ePrivacy Update: Kommt das Cookie-Verbot?

Seit dem 25. Mai 2018 gilt die DSGVO (Datenschutzgrundverordnung). Und mit ihr sollte auch die ePrivacy Verordnung in den Startlöchern stehen. Die Verordnung, die elektronische Kommunikation rund um Cookies, Tracking, Adblocker & Co regeln soll, wird aber nach neuesten Meldungen wohl nicht vor 2023/24 kommen. Das heißt, dass dann beispielsweise, Cookies in der bisherigen Form verboten werden. Was sich in Sachen ePrivacy tut, erfahren Sie in unserem Update.

Update Juni 2021: Neuer Vorstoß zum Cookie-Verbot

Über 500 Beschwerden wegen der Verwendung rechtswidriger Cookies gingen Ende Mai 2021 bei verschiedenen Unternehmen ein. Ausgelöst wurde die Beschwerde-Welle von der Organisation Noyb, die damit auf die Problematik der Cookie-Banner aufmerksam machen will. Der österreichische Datenschützer Max Schrems, sitzt im Vorstand von Noyb und erklärte in einem Statement: „Eine ganze Industrie von Beratern und Designern entwickelt verrückte Klick-Labyrinthe, um vollkommen unrealistische Zustimmungsraten zu generieren. Menschen mit Tricks zum Zustimmen zu verführen ist ein klarer Verstoß gegen die Prinzipien der DSGVO.“ Eine verbindliche Regulierung von Cookies, Tracking, Adblocker & Co in Form der ePrivacy Verordnung gibt es derzeit noch nicht. Aktuell befindet sich die ePrivacy Verordnung im Trilog zwischen EU-Rat, EU-Kommission und EU-Parlament. Darin wird unter anderem darüber diskutiert, ob automatische Tools für Browser, über die sich die Datenverarbeitung der Nutzer:innen vorab regeln lässt, in Zukunft verpflichtend werden sollen. Wie es aussieht, wird die ePrivacy Verordnung aber nicht vor 2023/24 in Kraft treten.

Update Juli 2020: Neuer Anlauf bei der ePrivacy Verordnung

Nachdem die Bundesregierung Anfang Juli die EU-Ratspräsidentschaft übernommen hat, will sie nun die ePrivacy Verordnung wiederbeleben. Zuerst sollen die Streitigkeiten rund um Cookies und Metadaten beigelegt werden, um die Grundlage für eine gemeinsame Linie der EU-Mitgliedstaaten zu schaffen. Bezugnehmend auf den im Herbst von Finnland eingereichten Kompromissvorschlag will die Bundesregierung weitreichende Möglichkeiten der Datennutzung für wirtschaftliche Zwecke in Betracht ziehen. Finnland hatte beispielsweise vorgeschlagen, dass Metadaten für Forschungs- oder Statistikzwecke ohne Einwilligung der User:innen verwendet werden dürfen. Werbefinanzierten Nachrichtenseiten sollte es erlaubt sein, User:innen geräte- und webseitenübergreifend ohne Einwilligung zu tracken. Wohin der Weg für „normale“ Seitenbetreiber:innen gehen wird und wann die ePrivacy Verordnung in Kraft treten wird, ist weiterhin unklar. Im Zeitplan des Bundesverbands Digitale Wirtschaft (BVDW), der online abrufbar ist, ist eine Anwendbarkeit nicht vor 2023/2024 vorgesehen.

Update Dezember 2019: ePivacy Verordnung vorerst auf Eis gelegt

Die Mitgliedstaaten der EU konnten sich nicht auf eine gemeinsame Position zur ePrivacy Verordnung einigen und lehnten die Vorschläge der EU-Kommission ab. Mehrere Staaten zweifeln sogar daran, dass eine ePrivacy Verordnung überhaupt notwendig ist. Ob die EU-Kommission versucht, einen Kompromiss zu finden oder gleich einen neuen Vorschlag macht, ist noch nicht klar. Expert:innen tippen jedoch auf Letzteres. Damit liegt die ePrivacy Verordnung auf unbestimmte Zeit auf Eis.

Update: EuGH und BGH erklären Cookies ohne Zustimmung für unzulässig

Lange bestritt Deutschland einen Sonderweg bei der Cookie-Regelung. Die Richtlinien aus Europa wurden großzügig ausgelegt und so konnten Webseitenbetreiber:innen Cookies auf den Rechnern der Nutzer:innen speichern, wenn er diese darüber informierte. Ermöglicht hatte diese Vorgehensweise das deutsche Telemediengesetz. Doch der EuGH und kürzlich auch der BGH erklärten nun die deutsche Regelung für rechtswidrig. Webseiten dürfen demnach nur dann Cookies auf den Rechnern der Nutzer:innen speichern, wenn diese ausdrücklich zugestimmt haben. Werden die Cookie-Daten an Dritte weitergegeben, so müssen die Nutzer:innen darüber informiert werden. Es ist also nicht erlaubt, bei der Cookie-Zustimmung bereits einen Haken zu setzen, den der/die Nutzer:in erst abwählen muss.

Die ePrivacy Verordnung soll die E-Privacy-Richtlinie und die sogenannte Cookie-Richtlinie ersetzen und die DSGVO ergänzen. Sie erstreckt sich auf alle digitalen Dienste. In unserem ursprünglichen Artikel können Sie nachlesen, was es mit der geplanten ePrivacy Verordnung auf sich hatte und worauf sich Webseitenbetreiber:innen und die Werbeindustrie eventuell einstellen müssen:

Update Mai 2018: ePrivacy womöglich erst 2020/21

Momentan sieht es ganz danach aus, als würde sich die Einführung der ePrivacy Verordnung weiter hinauszögern. In seinem Update geht der Bundesverband Digitaler Wirtschaft (BVDW) sogar davon aus, dass sie erst Ende 2019 in Kraft tritt und nach einer Übergangsfrist dann erst im Jahr 2020 - 21 angewendet werden muss.

Am 22. März 2018 hat Bulgarien, das derzeit die EU-Ratspräsidentschaft innehält, einen neuen Entwurf zur ePrivacy-Verordnung vorgestellt. Laut Einschätzung des BVDW ist nicht zu erwarten, dass die EU-Mitgliedstaaten sich noch in der ersten Jahreshälfte auf einen gemeinsamen Standpunkt einigen können. Demnach ist auch mit einem Einstieg in den sogenannten Trilog (Verhandlung der EU-Mitgliedstaaten und der EU-Kommission) nicht vor Ablauf diesen Jahres zu rechnen – und mit einem Inkrafttreten damit frühestens Mitte/Ende 2019. Da das EU-Parlament eine einjährige Übergangsfrist vorgeschlagen hat, müssten Betroffene die ePrivacy-Verordnung dann erst Mitte/Ende 2020 anwenden.

Cookie-Verbot: Was gibt es Neues?

Auch der neueste Entwurf bietet wieder viel Zündstoff – vor allem beim Thema Cookies. Denn hier ist nach wie vor vorgesehen, dass Nutzer:innen jedem Cookie einzeln und nachweisbar zustimmen müssen und sie in den Voreinstellungen ihres Browsers Cookies generell ablehnen können. Ausnahmen soll es lediglich bei notwendigen Cookies für spezifische Dienste (zum Beispiel der Authentifizierung oder dem Warenkorb) geben. Viele Betroffene befürchten dadurch einen Niedergang der Digital-Branche.

Derzeit bleibt Unternehmen und Selbständigen nichts anderes übrig, als sich regelmäßig zu informieren und sich rechtzeitig mit dem Thema „ePrivacy“ zu befassen.

ePrivacy Verordnung: Streit und Verzögerung

Die ePrivacy Verordnung wurde in den vergangenen Monaten heiß debattiert. Verbraucherschützer:innen wollen das höchste Maß an Datenschutz im Netz, Wirtschaftsverbände und Verleger:innen kritisierten die unterschiedlichen Entwürfe der Verordnung und befürchten das Ende vieler digitaler Angebote und den Verlust von Werbeeinnahmen. Wir haben bereits im Artikel „Bis zu 20 Millionen Euro Bußgeld! Selbständige, jetzt reagieren: Die ePrivacy Verordnung kommt!“ darüber berichtet.

Ende Oktober hat das EU-Parlament nun seine Verhandlungsposition bestimmt und dabei mit einer klaren Mehrheit für den nutzerfreundlichsten – und damit strengsten – Entwurf gestimmt. Dieser wird nun im kommenden Jahr im sogenannten Trilog zwischen den Vertretern der Mitgliedstaaten und der EU-Kommission verhandelt. Da diese Verhandlungen langwierig werden können, wird die ePrivacy Verordnung wohl nicht wie geplant im Mai 2018 sondern erst im Jahr 2019 kommen.

ePrivacy: Cookie & Co – diese Änderungen soll es geben

Auch wenn erst die Verhandlungen zeigen, ob die Regeln wirklich so strikt bleiben – wir haben die wichtigsten Änderungen aus dem aktuell wahrscheinlichsten Entwurf in unserem Update zusammengefasst:

Cookies

Bisher lautet die Vorschrift: Cookies sind erlaubt, solange der/die Nutzer:in nicht widerspricht. Wenn die ePrivacy Verordnung in der jetzigen Form kommt, heißt es: Der/Die Nutzer:in muss jedem Cookie einzeln und nachweisbar zustimmen!

Browsereinstellung

Bei der Browsereinstellung soll die datenschutzfreundlichste Voreinstellung Pflicht werden. Dazu gehört auch, dass User:innen zentral in ihrem Browser einstellen können, ob sie Cookies generell ablehnen wollen.

E-Mail-Werbung

Werbemails dürfen wie bisher nur nach vorheriger ausdrücklicher Einwilligung der Empfängerin oder des Empfängers verschickt werden.

Adblocker

In dem aktuellen Entwurf gibt es keine explizite Regelung zu Adblockern. Es soll Nutzer:innen aber frei stehen, Adblocker auf ihren Geräten zu installieren. Website-Betreiber:innen sollen ohne Einwilligung des Nutzers oder der Nutzerin prüfen können, ob diese:r Werbeblocker installiert hat und ihn/sie entsprechend auffordern können, für die Nutzung seiner/ihrer Inhalte den Werbeblocker auszuschalten.

Im Datenschutz up to date bleiben und rechtzeitig absichern

Es bleibt also spannend in Sachen ePrivacy Verordnung. Wir halten Sie natürlich auf dem Laufenden, sobald es zu diesem Thema etwas Neues gibt. Den Stand der Dinge erfahren Sie auch fortlaufend auf der Homepage des Bundesverbands Digitale Wirtschaft (BVDW) e. V.

Auch wenn die Details noch nicht klar sind, dass es in der digitalen Kommunikation zu neuen Datenschutzregeln kommen wird, ist wahrscheinlich. Deshalb lohnt es sich jetzt schon, sich mit dem Thema zu beschäftigen und sich auf dem Laufenden zu halten. Dazu gehört auch, sein Business rechtzeitig dagegen abzusichern, wenn datenschutzrechtlich etwas danebengeht. Denn dann drohen teure Abmahnungen, die im schlimmsten Fall das ganze Business in die finanzielle Schieflage stürzen können.

Die Berufshaftpflichtversicherungen über exali.de bieten die beste Absicherung, individuell auf Ihr Business zugeschnitten. Im Fall einer Abmahnung wegen eines Datenschutzverstoßes prüft der Versicherer zunächst auf eigene Kosten, ob die Ansprüche gerechtfertigt sind und übernimmt im Ernstfall die Schadenersatzzahlung.