E-Privacy Verordnung Teil 1

posted by Martin Glück

am 29. Nov 2017

In den letzten Wochen habe ich mich mit der Entwicklung eines Cookie-Banners beschäftigt. Im Zuge des Projektes brauchte ich natürlich ein paar Vorgaben, z.B. ob es Normen gibt. Ich stieß schnell auf die „Cookie Richtlinie“, auch E-Privacy-Richtlinie genannt. Ich befasste mich näher mit dem Thema und begriff, dass dieses doch größer war, als ich es geahnt hatte und so entschloss ich mich dazu einen Blogbeitrag über E-Privacy zu schreiben. Der Beitrag soll dazu dienen einen kurzen Überblick über das Thema zu geben.

Aktuelle Situation Aktuell gilt die E-Privacy-Richtlinie und wie der Name schon sagt ist es kein Gesetz sondern nur ein Vorschlag vom EU Parlament diese im nationales Gesetz einzugliedern. Die E-Privacy-Richtlinie, bezogen auf Cookie-Banner, besagt, dass der Endnutzer über die Nutzung von Cookies informiert werden muss und dieser zustimmen muss. In Deutschland wird dies über das Telemediengesetz (TMG) geregelt, hier wird allerdings nicht von Cookies gesprochen, sondern vom „Erheben personenbezogener Daten bzw. Nutzungsdaten“ (TMG §15). Kurz gesagt beinhaltet diese, dass es reicht, wenn man dem Endnutzer eine Opt-Out Lösung anbietet, d.h. der Endnutzer muss der Nutzung von Cookies aktiv entsagen. Standardmäßig wird davon ausgegangen, dass der Endnutzer die Nutzung von Cookies erlaubt. Im Cookie-Banner enthalten sein muss ein Button, der mit einer Einwilligungsfunktion versehen ist und ein Link, der auf die Datenschutzerklärung des jeweiligen Unternehmens verweist.

Opt-Out Lösung

Was wird sich ändern? Am 25. Mai 2018 löst die E-Privacy-Verordnung die E-Privacy-Richtlinie ab. Folgender Unterschied wird sich in Bezug auf Cookies ergeben: Die bisher dagewesene Opt-Out-Lösung wird umgekehrt. Der Endnutzer muss der Nutzung von Cookies nun aktiv zustimmen (Privacy by Default). Nach der E-Privacy-Verordnung wird nun nicht mehr zwischen personenbezogenen bzw. pseudonymen Daten unterschieden. Erklären wir es beispielhaft anhand des Cookie-Banners: Bisher hat es gereicht, wenn wir den Cookie-Banner als Mitteilung genutzt haben. Wenn ein Nutzer unsere Seite nach dem 25. Mai 2018 besucht, dürfen nur Cookies gesetzt werden, die benötigt werden, damit unsere Webseite ihre Grundfunktion erfüllen kann.

Alle anderen Cookies, die “Bonus-Cookies”, dürfen erst gesetzt werden, wenn der Endnutzer der Nutzung aktiv zugestimmt hat (Opt-In Lösung).

Opt-In Lösung

Des Weiteren muss der Endnutzer die Möglichkeit haben, auch nach der Einwilligung für Cookies, diese zu widerrufen, „ohne Nachteile zu erleiden“ (E-Privacy-Verordnung §18). Der Begriff der Nachteile in der E-Privacy-Verordnung nicht näher definiert. Bis spätestens zum 25. Mai 2018 müssen laut EU-Parlament alle Unternehmen ihre Geschäftsmodelle der Verordnung anpassen und diese umsetzen. Bei Verstoß gegen die Verordnungen werden hohe Geldstrafen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes verhängt.

Im Laufe des Projektes habe ich einen Cookie-Banner programmiert, der nach TMG zulässig ist, d.h. bis spätestens Mai 2018 wird dieser nochmal von mir angepasst werden, damit er auch die Anforderungen der E-Privacy-Verordnung erfüllt. Ich hoffe mit diesem Beitrag konnte ich das Interesse bei dem ein- oder anderen wecken, im Mai 2018 wird dieser- um einen „Teil 2“ ergänzt. Bis dahin verfolgen wir die Umsetzung der E-Privacy-Verordnung gespannt weiter.

data-url="https://epunks.de/blog/artikel/e-privacy-verordnung-teil-1-48.html" data-services="["facebook","twitter","xing","googleplus","linkedin","info"]"