DSGVO – ePrivacy – Bußgelder: Status quo 2019
Die Datenschutzgrundverordnung (DSGVO) überfordert bis heute viele Menschen und Unternehmen. Die Regelungen sind „schwergängiger“ als das bisherige deutsche Datenschutzrecht, auch wenn die neuen Regeln den alten inhaltlich stark ähneln. Wie genau am Ende die ePrivacy-Richtlinie in Deutschland umgesetzt wird, ist noch nicht klar. Insgesamt kann man sagen, dass werbefinanzierte Webangebote durch diese Anforderungen deutlich eingeschränkt werden.
Daniel Simon, QUADRESS GmbH
Geschäftsführer und Datenschutz-Experte
Daniel Simon ist Datenschutz-Experte und Inhaber mehrerer Marketing- und Technologie-Unternehmen. Bereits während seines Logistik-Studiums in Dortmund gründete er sein erstes Unternehmen, die QUADRESS GmbH. Seit über zehn Jahren beschäftigt er sich intensiv mit der Ausgestaltung und Anwendung der geltenden Datenschutzgesetze und vertritt als Vorstand des Deutsche Robinsonlisten e.V. den fairen datenschutzrechtlichen Interessenausgleich zwischen Unternehmen und Verbrauchern. Mit seiner Expertise zu datengetriebenem Marketing, Unternehmensentwicklung und Datenschutz berät er heute zahlreiche Unternehmen und Startups.
Inhaltsverzeichnis
Ein Jahr DSGVO – ein Statusbericht.
Insbesondere die Informationspflichten der DSGVO bringen für viele Unternehmen hohen bürokratischen Aufwand mit sich. Dass beispielsweise für Vereine und Kleinstunternehmen im Grunde dieselben Anforderungen gelten wie für Konzerne wie Facebook und Google, halte ich persönlich für einen der Konstruktionsfehler des Regelwerkes. Ein großer Teil der medialen Aufregung über die DSGVO basiert leider auf Unkenntnis dieser neuen Regeln. Es ist teilweise auch schockierend, welches Ausmaß „Falschmeldungen“ in den letzten zwölf Monaten genommen haben.
Bußgelder für Verstöße gegen die DSGVO steigen.
Die DSGVO hat für viele Unternehmer auch aufgrund der möglichen Strafen für Verstöße in hohem Maße an Bedeutung gewonnen. Zum Hintergrund: Statt bisher bis zu 300.000 Euro sind nun Bußgelder in Millionenhöhe möglich. In Deutschland sind Bußgelder bisher jedoch moderat ausgefallen. Auf jeden Fall hat die Preisentwicklung dafür gesorgt, dass sich manche Unternehmen erstmals mit einer ernsthaften Einstellung und dem notwendigen Budget dem Thema Datenschutz gewidmet haben.
Ein Jahr lang haben Datenschutzbehörden, Unternehmen und Verbraucher intensiv die Praxis der DSGVO gelebt: Es wurden massenhaft AV-Verträge abgeschlossen, Datenschutz-Dokumentationen erstellt, die Behörden wurden teilweise mit Anfragen und Meldungen von Datenschutzverstößen überschüttet. Gefühlt war es von Seiten der Behörden eher ruhig – das wird sich jedoch aktuell schnell ändern! Nach einer ersten Überforderung mit den neuen Themen werden die Datenschutzbehörden jetzt proaktiv, prüfen zahlreiche Unternehmen und schicken ihre Prüfungsfragebögen raus. Die Bestrafung durch Bußgelder nimmt gerade und zügig ihren Anfang.
Eine gute Vorbereitung minimiert das Risiko von Bußgeldern.
Jedes (Industrie-)Unternehmen sollte seine internen Prozesse und Dokumentationen spätestens jetzt DSGVO-konform haben. Darüber hinaus muss bei jeder Verarbeitung von personenbezogenen Daten die Rechtsgrundlage geklärt sein und gegebenenfalls ein AV-Vertrag dazu abgeschlossen sein. Ansonsten kann es in der nahen Zukunft leider teuer werden.
Die Umsetzung der DSGVO im europäischen Ausland ist sehr verschieden.
Grundsätzlich stellt die DSGVO ein einheitliches und verbindliches Regelwerk für alle europäischen Länder dar. Durch Öffnungsklauseln gibt es jedoch in jedem Land noch einige Besonderheiten, die gegebenenfalls beachtet werden müssen. Außerdem ist der Umgang mit Bußgeldern, vor allem was die Höhe angeht, sehr unterschiedlich. Deutschland hatte bereits in der Vergangenheit ein hohes Datenschutzniveau und dementsprechend viel Erfahrung mit Bußgeldern. Diese sind unter dem Bundesdatenschutzgesetz (BDSG) bis heute eher moderat und mit Bedacht ausgefallen. Daran hat sich auch nach Einführung des DSGVO bisher nicht viel geändert. Von bisher rund 100 verhängten Bußgeldern (in Summe von ca. 450.000 Euro) in Deutschland nach DSGVO ist der überwiegende Teil im vierstelligen Bereich.
In Ländern im Süden und Osten Europas wie Portugal, Spanien und Polen sieht es hingegen ganz anders aus. Da wurden auch schon sechsstellige Bußgelder verhängt, nicht zuletzt deshalb, weil Behörden in diesen Ländern das erste Mal in der Lage waren, mit Datenschutzverstößen Geld verdienen zu können. Irland ist aktuell in der Kritik, im Datenschutz extrem konzernfreundlich zu sein. Selbst bei eklatanten Verstößen ortsansässiger Unternehmen wie Facebook und Google werden die Behörden kaum aktiv. Man kann sich sogar die Frage stellen, ob die DSGVO nicht am One-Stop-Shop scheitern könnte, weil sich große Tech-Unternehmen in Irland der DSGVO entziehen.
Die Befugnis zur Abmahnung liegt bei den Aufsichtsbehörden.
Die Befugnis zur Verhängung von Bußgeldern liegt bei den jeweils zuständigen Aufsichtsbehörden. Diese haben sicherzustellen, dass die Verhängung der Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag sind – neben Art, Schwere und Dauer, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes – eine ganze Reihe von Kriterien zu berücksichtigen. Im Rahmen dieses Kriterienkatalogs ist es den Aufsichtsbehörden überlassen, über das Verhängen von Geldbußen und deren Höhe nach eigenem Ermessen zu entscheiden. Dadurch ergeben sich gewisse Spielräume, in denen sich die Aufsichtsbehörden frei bewegen können, auch wenn die Aufsichtsbehörden zu einer einheitlichen Anwendung der DSGVO in der Union angehalten sind.
Machen Sie Ihre Hausaufgaben und achten Sie auf die Ländergepflogenheiten.
Meine Empfehlung an Industrieunternehmen, die international agieren, ist: Machen Sie Ihre Hausaufgaben, die Ihnen die DSGVO auferlegt hat! Setzen Sie einen Datenschutzbeauftragten ein, der sich alle Prozesse im Unternehmen anschaut und datenschutzkonform gestaltet. Wenn Sie in andere europäische Länder personenbezogene Daten übermitteln oder Daten aus diesen Ländern verarbeiten, informieren Sie sich vorher, wie die Bußgelder der Behörden dieses Landes bisher ausgefallen sind. Prüfen und achten Sie verstärkt darauf, dass in diesen Ländern den Datenverarbeitungsprozessen besondere Beachtung geschenkt werden sollte.
Da stehen wir jetzt: Online-Tracking und die ePrivacy-Richtlinie.
Im Gegensatz zur DSGVO ist die ePrivacy-Richtlinie keine Verordnung, sondern eine Richtlinie. Das heißt, dass diese erst noch in „nationales Recht“ transferiert werden muss, was größere Anpassungsspielräume als im Falle der DSGVO zulässt. Ursprünglich war geplant, dass die ePrivacy gleichzeitig mit der DSGVO verabschiedet werden sollte. Nach aktuellem Stand der Dinge wird diese jedoch nicht vor 2020 in Kraft treten und somit bis 2022 keine Anwendung finden.
Darauf sollte man unbedingt achten.
Das Wichtigste, was die ePrivacy-Richtlinie über die DSGVO hinaus regelt, ist das Online-Tracking und der Einsatz von Cookies. Darüber hinaus wird es noch weitere Regelungen geben zu Themen wie zum Beispiel Telefon- und E-Mail-Marketing.
Nach aktuellem Stand der Dinge im Bereich ePrivacy kann man folgendes zu den Themen Cookies und Tracking sagen – angelehnt an die Aussagen der Datenschutzkonferenz (DSK):
Deutschland behält, was den Einsatz von Cookies angeht, zumindest vorerst eine Sonderrolle. Deutschen Werbetreibenden steht im Unterschied zu anderen europäischen Partnern der gesamte Katalog von Erlaubnistatbeständen aus Art. 6 DSGVO offen. Das heißt, neben der Einwilligung kommt vor allem dem Erlaubnistatbestand des berechtigten Interesses besondere Bedeutung zu.
Trotzdem wird es wohl darüber hinaus so sein, dass Webseiten übergreifendes Tracking, der Einsatz von Third-Party-Cookies sowie Targeting und Cross-Device-Tracking stets einer Einwilligung bedürfen. Falls diese Einwilligung über ein Cookie-Hinweis-Banner eingeholt werden soll, werden an dessen Ausgestaltung sehr strenge Maßstäbe gesetzt. Der EuGH wird sich voraussichtlich noch in 2019 zu den Anforderungen einer Einwilligung, die Webseiten-Betreiber für Tracking-Cookies einholen, äußern.
Da stehen wir jetzt: Online-Tracking und die ePrivacy-Verordnung.
Nachdem viele Unternehmen gerade erst einigermaßen ausreichend die DSGVO umgesetzt haben, steht das nächste große Thema vor der Tür: die ePrivacy-Verordnung!
Ursprünglich war geplant, dass die ePrivacy-Verordnung gleichzeitig mit der DSGVO verabschiedet werden sollte. Nach aktuellem Stand der Dinge wird diese jedoch nicht vor 2020 in Kraft treten und somit bis 2022 keine Anwendung finden.
Die ePrivacy-Verordnung löst die bisherige ePrivacy-Richtlinie von 1995 ab und soll Privatpersonen und Unternehmen schützen. Viele fürchten bereits, dass digitale Geschäftsmodelle sehr unter der neuen Verordnung leiden werden. Wie auch bei der DSGVO kann es hier aber Öffnungsklauseln für nationale eigene Regelungen geben.
Die ePrivacy-Verordnung ist im Kern eine Ergänzung zur DSGVO für den Schutz insbesondere der Endnutzer in der elektronischen Kommunikation. Dabei sollen Regelungslücken der DSGVO und der alten ePrivacy-Richtlinie geschlossen werden. Die ePrivacy-Verordnung soll die Vertraulichkeitsstufe der elektronischen Kommunikationsdaten der Endnutzer festlegen. Außerdem soll sie regeln, unter welchen Voraussetzungen die Betreiber elektronischer Kommunikationsnetze Daten speichern dürfen. Im Gegensatz zur DSGVO setzt die ePrivacy-Verordnung bereits beim Erhebungsweg der Daten an und nicht erst, wenn diese bereits vorliegen.
Die ePrivacy-Verordnung wird einen ähnlichen Bußgeldrahmen wie die DSGVO haben (aktuell auch bis zu 20 Mio. EUR).
Wie auch die DSGVO beinhaltet die ePrivacy-Verordnung ein „Recht auf Vergessenwerden“. Die Datenverarbeitung und –speicherung von beispielsweise Cookies und beim Tracking ist nur noch mit Einwilligung des Endnutzers erlaubt. Digitale Direktwerbung wird zusätzlich erschwert. Die Privatsphäre-Einstellungen in beispielsweise Web-Browsern müssen nutzerfreundlicher werden.
Nach aktuellem Stand der Dinge im Bereich ePrivacy kann man folgendes zu den Themen Cookies und Tracking sagen – angelehnt an die Aussagen der Datenschutzkonferenz (DSK):
Deutschland behält, was den Einsatz von Cookies angeht, zumindest vorerst eine Sonderrolle. Deutschen Werbetreibenden steht im Unterschied zu anderen europäischen Partnern der gesamte Katalog von Erlaubnistatbeständen aus Art. 6 DSGVO offen. Das heißt, neben der Einwilligung kommt vor allem dem Erlaubnistatbestand des berechtigten Interesses besondere Bedeutung zu.
Trotzdem wird es wohl darüber hinaus so sein, dass Webseiten übergreifendes Tracking, der Einsatz von Third-Party-Cookies sowie Targeting und Cross-Device-Tracking stets einer Einwilligung bedürfen. Falls diese Einwilligung über ein Cookie-Hinweis-Banner eingeholt werden soll, werden an dessen Ausgestaltung sehr strenge Maßstäbe gesetzt. Der EuGH wird sich voraussichtlich noch in 2019 zu den Anforderungen einer Einwilligung, die Webseiten-Betreiber für Tracking-Cookies einholen, äußern.
HINWEIS
Mehr zur DSGVO erfahren Sie im Blog-Beitrag „1 Jahr DSGVO: Bilanz aus der Marketing-Praxis“ von Michaela Jackel (Claranet) sowie auf der bvik-Landingpage „DSGVO: Datenschutz und Datensicherheit im B2B“.
