatisierter Anruf- und Kommunikationssysteme mit oder ohne menschliche Interaktion, elektronischer Nachrichten usw.”.
Weitere Anforderungen an das elektronische Marketing im neuesten Entwurf sind: Wer elektronisches Direktmarketing sendet, muss auch eine Rufnummer angeben, unter der er erreichbar ist. Der Absender ist auch verpflichtet, sich mit Rücksendeadressen oder -nummern zu identifizieren, die Marketingkommunikation als Marketing zu identifizieren und natürlichen Personen die Möglichkeit zu geben, der Einwilligung zu widersprechen oder sie zurückzuziehen. Die Mitgliedstaaten haben das Ermessen, natürliche Personen, die sich nicht gegen den Empfang solcher Anrufe entschieden haben (wobei das allgemeinere Verbot des Direktmarketings an Einzelpersonen ohne Zustimmung aufgehoben wird), von Direktmarketing-Anrufen Gebrauch zu machen, und zu verlangen, dass alle Direktmarketing-Anrufe einen eigenen Code oder eine eigene Vorwahl haben, um sie als solche zu identifizieren.
Im Zusammenhang mit dem B2B-Marketing steht die Situation den Mitgliedstaaten gemäß der geltenden Richtlinie offen. Die Mitgliedstaaten sind verpflichtet, dies sicherzustellen: “die berechtigten Interessen anderer Teilnehmer als natürlicher Personen in Bezug auf unerbetene Nachrichten ausreichend geschützt sind”. Das Vereinigte Königreich hat dies so verstanden, dass für das B2B-Marketing keine Opt-in-Zustimmung erforderlich ist (vorbehaltlich bestimmter Ausnahmen, z.B. Einzelunternehmer). Dies gilt auch dann, wenn persönliche Namen in geschäftlichen E-Mail-Adressen enthalten sind. Andere Mitgliedstaaten haben jedoch nicht zwischen B2B- und B2C-Direktmarketing unterschieden und verlangen für beide eine Opt-in-Zustimmung (und in einigen Fällen eine Präferenz für Double Opt-in).
Der jüngste Entwurf der Verordnung scheint diese Position derzeit zu wahren, da er ähnliche Formulierungen verwendet. Die Mitgliedstaaten “stellen sicher, dass die legitimen Interessen der Endnutzer, die juristische Personen sind, in Bezug auf Direktmarketing-Kommunikation, die auf[elektronische Mittel] gesendet wird, ausreichend geschützt werden. Es ist unklar, ob der Rat beabsichtigt, den Mitgliedstaaten Optionen für das B2B-Marketing offen zu halten, oder ob er der Ansicht ist, dass diese Klausel nur für das Marketing gilt, das an Kontakte gesendet wird, die keine personenbezogenen Daten enthalten, wie beispielsweise info@company.com.
Die Beibehaltung des Wortlauts in der Richtlinie könnte dazu führen, dass das Gericht der Regierungen und möglicherweise die Regulierungsbehörden entscheiden, ob sie zwischen B2C- und B2B-Marketing unterscheiden wollen, und könnte bedeuten, dass es trotz der Tatsache, dass die Vorschriften für das elektronische Direktmarketing von einer Richtlinie zu einer Verordnung übergehen, keine harmonisierte Sichtweise in der gesamten EU geben wird.
Derzeit ist auch unklar, ob das Vereinigte Königreich versuchen wird, seine derzeitige Position bei der Unterscheidung zwischen elektronischem Direktmarketing im B2C- und B2B-Bereich beizubehalten (sofern die Verordnung dies zulässt), oder ob es die Anforderungen an ein Opt-in verschärft, indem es die Zustimmung für das gesamte elektronische Marketing verlangt, sowohl für Einzelpersonen als auch für individuelle Kontakte innerhalb von Unternehmen. Da es unwahrscheinlich ist, dass die Verordnung vor Brexit in Kraft tritt (vorausgesetzt, sie findet wie geplant am 29. März 2019 statt), besteht möglicherweise keine Verpflichtung für das Vereinigte Königreich, seine derzeitige Position im B2B-Marketing auf jeden Fall zu ändern. Sie kann sich jedoch dafür entscheiden, mit der Verordnung (oder mit der Marktpraxis der EU) in Einklang zu stehen, um die Parität mit der EU beim Datenschutz zu wahren.
Was kommt als nächstes zur ePrivacy-Verordnung?
Obwohl wir uns in diesem Artikel hauptsächlich auf den letzten Ratsentwurf konzentriert haben, sollten wir betonen, dass es sich hierbei immer noch um einen Entwurf handelt, der sich durchaus erheblich ändern kann, bevor er in die endgültige Position kommt.
Es ist die Unsicherheit, die für die Unternehmen am schwierigsten war. Die dringlichsten Fragen, die in der endgültigen Fassung der Verordnung geklärt werden müssen, sind der Ansatz für elektronische unaufgeforderte und Direktmarketing-Kommunikation im B2B-Bereich und das Ausmaß, in dem Browser tatsächlich in der Lage sind, Cookie-Zustimmungsanforderungen zu erfüllen.
Es wäre hilfreich gewesen, wenn die Regeln in einer Charge konsolidiert (oder zumindest finalisiert) worden wären. Die Richtlinien und Bedingungen wurden (hätten) bereits überprüft und gegebenenfalls geändert, um die Einhaltung der DSGVO zu gewährleisten. Marketingdatenbanken (sollten) bereinigt werden. Die Zustimmung zum DSGVO sollte bereits dann gelten, wenn man sich auf sie stützt. Diese Prozesse müssen möglicherweise je nach dem, was in der endgültigen Fassung der Verordnung steht, und für britische Unternehmen, wenn sie in Kraft treten, erneut durchlaufen werden.