DSGVO, E-Privacy und ihre Auswirkungen auf Medienunternehmen

25 Oktober, 2018

Von Dr. Jan-Peter Ohrtmann und Matthias Bleidiesel. Selten regelt ein Gesetzgeber ein jeden Bürger und jedes Unternehmen betreffendes Rechtsgebiet vollständig neu. Mit der Datenschutz-Grundverordnung (DSGVO) ist dies kürzlich europaweit erfolgt.

Die Verordnung enthält einerseits neue Regelungskonzepte, anderseits werden bestehende Regelungskonzepte beibehalten – die jedoch nun aufgrund eines drastisch erweiterten Bußgeldrahmens ein viel höheres Risikoprofil aufweisen.

Smartphone in der Hand

Die Datenschutz-Grundverordnung

Da die DSGVO zunächst branchenunabhängig gilt, müssen die Medienunternehmen – wie andere Unternehmen auch – vor dem Hintergrund der veränderten Erlaubnistatbestände unter anderem ihre Datenverarbeitungspraktiken neu bewerten. Bezüglich der teils bekannten und teils neuen Rechte der Betroffenen müssen Prozesse etabliert und die Datenschutzhinweise in der Regel komplett überarbeitet werden. Zudem müssen die in der Praxis häufig fehlenden Löschkonzepte unternehmensintern mit den Fachabteilungen und der IT-Abteilung ausgearbeitet werden. Sofern neue Verarbeitungstätigkeiten aufgesetzt werden, müssen die neuen Grundsätze des „Datenschutzes durch Technikgestaltung“ und der „datenschutzfreundlichen Voreinstellungen“ beachtet und bei Bedarf „Datenschutz-Folgenabschätzungen“ durchgeführt werden. Die Einhaltung dieser und weiterer Anforderungen sind von den Unternehmen im Zuge ihrer Rechenschaftspflicht nachzuweisen.

Die Implementierung der entsprechenden Maßnahmen ist vielfach noch nicht abgeschlossen und beschäftigt die Branche weiterhin.

Aufgrund ihres besonderen Geschäftsmodells und ihrer Branche sind für die Medienunternehmen insbesondere die nachfolgenden Besonderheiten relevant:

Journalistisch arbeitende Unternehmen sind fast vollständig von der DSGVO befreit

Unternehmen, die unter das Landespresse- bzw. Landesmedienrecht fallen, sind in ihrer journalistischen Arbeit privilegiert und fast vollständig von der DSGVO befreit. Das gilt neben den Presseunternehmen auch für deren Hilfs- und Beteiligungsunternehmen. Allerdings bezieht sich die Privilegierung nur auf die eigentliche journalistische Tätigkeit. Diese soll nach den Erwägungsgründen zur DSGVO allerdings weit gefasst werden, um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen. So hat die österreichische Datenschutzaufsichtsbehörde jüngst die von einem Betroffenen verlangte Löschung eines Postings auf einer Diskussionsplattform unter Verweis auf das Medienprivileg abgelehnt. Eine Verarbeitung zu journalistischen Zwecken liege immer dann vor, wenn sich eine Veröffentlichung an einen unbestimmten Personenkreis richtet. Dies gelte auch für den Bürgerjournalismus.

Das Einwilligungsmanagement wird für Medienunternehmen an Bedeutung gewinnen

Da Medienunternehmen bei zahlreichen Datenverarbeitungsmaßnahmen eine Einwilligung der Betroffenen voraussetzen – wie bei Informationsportalen, Newslettern usw. –, wird das Einwilligungsmanagement für sie an Bedeutung gewinnen. So soll laut einer Positionsbestimmung der deutschen Aufsichtsbehörden beispielsweise eine Einwilligung für sogenannte Tracking-Mechanismen zwingend erforderlich sein, die das Verhalten von Personen im Internet nachvollziehbar machen oder der Erstellung von Nutzerprofilen dienen. Die Medienunternehmen müssen solche Einwilligungen einholen und bei der Dokumentation versionieren, damit die Abgabe und der Inhalt einer Einwilligung jederzeit nachweisbar sind.

DSGVO sieht einen umfassenden Katalog von Informationspflichten vor

Zu jedem Verarbeitungsprozess müssen die Betroffenen transparent und mithilfe von Datenschutzhinweisen informiert werden. Die DSGVO hält einen umfassenden Katalog von Informationspflichten vor, die den Betroffenen zum Zeitpunkt der Datenerhebung mitgeteilt werden. Ein Verstoß kann auch als Wettbewerbsverstoß nach dem Gesetz gegen den unlauteren Wettbewerb gewertet werden. Dies wird jedoch momentan aufgrund unterschiedlicher unterinstanzlicher Gerichtsentscheidungen kontrovers diskutiert.

Bislang fehlt ein standardisiertes Authentifizierungsverfahren

Viele Kunden kennen mittlerweile ihre Nutzerrechte; insbesondere das Recht auf Auskunft und Löschung wird zunehmend ausgeübt. Relevant ist dies vor allem im Onlinebereich. Ein Problem stellt hier bisweilen der Authentifizierungsprozess dar. Bislang ist noch kein funktionierender Authentifizierungsprozess etabliert, über den sich feststellen lässt, ob die Person, die eine Anfrage stellt, tatsächlich mit dem Nutzer identisch ist. Im Bereich Gaming etwa ist besondere Sorgfalt geboten, wenn die Löschung eines über Jahre angewachsenen Accounts, der womöglich auch kostenpflichtige Features aufweist, verlangt wird. Auch hierzu liegt bislang noch kein standardisiertes Authentifizierungsverfahren vor.

Eine Authentifizierung ist besonders mit Blick auf minderjährige Kunden relevant

Eine Authentifizierung ist besonders dann relevant, wenn Minderjährige als Kunden auftreten. Deren Anzahl hat sich beispielsweise im Bereich VoD im Vergleich zu den Vorjahren weiter erhöht. Richten sich derartige Dienste der Informationsgesellschaft an Kinder und Jugendliche, so gelten besondere Anforderungen. Ob sich ein Angebot an Jugendliche richtet, hängt primär von dessen Aufmachung und weniger vom Produkt selbst ab. Dass sich ein Angebot neben Kindern oder Jugendlichen auch an Erwachsene richtet, ist dabei nicht entscheidend. Onlinevideospiele können durchaus für Erwachsene und Jugendliche konzipiert sein. Wird dabei für einzelne Datenverarbeitungsvorgänge eine Einwilligung benötigt, so muss bei unter 16-Jährigen nachweislich der Träger der elterlichen Verantwortung stellvertretend für das Kind einwilligen oder der Einwilligung des Kindes zustimmen. Bei den Printmedien kann dies beispielsweise auf Jugend- und Ausbildungszeitschriften mit minderjährigen Kunden zutreffen.

Direktwerbung, die einem berechtigten Interesse dient, ist weiterhin möglich

Doch nicht alles wird komplizierter: Marketingmaßnahmen sind nach wie vor möglich. Der Erwägungsgrund 47 S. 7 der DSGVO stellt ausdrücklich klar, dass „die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung […] als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden [kann]“. Die Grenzen sind allerdings fein auszuloten und der Widerspruch eines Betroffenen ist zu akzeptieren. Bei der Interessenabwägung ist auf die Intensität des Eingriffs durch Werbung abzustellen und zu prüfen, ob der Betroffene die Werbemaßnahme vernünftigerweise absehen konnte. Zudem sind die Regelungen des Gesetzes gegen den unlauteren Wettbewerb, welches zusätzliche Anforderungen an die Werbung enthält, zu beachten.

Ist ein Medienunternehmen international aufgestellt oder stark global vernetzt, so stellen sich auch unter der DSGVO Fragen zum Datentransfer über die Grenzen der EU hinaus.

Nachdem der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen für unzureichend befunden hat, steht nun auch das Nachfolgeabkommen, der EU-US-Datenschutzschild, in der Kritik. Manche fragen sich bereits, wie lange der Schild noch Schutz bieten wird. Die Unternehmen wollen jedenfalls nicht überrascht oder zu einer überstürzten Reaktion genötigt werden und suchen nach anderen Möglichkeiten, den Drittlandtransfer abzusichern. Gleiches gilt für den anstehenden Brexit und die Vorbereitungen darauf, Datentransfers nach Großbritannien durch einen angemessenen Schutz abzusichern, ohne erst eine Bestandsaufnahme über die Datenflüsse machen zu müssen.

Facebook-Fanpage-Urteil

Für die Medienbranche ist auch das Facebook-Fanpage-Urteil des EuGH über die sogenannte gemeinsame Verantwortlichkeit und damit die Mithaftung bei Datenverarbeitungen Dritter von besonderer Bedeutung. Im Ergebnis ist nach dem Facebook-Fanpage-Urteil eine Abgrenzung der Verantwortlichkeit in Dreiecksverhältnissen nicht immer einfach. So lässt sich etwa im Bereich Gaming im Dreiecksverhältnis zwischen Entwickler, Verleger und Kunden bei Cloud-basierten Spielen die Frage, wer die Daten wie Spielstände, Uhrzeit oder Chatprotokolle erhebt und insofern datenschutzrechtlich verantwortlich ist, nicht ohne Weiteres beantworten. Im Buchhandel kann sich die Frage des Verhältnisses zum Verlag stellen, der die Kunden direkt und wiederkehrend mit Fachzeitschriften beliefern soll und auch für eigene Produkte Werbung betreibt. Spannend wird es dabei, wenn die Kundendatenbanken regelmäßig abgeglichen werden sollen, damit die Akteure auf aktuellem Stand sind.

E-Privacy-Verordnung

Während die Wirtschaft die DSGVO noch „verdauen“ muss, ist bereits ein zweites weitreichendes EU-Gesetzgebungsvorhaben auf dem Weg, die Verordnung über Privatsphäre und elektronische Kommunikation, kurz E-Privacy-VO. Diese soll wie die DSGVO unmittelbar gelten, ohne dass ein nationaler Umsetzungsakt erforderlich wäre. Ursprünglich sollte sie zeitgleich mit der DSGVO in Kraft treten, dies ist jedoch aufgrund umfassender Abstimmungen und Überarbeitungsvorschläge noch nicht geschehen.

Die derzeitige Rechtslage mit dem Nebeneinander von DSGVO, EU-Richtlinie zur elektronischen Kommunikation (E-Privacy-Richtlinie) und nationaler Gesetzgebung, bei der unklar ist, inwieweit sie nach der DSGVO weiterhin gültig ist und ob sie überhaupt die E-Privacy-Richtlinie umgesetzt hat, sorgt insbesondere bei online aktiven Medienunternehmen für große Rechtsunsicherheit. Die E-Privacy-Richtlinie soll der DSGVO insoweit vorgehen, wie beide Regelwerke dasselbe Ziel verfolgen. Letzteres ist jedoch nicht immer einfach zu bestimmen.

Das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz des deutschen Gesetzgebers soll das komplexe Regelungsgeflecht zumindest teilweise entwirren. Da momentan jedoch keine Änderung des Telemediengesetzes beabsichtigt ist, wird die oben beschriebene Rechtsunsicherheit im Onlinegeschäft bis zur Geltung der E-Privacy-VO wohl bestehen bleiben.

Die E-Privacy-VO soll sowohl die E-Privacy-Richtlinie als auch sämtliche nationale Vorschriften zu diesem Regelungsbereich verdrängen. Als branchenspezifische Verordnung würde sie der DSGVO im Bereich der elektronischen Kommunikation vorgehen. Die Onlinewerbewirtschaft sieht in den momentan diskutierten Entwürfen der E-Privacy-VO eine existenzielle Bedrohung. Der Umgang mit Tracking-Mechanismen, insbesondere mit Third-Party-Cookies, ist schließlich die Grundlage der nutzer- und verhaltensbasierten Werbung.

Zudem soll die Direktwerbung oder die dem Endnutzer zur Verfügung zu stellenden Konfigurationsmöglichkeiten datenschutzfreundlich gestaltet werden. Die politische Einflussnahme in Brüssel wird sich daher pünktlich zu den Trilog-Verhandlungen noch einmal intensivieren, wenn Parlament, Rat und Kommission im nächsten Jahr über den finalen Entwurf abstimmen. Geht man von einem Verhandlungszeitraum wie bei der DSGVO aus, so ist das Inkrafttreten der E-Privacy-VO nach einer einjährigen Übergangfrist dennoch erst 2021 zu erwarten.

Mit Inkrafttreten der E-Privacy-VO wird die gesamte Onlinebranche von den regulatorischen Anforderungen betroffen sein. Neben klassischen Kommunikationsdiensten gilt sie nach der aktuellen Entwurfsfassung auch für Over-the-Top-Dienste, also Dienste, die über einen Internetzugangsdienst den Kunden Inhalte anbieten, etwa VoD-Angebote oder Messenger-Dienste. Kommunikationsdaten werden nach dem derzeitigen Stand ohne Einwilligung der Kunden grundsätzlich nur dann rechtmäßig verarbeitet, wenn es zur Erbringung der Dienste oder aus Gründen der IT-Sicherheit erforderlich ist. Eine Verarbeitung von Kommunikationsdaten analog zur DSGVO auf überwiegende berechtigte Interessen zu stützen, ist hingegen nicht vorgesehen. Diese Einschränkung sollten die Medienunternehmen zum Anlass nehmen, Datenverarbeitungen, die unter die E-Privacy-VO fallen, rechtzeitig zu identifizieren, damit sie ihren zukünftigen Änderungsbedarf abschätzen können. Dies betrifft insbesondere den Umgang mit Cookies, die Rückschlüsse auf das Nutzerverhalten zulassen, also zum Beispiel Cookies zur Reichweitenmessung und -analyse, Tools zum Online- und Offline-Tracking, das Auslesen von Informationen auf dem Endgerät, etwa das Adressbuch oder die Positionsdaten. Ein Auslesen des Nutzerverhaltens greift stark in die Persönlichkeitsrechte der Nutzer ein. In einer gemeinsamen Positionsbestimmung der Datenschutzaufsichtsbehörden der Länder vom 26. April 2018 wurden daher der Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen sowie die Erstellung von Nutzerprofilen unter den Einwilligungsvorbehalt der Nutzer gestellt. Der Maßstab hierfür soll die informierte Einwilligung nach der DSGVO sein. Klarstellend wurde darauf hingewiesen, dass die Einwilligung in zeitlicher Hinsicht einzuholen ist, bevor Cookies platziert werden oder Informationen auf dem Endgerät der Nutzer gesammelt werden.

Demgegenüber können Cookies, die technisch notwendig und verhältnismäßig sind, um einen Dienst anzubieten, rechtmäßig ohne Einwilligung der Nutzer eingesetzt werden.

Dies kann etwa das Speichern von Cookies für die Dauer eines Websitebesuchs umfassen, um die Eingaben des Endnutzers beim Ausfüllen von Onlineformularen über mehrere Seiten hinweg verfolgen zu können, oder den Einsatz von Authentifizierungs-Cookies, die an Onlinetransaktionen beteiligt sind und der Überprüfung der Identität eines Endnutzers dienen, oder von Cookies, die nötig sind, um vom Endnutzer ausgewählte und in den Warenkorb gelegte Artikel zu speichern. Ebenso soll der Einsatz von Cookies erlaubt sein, die dazu dienen, die Anzahl von Nutzern zu messen oder die Wirksamkeit eines erbrachten Dienstes zu bewerten, beispielsweise die Gestaltung einer Website. Sobald jedoch dabei die Identifizierung eines Nutzers möglich ist, ist eine Einwilligung erforderlich.

Kontrovers

Spannend ist die Entwicklung momentan in den Bereichen Cookie-Walls, vernetzte Geräte sowie nutzerseitige Datenschutzeinstellungen in Software und Software-Updates zur Behebung von Sicherheitsschwachstellen. Der Einsatz von Cookie-Walls wird in den Ratsverhandlungen derzeit kontrovers diskutiert. Dabei handelt es sich um Situationen, in denen die Bereitstellung eines Dienstes von der Zustimmung des Nutzers zu Cookies abhängig gemacht wird. Klargestellt wurde bislang, dass Cookie-Walls nicht zu unverhältnismäßigen Situationen führen dürfen, in denen dem Betroffenen, wenn er die Cookies verweigert, keine ernsthafte Alternative mehr verbleibt. Dies wird jedenfalls bei einer Behördenwebseite angenommen, bei der der Nutzer nur wenige oder gar keine andere Möglichkeit hat, als diesen Dienst zu nutzen. Für viele Produkte wird dieser Sachverhalt ebenfalls zu überprüfen sein.

Im Bereich der vernetzten Geräte gibt es ein klares Signal aus Brüssel: Eine Einwilligung der Nutzer soll nicht erforderlich sein, wenn der Zugriff auf Informationen aus deren Endgeräten für die Bereitstellung des Dienstes der Informationsgesellschaft und die Nutzung der Verarbeitungs- und Speichermöglichkeiten von Endgeräten wie des Internets der Dinge erforderlich ist; dies trifft zum Beispiel auf angeschlossene Geräte wie Thermostate oder Beleuchtungsanlagen zu.

Die Verordnung soll zudem die Möglichkeit vorsehen, dass die Nutzer ihre Einwilligung durch die Verwendung der entsprechenden allgemeinen Datenschutzeinstellungen eines Browsers oder einer anderen Anwendung ausdrücken können. Die gewählte Einstellung soll dann für Dritte verbindlich und durchsetzbar sein. Die Dokumentation der auf solche Weise eingeholten Einwilligung könnte allerdings eine gewisse Herausforderung darstellen. Ebenso muss ein Widerruf der Einwilligungserklärung in Form einer Änderung der Einstellungen verwaltet werden. Fraglich wäre auch, ob eine jährliche Überprüfung dessen, ob die Einwilligung weiterhin besteht, ausreichend ist. Hier werden, um Rechtsklarheit zu schaffen, noch weitere Vorgaben aus Brüssel erforderlich sein. Schließlich würden derartige Datenschutzeinstellungen in einer Software die Rechtsgrundlage einer Verarbeitung darstellen.

Ein weiterer interessanter Punkt im aktuellen Entwurf des Rates zur E-Privacy-VO betrifft die Updates. Eine Einwilligungserklärung zu Zwecken der Aktualisierung soll nicht erforderlich sein, wenn das Update ausschließlich der Behebung von Sicherheitsschwachstellen dient. Voraussetzung dafür ist dafür jedoch zum einen, dass die Aktualisierungen in keiner Weise die Funktionalität der Hard- oder Software oder die vom Nutzer gewählten Datenschutzeinstellungen ändern. Zum anderen muss der Nutzer weiterhin die Möglichkeit haben, die automatische Installation solcher Aktualisierungen zu verschieben oder abzuschalten. Eine „ausschließliche“ Behebung von Sicherheitsschwachstellen soll dann nicht vorliegen, wenn auch neue Funktionen hinzugefügt oder Leistungen verbessert werden.

Know-how-Richtlinie

Als einer Art Ausblick ist für die Medienunternehmen nicht zuletzt auch die 2016 verabschiedete sogenannte Know-how-Richtlinie (Richtlinie EU 2016/943) relevant. Sie hat das Ziel, einen europaweit einheitlichen Schutz vor Geheimnisverrat und Wirtschaftsspionage sowie EU-weit grenzüberschreitende Innovationen zu fördern. Hat ein Unternehmen entsprechende Geheimhaltungsmaßnahmen ergriffen, so wird es für Whistleblower und Journalisten künftig schwerer, Informationen über das Unternehmen zu veröffentlichen. Der deutsche Gesetzgeber hat zwar den Umsetzungsstichtag (9. Juni 2018) verstreichen lassen, legte jedoch einen Gesetzesentwurf vor.

Dem Gesetzentwurf zufolge stellen die Achtung der Freiheit und der Pluralität der Medien berechtigte Interessen dar, die es zulässig machen, Geschäftsgeheimnisse zu erlangen, zu nutzen oder offenzulegen. Dadurch sollen insbesondere journalistische Quellen geschützt und Behinderungen des investigativen Journalismus vermieden werden.

Obwohl das Medienprivileg dadurch unberührt bleibt, befürchten Kritiker eine schwierige Umkehr der Beweislast. So muss im Streitfall ein beschuldigter Journalist nachweisen, dass er ein Geheimnis zum Schutz des öffentlichen Interesses verraten hat. Das Gesetzgebungsvorhaben kann die Arbeit mit Quellen und den investigativen Journalismus durch neue Prüfungsanforderungen substanziell belasten.

Contact us

Dr. Jan-Peter Ohrtmann

Partner, PwC Germany

Tel.: +49 211 981-2572

Matthias Bleidiesel

Senior Manager, PwC Germany

Tel.: +49 211 981-1956

Follow us