BVDW-Justiziar Michael Neuber

"Wenn E-Privacy kommt, droht die absolute Schockstarre"

BVDW-Justiziar Michael Neuber
© BVDW
BVDW-Justiziar Michael Neuber
Kaum war die DSGVO scharf gestellt, tobte ein E-Mail-Tsunami durchs Land. Der aber war in vielen Fällen überhaupt nicht nötig, sagt Michael Neuber. "Alle hatten Angst etwas falsch zu machen", so der BVDW-Justitiar. Abmahnwellen hält er dennoch für möglich. Und das dicke Ding kommt ja erst noch: Mitte 2019 droht die E-Privacy-Verordnung. Ein Live-Workshop und eine Rede von Neuber sollen Klarheit schaffen - auf den HORIZONT Digital Marketing Days Anfang Juli. Im Vorabinterview steckt Neuber schon mal die wichtigsten Claims ab.

Ende Mai ging ein regelrechter Zustimmungs-Tsunami durchs Land. Wie kann es sein, dass die DSGVO so viele Unternehmen scheinbar über Nacht kalt erwischt hat? Eigentlich kann das überhaupt nicht sein. Erstens waren die DSGVO und das Ende der Übergangsfrist bereits seit 2016 bekannt. Zweitens war der Email-Tsunami in vielen Fällen wohl überhaupt nicht nötig.

Warum das nicht? Die DSGVO hat einen unheimlichen Hype um das Thema Datenschutz ausgelöst, so dass sich plötzlich alle Unternehmen damit beschäftigt haben. Allerdings gilt die Zustimmungs- und Nachweispflicht etwa beim Emailmarketing und beim Newsletterversand bereits seit 2008. Wer also zuvor schon in diesem Punkt sauber gearbeitet hat, hätte sich den Einwilligungs-Tsunami durchaus sparen können.

Also haben alle Unternehmen, die Ende Mai Einwilligungs-E-Mails verschickt haben, zuvor nicht sauber gearbeitet? Nein, keineswegs. Die DSGVO hat allerdings viele Unternehmen aufgeschreckt und als eine Art Impulsgeber gewirkt. Seit Ende der Übergangsfrist wird von den Unternehmen vor allem eine saubere Dokumentation über ihre Datenverarbeitung gefordert. Und hier haben manche Unternehmen offensichtlich Schwachstellen festgestellt, die zu dem E-Mail-Tsunami geführt haben. Für die meisten ging es aber wohl vor allem um eine zusätzliche Absicherung. Alle hatten Angst, etwas falsch zu machen.

HORIZONT DIGITAL MARKETING DAYS 2018
Die HORIZONT Digital Marketing Days haben sich in den vergangenen Jahren zum Trend-Check für die Digitalbranche entwickelt. Anspruch der Veranstaltung ist es, Orientierung im Digital-Marketing-Dschungel zu liefern. Auch in diesem Jahr stehen am 3. und 4. Juli in Berlin Trends und Entwicklungen in den digitalen Marketingdisziplinen auf dem Prüfstand. Anmelden können Sie sich unter Conferencegroup.de/dmd18.

Manche Unternehmen informierten allerdings nur über neue Datenschutzrichtlinien, andere holten explizit die Einwilligung der Adressaten ein. Wer hat’s denn nun richtig gemacht? Da gibt es keine pauschale Antwort. Einerseits hängt das, wie gesagt, davon ab, wie die Unternehmen in der Vergangenheit mit dem Thema umgegangen sind. Andererseits kommt es auf den mit dem Mailing jeweils verfolgten Zweck an. Vielen ging es tatsächlich zunächst einmal darum, ihre aktualisierten Datenschutzrichtlinien transparent zu machen. Andere wollten aber in der Tat noch einmal ihre E-Mail-Verteiler sauber, und vor allem digital aufsetzen. Die DSGVO fordert zwar einen Nachweis beziehungsweise eine Dokumentation der Einwilligung. Dies kann, muss aber nicht, beispielsweise mittels Double-Opt-In-Verfahren oder expliziter Einwilligungs-E-Mails erfolgen. Grundsätzlich könnte ein Nachweis auch über eine analoge Adressatenliste erfolgen.

Einwilligungen werden aber zunehmend auch für jedwede andere Datenverarbeitung eingeholt, auch dort, wo sie unter Umständen gar nicht nötig wäre. Denn die DSGVO schreibt ja gerade nicht für jeden Fall eine Einwilligung des Nutzers vor, sondern lässt in bestimmten Bereichen auch andere Rechtsgrundlagen wie ein legitimes Interesse oder die Verarbeitung auf Grundlage eines Vertragsverhältnisses gelten. Da hier die Anwendungsszenarien allerdings noch viele Fragen und Rechtsunsicherheiten aufwerfen, haben sich viele Unternehmen sicherheitshalber für den Weg einer expliziten Einwilligungserklärung entschieden. Die Einwilligungserklärung sollte aber eigentlich immer nur Ultima Ratio sein.

Was ist denn schlecht daran? In vielen Fällen dürften Einwilligungsumgebungen die schlechtere Wahl sowohl für Nutzer als auch Unternehmen sein. Denn mit einer Einwilligung können weit mehr personenbezogene Datenerhebungen gerechtfertigt werden als für das Geschäftsmodell oftmals nötig. Etwa, weil man auch datensparsamer oder mit Pseudonymen arbeiten könnte. Für die Unternehmen bedeutet dies auch mehr Dokumentationsaufwand.

Ein weiteres Problem, das dadurch auch entstehen kann ist: Wer sich einmal auf den Pfad der Einwilligung begeben hat, wird es – folgt man der besonders rigiden Ansicht des europäischen Datenschutzausschusses - künftig schwer haben, andere Rechtsgrundlagen oder Vertragsbedingungen für die Rechtsmäßigkeit seiner Datenverarbeitungen geltend zu machen. Das in der DSGVO beschriebene „legitime Interesse“ eines Unternehmens an der Verarbeitung bestimmter personenbezogener Daten wird künftig entsprechend schwerer in der Praxis durchzusetzen sein. Der Tsunami war demnach ein ziemlich klares Zeichen für die in der DSGVO verankerten Rechtsunsicherheiten? Das kommt eben dabei heraus, wenn man one-size-fits-all- Gesetze macht und konkrete Anwendungsfälle nicht ausreichend erklärt. Die DSGVO gibt keine klaren Leitplanken vor. Die Unternehmen sind alleingelassen mit der Einschätzung, auf welche Rechtgrundlage sie die vielen verschiedenen Datenverarbeitungen künftig stellen können oder müssen. Im Zweifel muss jeder Einzelfall vor Gericht geklärt werden. Viele Unternehmen wollen sich auf diesen Streit aber gar nicht erst einlassen.

Schon fürchten viele eine Abmahnwelle. Wie ist Ihre Beobachtung: Gibt es tatsächlich bereits haufenweise Klageandrohungen? Im Moment sehe ich noch keine Abmahnwelle. Mittelfristig halte ich es aber durchaus für möglich, dass diese noch kommt. Zunächst einmal müssten dafür jetzt allerdings die „vielversprechendsten“ Angriffspunkte definiert werden. Insbesondere vonseiten verschiedener Interessensverbände könnte es eine Reihe von Abmahnungen geben. Für Auseinandersetzungen zwischen einzelnen Wettbewerbern hingegen ist das noch nicht richtig abschätzbar. Es gibt Meinungen, dass die Sanktionsmaßnahmen der DSGVO abschließend sind. Streitigkeiten zwischen Wettbewerbern auf Grundlage der DSGVO wären dann so gut wie unmöglich. Auf der anderen Seite erkennt das 2016 ergänzte Unterlassungsklagengesetz bestimmte Datenschutznormen nun als verbraucherschützend an. Hier ist der Schritt zur Anerkennung als Marktverhaltensregelung oftmals nicht weit, was mögliche Abmahnungen auch von Wettbewerbern zuließe.

Vergangene Woche kam schon die nächste Hiobsbotschaft: Laut EuGH sind auch Betreiber einer Facebook-Fanpage mitverantwortlich für die Datenverarbeitung von Facebook. Alle Details dazu muss jetzt noch das Bundesverwaltungsgericht klären. Was sollten Betreiber einer Fanpage in der Zwischenzeit tun, um rechtlich sauber zu bleiben? Vor allem sollten sie nicht in Panik verfallen oder ihre Fanpage sogar komplett abschalten, wie mancherorts zu lesen war. Bisher hat der EuGH zunächst einmal eine grundsätzliche Leitlinie ausgesprochen. Danach haben Facebook und die Betreiber einer Fanpage zwar eine gemeinsame Verantwortung, nicht aber eine gleichwertige Verantwortung. Das ist ein wichtiger Unterschied. Alles Weitere muss abgewartet werden. Derzeit besteht für keine Seite irgendeine erweiterte Handlungsmöglichkeit. Das einzige, was Betreiber jetzt schon tun können und sollten, ist ein Verweis auf ihrer Fanpage, dass ein Tracking auf der Seite stattfindet.
„Sollte die ePrivacy-Verordnung wie geplant Mitte 2019 in Kraft treten, wäre das für unsere Branche der absolute Gau. Das würde die Unternehmen noch deutlich kälter erwischen als die DSGVO. Dann droht die absolute Schockstarre.“
Michael Neuber, BVDW
Und das richtig dicke Ding kommt dann im nächsten Jahr, wenn vermutlich die E-Privacy-Verordnung in Kraft tritt. Was denken Sie, kommt das neue Gesetzt Mitte 2019 tatsächlich in seiner jetzt geplanten Form? Das ist ein Blick in die Glaskugel. Die Chancen stehen meines Erachtens 50:50, dass die E-Privacy-Verordnung in ihrer derzeit härtesten Form durchgesetzt wird. Sollte das Gesetz unbedingt noch während der bulgarischen EU-Ratspräsidentschaft bis Ende Juni durchgepeitscht werden, gibt es kaum mehr Chancen auf Änderungen. Danach müsste man sehen, was unter der EU-Ratspräsidentschaft Österreichs im Trilog passiert. Alles ist möglich – von einer schnellen Einigung bis hin zu völliger Neusondierung. Immerhin wird im Mai 2019 auch ein neues EU-Parlament gewählt. Die Karten könnten danach auch noch einmal neu gemischt werden.

Die Digitalbranche, die Marketing- und Werbebranche, alle einschlägigen Verbände vom VDZ bis zum BVDW laufen seit Jahren Sturm gegen E-Privacy. Wann und wie auch immer das neue Gesetz kommen wird – wird es die Unternehmen dann ähnlich kalt erwischen wie vor wenigen Wochen die DSGVO? Die Regelungen der E-Privacy-Verordnungen unterstellen die gesamte Datenverarbeitung, sowohl personenbezogener wie nicht-personenbezogener Daten einem kompletten Einwilligungsregime mit extrem rigiden Ausnahmen. Das hat fatale Folgen auf unsere Branchen, aber auch auf unzählige weitere Wirtschaftszweige. Das haben Anfang Juni nochmals 14 Verbände, auf Initiative des BVDW, in einem Ministerschreiben deutlich gemacht. Sollte die E-Privacy-Verordnung wie geplant Mitte 2019 in Kraft treten, wäre das für unsere Branche der absolute Gau. Das würde die Unternehmen noch deutlich kälter erwischen als die DSGVO. Dann droht die absolute Schockstarre.




stats