Die DSGVO wird in einem Jahr das Bundesdatenschutzgesetz und das Telemediengesetz weitestgehend ersetzen. Die beiden Gesetze ergänzen die Verordnung lediglich durch einige wenige Klauseln. Bisher erlaubte das Telemediengesetz das Arbeiten mit pseudonymen Datenprofilen im Online-Marketing. In Zukunft heißt es für viele Firmen umdenken. Auch wenn es weiterhin erlaubt ist, Profile zu bilden, wird dies jedoch an einige Bedingungen geknüpft.

Martin Schirmbacher, Fachanwalt für IT-Recht bei Härting Rechtsanwälte in Berlin, rät deshalb: „Online-Marketing-Unternehmen sollten jetzt, noch vor dem Sommer, damit beginnen, die Herausforderungen der DSGVO anzugehen und ein Projekt aufzusetzen und nicht erst im nächsten Jahr tätig werden. Das wäre aus meiner Sicht deutlich zu spät.“

Eine wesentliche Änderung, die das DSGVO mit sich bringt, ist die Definition von personenbezogenen Daten. Bisher verstand das Gesetz darunter den Namen einer Person, ihre Adresse, Telefonnummer oder auch E-Mail-Adresse. Durch die neue DSGVO muss nicht mehr ein Bezug zu einer realen Person vorhanden sein, stattdessen reicht es aus, dass ein Online-Identifier vorhanden ist, sodass auch pseudonyme Daten immer Personenbezug haben. Zu diesen sogenannten Identifier zählt alles: von IP-Adressen zu Cookie-IDs über digitale Fingerprints bis hin zu gehashten E-Mail-Adressen.

Bei der Erhebung und Verarbeitung dieser Datenmüssen sich Unternehmen die Frage stellen, ob sie eine Rechtfertigung haben, die Daten zu nutzen. „Wie bisher gibt es dafür zwei Möglichkeiten. Entweder der Nutzer muss per Einwilligung den Maßnahmen, beispielsweise zum Tracking, zustimmen oder es besteht ein berechtigtes Interesse“, erklärt Martin Schirmbacher. In diesem Fall müsse nicht nach der Einwilligung gefragt werden.

Was genau unter „berechtigtem Interesse“ zu verstehen ist, lässt das Gesetz offen. Es gilt zwischen dem wirtschaftlichen Interesse und der Notwendigkeit der Speicherung und Auswertung der Daten für das Unternehmen und dem Interesse des Betroffenen abzuwägen. Schirmbacher erläutert: „Es ist nicht möglich, ein Gesetz zu machen, das jeden Fall vorab regelt. Es ist nötig, dass in einem Gesetz eine gewisse Generalisierung vorgenommen wird und nicht jeder einzelne Fall geregelt ist. Dementsprechend ist es legitim und absolut Standard, dass Gerichte später für die genauere Klärung der Begriffe sorgen. Natürlich wäre es schön, hier ein paar Guidelines der Verbände zu bekommen.“

Der BVDW arbeitet momentan an genau diesem Leitfaden. In etwa drei Wochen soll ein umfangreiches Leitwerk zur DSGVO erscheinen, das auch näher auf die Verarbeitungsmöglichkeit auf Grundlage eines berechtigten Interesses eingeht.

Sollte es für Firmen tatsächlich so weit kommen, dass sie die Zustimmung des Nutzers einholen müssen, können sie diese nicht in den AGBs verstecken. Es besteht ein Kopplungsverbot, nachdem die Einwilligung nicht an den Vertragsschluss gebunden sein darf. Kunden, die in einem Online-Shop einkaufen, müssen dies auch tun können, selbst wenn sie nicht der Datenverarbeitung in allen Punkten zustimmen.

Schirmbacher gibt jedoch zu bedenken, dass es Ausnahmen geben kann: „Wir glauben nicht, dass dies als enges Kopplungsverbot zu verstehen ist, sondern dass es schon Fälle gibt, in denen man diese Kopplung gestalten kann, aber eine Marketingeinwilligung an einen Vertragsschluss zu knüpfen, wird schwierig. Es muss freiwillig und transparent sein. Die Einwilligung in den AGBs zu verstecken, ist nicht mehr möglich.“

Das große Fragezeichen, das bisher im Raum steht und dem viele Unternehmen aus der Werbebranche mit Unmut entgegensehen, dürfte die neue ePrivacy-Verordnung (ePV) sein, die im Herbst vom Europäischen Parlament näher behandelt und beschlossen wird. Es gibt bereits einen strengen Entwurf, der beim Setzen eines Cookies eine Einwilligung des Nutzers über einen Opt-In velangt. Allerdings rechnen Anwälte derzeit nicht damit, dass die Verordnung in dieser Form Bestand haben wird. Viele Unternehmen und Verbände gegenverurteilen die ePV in dieser strengen Form und laufen dagegen Sturm.

Michael Neuber, Justiziar beim BVDW, meint: „Die EU-Kommission sieht es als notwendig an, die DSGVO durch die ePV als spezielles Datenschutzrecht zu konkretisieren. Allerdings wird weder die Terminologie der DSGVO eingehalten noch haben Cookies notwendigerweise etwas mit dem wichtigen und richtigen Datenschutz bei der Verarbeitung dadurch gewonnener Daten zu tun. “

Auch Martin Schirmbacher steht der geplanten Verordnung kritisch gegenüber: „Wir diskutieren jetzt genau dieselben Fragen, die wir vor der Verabschiedung der DSGVO diskutiert und dort halbwegs in den Griff bekommen haben.“

Für Neuber gefährdet die ePV das mehrheitlich werbefinanzierte Angebot im Internet: „Die gesamte Data Economy ist auf Datenverarbeitungen und -austausch angewiesen. Den Vorschaltprozess (Ermöglichung des Zugriffs auf Endgeräte) sämtlich – mit wenigen engen Ausnahmen – einem Einwilligungsvorbehalt zu unterstellen ist nicht nur datenschutzrechtlich bedenklich, sondern wird den mit der digitalen Binnenmarktstrategie erhofften Free Flow of Data nahezu unmöglich machen. Auf einem solchen Markt werden dann nur noch Services mit Nutzerkontakt die Möglichkeiten haben, überhaupt Einwilligungen abzuholen. Neben dem Datenschutz wird hier also auch in den Markt eingegriffen. Das kann nicht der richtige Weg sein.“

Es bleibt abzuwarten, in welcher Form die finale Verordnung verabschiedet wird. Im Herbst 2017 werden Ergebnisse erwartet. Das geplante Inkrafttreten zusammen mit der DSGVO am 25. Mai 2018 dürfte damit nur noch schwer zu realisieren sein. Unternehmen, die mit Nutzerdaten arbeiten, steht damit noch ein turbulentes Jahr bevor.