Article

ePrivacy Verordnung: Das ist der aktuelle Stand

Nach der DSGVO ist vor der ePrivacy Verordnung

Die ePrivacy Verordnung wird zukünftig die Bereitstellung und Nutzung elektronischer Kommunikationsdienste regeln. Insofern stehen Unternehmen erneut vor der Herausforderung, sich auf die neuen regulatorischen Vorgaben vorzubereiten und diese fristgerecht umzusetzen. Doch auch nach Veröffentlichung verschiedener Entwürfe der EU-Organe verbleibt Unsicherheit im Hinblick auf bestimmte Themen und den Zeitpunkt des Inkrafttretens. Dieser Artikel informiert Sie über den aktuellen Stand der Diskussion zur ePrivacy Verordnung (ePVO).

Verhältnis der DSGVO zur ePrivacy Verordnung (ePVO)

Die ePVO soll die DSGVO hinsichtlich spezieller Vorschriften für die Bereitstellung und Nutzung elektronischer Kommunikationsdienste präzisieren und ergänzen. Sie stellt daher eine Spezialgesetzgebung dar. Bei Überschneidung von Regelungsbereichen der DSGVO und ePVO genießen die Spezialvorschriften der ePrivacy Verordnung grundsätzlich Vorrang. So ist eine Verarbeitung elektronischer Kommunikationsdaten nur aufgrund der Tatbestände der ePVO Verordnung und nicht auch aufgrund berechtigter Interessen des Verantwortlichen im Sinne der DSGVO möglich. Es wird jedoch in den aktuellen Entwürfen der ePrivacy Verordnung an etlichen Stellen auf die Vorschriften der DSGVO verwiesen, so dass deren Voraussetzung weiterhin einzuhalten sind (z.B. der ausdrückliche Verweis im aktuellen Entwurf des EU-Parlaments auf die Voraussetzungen einer Einwilligung nach den Vorschriften der DSGVO). Problematisch ist der Rückgriff auf die DSGVO bei ePVO-Regelungen, die eigenständige und von der DSGVO divergierende Thematiken regulieren und denen ein expliziter Verweis auf die DSGVO-Vorschriften fehlt. Kann bspw. beim Schutz personenbezogener Daten juristischer Personen, die vom Anwendungsbereich der DSGVO nicht erfasst werden, trotzdem auf deren Vorschriften zurückgegriffen werden? Das Verhältnis der beiden Verordnungen zueinander ist komplex und im Ergebnis bleibt abzuwarten, ob eine ausdrückliche Klarstellung in der Endfassung der ePrivacy Verordnung stattfindet.

 

Aktueller Stand der Diskussion zu den Verhandlungen zur ePrivacy Verordnung

Aufgrund bestehender und ungelöster Diskussionspunkte ist ein konkreter zeitlicher Abschluss der Verhandlungen zur ePrivacy Verordnung zum jetzigen Zeitpunkt nicht absehbar. Unten stehend finden Sie den aktuellen Diskussionsstand, der den neuen Entwurfsvorschlag des Rats der Europäischen Union berücksichtigt (Stand 19. Oktober 2018).

 

Verarbeitung elektronischer Kommunikationsdaten, Art. 6 ePVO

Diskussionsstand

Mehrere Mitgliedstaaten äußern weiterhin Bedenken an der Notwendigkeit einer intensiveren Anpassung des Art. 6 ePVO an die DSGVO sowie das Bedürfnis, die Frage der Datenverarbeitung zur Aufdeckung von Kinderpornographie gesetzlich zu regeln.

Regelungsgehalt

Die ePrivacy Verordnung normiert verschiedene Tatbestände, die eine Verarbeitung elektronischer Kommunikationsdaten durch Betreiber von elektronischen Kommunikationsnetzen- und diensten rechtfertigen. Dabei erweitern die aktuellen Entwürfe der EU-Organe den Schutz von reinen Inhaltsdaten auf sog. Metadaten, wie bspw. die Dauer der genutzten Verbindung oder Standortdaten. Auch sprachliche Anpassungen wurden forciert, um eine weitergehende Angleichung an die DSGVO zu ermöglichen. Zum Zwecke der Ermöglichung innovativer Dienstleistungen hat der Rat der EU den Schutz von Endeinrichtungen (Mobiltelefon, PC etc.) als weitere Möglichkeit der Datenverarbeitung aufgenommen. Eine solcher Verarbeitungstatbestand ist im ePVO-Entwurf der Kommission oder des EU-Parlaments derzeit nicht vorgesehen. Vielmehr ist eine Verarbeitung nur zur Durchführung der Kommunikation, der Aufrechterhaltung oder Widerherstellung der Verfügbarkeit, Integrität, Vertraulichkeit oder Sicherheit des Kommunikationsnetz- oder dienst möglich.

 

Schutz von Endeinrichtungen Art. 8 ePVO

Diskussionsstand

Wesentlicher Streitpunkt ist die Frage der Zulässigkeit des von Bedingungen abhängig gemachten Zugangs zu Webseiten (sog. Tracking-Walls) und der damit einhergehenden Beschränkung digitaler Geschäftsmodelle wie webfinanzierten Online-Diensten. Die Bundesregierung spricht sich derzeit für die Zulässigkeit von sog. „Tracking Walls“ aus. Im ePVO-Entwurf des EU-Parlaments ist eine solche Maßnahme ausdrücklich verboten, so dass keinem Nutzer der Zugang zu einem Onlineangebot verwehrt werden kann, weil er keine Zustimmung zum Tracking erteilt hat.

Regelungsgehalt

Die ePrivacy Verordnung schützt zudem vor dem Zugriff auf die im Endgerät gespeicherten oder ausgesendeten Informationen und enthält Vorgaben zum Einsatz von Cookies. Im aktuellen Entwurf des Rates der EU wird bzgl. der Zulässigkeit von Cookies nicht mehr zwischen personenbezogenen oder pseudonymisierten und anonymisierten Daten unterschieden. Des Weiteren wurden neue Erlaubnistatbestände für die Erfassung, Nutzung oder Sammlung der Endgerätinformationen eingefügt (z.B. die notwendige Nutzung und Erfassung der Daten zum Zweck der Verhinderung betrügerischer oder technischer Fehler oder der Durchführung eines Software Updates).

 

Einstellung zur Privatsphäre, Art. 10 ePVO

Diskussionsstand

Im Hinblick auf eine potentielle Beschränkung von Online-Geschäftsmodellen haben mehrere Mitgliedstaaten während den Verhandlungen erhebliche Bedenken bzgl. der Bestimmungen der ePrivacy Verordnung zur Privatsphäre-Einstellung geäußert. Das Akzeptieren von Cookies wäre per Voreinstellung deaktiviert und müsste vom Betroffenen manuell geändert werden. Damit müssen Online-Geschäfte Einwilligungen jedes Nutzers für den Einsatz von Cookies zu Marketingzwecken einholen. Dessen ungeachtet wurde die Streichung der Vorschrift von einigen Delegationen unter Hinweis auf die Einführung einer alternativen und einfacheren Bestimmung ebenfalls kritisiert.

Regelungsgehalt

Die Vorschriften zur Regelung der Privatsphäre-Einstellung beim Einsatz und der Installation von Software, die das Prinzip „Privacy by Default“ regulatorisch umsetzen, wurden in der Neufassung des Rates ersatzlos gestrichen. Hingegen halten sowohl die Kommission, als auch das EU-Parlament an einer solchen Regelung fest und verpflichten in ihren Entwürfen zur Einhaltung technischer Schutzmechanismen durch die Aktivierung von vorinstallierten datenschutzfreundlichen Standarteinstellungen oder der Pflicht zur Information über detaillierte Einstellungsoptionen, inkl. der Möglichkeit die Einstellungen zu ändern oder zu bestätigen.

 

Einwilligung, Art 9 ePVO

Diskussionsstand

Der frühere parlamentarische Entwurf zur ePrivacy Verordnung verpflichtet Betreiber von Kommunikationsnetzen-und diensten alle sechs Monate den Endnutzer an seine bereits erteilte Einwilligung zu erinnern. Dies wurde mit Blick auf das Nutzerinteresse, keiner Überflutung von Erinnerungshinweisen ausgesetzt zu sein, stark von den Mitgliedstaaten kritisiert und in dem aktuellen Entwurf durch Streichung der Vorschrift berücksichtigt.

Regelungsgehalt

Die Einwilligung des Nutzers ist im europäischen Datenschutzrecht zentraler Dreh- und Angelpunkt. Die Entwürfe des EU-Parlaments und der Kommission orientieren sich, ausdrücklich des in Art. 9 ePVO enthaltenen Verweises, an den in der DSGVO niedergelegten Einwilligungsvoraussetzungen. Darüber hinaus kann eine Einwilligung in Hinblick auf den Schutz der Kommunikationsdaten von Endeinrichtungen auch durch passende technische Einstellungen einer Software erteilt und widerrufen werden. Generell besteht die jederzeitige Widerrufsmöglichkeit während der gesamten Dauer der Verarbeitung. Im Entwurf des Rates der EU wurden die Regelungen zur Einwilligung hingegen ersatzlos gestrichen.

 

Hier finden Sie die Diskussionsstände und den zugehörigen Regelungsgehalt der ePrivacy Verordnung nochmals übersichtlich in einer Grafik dargestellt:

    
Erfordert PDF-Reader
Mega-Thema Datenschutz: Neue Regulierung in einem brisanten Kernbereich der Digitalisierung

Die EU-DSGVO ist Herausforderung und Chance zugleich

Datenschutz-Organisation

Erster Teil der Artikelreihe: Datenschutz? Aber bitte mit System!