eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk

Die ePrivacy-Verordnung

[Update#2 04/2018] Die Verhandlungen des EU-Rats verzögern sich gewaltig und werden sich voraussichtlich noch bis Ende 2018 ziehen. Der zeitliche Horizont dürfte sich damit vermutlich auf Mitte 2019 verschieben. Wir werden weiter berichten, wenn wir Neuigkeiten erfahren. [Update#2 Ende]

[Update#1 12/2017] Bitte beachten Sie, dass mittlerweile auch der Entwurf des EU-Parlaments zur Verfügung steht. Dieser sieht nicht nur in Details deutlich anders aus, als der bisherige der Kommission (s. Vergleichsdokument). Aktuelle Aussage zur zeitlichen Planung der Beschlussfassung im Rat ist, dass man davon ausgeht, dass die Verhandlungen nicht vor Ende Juni 2018 abgeschlossen sein werden. Danach steht noch der Trilog an, so dass sich der zeitliche Horizont eher in Richtung Jahresende (2018) verschieben dürfte. [Update#1 Ende]

Seit über einem Jahr ist die neue Datenschutz-Grundverordnung (DSGVO) verabschiedet, am 25.05.2018 endet die Übergangsfrist. Ab diesem Zeitpunkt ist sie anzuwenden. In unseren Artikeln haben wir immer wieder über die rechtlichen Änderungen, die uns erwarten, berichtet. Im Schatten der DSGVO wird derzeit noch eine weitere Verordnung verhandelt, die ebenfalls noch vor Anwendbarkeit der DSGVO verabschiedet werden soll um dann gleichzeitig mit dieser im nächsten Jahr ihre Wirkung zu entfalten – die ePrivacy-Verordnung. Die aktuelle Version des Entwurfs kann hier heruntergeladen werden.

Bisherige Rechtslage

Ähnlich wie bei der Gesetzgebung zum Datenschutz gibt es auch zum Thema ePrivacy bereits vor den Verhandlungen über eine Verordnung eine entsprechende europäische Richtlinie, in diesem Fall die Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation). Diese wurde durch die einzelnen Mitgliedsländer in nationale Gesetze umgesetzt. In Deutschland erfolgte dies durch die Novellierung des Telekommunikationsgesetzes (TKG) im Jahr 2004. Inhalte der Richtlinie waren telekommunikationsspezifische Regelungen zum Datenschutz wie beispielsweise das Mithören von Telefongesprächen und das Abfangen von E-Mails. In den Medien wurde die Richtlinie häufig auch als „Cookie-Richtlinie“ bezeichnet, da die Regelung des datenschutzkonformen Umgangs mit Cookies ein Teil der Richtlinie war. Der deutsche Gesetzgeber war der Auffassung, dass die Anforderungen der Richtlinie hinsichtlich des Einsatzes von Cookies, bereits hinreichend in § 15 TMG umgesetzt sind.

Inhalte der ePrivacy-Verordnung

Da über die genaue Formulierung der Verordnung derzeit noch intensiv verhandelt wird und es durchaus wahrscheinlich ist, dass große Teile des Inhalts sich noch erheblich ändern werden, werden im Rahmen dieses Artikels nur einige wichtige Themen grob vorgestellt ohne auf Details einzugehen. Sobald die Verordnung verabschiedet ist, werden wir uns dann noch detailliert mit der Verordnung auseinandersetzen.

Tracking der Besucher von Webseiten

Das Tracking soll künftig klar geregelt werden. Demnach wäre es zulässig, sofern der Webseitenbetreiber dieses selbst durchführt. Das bedeutet PIWIK wäre künftig ausdrücklich als zulässig definiert. Aber auch Google Analytics wird wohl unter diese Regelung fallen, da der Dienst zwar letztlich von Google im Rahmen einer Auftragsverarbeitung erbracht wird. Verantwortlich bleibt jedoch der Webseitenbetreiber.

Andere Trackingtechnologien

Das zuvor beschriebene Tracking der Besucher von Webseiten stellt einen explizit definierten Ausnahmetatbestand dar. Alle weiteren Trackingtechnologien, die nicht ausschließlich der Messung des Besucherverhaltens auf der eigenen Webseite dienen, sollen nur nach vorheriger Einwilligung zulässig sein. Dies gilt beispielsweise dann, wenn Daten an Werbenetzwerke Dritter übermittelt werden. Fraglich ist, ob hier künftig das derzeit eingesetzte Cookie-Banner ausreichen wird. Letztlich stellt das Cookie-Banner nur eine Information des Benutzers und keine Einwilligung dar. Die Einwilligung wird lediglich als konkludent erteilt angenommen, sofern der Benutzer nach Erhalt der Information die Webseite nicht verlässt, sondern weitere Inhalte abruft.

Einwilligung über den Browser

Eine zumindest auf den ersten Blick sinnvolle Neuerung scheint die Möglichkeit, Einwilligungen durch Einstellungen direkt im Browser erteilen zu können. Das bedeutet, dass künftig allgemeine Einstellungen im Browser vorhanden sein könnten, mit denen vorab definiert wird, welchen Datenverarbeitungen zugestimmt wird bzw. welche abgelehnt werden. Dies hätte für den Nutzer den Vorteil, dass die Einstellungen nur einmal vorgenommen werden und nicht für jede einzelne Webseite separat. Auch ein Löschen gespeicherte Inhalte wie Cookies, würde nicht mehr dazu führen, dass alle Einstellungen ebenfalls gelöscht werden. Diverse Interessenverbände sehen diese Möglichkeit jedoch durchaus skeptisch wie weiter unten im Text unter dem Punkt „Kritik“ dargestellt wird.

Geltungsbereich

Genau wie die DSGVO soll auch die ePrivacy-Verordnung ebenfalls dann gelten, wenn die eigentliche Datenverarbeitung zwar außerhalb der EU stattfindet, jedoch Daten von Bürgern innerhalb der EU verarbeitet werden.

Außerdem wurde der Geltungsbereich dahingehend erweitert, dass auch Dienste wie Instant-Messaging, Internet-Telefonie und Personal-Messaging unter die Regelung fallen. Dies ist nach dem derzeitigen TKG nicht immer der Fall oder zumindest strittig.

Marketing

Die Ansprache von Verbrauchern zu Werbezwecken per Telefon, Telefax oder E-Mail ist bisher in § 7 UWG geregelt. Auch diese Regelungen sollen künftig europaweit einheitlich in der ePrivacy-Verordnung festgelegt werden. Allerdings orientiert sich der Entwurf der ePrivacy-Verordnung sehr eng an der derzeitigen Regelung in Deutschland. Das bedeutet:

  • Telefon: Nur nach vorheriger Einwilligung. Allerdings erlaubt eine Öffnungsklausel anderslautende Regelungen.
  • E-Mail: Nur nach vorheriger Einwilligung. Allerdings dürfen Bestandskunden unter bestimmten Voraussetzungen angesprochen werden.

Kritik

Zahlreiche Interessengruppen äußern aus unterschiedlichen Gründen Kritik an dem Entwurf zur neuen ePrivacy-Verordnung. Der Artikel-29-Gruppe (unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) gehen viele Regelungen nicht weit genug. Der Interessenverband Bitkom sieht viele Regelungen in der ePrivacy Richtlinie als überflüssig an, da sich die Inhalte bereits aus der DSVO ergeben würden. Andererseits würden andere Regelungen der DSGVO sogar widersprechen. Zahlreiche Verleger wiederum sehen ihr Geschäftsmodell in Frage gestellt, da sich viele Dienste nur durch die Einblendung von Werbung finanzieren lassen. Bei Voreinstellungen im Browser gehen die Verleger davon aus, dass künftig kaum noch jemand in derartige Dienste einwilligen wird.

Fazit

Bislang ist nur ein Entwurf der neuen ePrivacy-Verordnung vorhanden. Die vielfältige Kritik an dem bestehenden Entwurf lässt es zumindest als sehr wahrscheinlich erscheinen, dass noch zahlreiche Änderungen einfließen werden. Sollte die ePrivacy-Verordnung also tatsächlich zum 25.05.2018 in Kraft treten sollen, wird den Unternehmen nur wenig Zeit bleiben, die darin enthaltenen Neuerungen umzusetzen. Dies ist umso brisanter, als die Bußgelder dem entsprechen sollen, was wir mittlerweile aus der DSGVO kennen – bis zu 20 Mio. EUR bzw. bis zu 4 % des weltweit erzielten Jahresumsatzes.

Wir werden Sie weiterhin bezüglich des Gesetzgebungsverfahrens zur ePrivacy-Verordnung auf dem Laufenden halten.  Sprechen Sie uns an, wenn Sie hierzu weitere Fragen haben!


Diesen Beitrag teilen