Die neue EU-Verordnung über Privatsphäre und elektronische Kommunikation

Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juni 2002 („e-Privacy Richtlinie“) definiert den Rechtsrahmen für die Gesetzgebung der EU-Mitgliedstaaten auf dem Gebiet des Daten- und Privatsphärenschutzes bei der Verwendung elektronischer Kommunikationsdienste und –mittel. Größere öffentliche Aufmerksamkeit wurde diesem für den digitalen Binnenmarkt überragend wichtigen Regelungsbereich zuletzt zuteil, als im Jahr 2013 einzelne ihrer Bestimmungen durch die Änderungsrichtlinie 2009/136/EU („Cookie-Richtlinie“) abgeändert, jedoch vom deutschen Gesetzgeber nicht aktiv in nationales Recht umgesetzt wurden.

Nachdem die EU-Kommission am 10. Januar 2017 ihren offiziellen Vorschlag für eine Verordnung zur Ersetzung der e-Privacy Richtlinie veröffentlicht hatte (COM [2017] 10 final - „Kommissionsvorschlag“), besteht aktueller Anlass für Unternehmen, sich als Anbieter und/oder Nutzer von elektronischen Informations- und Kommunikationsdiensten mit den wichtigsten Neuerungen vertraut zu machen, die der Kommissionsvorschlag gegenüber der aktuellen Rechtslage mit sich bringt.

Im Gesamtkontext europäischer Gesetzgebung ist der aktuelle gesetzgeberische Vorstoß als wichtiger Bestandteil der globalen Strategie der EU-Kommission für den digitalen Binnenmarkt (in anderem Kontext berichteten wir hier) zu verorten, der zur Schaffung von optimalen Marktbedingungen für digitale Netzwerke und Dienste beitragen soll. Trotz der vergleichsweise geringen Zeitspanne, die seit Inkrafttreten der Cookie-Richtlinie vergangen ist, sieht die EU-Kommission erneuten Reformbedarf vor allem durch zwei Entwicklungen veranlasst: zum einen gilt es sicherzustellen, dass sich der sektorspezifische Privatsphäre- und Datenschutz in der elektronischen Kommunikation ohne Verwerfungen in das von der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2017 (Datenschutzgrundverordnung – „DSGVO“) geschaffenen regulatorische Gesamtbild einfügt, zum anderen – und hier geht es um einen für Nutzer und Wettbewerber gleichermaßen wichtigen Gesichtspunkt – die Einbeziehung von internetgestützten, sog. „over the top“ Kommunikationsdiensten ("OTT-Dienste"), deren gesellschaftliche und wirtschaftliche Relevanz in den letzten Jahren zwar stetig zugenommen hat, deren Verpflichtung zur Befolgung der Vorgabe für Diensteanbieter gemäß der e-Privacy Richtlinie gleichwohl uneinheitlich beurteilt wird.

Nachfolgend soll ein kurzer Überblick gegeben werden, welche Änderungen der Kommissionsvorschlag hinsichtlich der Rechte von Internetnutzern einerseits vorsieht und inwieweit anderseits Unternehmen als Anbieter von Telemedien (z.B. Firmen-Webseiten) und/oder Kommunikationsdiensten (so u.U. bei betrieblicher Nutzung von E-Mail, Skype, Whatsapp u.ä.) hiervon betroffen sein werden:

1. Welche Unternehmen werden durch den Kommissionsvorschlag verpflichtet?

Der Kommissionsvorschlag soll – grundsätzlich unabhängig vom Sitz des Unternehmens – für sämtliche Anbieter gelten, die elektronischer Kommunikationsdienste für Endnutzer in der EU bereitstellen oder eine entsprechende Nutzung ermöglichen. Dies gilt unabhängig davon, ob die Leistung des Anbieters entgeltlich im Sinne einer Bezahlung erfolgt.

Wichtig ist insoweit auch, dass der Kommissionsvorschlag eine revidierte Definition des „elektronischen Kommunikationsdienstes“ übernimmt (vgl. hierzu Artikel 2 Abs. 4 des Vorschlags der Kommission für eine Richtlinie des Europäischen Parlaments und des Rates über den europäischen Kodex für die elektronische Kommunikation, COM (2016) 590 final – „Kodex“), der den bisher in Art. 2 lit. c) der Richtlinie 2002/21/EG bzw. § 3 Nr. 24 des Telekommunikationsgesetzes definierten Dienste-Begriff mit der Zielsetzung eines einheitlich geltenden Regulierungsrahmens für alle Kommunikationsdienste deutlich erweitert.

Damit verpflichtet der Kommissionsvorschlag – wie dies bereits unter Geltung der e-Privacy Richtlinie der Fall war – Unternehmen, die Informations- und Kommunikationsdienste anbieten, die nicht Telekommunikation oder Rundfunk sind (also z.B. Betreiber einer Firmen-Website) genauso wie Anbieter „klassischer“ Telekommunikationsdienste (also z.B. Anbieter von Sprachtelefonie- oder Kurzmitteilungs-Diensten). Dies kann namentlich auch Unternehmen betreffen, die entsprechende Kommunikationsdienste im eigenen Intranet betreiben.

Darüber hinaus werden erstmals auch Internet-Zugangsprovider, und Anbieter von OTT-Diensten vom Anwendungsbereich erfasst (vgl. hierzu auch Erwägungsgründe 15 und 17 des Kodex). Unter OTT-Diensten sind Dienste und Anwendungen zu verstehen, die dem Endnutzer über das offene Internet zur Verfügung gestellt werden und funktional eine Individualkommunikation unter den Nutzern ermöglichen; damit sind beispielsweise E-Mail-Dienste (z.B. Gmail, web.de oder GMX), Instant-Messenger Anwendungen (z.B. WhatsApp, Facebook Messenger oder Google Hangouts) und Voice- & Video-Dienste (z.B. Skype) gemeint. Bereits im Rahmen des dem Kommissionsvorschlags vorgelagerten Konsultationsverfahrens hatte sich eine deutliche Mehrheit innerhalb der Zivilgesellschaft dafür ausgesprochen, solche neuartigen Dienste den klassischen Telekommunikationsdiensten regulatorisch gleichzustellen, soweit beide „funktionell vergleichbar“ sind. Angesichts der rasant gewachsenen Bedeutung rein internet-basierter Kommunikationsdienste für das tatsächliche Kommunikationsverhalten europäischer Verbraucher soll die Einbeziehung von OTT-Diensten dazu beitragen, die Rechte der EU-Bürger auf Datenschutz und Privatsphäre auch im Bereich der Online-Kommunikation effizienter zu schützen. Zugleich scheinen Anbieter klassischer Kommunikationsdienste mit dem Argument durchgedrungen zu sein, dass OTT-Dienste denselben regulatorischen Ausgangsbedingungen unterworfen werden müssen, um wettbewerbliche Chancengleichheit zu schaffen.

Ergänzend ist anzumerken, dass die vorstehenden Regelungen die bisherigen Datenschutz- und Werbebestimmungen des Telemediengesetzes („TMG“), des Telekommunikationsgesetzes („TKG“) und des Gesetzes gegen den unlauteren Wettbewerb („UWG“) ersetzen werden und insoweit Änderungen erheblichen Umfangs im geltenden nationalen Recht zu erwarten stehen.

2. Für welche Daten gilt der Kommissionsvorschlag?

Waren bisher die entscheidenden Begriffe im Bundesdatenschutzgesetz („personenbezogene Daten“), TKG („Verkehrs- und Standortdaten“) und TMG („Bestands- und Nutzungsdaten“) verteilt, ist für die Bestimmung der einschlägigen Rechte und Pflichten der Beteiligten zukünftig der Begriff der „elektronischen Kommunikationsdaten“ (vgl. Art. 4 Abs. 3 lit. a) des Kommissionsvorschlags) von zentraler Bedeutung, der zwischen den eigentlichen Kommunikationsinhalten und entsprechenden Metadaten (d.h. Daten über die nicht-inhaltlichen Umstände der Kommunikation) unterscheidet.

Die für das Geschäft vieler Unternehmen mit eigenem Internetauftritt relevante Verarbeitung von Bestandsdaten bzw. Nutzungsdaten im Sinne von § 14 f. TMG (z.B. Daten des customer relationship management bzw. Daten über Zeitpunkt, Dauer und Art der Kommunikation) ist zukünftig als Verarbeitung „elektronischer Kommunikationsmetadaten“ reguliert. Die Frage, ob und ggf. mit wieviel Aufwand eine solches Metadatum einer bestimmten Person zugeordnet werden kann, findet, anders als in der DSGVO, im Wortlaut der Verordnung keine Erwähnung. Allerdings scheint der Kommissionsvorschlag davon auszugehen, dass die Verarbeitung und Nutzung von Metadaten aus einem Nutzer-Endgerät keiner Einwilligung des betroffenen Nutzers bedarf, sofern hiermit ein Eingriff in dessen Privatsphäre nicht zu befürchten ist (vgl. Erwägungsgrund 21). Welche Auswirkungen diese vage formulierte Wertung auf die datenschutzrechtliche Praxis haben könnte, bleibt zum gegenwärtigen Zeitpunkt relativ unklar.

3. Unter welchen Voraussetzungen dürfen Kundendaten verarbeitet werden?

Art. 5 des Kommissionsvorschlags sieht für Kommunikationsdaten ein grundsätzliches Verbot der Datenverarbeitung und -nutzung vor. Entsprechendes gilt gem. Art. 8 des Kommissionsvorschlags für den anbieterseitigen Zugriff auf Datenverarbeitungsfunktionen von Endgeräten sowie den aus solchen Geräten stammenden Daten. Zulässig sind entsprechende Vorgänge jeweils nur, soweit sie gesetzlich gestattet sind oder der betroffene Nutzer hierin eingewilligt hat. Nachfolgend wird ein kurzer Überblick über die zukünftige gesetzliche Systematik und die Rahmenbedingungen gegeben, die Unternehmen bei der Unterhaltung eigener Websites und dem Einsatz von Tracking-Technologie zu Werbezwecken beachten müssen.

a) Gesetzliche Erlaubnisse und Erforderlichkeit einer Nutzereinwilligung:

Der Einsatz von Cookies und vergleichbaren Tracking-Technologien dürfte als Nutzung einer Speicherfunktion der Endeinrichtung des Nutzers zukünftig unter Art. 8 Abs. 1 des Kommissionsvorschlages fallen.

Diese Vorschrift sieht für den Einsatz von Cookies und vergleichbarem Tracking zu Werbezwecken keine spezielle Regelung vor, so dass Unternehmen insoweit zukünftig grundsätzlich auf die Einwilligung des Nutzers angewiesen sein werden.

In diesem Zusammenhang stellt sich auch die Frage, inwieweit die für die Werbewirtschaft praktisch bedeutsame Regelung des § 15 Abs. 3 TMG fortbestehen wird. Diese Vorschrift erachtet für die Erstellung pseudonymer Nutzungsprofile zu Werbezwecken ausnahmsweise eine im sog. opt-out Verfahren eingeholte Nutzereinwilligung als ausreichend. Aufgrund dieser Regelung war Betreibern von Websites in Deutschland der Einsatz von Cookies zu Werbezwecken regelmäßig möglich, wenn Nutzer bei Aufruf der jeweiligen Website über Art, Umfang und Zweck des Einsatzes der Cookies belehrt wurden und solange diese von ihrem Widerspruchsrecht keinen Gebrauch machten. Dies dürfte zukünftig in dieser Form nicht mehr zulässig sein. Der Kommissionsvorschlag sieht keine § 15 Abs. 3 TMG vergleichbare Ausnahmeregelung für die Erstellung pseudonymer Nutzungsprofile zu Werbezwecken vor. Sollen also entsprechende Nutzungsprofile anhand von Daten aus dem Endgerät des Betroffenen erstellt werden, dürften auch hier über den in Art. 9 Abs. 1 des Kommissionsvorschlags enthaltenen Verweis auf Art. 4 Nr. 11 DSGVO gelten, dass der Betroffene sein Einverständnis mit der Verarbeitung seiner personenbezogenen Daten freiwillig, informiert, unmissverständlich und für einen bestimmten Fall jeweils durch eine bestätigende Handlung erklären muss.

Zugleich sieht der Kommissionsvorschlag eine Reihe von Fällen vor, in denen die Nutzung von Kommunikationsmetadaten ohne Einwilligung des Nutzers zulässig bleibt. Dies betrifft namentlich notwendige Datenverarbeitungen zur Erkennung oder Beendigung betrügerischer oder missbräuchlicher Nutzungen der vom verarbeitenden Unternehmen angebotenen Web-Dienste (oder eines diesbezüglichen Vertrages), zur Bereitstellung des Dienstes und/oder Durchführung des Kommunikationsvorgangs (insbesondere in Form des Einsatzes von sitzungsbeschränkten Cookies) sowie zur Ermöglichung der Messung des Datenverkehrs zur Website des jeweiligen Unternehmens.

b) Verfahren zur Einholung der Nutzer-Einwilligung:

Voranzustellen ist, dass der Kommissionsvorschlag am grundsätzlichen Erfordernis eines sog. opt-out-Verfahrens für die Einholung der datenschutzrechtlichen Einwilligung festhält (vgl. Erwägungsgründe 3 und 18 des Kommissionsvorschlags sowie Erwägungsgrund 32 der DSGVO; vgl. auch Art. 2 Nr. 5 der Cookie-Richtlinie).

Weiterer Rechtsklarheit wurde auch die Frage zugeführt, unter welchen Umständen eine Einwilligung zur Verarbeitung personenbezogener Nutzerdaten auch aus den (Datenschutz-) Einstellungen des Web-Browsers des Betroffenen abgeleitet werden kann. Die Artikel 29 Datenschutz-Arbeitsgruppe hatte im Zusammenhang mit dem Einsatz von Cookies hervorgehoben, dass eine Browser-Einstellung nur dann als datenschutzrechtliche Einwilligung in Frage komme, wenn sowohl Webbrowser als auch Cookies die allgemeinen datenschutzrechtlichen Vorgaben erfüllten (vgl. Stellungnahme 2/2010 zum online behavioural advertising). Der Kommissionsvorschlag greift diesen Ansatz auf und stellt nunmehr in Art. 9 Nr. 2 klar, dass Unternehmen die Einwilligung zur Nutzung und Verarbeitung von Informationen aus dem Endgerät eines Betroffenen grundsätzlich auch über die (Datenschutz-)Einstellung des auf dem jeweiligen Endgerät installierten Browsers auslesen können; dies gilt jedoch nur, falls der Betroffene die Browser-Einstellung aktiv verändern musste, um die Einwilligung zu erteilen und die übrigen Voraussetzungen wie Freiwilligkeit und Informiertheit der Einwilligung (etc.) gewahrt sind (vgl. Erwägungsgrund 24). Besonderer Erwähnung wert ist in diesem Zusammenhang auch die verstärkte Einbeziehung von Software-Anbietern, die künftig verpflichtet sein sollen, Design und Bedienung ihrer Produkte danach auszurichten, dass Nutzer von deren Datenschutz-Funktionen effizienten Gebrauch machen können (vgl. Art. 10 sowie Erwägungsgründe 23 ff. des Kommissionsvorschlags). Anders als in einer im November 2016 veröffentlichten Entwurfsfassung soll Softwarehersteller aber keine Pflicht treffen, ihre Produkte mit bestimmten Voreinstellungen auszuliefern; vielmehr muss der Nutzer lediglich über die Möglichkeit entsprechende Einstellungen vorzunehmen, im Rahmen des Installationsprozesses informiert und zu einer Entscheidung aufgefordert werden (vgl. Art. 10 Abs. 2 des Kommissionsvorschlags).

Hinsichtlich der Freiwilligkeit der vom Nutzer erteilten Einwilligung in die Verarbeitung von Daten aus der Benutzung von Internet- oder Sprachkommunikationsdiensten stellt Erwägungsgrund 18 des Kommissionsvorschlages klar, dass eine Einwilligung in die Verarbeitung von Daten aus der Benutzung von Internet- oder Sprachkommunikationsdiensten unwirksam ist, falls Nutzer keine echte und freie Wahl haben ihre Einwilligung zu verweigern bzw. zu widerrufen, ohne Nachteile erleiden zu müssen. Damit werden Unternehmen auch mit der Frage konfrontiert, inwieweit es über das bereits bestehende Verbot der „generellen Kopplung“ ihres Website- oder sonstigen Diensteangebots an eine Einwilligung des Nutzers in die Verwendung von Cookies (vgl. Erwägungsgrund 25 der e-Privacy Richtlinie) hinausgehend zukünftig untersagt ist, ihre Dienste Nutzern nur dann zu eröffnen, sofern sich letztere sich mit der Verarbeitung ihrer Kommunikationsdaten nach Maßgabe der unternehmenseigenen Datenschutz-Policy einverstanden erklären.

4. Ad-Blocking und E-Mail Werbung

An den etablierten Grenzen der Zulässigkeit von E-Mail-Direktwerbung gegenüber Bestandskunden dürfte sich zukünftig wenig ändern. Der Kommissionsvorschlag sieht zwar auch für die an natürliche Personen gerichtete Direktwerbung mittels elektronischer Kommunikationsdienste einen generellen Erlaubnisvorbehalt vor, jedoch gilt die bereits in Art. 13 Abs. 2 der e-Privacy Richtlinie enthaltene Ausnahme für E-Mail Adressen von Bestandskunden fort (vgl. Art. 16 Abs. 2 des Kommissionsvorschlags).

Neue Bewegung bringt der Kommissionsvorschlag jedoch in die Kontroverse über die Zulässigkeit einer Zugangsverweigerung gegenüber Nutzern sog. AdBlock-Programme. Bisher war umstritten, inwieweit diese Praxis zur Wahrung legitimer Interessen der betroffenen Diensteanbieter zulässig sein kann. Der Kommissionsvorschlag trifft hierzu nun zumindest die Aussage, dass die der Zugangsverweigerung vorgelagerte Feststellung, ob der Nutzer ein AdBlock-Programm einsetzt, keine Nutzung von Daten aus dem Endgerät des betroffenen Nutzers darstellt und insoweit nicht dessen vorheriger Einwilligung bedarf (vgl. Erwägungsgrund 21). Hieraus auf die Zweckmäßigkeit entsprechender Zugangsverweigerungen gegenüber AdBlock-Nutzern zu schließen wäre allerdings verfrüht. Entscheidet sich der betroffene Nutzer zur Abschaltung seines AdBlock-Programms um Zugang zum Website-Inhalt zu erhalten, dürften auch hier vor dem Hintergrund von Erwägungsgrund 18 des Kommissionsvorschlags Zweifel daran bestehen, ob eine unter diesen Voraussetzungen erteilte Einwilligung in die Darstellung der auf der Website dargestellten Werbung freiwillig, d.h. wirksam erteilt ist.