Adzine Top-Stories per Newsletter
DISPLAY ADVERTISING

Neue EU-Datenschutzverordnung und Cookies: Wo geht die Reise hin?

Von Christoph Bauer, 3. Mai 2012

Ende Januar 2012 wurde der Entwurf einer neuen EU-Datenschutzverordnung durch die EU-Kommission vorgestellt. Ziel ist es, das europäische Datenschutzrecht zu vereinheitlichen und insbesondere zu modernisieren. Gerade vor dem Hintergrund dieser geplanten Modernisierung waren die Befürchtungen daher für die Online-Branche groß, dass die EU-Datenschutzverordnung zu neuen Wettbewerbsnachteilen europäischer Unternehmen führen könnte, z. B. indem ein allgemeines Opt-in für Cookies verlangt wird.

Untersucht man vor diesem Hintergrund den Entwurf der EU-Datenschutzverordnung genauer, lässt sich jedoch festhalten, dass diese Befürchtungen unbegründet sind. Trotz aller „Modernität“ des Entwurfes finden sich in dem gesamten Regelwerk kein einziges Mal Worte wie „Cookies“ oder „IP-Adressen“. Für deutsche Unternehmen der Online-Branche ändert sich daher wenig bis gar nichts.

Mehr oder weniger ist der Entwurf der EU-Datenschutzverordnung in weiten Teilen eine Übernahme der Regelungen des deutschen Datenschutzrechtes aus dem BDSG und zum Teil aus dem TMG. Zwar sind an einigen Stellen wünschenswerte Klarstellungen nicht vorhanden, aus der Perspektive der Online-Branche stellt jedoch die EU-Datenschutzverordnung – jedenfalls ihr bisheriger Entwurf – nicht das eigentliche Problem dar.

Auch wenn die EU-Kommission pseudonyme Nutzerprofile – wie etwa § 15 des Telemediengesetzes – nicht kennt, sind die Regelungen des Entwurfes der EU-Datenschutzverordnung in weiten Teilen für die Online-Branche gegenüber den bisherigen Regelungen des deutschen Gesetzgebers wenig bedeutsam. Unternehmen die – wie häufig – mit anonymen Nutzerprofilen agieren, werden ihre Geschäftsmodelle jedenfalls basierend auf dem bisherigen Entwurf nicht umstellen müssen.

Das Problem ist daher nicht die EU-Datenschutzverordnung. Es bleibt vielmehr, und so muss man es wohl aus der Sicht der Online-Branche ausdrücken, bei der „Bedrohung“ durch die E-Privacy-Richtlinie. Diese wird erstaunlicherweise durch die EU-Datenschutzverordnung nicht angetastet. Sie regelt unter anderem das sogenannte Cookie-Law, also ein Zustimmungserfordernis eines Users beim Einsatz von Cookies (d. h. eine vorherige Zustimmung und keine nachträgliche Einwilligung). Diese EU-Richtlinie hätte bis zum Mai 2011 in deutsches Recht umgesetzt werden müssen.

Der deutsche Gesetzgeber hatte sich jedoch dazu entschieden, die geltenden Regelungen des TMG nicht anzufassen, vermutlich um der Online-Wirtschaft, die in Konkurrenz zu den US-amerikanischen Unternehmen steht, nicht allzu große Hürden in den Weg zu legen. Gesetzesinitiativen des Bundesrates, aber auch der Bundestagsfraktion der SPD zur Änderung des TMG blieben ohne Erfolg. „… so ein Glück“, dachten folglich alle Teilnehmer der Online-Branche, „… gerade noch einmal mit einem blauen Augen davongekommen.“

Ganz so einfach ist es jedoch nicht: Tatsächlich ignorieren die Landesbeauftragten für Datenschutz diese Situation. Nach ihrer Ansicht gilt die E-Privacy-Richtlinie inzwischen in Deutschland unmittelbar. Sie muss nicht mehr durch ein gesondertes Gesetz umgesetzt werden und sei folglich schon heute in Deutschland anwendbar.

Während einige Landesdatenschutzbeauftragte zwar noch von einer Art „Übergangsregelung“ sprechen, vertreten andere eine deutlich restriktivere Haltung. So z. B. der Landesdatenschutzbeauftragte des Landes Berlin. Dieser schreibt gegenwärtig Unternehmen der Online-Branche an und verlangt Aufklärung über die Frage, in welcher Form Cookies eingesetzt werden und, wenn dies – wie natürlich immer – der Fall ist, wieso man gedenke, dies tun zu können, ohne die Einwilligung der Nutzer zu besitzen.

Sollte sich dieser Standpunkt durchsetzen, hätte dies natürlich kaum übersehbare Auswirkungen für die Online-Branche, dessen sich offensichtlich die Landesdatenschutzbeauftragten nicht bewusst sind oder die es jedenfalls nicht als ihre Aufgabe ansehen, die deutsche Onlinewerbewirtschaft vor Wettbewerbsnachteilen außereuropäischer Unternehmen zu schützen. Es bleibt also abzuwarten, wie diese Entwicklung weiterverlaufen wird. Die tatsächliche Bedrohung ist jedoch nicht die EU-Datenschutzverordnung, sie ist und bleibt die E-Privacy-Richtlinie.

Über den Autor**:**
Christoph Bauer ist gemeinsam mit Frank Eickmeier Gründer und Inhaber von ePrivacyconsult GmbH, Datenschutzberatung für digitale Medien. Die Schwerpunkte sind „Privacy by Design“ und ePrivacyseal, das Datenschutz-Siegel, das für vorbildlichen Datenschutz verliehen wird.

Mehr zum Thema:
Einen weiteren, umfassenden und aktuellen Situationsbericht zur EU-Datenschutzverordnung und der E-Privacy-Richtlinie finden Sie im abgefilmten AD TRADER Conference -Vortrag von Stephan Noller, CEO nugg.ad und Chairman Policy Committee IAB Europe.

Prof. Dr. Christoph Bauer Über den Autor/die Autorin:

Christoph Bauer ist gemeinsam mit Frank Eickmeier Gründer und Inhaber von ePrivacyconsult GmbH, Datenschutzberatung für digitale Medien. Die Schwerpunkte sind „Privacy by Design“ und ePrivacyseal, das Datenschutz-Siegel, das für vorbildlichen Datenschutz verliehen wird.