Basiswissen

ePrivacy: Die böse Schwester der DSGVO?

eprivacy DSGVO convertus Blog

Das Internet kennt bekanntlich keine Grenzen. Google analysiert unsere E-Mails, Facebook wertet unsere WhatsApp-Kontakte aus, Tracker verfolgen unser Verhalten im Netz und sogar unsere Bewegungen durch Shopping-Malls.
Wer gedacht hat, nach der EU-Datenschutzgrundverordnung (DSGVO) würde Ruhe einkehren, der irrt: Die ePrivacy-Verordnung (E-PVO) kommt:
Keiner weiß genau wann, aber sicher ist, die böse Schwester der DSGVO kommt. Experten sagen, sie sei noch viel weitreichender als die DSGVO und wird wesentliche Änderungen für den Werbemarkt bringen. Aber was genau wird mit der E-PVO reguliert? Zunächst ist es wichtig festzustellen, dass die ePrivacy-Verordnung mehr Unternehmen betreffen wird, als jedes vorangegangene Datenschutzgesetz.

Zum jetzigen Zeitpunkt haben Nutzer oft nicht die Wahl, bzw. wissen gar nicht, wozu genau Aufzeichnungen und Analysen ihres Verhaltens verwendet werden. Das wird sich mit der ePrivacy-Verordnung ändern.

Begriffserklärung:

Ursprünglich sollte die ePrivacy-Verordnung gemeinsam mit der EU-Datenschutzgrundverordnung, am 25. Mai 2018, in Kraft treten. Doch aufgrund von Unstimmigkeiten zwischen EU-Kommission, Parlament und Rat wird es voraussichtlich nicht vor Ende 2018 zu einer Einigung kommen. Die Wirksamkeit ist somit erst Anfang 2020 zu erwarten. In welchem Umfang sie letztendlich beschlossen wird, ist zum jetzigen Zeitpunkt ebenfalls ungewiss.

Die ePrivacy-Verordnung gilt als Ergänzung der Datenschutzgrundverordnung (bzw. im englischen Original die General Data Protection Regulation – GDPR) für die Regelung des “Schutzes personenbezogener Daten in der elektronischen Kommunikation.”
Anders als die DSGVO ist die E-PVO somit nicht für jedes Unternehmen relevant. Lediglich für solche, die Kommunikationsdienstleistungen anbieten wie z.B. Telefon, E-Mails, Chats, Messenger-Systeme oder personalisierte Online-Werbung.

Also was genau ist die ePrivacy-Verordnung?

Bereits 2009 hat der europäische Gesetzgeber einen Versuch unternommen, eine generelle Einwilligungspflicht für Cookies einzuführen (Cookie-Richtlinie). Dieser Versuch ist am Widerstand der Wirtschaft gescheitert. Geblieben sind letztendlich die nervigen Banner. Denn mit der Cookie Richtlinie wurde bestimmt, dass jeder Seitenbetreiber die entsprechende Werbung anzeigen musste. Jeder, der eine Seite aufruft, wird somit erst mal von einem Banner begrüßt. Mit der ePrivacy-Verordnung werden entsprechende Banner wieder verschwinden.

Die Europäische Kommission versucht im Wesentlichen eine gewisse Regulierung dahingehend anzuführen, wie Unternehmen personenbezogene Daten online erfassen dürfen. Sie gibt den Nutzern mehr Schutz ihrer Privatsphäre in der vernetzten Gesellschaft und soll die Vertraulichkeit der digitalen Kommunikation stärken. So zumindest die Theorie…

Die ePrivacy-Verordnung regelt nicht nur Tracking und Cookies. Sie enthält u.a. Vorgaben für Offline-Tracking, Messenger oder E-Mail-Werbung.
Wir haben einige der wichtigsten Punkte der neuen Verordnung zusammengestellt:

Einwilligung zur Datenverarbeitung einholen

Die E-PVO verbietet es, Daten ohne Einverständnis des Nutzers (Opt-in) für kommerzielle Zwecke zu erheben, zu speichern und zu verarbeiten. Bei der Nutzung von Kommunikationsdiensten wie WhatsApp, Facebook-Messenger, oder Facetime hinterlassen wir jede Menge Spuren bzw. Daten.
Im Sinne des Kommunikationsdienstleisters werden diese Informationen analysiert und folglich für Werbemaßnahmen verwendet. Ziel ist zum Beispiel das versenden von personalisierter Werbung. Dafür sind nicht nur Kommunikationsinhalte interessant, sondern vor allem auch die Metadaten – also wer wann wo und wie lange mit wem kommuniziert.
Für die ePrivacy-VO ist es egal, ob es anonyme oder personenbezogene Daten sind, die in einem Cookie gespeichert werden. Der Grund ist, dass der Gesetzgeber die Geräte der Nutzer generell zu einer besonders schützenswerten Privatsphäre erklärt. Die Kommission hat sich so positioniert, dass diese Daten nur dann kommerziell verwertet werden dürften, wenn betroffene Nutzer ihr Einverständnis geben.

Online-Tracking

Wer heutzutage Kommunikationsnetzwerke nutzt und sich nicht absichert, hinterlässt Spuren. Dieses Tracking findet meist ohne Wissen oder Zustimmung der Nutzer statt. mit der ePrivacy-Verordnung sollen Nutzer durch Einstellungen in ihrem Browser oder Smartphone-Betriebssystem einfach und rechtsverbindlich angeben können, ob sie einem solchen Tracking zustimmen oder nicht (Do Not Track).

⇒Exkurs: Do not Track
Die geforderte Funktion “Do not Track” ermöglicht Nutzern, Werbetreibenden zu sagen, ob man von ihnen getrackt werden möchte oder nicht. Problem ist, dass diese Funktion binär ist. D.h. entweder an oder aus. Während die DSGVO bei „berechtigtem Interesse” Abwägung erlaubt, wäre hier kein Raum dafür. Google Analytics (eine nach der ePrivacy-VO an sich erlaubte Reichweitenanlyse) würde in diesem Fall genauso behandelt werden wie Interessensbasiertes Marketing.

Privacy by Default

Privacy by Default bedeutet übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen.“ Die Verordnung sieht also vor, dass die Do-Not-Track-Einstellungen von Browsern bzw. Smartphone-Betriebssystemen von Anfang an möglichst simpel gestaltet sein müssen – mit anderen Worten: Datenschutz ab Werk. Privatsphäre wäre dann der Standard. Hiermit sollen insbesondere die Nutzer geschützt werden, die weniger technikaffin sind (Kinder, Senioren) und z.B. dadurch nicht geneigt sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen.

Offline-Tracking (WLAN)

Besonders kritisch sehen die Daten- und Verbraucherschützer, dass Offline-Tracking. Es ist inzwischen eine gängige Praxis, analoge Bewegungen von Menschen in Innenstädten, Geschäften oder Flughäfen anhand der WLAN- und Bluetooth-Signale ihrer Telefone auch ohne Einverständnis nachzuverfolgen.
Diese relativ unbekannte, aber bereits eingesetzte Methode der Konsumentenverfolgung nutzt die technische Eigenschaft, dass eindeutige Gerätekennungen wie z.B MAC-Adressen und Mobilfunkkennungen (IMEI und IMSI) mit übermittelt werden. So ist es möglich, nicht nur die Bewegungen innerhalb eines Geschäfts aufzuzeichnen, sondern auch Kunden wiederzuerkennen, die in eine andere Filiale des gleichen Unternehmens gehen.

Offline-Tracking soll nur noch dann gestattet sein, wenn Nutzer ihr Einverständnis gegeben haben, oder wenn die Erhebung zeitlich und räumlich sowie auf rein statistisches Zählen begrenzt ist. Eine Erstellung von individuellen Bewegungsprofilen wäre dann klar verboten.

Nachrichten-Verschlüsselung

Fast jeder Internet-Nutzer verwendet Messenger wie WhatsApp, Facebook Messenger oder Slack. Auch für sehr vertrauliche Nachrichten. Zukünftig sind auch Anbieter internetbasierter Kommunikationsdienste verpflichtet, dasselbe Schutzniveau wie Telefonanbieter zu gewährleisten. Vorausgesetzt wird der aktuellste „Stand der Technik“ – mit einer Ende-zu-Ende-Verschlüsselung der Kommunikationsdaten. Gleichzeitig soll es explizit verboten werden, dass verschlüsselte Kommunikationsdaten durch jemand anderen als den Nutzer selbst entschlüsselt werden.

Fazit

Die Meinungen über die Funktion, Auswirkungen und Sinnhaftigkeit der ePrivacy-Verordnung gehen weit auseinander. Fest steht, nach der DSGVO bringt sie nochmals deutlich Bewegung ins Netz. Mehr Datenschutz für Verbraucher hat womöglich auch negative Auswirkungen auf das Internet der Dinge und digitale Geschäftsmodelle.
Während Browserhersteller ledigliche maximal Datenschutzeinstellungen im Lieferumfang zur Verfügung stellen müssen, hat die Branche der Online-Werbung, sowie Onlineshops eine größere Hürde zu überwinden.

Ebenfalls interessant
5 Tipps für erfolgreiche Kampagnen-Planung
6 Tipps für erfolgreiche Kampagnen-Planung
Accound Based Marketing
7 Vorteile von erfolgreichem Account Based Marketing

Bitte kommentieren

Ihr Kommentar*

Ihr Name*
Ihre Website