von Christian Beck
Herr Stamm, ab dem 25. Mai gibt es laut Insidern WhatsApp nur noch für über 16-Jährige. Ein mögliches Szenario der EU-Datenschutz-Grundverordnung?
Ja, durchaus. Die EU-Datenschutz-Grundverordnung (EU-DSGVO) hat auch auf die Anbieter aus den USA wie Google oder Facebook und deren Applikationen wie WhatsApp Auswirkungen. Sobald Daten von einem EU-Bürger gesammelt werden, fallen diese Dienste unter die Verordnung. Bei Jugendlichen sind die Anforderungen für eine rechtmässige Datensammlung noch strenger, da diese für die Nutzung und Einwilligung zu einem Dienst wie WhatsApp das Einverständnis der Eltern benötigen, was für WhatsApp sehr aufwändig zu überprüfen wäre.
Auch Facebook reagiert und ändert die Zuordnung der meisten Nutzer (persoenlich.com berichtete). Diese Beispiele zeigen: Von der EU-DSGVO sind viele betroffen. Auch Newsletteranbieter?
Das ist ein klassisches Beispiel für die Bearbeitung von Personendaten. Wer einen Newsletter verschickt, braucht dafür E-Mail-Adressen – unter Umständen müssen noch andere Angaben gemacht werden. Die EU-DSGVO setzt hier eine ausdrückliche Einwilligung für die Speicherung der Kontaktangaben der betroffenen Person voraus.
Was heisst das?
Die betroffene Person muss in einem sogenannten Double-Opt-in der Datenbearbeitung zustimmen. Nachdem der Interessent seine Angaben für den Newsletterversand angegeben hat, muss ihm ein Bestätigungsmail geschickt werden. Dort muss er dann nochmals aktiv zustimmen, dass er den Newsletter will.
«Es wird 2019, bis die E-Privacy-Verordnung in Kraft tritt»
Im Zuge der EU-DSGVO werden auch andere Rechtsvorschriften angepasst, wie beispielsweise die E-Privacy-Verordnung oder das schweizerische Datenschutzgesetz (DSG). Kommen diese nun gleichzeitig?
Nein, die Umsetzungen haben sich verzögert. Die E-Privacy-Verordnung – die vor allem die Werbewirtschaft betrifft, weil sie den Internetkonsum in Bezug auf den Datenschutz regelt – befindet sich immer noch in den Trilog-Verhandlungen in der EU. Man rechnet damit, dass diese Verhandlungen noch etwas andauern. Es wird ganz sicher 2019, bis die E-Privacy-Verordnung dann in Kraft tritt. Auch das schweizerische DSG ist noch nicht gesetztes Recht, da der seit September 2017 vorliegende Entwurf noch von den Räten und bei einem Referendum auch vom Volk genehmigt werden muss. Ein Inkrafttreten ist ebenfalls erst im 2019 realistisch.
Der Verlegerverband hat einen offenen Brief gegen die drohende E-Privacy-Verordnung mitunterzeichnet. Kann der Schweizer Protest überhaupt Wirkung zeigen?
Ich zweifle an der Wirksamkeit der Proteste aus der Schweiz. Aber grundsätzlich ist es schon so: Wenn gute Inputs kommen, werden diese auch behandelt. Es gibt viele europäische Instanzen, die sich für das Gewerbe – wie unter anderem auch die Werbewirtschaft – in Brüssel einsetzen. Ich denke da beispielsweise an eine IAB Europe, die vermutlich aufgrund ihrer exzellenten Kontakte die grössere Wirkung erzeugen kann, als der Verlegerverband.
Wie unterscheidet sich die E-Privacy-Verordnung von der EU-DSGVO?
Die E-Privacy-Verordnung geht im derzeit vorliegenden Entwurf weiter als die EU-DSGVO, dies eben auch was das Einwilligungserfordernis für das Sammeln von Cookies oder anderen Identifiern betrifft. Diese werden ja eingesetzt, um nutzungsbasierte Werbung zu produzieren.
Sie sagten es schon im November: Schweizer Firmen können sich den EU-Regularien nicht entziehen. Was schätzen Sie, wie viel Prozent der Schweizer Unternehmen haben ihre Hausaufgaben gemacht?
Von jenen, die es betrifft, weil sie Daten von EU-Bürgern sammeln oder Produkte im EU-Raum verkaufen… (überlegt) Schwierig, hier eine Prozentzahl zu nennen. Die meisten dürften mitbekommen haben, dass es diese neue Regulierung im EU-Raum gibt. Ich würde mal sagen, die Hälfte ist auf Kurs, der andere Teil hat noch Nachholbedarf.
«Grundsätzlich gelten die Sanktionen auch für Schweizer Unternehmen»
Es lohnt sich, auf Kurs zu sein. Wer nicht spurt, dem droht eine Busse von bis zu 20 Millionen Euro – oder vier Prozent des Jahresumsatzes.
Hier dürfte es noch schwierig werden, wie diese Strafen bei Schweizer Unternehmen dann auch gerichtlich durchgesetzt werden. Aber klar: Grundsätzlich gelten diese Sanktionen auch für die Schweizer Unternehmen. Aber für eine Sanktion in der maximalen Höhe müsste schon ein krasses Fehlverhalten vorliegen. Man sagt, dass die zuständigen Behörden zu Beginn nicht gleich drakonische Strafen verteilen wollen, sondern versucht wird, zusammen mit den Unternehmen den neuen Standard einzuhalten.
Was müssen Schweizer Unternehmen jetzt noch unternehmen?
Wenn sie bis jetzt noch nichts unternommen haben, gibt es allenfalls noch sehr viel zu tun. Grundsätzlich müssen die Firmen aber vor allem wissen, was für Personendaten sie bearbeiten. Daraus lässt sich dann auch ableiten, wie hoch die Aufwände sind. Was sicherlich für alle Gesellschaften absolut notwendig ist, ist das Erstellen von sogenannten Verarbeitungsverzeichnissen.
Was ist das?
In diesen Verzeichnissen wird festgehalten, welche Personendaten gesammelt werden, von welchen Personen, was der Zweck der Bearbeitung ist… Es werden die Kategorien der betroffenen Personen beschrieben, die Ansprechpersonen werden aufgeführt, die Rechtsgrundlage der Datenverarbeitung muss angegeben werden und so weiter. Auch ein wichtiges Element: Die Datenschutzerklärungen auf der Website sollten up to date sein.
Wo sind noch Unsicherheiten in der Umsetzung der EU-DSGVO, welches sind die Stolpersteine?
Für die Werbewirtschaft besteht derzeit noch eine grosse Rechtsunsicherheit in Bezug auf den Einsatz von Cookies und ob es hierfür einer expliziten vorgängigen Einwilligung bedarf oder nicht. In der EU-DSGVO gibt es eine Ausnahmebestimmung, die besagt, dass es keine explizite Einwilligung dafür braucht, wenn ein legitimes Interesse an der Personendatensammlung vorliegt. Diese Interessensabwägung kann bei Direktwerbung oder auch nutzungsbasierter Werbung vorgenommen werden. In Deutschland haben deshalb viele Firmen noch nicht auf ein Opt-in für das Setzen von Cookies umgestellt und warten mal ab, was in den ersten gerichtlichen Verfahren hierüber entschieden wird.
«Da reichen Bännerchen nicht mehr»
Mit der E-Privacy-Verordnung ab 2019 könnte die Schraube aber angezogen werden…
Genau. Deshalb will die Werbewirtschaft den Status beibehalten, wie er mit der EU-DSGVO reguliert ist. Die E-Privacy-Verordnung sagt klar, dass für jedes Cookiesetzen, welches technisch nicht absolut notwendig ist, eine vorgängige Einwilligung eingeholt werden muss. Da reichen diese Bännerchen, wie sie heute eingesetzt werden und wo man auch einfach weitersurfen kann, nicht mehr. Künftig müsste man aktiv ein Kästchen anklicken, um die Einwilligung zum Setzen von Cookies für eine Data-Management-Plattform geben.
Das wäre dramatisch für die Werbewirtschaft.
Ja, dies kann durchaus grosse Auswirkungen haben. Böse Stimmen behaupten, dass bis zu 70 Prozent der Nutzer keine Einwilligung zum Setzen von Cookies für Werbezwecke geben würden.
Auf welche Alternativen zu Cookies kann die Werbewirtschaft ausweichen?
Allenfalls werden wieder andere Werbeformen, die keine Personendaten zur Erstellung benötigen, wie beispielsweise im Bereich von contentbezogener Werbung, wieder beliebter. Desweitern gibt es derzeit auch Bestrebungen, dass notwendige Einwilligungen über die Implementierung von branchenweiten Log-in-Allianzen eingeholt werden. Diese Log-in-Allianzen haben aber einen viel weiteren Zweck, als nur das Einholen von Einwilligungen, da sie dem Nutzer einen anders gelagerten Mehrwert anbieten. Dieser Mehrwert kann beispielsweise der sichere Einkauf, das Buchen von Reisen oder das sichere Ansehen von Filmen im Internet sein. Zudem gewähren Log-in-Allianzen dem Nutzer einen kontrollierten und sicheren Umgang mit seinen Daten.
Was überwiegt bei der EU-DSGVO: Der Vorteil für die Nutzer oder der Nachteil für die Werbewirtschaft?
Ganz sicher die Vorteile für den Nutzer. Die Werbewirtschaft wird sich umstellen und teilweise neu erfinden müssen. Aber das ist ja nicht das erste Mal.
