Die neue E-Privacy-Verordnung: Welche Änderungen sind zu erwarten? - Update
In den zuständigen EU-Institutionen wird seit Anfang des Jahres intensiv an den Inhalten der Verordnung über die Privatsphäre und elektronische Kommunikation (ePrivacy-Verordnung) gearbeitet. Ursprünglich war geplant, dass die ePrivacy-VO zeitgleich mit der DSGVO ab dem 25. Mai 2018 gelten soll. Dieses Ziel wird jedoch mehr und mehr als unrealistisch bewertet.
Erstmals sind jetzt Papiere aller am Gesetzgebungsprozess beteiligten Einrichtungen öffentlich, die als Diskussionsgrundlage für die weiteren internen Verhandlungen dienen werden. Daraus lassen sich Tendenzen für die zukünftigen Regelungen ableiten, die im Folgenden dargestellt werden sollen.
Über die ePrivacy-Verordnung
Die ePrivacy-VO soll die sog. ePrivacy-Richtlinie 2002/58/EG ablösen. Mit ihr regelte die EG den Schutz personenbezogener Daten im Bereich der elektronischen Kommunikation, insbesondere im Internet. Betroffen sind zudem auch die Regelungen der sog. Cookie-Richtlinie 2009/136/EG. Da es sich dabei um Richtlinien handelt, war eine Umsetzung in nationales Recht erforderlich. Dem kam der deutsche Gesetzgeber vor allem mit dem Erlass von Vorschriften des TMG und TKG nach. Den Anforderungen der Cookie-Richtlinie entsprach das deutsche Recht dennoch nicht (insb. die Opt-Out-Lösung).
Die ePrivacy-VO dagegen ist eine Verordnung und damit, wie die DSGVO, unmittelbar anwendbar und mit Anwendungsvorrang vor nationalem Recht ausgestattet.
Hintergrund
Nachdem ein Entwurf der Kommission bereits im Dezember 2016 geleakt war (und auf heftige Kritik gestoßen ist), veröffentlichte die Kommission im Januar 2017 eine überarbeitete und in weiten Teilen geänderte Fassung. Auch diese war Gegenstand von Kritik, insbesondere des Europäischen Datenschutzbeauftragten. Dieser erste Entwurf der Kommission dient nun als Ausgangspunkt der Gegenentwürfe des Parlaments und des Rats.
Der federführende LIBE-Ausschuss des Europäischen Parlaments veröffentlichte seinen ersten Regelungsvorschlag am 20. Juni 2017. Der Ausschuss sah darin über 130 Änderungen gegenüber dem ursprünglichen Entwurf der Kommission vor. Zu dem Papier des Ausschusses sind mehrere hundert Änderungsanträge eingegangen. Die für die ePrivacy-VO zuständige Berichterstatterin muss die Änderungsanträge bei der Erstellung eines finalen Entwurfs zur Beschlussfassung im Ausschuss und anschließend im Parlament berücksichtigen. Es ist daher damit zu rechnen, dass der Parlamentsentwurf noch erheblichen Änderungen unterliegen wird.
Am 08. September 2017 hat nun auch der Präsident des Rats der europäischen Union ein Konzept einer ePrivacy-Verordnung veröffentlicht. Dieses dient als Diskussionsgrundlage für die Arbeitsgruppe für Telekommunikation.
Wenn sich Rat und Parlament jeweils auf eine Fassung geeinigt haben, werden die Trilog-Verhandlungen mit der Kommission beginnen. Erst in den Trilog-Verhandlungen wird die wahrscheinlich endgültige Fassung gefunden werden.
Die Inhalte der eprivacy-Verordnung: Grund zur Hoffnung?
Der nunmehr vom Präsidenten des Rates veröffentlichte Entwurf macht Hoffnung auf eine praktikablere Handhabung der Bestimmungen der ePrivacy-VO. Der Vorschlag enthält unter anderem folgende Änderungsvorschläge zum Kommissionspapier:
Die Vorschriften zur Einwilligung werden vereinfacht. Anstelle eines konkreten Verweises auf Art. 4 Abs. 11 und Art. 7 DSGVO referenziert der Entwurf pauschal die Vorschriften zur Einwilligung in der DSGVO. Dadurch werden ePrivacy-VO und DSGVO angeglichen und besondere Regelungen, etwa zum Widerruf der Einwilligung, in der ePrivacy-VO erledigen sich. Zudem finden sich die Regelungen zur Einwilligung nun am Anfang (im Allgemeinen Teil) der ePrivacy-VO in Art. 4a, weil sie für die ganze Verordnung gelten sollen.
Maschine-zu-Maschine Kommunikation soll nur dann vom Anwendungsbereich der Verordnung erfasst sein, wenn sie Bezug zum Endnutzer hat, Art. 5 Abs. 2. Hier sind Änderungen und Konkretisierungen zu erwarten. Der diesbezüglich ursprünglich sehr weite Anwendungsbereich war auf erhebliche Kritik gestoßen.
Die Anforderungen an die Nutzung von Cookies und vergleichbaren Technologien, Art. 8, werden etwas verringert. Grundsätzlich ist auch nach dem Ratsentwurf die Einwilligung erforderlich. Der Kommissionsentwurf sieht hierzu eine Ausnahme vor, nach der die Nutzung zur Messung des Webpublikums und Nutzungsanalyse möglich sein soll, sofern der Diensteanbieter die Messung selbst durchführt oder die Messung durch einen Dritten unter Beachtung der Anforderungen des Artikel 28 DSGVO durchführen lässt, der Dritte also Auftragsverarbeiter ist. Die Regelung zielt also darauf ab, klare Verantwortlichkeiten bei der Einbindung von Analyse- und Trackingdiensten zu etablieren.
Software, die eine elektronische Kommunikation erlaubt (z.B. Browser oder Apps) muss die Möglichkeit bieten zu verhindern, dass Dritte Informationen in der Endeinrichtung eines Endnutzers (z.B. Cookies) speichern oder bereits gespeicherte Informationen verarbeiten (Art. 10). Nutzer können sich nach der Fassung des Rates bei der Installation oder ersten Nutzung der Software für eine der Einstellungsmöglichkeiten entscheiden. Die Änderung der Einstellung soll zu jedem Zeitpunkt einfach möglich sein.
Regelungen betreffend das Direktmarketing (Art. 16) entsprechen im Wesentlichen dem Entwurf der Kommission. Der Ratsentwurf korrigiert die Begrifflichkeit und weitet die Regelungen generell auf werbliche Mitteilungen aus, während zuvor teilweise nur E-Mails im Entwurf erwähnt wurden. Es soll also auch hier auf die Einwilligung des Endnutzers bzw. auf die rechtmäßige Erlangung der Kontaktdaten des Endnutzers ankommen, wenn der Endnutzer zum Zeitpunkt der Erhebung bereits eine Widerspruchsmöglichkeit hat. Die Bestandskundenausnahme gem. § 7 Abs. 3 UWG bliebe somit weiterhin erhalten.
Der Ratsvorschlag enthält zudem die Möglichkeit einer Verbandsbeschwerde und -klagemöglichkeit. Er verweist insoweit auf Art. 80 DSGVO.
Fazit
Die potentiellen Änderungen durch die ePrivacy-VO sind für Diensteanbieter, App-Betreiber, Entwickler, Marketing-Abteilungen und Agenturen nach wie vor gravierend und verlangen eine sorgfältige Evaluation der eigenen Prozesse und geplanten Projekte sowie eine genaue Beobachtung des weiteren Verlaufs des Gesetzgebungsprozesses.
Erstmals sind jetzt Papiere aller am Gesetzgebungsprozess beteiligten Einrichtungen öffentlich, die als Diskussionsgrundlage für die weiteren internen Verhandlungen dienen werden. Daraus lassen sich Tendenzen für die zukünftigen Regelungen ableiten, die im Folgenden dargestellt werden sollen.
Über die ePrivacy-Verordnung
Die ePrivacy-VO soll die sog. ePrivacy-Richtlinie 2002/58/EG ablösen. Mit ihr regelte die EG den Schutz personenbezogener Daten im Bereich der elektronischen Kommunikation, insbesondere im Internet. Betroffen sind zudem auch die Regelungen der sog. Cookie-Richtlinie 2009/136/EG. Da es sich dabei um Richtlinien handelt, war eine Umsetzung in nationales Recht erforderlich. Dem kam der deutsche Gesetzgeber vor allem mit dem Erlass von Vorschriften des TMG und TKG nach. Den Anforderungen der Cookie-Richtlinie entsprach das deutsche Recht dennoch nicht (insb. die Opt-Out-Lösung).
Die ePrivacy-VO dagegen ist eine Verordnung und damit, wie die DSGVO, unmittelbar anwendbar und mit Anwendungsvorrang vor nationalem Recht ausgestattet.
Hintergrund
Nachdem ein Entwurf der Kommission bereits im Dezember 2016 geleakt war (und auf heftige Kritik gestoßen ist), veröffentlichte die Kommission im Januar 2017 eine überarbeitete und in weiten Teilen geänderte Fassung. Auch diese war Gegenstand von Kritik, insbesondere des Europäischen Datenschutzbeauftragten. Dieser erste Entwurf der Kommission dient nun als Ausgangspunkt der Gegenentwürfe des Parlaments und des Rats.
Der federführende LIBE-Ausschuss des Europäischen Parlaments veröffentlichte seinen ersten Regelungsvorschlag am 20. Juni 2017. Der Ausschuss sah darin über 130 Änderungen gegenüber dem ursprünglichen Entwurf der Kommission vor. Zu dem Papier des Ausschusses sind mehrere hundert Änderungsanträge eingegangen. Die für die ePrivacy-VO zuständige Berichterstatterin muss die Änderungsanträge bei der Erstellung eines finalen Entwurfs zur Beschlussfassung im Ausschuss und anschließend im Parlament berücksichtigen. Es ist daher damit zu rechnen, dass der Parlamentsentwurf noch erheblichen Änderungen unterliegen wird.
Am 08. September 2017 hat nun auch der Präsident des Rats der europäischen Union ein Konzept einer ePrivacy-Verordnung veröffentlicht. Dieses dient als Diskussionsgrundlage für die Arbeitsgruppe für Telekommunikation.
Wenn sich Rat und Parlament jeweils auf eine Fassung geeinigt haben, werden die Trilog-Verhandlungen mit der Kommission beginnen. Erst in den Trilog-Verhandlungen wird die wahrscheinlich endgültige Fassung gefunden werden.
Die Inhalte der eprivacy-Verordnung: Grund zur Hoffnung?
Der nunmehr vom Präsidenten des Rates veröffentlichte Entwurf macht Hoffnung auf eine praktikablere Handhabung der Bestimmungen der ePrivacy-VO. Der Vorschlag enthält unter anderem folgende Änderungsvorschläge zum Kommissionspapier:
Die Vorschriften zur Einwilligung werden vereinfacht. Anstelle eines konkreten Verweises auf Art. 4 Abs. 11 und Art. 7 DSGVO referenziert der Entwurf pauschal die Vorschriften zur Einwilligung in der DSGVO. Dadurch werden ePrivacy-VO und DSGVO angeglichen und besondere Regelungen, etwa zum Widerruf der Einwilligung, in der ePrivacy-VO erledigen sich. Zudem finden sich die Regelungen zur Einwilligung nun am Anfang (im Allgemeinen Teil) der ePrivacy-VO in Art. 4a, weil sie für die ganze Verordnung gelten sollen.
Maschine-zu-Maschine Kommunikation soll nur dann vom Anwendungsbereich der Verordnung erfasst sein, wenn sie Bezug zum Endnutzer hat, Art. 5 Abs. 2. Hier sind Änderungen und Konkretisierungen zu erwarten. Der diesbezüglich ursprünglich sehr weite Anwendungsbereich war auf erhebliche Kritik gestoßen.
Die Anforderungen an die Nutzung von Cookies und vergleichbaren Technologien, Art. 8, werden etwas verringert. Grundsätzlich ist auch nach dem Ratsentwurf die Einwilligung erforderlich. Der Kommissionsentwurf sieht hierzu eine Ausnahme vor, nach der die Nutzung zur Messung des Webpublikums und Nutzungsanalyse möglich sein soll, sofern der Diensteanbieter die Messung selbst durchführt oder die Messung durch einen Dritten unter Beachtung der Anforderungen des Artikel 28 DSGVO durchführen lässt, der Dritte also Auftragsverarbeiter ist. Die Regelung zielt also darauf ab, klare Verantwortlichkeiten bei der Einbindung von Analyse- und Trackingdiensten zu etablieren.
Software, die eine elektronische Kommunikation erlaubt (z.B. Browser oder Apps) muss die Möglichkeit bieten zu verhindern, dass Dritte Informationen in der Endeinrichtung eines Endnutzers (z.B. Cookies) speichern oder bereits gespeicherte Informationen verarbeiten (Art. 10). Nutzer können sich nach der Fassung des Rates bei der Installation oder ersten Nutzung der Software für eine der Einstellungsmöglichkeiten entscheiden. Die Änderung der Einstellung soll zu jedem Zeitpunkt einfach möglich sein.
Regelungen betreffend das Direktmarketing (Art. 16) entsprechen im Wesentlichen dem Entwurf der Kommission. Der Ratsentwurf korrigiert die Begrifflichkeit und weitet die Regelungen generell auf werbliche Mitteilungen aus, während zuvor teilweise nur E-Mails im Entwurf erwähnt wurden. Es soll also auch hier auf die Einwilligung des Endnutzers bzw. auf die rechtmäßige Erlangung der Kontaktdaten des Endnutzers ankommen, wenn der Endnutzer zum Zeitpunkt der Erhebung bereits eine Widerspruchsmöglichkeit hat. Die Bestandskundenausnahme gem. § 7 Abs. 3 UWG bliebe somit weiterhin erhalten.
Der Ratsvorschlag enthält zudem die Möglichkeit einer Verbandsbeschwerde und -klagemöglichkeit. Er verweist insoweit auf Art. 80 DSGVO.
Fazit
Die potentiellen Änderungen durch die ePrivacy-VO sind für Diensteanbieter, App-Betreiber, Entwickler, Marketing-Abteilungen und Agenturen nach wie vor gravierend und verlangen eine sorgfältige Evaluation der eigenen Prozesse und geplanten Projekte sowie eine genaue Beobachtung des weiteren Verlaufs des Gesetzgebungsprozesses.