Datenschutz


Für die Werbe- und Medienwirtschaft ist die Nutzung von Daten unverzichtbar. Ein praxistaugliches und faires Datenschutzrecht ist daher essentiell. Die geplante E-Privacy-Verordnung wird diesem Anspruch durchweg nicht gerecht und stellt zentrale Ergebnisse der Datenschutz-Grundverordnung in Frage.


Am 25.5.2018 ist die europäische Datenschutz-Grundverordnung (DSGVO) nach einer Übergangsphase von zwei Jahren wirksam geworden. Unternehmen mussten ihre Geschäftsabläufe bis zu diesem Stichtag an die neue Rechtslage anpassen.

Zentrales Element des europäischen Datenschutzrahmens stellt aus werbewirtschaftlicher Sicht der für die Datenverarbeitung zu Werbezwecken elementare Erlaubnistatbestand der so genannten Interessenabwägungsklausel (Art. 6 Abs. 1 f) DSGVO) dar. Ergänzt wird die Legalerlaubnis um die Klarstellung in den Erwägungsgründen, dass die Verarbeitung zum Zwecke des Direktmarketings als eine Verarbeitung im berechtigten Interesse betrachtet werden könne. (vgl. Erwägungsgrund 47 DSGVO) Damit erhält die Verordnung den Unternehmen im Grundsatz relevante Handlungsspielräume, um datenbasierte, werbewirtschaftliche Geschäftsmodelle auf Basis einer gesetzlichen Erlaubnisgrundlage betreiben und fortentwickeln zu können.

Gleichwohl stellt die DSGVO die Unternehmen mit ihren vielen unbestimmten Rechtsbegriffen und den umfänglichen datenschutzrechtlichen Formalerfordernissen vor erhebliche, oftmals noch nicht vollständig absehbare Herausforderungen. Die Aufsichtsbehörden haben im Zuge der Geltung der DSGVO Kurzpapiere, Anwendungshinweise und Orientierungshilfen erstellt, die Hilfestellungen bei der Implementierung der Datenschutzvorgaben geben sollen. (Dokumente abrufbar auf www.datenschutzkonferenz-online.de/ index.html) Teilweise sind die Positionsbestimmungen der in der Datenschutzkonferenz versammelten Aufsichtsbehörden des Bundes und der Länder jedoch derart restriktiv, dass sie es den Normadressaten zusätzlich erschweren, sich regelkonform zu verhalten.

Dies betrifft z.B. die Positionsbestimmung der Datenschutzkonferenz zur Anwendbarkeit des Telemediengesetzes (TMG) für nicht-öffentliche Stellen ab dem 25.5.2018. (Datenschutzbehörden des Bundes und der Länder“ vom 26.4.2018, abrufbar auf www.datenschutzkonferenz-online.de/ media/ah/201804_ah_positionsbestimmung_tmg.pdf) Die Aufsichtsbehörden haben hier Aussagen zum Einsatz von Tracking-Mechanismen im Internet und zur Erstellung von Nutzerprofilen getroffen, die nach Einschätzung des ZAW unvollständig und an vielen Stellen nicht belastbar sind. Statt eine juristisch fundierte Analyse der im Zusammenhang mit Tracking-Methoden in Telemedien stehenden unterschiedlichen Sachverhaltskonstellationen vorzunehmen, haben die Aufsichtsbehörden ein Papier herausgegeben, das ohne Konsultation der betroffenen Kreise im Vorfeld der Mitteilung die Verunsicherung über die datenschutzrechtlichen „Dos und Don‘ts“ noch verstärkt hat. Der ZAW hatte daher unter Analyse der Ausrichtung der Aufsichtsbehörden den Unternehmen Hinweise zur richtigen Einordnung der getroffenen Aussagen gegeben. Erst mehrere Monate nachdem das Positionspapier veröffentlicht war, kam es zu einem Dialog mit Vertretern der Datenschutzkonferenz. Die hiernach angekündigte Repositionierung der Aufsichtsbehörden steht bis dato noch aus. Der ZAW wird sich auch künftig dafür einsetzen, dass die Aufsichtsbehörden die neuen Regeln praxisgerecht auslegen und dabei die legitimen und im Vergleich zu den Datenschutzinteressen der Bürger nicht minder schützenswerten Datenverarbeitungsinteressen der Unternehmen achten.

Schutz vor Abmahnmissbrauch im Datenschutz

Für praktikable Regeln auf datenschutzrechtlichem Gebiet setzt sich der ZAW auch im Zusammenhang mit den Plänen der Bundesregierung ein, Unternehmen wirksam gegen Abmahnmissbrauch zu schützen. Weder im Gesetz zur Anpassung an die DSGVO (Datenschutz-Anpassungs- und Durchsetzungsgesetz EU (DSAnpUG EU) vom 30.6.2017, BGBl. I S. 2097) noch im bisherigen Regierungsentwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die DSGVO (Entwurf eines Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU, BT-Drs. 19/4674) wurde eine Regelung zum Schutz der Unternehmen vor missbräuchlichen Abmahnungen aufgenommen. Dies sollte nach Ansicht des ZAW im Rahmen des aktuellen Gesetzgebungsverfahrens für ein „Gesetz zur Stärkung des fairen Wettbewerbs“ unbedingt nachgeholt werden. Ob und gegebenenfalls in welcher Form speziell der datenschutzrechtliche Bereich im Rahmen der laufenden Gesetzgebungsvorhaben berücksichtigt wird, ist zwischen dem Bundesministerium des Innern (BMI) und dem Bundesministerium der Justiz und für Verbraucherschutz (BMJV) jedoch streitig und wird auf politischer Ebene entschieden werden. Solange ruhen die Rechtsetzungsverfahren. Nach Ansicht des ZAW ist die Rechtsdurchsetzung bei datenschutzrechtlichen Verstößen abschließend in der DSGVO (vgl. Art. 77 ff. DSGVO) geregelt. Mitbewerbern wird nach dem Wettbewerbsrecht keine Legitimation zugewiesen. Unberührt hiervon bliebe die Möglichkeit der Verfolgung datenschutzrechtlicher Verstöße nach dem Unterlassungsklagengesetz (UKlaG). (vgl. §§ 2 Nr. 11; 3 Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen in der Fassung der Bekanntmachung vom 27.8.2002 (BGBl. I S. 3422, 4346), zuletzt geändert durch Art. 4 des Gesetzes vom 17.7.2017 (BGBl. I S. 2446)) Das hohe Schutzniveau beim Datenschutz würde daher auch bei der gebotenen Ausnahme der DSGVO vom Anwendungsbereich des UWG erhalten bleiben.

Alle Bemühungen der europäischen Unternehmen, ihre Geschäftsabläufe an die anspruchsvollen Vorgaben der DSGVO anzupassen, könnten sich bereits in näherer Zukunft jedoch als Makulatur erweisen, wenn es nicht gelingt, die geplante E-Privacy-Verordnung wettbewerbsneutral und kohärent zur DSGVO auszugestalten.

Verhandlungen zur E-Privacy-Verordnung

Im Januar 2017 hatte die EU-Kommission ihren Entwurf für eine E-Privacy-Verordnung vorgelegt, die in den Mitgliedstaaten unmittelbar anwendbar sein und die geltende so genannte E-Privacy-Richtlinie ersetzen soll.

Im Hinblick auf personenbezogene Daten ist sie als das gegenüber der DSGVO speziellere Gesetz konzipiert. Die E-Privacy-Verordnung soll jedoch nicht nur für die endgerätebezogene Verarbeitung von Daten mit Personenbezug gelten. Geschützt werden Informationen schlechthin, sofern diese nur von internetfähigen Geräten verarbeitet werden. Ziel der Regelungen ist es unter anderem, EU-weit verbindliche Vorgaben zur Verarbeitung endgerätebezogener Daten im Internet festzulegen.

Die DSGVO und die E-Privacy-Verordnung sollten nach den Vorstellungen der EU-Kommission zeitgleich verbindlich werden. Während das EUParlament bereits im Oktober 2017 seinen Standpunkt verabschiedet hat, steht der gemeinsame Standpunkt des EU-Ministerrats jedoch noch aus.

Die künftige Verordnung wird unmittelbar und auf Jahre hinaus über die digitale Wettbewerbsfähigkeit der Unternehmen in Deutschland und Europa und in vielen Fällen, insbesondere im Bereich der digitalen Werbe- und Medienwirtschaft, über ihre Existenz entscheiden. Die unternehmerische Refinanzierung digitaler Informations-, Unterhaltungs- und Bildungsangebote, ihre Wettbewerbs- und Innovationsfähigkeit hängen unmittelbar von der Verordnung ab. Ihre Qualität und Ausrichtung lässt jedoch an vielen Stellen zu wünschen übrig, weil die Vorschläge bis dato die Anforderungen an eine wettbewerbsneutrale, mit der DSGVO kohärente und praxistaugliche Regulierung nicht erfüllen. Für die digitale Wirtschaft in Europa würde eine E-Privacy-Verordnung in der gegenwärtigen Fassung zu irreparablen Schäden führen.

Der ZAW setzt sich daher intensiv für eine ausbalancierte und wettbewerbsneutrale Regulierung im Einklang mit der DSGVO ein: Sie darf nicht weniger Verarbeitungsbefugnisse als die DSGVO zur Verfügung stellen und diese dürfen im Vergleich zur DSGVO nicht restriktiver ausfallen.

Positionen von EU-Kommission und EU- Parlament

Weder der Vorschlag der EU-Kommission noch der Parlamentsentwurf werden diesen Anforderungen gerecht.

Beide Vorlagen weichen in zentralen Bereichen von den Regelungen der DSGVO ab und schränken die Informationsverarbeitung unverhältnismäßig ein. Dies ist insbesondere auf die Verkürzung der Erlaubnistatbestände für die Datenverarbeitung im Verhältnis zur DSGVO in einem für die Werbe- und Medienwirtschaft zentralen Punkt zurückzuführen: Eine Datenverarbeitung aufgrund überwiegender berechtigter Interessen des Verantwortlichen bzw. eines Dritten soll nach den Plänen von EU-Kommission und EU-Parlament nicht mehr möglich sein. Zugleich wird den wenigen Browser- bzw. Internetzugangssoftwareherstellern auf der technischen Ebene die Rolle von „Gatekeepern“ zugewiesen, die über die Datenverarbeitungsmöglichkeiten sämtlicher Angebote, die hierüber von Nutzern angesteuert werden, tatsächlich entscheiden sollen. Nach dem Parlamentsbeschluss sollen Datenverarbeitungen zu wirtschaftlichen Zwecken sogar bereits ab Werk vollständig gesperrt werden.

Auch bei der Frage, ob die Nutzung eines entgeltlosen, weil werbefinanzierten Dienstes davon abhängig gemacht werden darf, dass die Nutzer in die zur datenbasierten Refinanzierung erforderliche Verarbeitung einwilligen, wird vom EU-Parlament einseitig zu Lasten der Unternehmen beantwortet. Eine solche Kopplung sei auf jeden Fall unzulässig und bereits die Frage hiernach sei einzugrenzen. Wie die Anbieter bislang entgeltloser Dienste ihre oftmals teuer produzierten Inhalte zukünftig refinanzieren sollen, spielte für die Parlamentarier ebenso wenig eine Rolle wie die Auswirkungen für die Verbraucher. Offenbar hat sich das Parlament dafür ausgesprochen, dass Netzinhalte zukünftig kostenpflichtig sein oder aber verschenkt werden müssten. Auch diese Betrachtungsweise ist mit der DSGVO nicht zu vereinbaren, weil so ein absolutes Kopplungsverbot geschaffen würde, das die DSGVO gerade nicht kennt. Es darf bezweifelt werden, dass eine solche Regulierung grundrechtskonform ist.

Evidenz wird ausgeblendet

Die Datenmacht und technologische Vormachtstellung der Unternehmen der Plattformökonomie würden durch die Vorstellungen von EU-Kommission und -Parlament massiv verstärkt. Der Datenreichtum dieser Unternehmen bzw. die hierfür praktizierten Verarbeitungsmechaniken wären durch die Regulierungsvorschläge kaum betroffen, während die klare Mehrheit der Angebote des freien Internets, insbesondere journalistisch-redaktionelle Medien, bei der datenbasierten Refinanzierung ihrer aufwendig produzierten Inhalte klar benachteiligt wäre. Die Folge: Die Regulierung würde eine weitergehende Monopolisierung des Internets zugunsten einiger weniger Anbieter bewirken.

Dies belegen auch die vom Bundesministerium für Wirtschaft und Energie (Wissenschaftliches Institut für Infrastruktur (WIK), „Wirtschaftliche Auswirkungen der Regelungen der ePrivacy-Verordnung auf die Online-Werbung und werbefinanzierte digitale Geschäftsmodelle“, November 2017) sowie dem Verband Deutscher Zeitschriftenverleger (VDZ) in Auftrag gegebene Studien zu den werbeökonomischen Folgen des Kommissionsvorschlags: Hiernach würden die digitalen Werbeerlöse bei nahezu allen Anbietern um mindestens ein Drittel zurückgehen, was insbesondere für viele Anbieter kleiner und mittlerer Websites das wirtschaftliche Aus bedeuten würde. Zugleich wären entsprechende Zuwächse auf Seiten der wenigen Plattformanbieter zu verzeichnen mit der weiteren Folge, dass deren Wettbewerbsposition auf Dauer einseitig gestärkt würde. Auch die Monopolkommission hat in ihrem letzten Hauptgutachten Kritik an den Vorschlägen geübt. Sie erwartet, dass die Regulierung große Plattformanbieter im Wettbewerb bevorzugt und Marktteilnehmer ohne entsprechenden Vernetzungsgrad benachteiligt, insbesondere auf dem Werbemarkt und im Hinblick auf die Refinanzierungsmöglichkeiten von Internetangeboten. Positive Effekte für den Datenschutz und die Privatsphäre der Nutzer prognostiziert die Monopolkommission nicht. (Wettbewerb 2018, XXII. Hauptgutachten der Monopolkommission, v. 3.7.2018, Kapitel 4; Ziffer 4.4.2, Tz. 1194 ff.)

Verhandlungen im EU-Ministerrat und Ausblick

Die rumänische Ratspräsidentschaft strebt an, bis spätestens Juni 2019 eine Allgemeine Ausrichtung der Mitgliedstaaten festlegen zu lassen. Angesichts des aktuellen Verhandlungsstands erscheint es eher zweifelhaft, dass dieser Zeitplan eine Beschleunigung erfährt und noch vor den Wahlen zum Europäischen Parlament Trilog-Verhandlungen stattfinden können.

Während eine Reihe von Mitgliedstaaten bemüht ist, die Schwächen und Qualitätsdefizite der Vorschläge zu adressieren, werden Stimmen insbesondere aus dem EU-Parlament laut, das Dossier politischer zu behandeln, um es so abzuschließen. Die EU-Kommission unternimmt währenddessen wenig, um bei offenen und berechtigten Fragen zur Klärung beizutragen; sie setzt offenbar ebenfalls auf die „politische Karte“. Sachgerecht ist dies nicht, bestätigt aber einmal mehr, dass die Vorschläge guten Gewissens nicht verabschiedet werden sollten.

Für die Planungen in den Unternehmen ist eine solche Ungewissheit nicht zielführend. Nachdem sich zwischenzeitlich aber gezeigt hat, dass die Abwesenheit einer E-Privacy-Verordnung auch nicht zu Problemen führt, weil der Datenschutz im Netz insbesondere von den Aufsichtsbehörden auf Basis der DSGVO organisiert und sichergestellt werden kann, sollte die eigentlich naheliegende Konsequenz sein, in eine Neubewertung einzusteigen. Sofern bestimmte Regeln, namentlich die Bestimmungen zum digitalen Fernmeldegeheimnis als zeitkritisch reformbedürftig erachtet werden, könnten diese durchaus mit Priorität behandelt und ggf. verabschiedet werden. Die Evaluation der DSGVO rückt derweil in zeitliche Schlagweite, so dass die Datenschutz- Sachfragen, die auf Basis der Vorschriften der E-Privacy-Verordnung nicht gelöst wurden und offenbar nicht gelöst werden können, besser auf dieser Ebene angegangen werden sollten. Weitere zeitliche Verzögerungen würden hieraus nicht resultieren, denn auch eine im EU-Ministerrat geeinigte E-Privacy-Verordnung müsste das weitere Gesetzgebungsverfahren durchlaufen und soll mit einer Frist bis zur Verbindlichkeit von mindestens ein bis zwei Jahren versehen werden.

Stand: März 2019