Seit dem 25. Mai 2018 gilt europaweit die EU-Datenschutzgrundverordnung (DSGVO). Im Rahmen der europäischen Strategie für einen digitalen Binnenmarkt (sog. DBM-Strategie) sollte am gleichen Datum auch die Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (ePrivacy-Verordnung) in Kraft treten. Das Gesetzgebungsverfahren verzögert sich jedoch auf Grund einiger, strittiger Punkte.
Der folgende Beitrag stellt den aktuellen Stand und einen Ausblick auf relevante Regelungen und das weitere Gesetzgebungsverfahren dar. (Dieser Beitrag ist um die aktuelle Entwicklung rund um die ePrivacy-Verordnung aktualisiert worden).
Update (Januar 2022)
Aktueller Stand und Ausblick
Dieser Beitrag wurde in Zusammenarbeit mit Marina Steenbergen verfasst.
Aktueller Stand der Gesetzgebung
Die ePrivacy-Verordnung hat bereits einige Entwürfe und Diskussionen durchlaufen. Eine Einigung – ursprünglich einmal angesetzt mit Inkrafttreten der DSGVO im Mai 2016 – scheiterte ein ums andere Mal.
Nun kam jedoch Bewegung in diese Geschichte rein; mit dem folgenden Beitrag möchten wir diese neuen Entwicklungen – auch um die Thematik der Nutzung und dem Setzen von Cookies auf Webseiten – aufzeigen.
Seit dem 10. Februar 2021 liegt ein neuer Entwurf des EU-Ministerrats vor, auf dessen Grundlage mittlerweile neue Trilog-Verhandlungen stattfinden. Der Entwurf zur ePrivacy-Verordnung sieht starke Lockerungen in Hinblick auf die Verarbeitung von Daten auf den Endgeräten der Nutzer vor, darunter auch zum Setzen von Cookies und dem Einsatz von Tracking-Anwendungen.
Wesentliche Regelungen des neuen Entwurfs
Der aktuelle Entwurf sieht neue Regulierungsmaßnahmen in Hinblick auf Endgerät-basierte Daten einschließlich Meta-Daten sowie dem Direktmarketing vor. Ebenfalls ergeben sich Auswirkungen auf die Nutzung von Cookies, insbesondere der Verwendung von Cookie-Paywalls (Cookie-Banner, die alternativlos zur Nutzung der Webseite entweder das Setzen von Tracking-Cookies oder einer Zahlung erfordern).
Ausweitung der Anwendungsbereiche
So könnten in Zukunft auch Unternehmen stärker unter den Schutz elektronischer Privatsphäre fallen, zumal der Entwurf den persönlichen Schutzbereich umfangreich auf juristische Personen ausweitet. Diese sollen dieselben Rechte haben wie auch natürliche Endnutzer.
Weiterhin wird auch der räumliche Anwendungsbereich ausgeweitet. Danach gilt wie auch bei der DSGVO das sogenannte Marktortprinzip. Dieses besagt, dass nicht nur Verarbeiter, die in der EU ihren Sitz haben, die Verordnung einhalten müssen, sondern alle Verarbeiter, deren Endnutzer sich in der EU befinden. Die ePrivacy-VO fände also auch auf Unternehmen Anwendung, die sich nicht in der EU befinden.
Ebenso erweitert der Entwurf den Begriff der „Verarbeitung“. Nach der DSGVO bezieht sich dieser nur auf personenbezogene Daten. Nach dem jetzigen Entwurf soll dieser Begriff jedoch nicht nur auf personenbezogene Daten beschränkt sein.
Alternativen zur Einwilligungserklärung
Weiterhin sieht der Entwurf neue Rechtsgrundlagen oder Möglichkeiten zur Datenverarbeitung vor, die keine Einwilligungserklärung der Endnutzer darstellen. Der Gesetzgeber trennt dabei durch neue Artikel zwischen den betroffenen Daten und den Verarbeitungsarten:
So werden in den Artikeln 6, 6a, 6b und 6c Zulässigkeiten für die Verarbeitung vom Kommunikationsdaten wie Inhalte und Metadaten festgelegt. Artikel 8 regelt die Zulässigkeit für den Einsatz von Verarbeitungs- und Speichermöglichkeiten sowie dem Sammeln von Informationen, also demnach den Einsatz von Cookies.
Bei vorherigen Entwürfen waren das Verarbeiten und Erheben von Metadaten und auf den Endgeräten gespeicherten Daten nur sehr eingeschränkt zulässig.
Der jetzige Entwurf sieht eine Verarbeitung von ortungserfassenden Metadaten ohne Einwilligung aber auch zu weiteren Zwecken vor, z.B.:
- zur Optimierung der technischen Qualität
- zum Schutz eines Interesses des Endnutzers (z.B. Belästigung)
- für Forschungszwecke sowie statistische Zwecke, wenn die Daten pseudonymisiert sind und keine Profilbildung des Endnutzers möglich ist.
Für Forschungs- und Statistikzwecke ist sogar eine Weitergabe an Dritte möglich, dies allerdings nur, wenn die Daten anonymisiert vorliegen. Hier lässt sich ein Zusammenhang mit der Datenstrategie und dem veröffentlichten Digital Governance Act erkennen.[1]
Weiterhin soll es die Möglichkeiten geben, die Verarbeitung von Metadaten (Artikel 6c) und den Einsatz von Verarbeitungs- und Speicherungsmöglichkeiten (Artikel 8 (1) (g)) auf Grundlage eines „weiteren, kompatiblen Zwecks“ durchzusetzen. Die Verarbeiter müssen hierzu feststellen, ob der neue Zweck mit dem ursprünglichen Erhebungsgrund kompatibel ist. Hierfür müssen Konsequenzen für Endnutzer und die mögliche Anwendung technisch organisatorischer Maßnahmen einbezogen werden.
Auswirkungen auf die Zulässigkeit von Cookies
Durch die Alternativen zur Einwilligungserklärung stellt der Entwurf im Vergleich zu bisherigen Entwürfen eine Lockerung für den Einsatz von Cookies und Tracking-Maßnahmen dar.
Dies führte bisher zu starker Kritik des Bundesdatenschutzbeauftragten Ulrich Kelber, welcher in dem Entwurf nicht nur die Gefahr einer wiederkehrenden Vorratsdatenspeicherung sieht. Vor allem die resultierende Zulässigkeit sogenannter Cookie-Paywalls lässt ihn an dem Schutz der Privatsphäre und ausreichender Freiheiten der Endnutzer zweifeln.[1]
Eine ähnliche Position bezieht auch der Europäische Datenschutzausschuss (EDPB), welcher sich besonders gegen Lockerung zur Weiterverarbeitung von Metadaten ausgesprochen hat. Er fordert weiterhin ein klares Einwilligungserfordernis zur Nutzung von Cookies.[2]
Cookie-Transparenz durch Software-Einstellungen?
Nutzer sollen nach Artikel 4a des Entwurfs allerdings die Möglichkeit erhalten, erteilte Einwilligungen zur Cookie-Setzung besser zu verwalten. Dazu sollen Software-Einstellungen innerhalb der genutzten Software, zum Beispiel im Webbrowser, dem Endnutzer anzeigen, welchen Anbietern er welche Daten preisgibt. Zudem soll er bestimmte Anbieter oder Datenarten auf eine sogenannte „Whitelist“ setzen können. Damit ist eine „kollektive“ Einwilligungserklärung für seine ausgewählten Präferenzen möglich.
(Erneuter) Ausblick
Ob der Entwurf sich durchsetzen kann, bleibt abzuwarten. Die Trilog-Verhandlungen hierzu sind bereits im Gange, können sich aber in die Länge ziehen.
Mit einer Finalisierung und einem Inkrafttreten der ePrivacy-Verordnung ist – insbesondere auf Grund priorisierter Themen des Gesetzgebers – nicht vor 2022 zu rechnen.
Die Entwicklung eng zu verfolgen ist dennoch weiterhin ratsam. Die ePrivacy-VO wird – zumindest in Teilen – früher oder später kommen. Sie regelt das digitale Zusammenleben und den Umgang mit Daten in der heutigen Zeit. Dadurch lässt sich auch mehr Rechtssicherheit versprechen; eine schnelle Umsetzung der Verordnung ist damit wünschenswert.
[1] Eine Zusammenfassung zum Data Governance Act (DGA) finden Sie hier: https://ink-solutions.eu/data-governance-act/
[2] Internetauftritt des Bundesbeauftragten für den Datenschutz und Informationsfreiheit: BfDI kritisiert Position des Rats zur ePrivacy-Verordnung. 10. Februar 2021, <https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2021/03_Ratsposition-ePrivacy-VO.html>
[3] European Data Protection Board, Statement 03/2021 on the ePrivacy Regulation, 09. März 2021, S. 2 f. <https://edpb.europa.eu/system/files/2021-03/edpb_statement_032021_eprivacy_regulation_en_0.pdf>
Update (02. Juni 2020)
Aktueller Stand der Gesetzgebung
Zwischenzeitlich hat das Gesetzgebungsverfahren zur ePrivacy-Verordnung verschiedene Updates erhalten. Bereits im vergangenen Jahr scheiterten die Anpassungsvorschläge aus Finnland an den Einwänden einiger Mitgliedsstaaten. Die Trilogverhandlungen wurden daraufhin nicht mehr durchgeführt. Während der kroatischen Ratspräsidentschaft im ersten Halbjahr 2020 wurde ein neuer Entwurf erarbeitet mit erneuten Anpassungen. Nun wird es in den nächsten Monaten und Jahren darum gehen, diesen Entwurf zu diskutieren und ggf. im Rahmen des Gesetzgebungsverfahrens zu finalisieren.
Erwartet wird, dass die weitere Abstimmung erst nach der Evaluierung der DSGVO, die ebenfalls in diesem Jahr stattfinden wird, vorgenommen wird. Entsprechend scheint die Aufnahme der Trilogverhandlungen frühestens im nächsten Jahr realistisch. Somit dürfte eine Finalisierung und damit ein Inkrafttreten der ePrivacy-Verordnung nicht vor Ende 2021, eher 2022 vonstatten gehen. Sofern der Gesetzgeber eine zweijährige Frist zur Anwendung setzte, wären die Regelungen der Verordnung somit erst im Jahr 2024 einzuhalten.
Dieser Zeitplan kann jedoch auch durch weitere Ereignisse noch weiter durcheinander gebracht werden. Zum einen ist die Situation rund um Corona in Europa weiterhin bestimmendes Thema. Desweiteren beginnt am 01. Juli die Ratspräsidentschaft für Deutschland. Es gibt bereits Vermutungen, dass die Priorisierungen nicht auf für die Digitalwirtschaft relevanten Regelungen (worunter die ePrivacy-Verordnung zweifelsohne fällt) liegen.
Die größten Diskussionspunkte bieten der Umgang mit Tracking-Technologien. Einige der Mitgliedsstaaten drängen auf eine restrikitvere „Einwilligungspolitik“, die dazu führen würde, dass nur mit engen Einwilligungen Maßnahmen wie z.B. das „Re-targeting“ möglich wären. Die betroffenen Wirtschaftszweige wirken jedoch seit Jahren auf Ausnahmen hin, sodass insbesondere Marketingmaßnahmen nicht beschnitten werden.
Ausblick für den weiteren Verlauf
Trotz dieser – sicherlich ungünstigen – zeitlichen Verschiebung, gilt es als ausgemacht, dass es künftig Regelungen geben wird, die sich spezifisch um Fragen der Digitalwirtschaft drehen. Darunter werden auch Fragen um das Setzen von Cookies, dem Tracking von Nutzern und auch den Umgang mich technischen (Meta-)Daten beantwortet werden. Entsprechend sollten sich Webseitenbetreiber sowie alle Unternehmen, die digital unterwegs sind, mit diesen Entwicklungen beschäftigen und diese Fragen aufmerksam beobachten. Auch die DSGVO schien vor ihrer Finalisierung schon „vor dem Ende“. Schließlich gelang dem Gesetzgeber jedoch, sich auf eine Fassung zu einigen. Wir erwarten eine ähnliche Entwicklung bei der ePrivacy-Verordnung.
Ziel der ePrivacy-Verordnung
Die ePrivacy-Verordnung soll die DSGVO um konkrete Regelungen im Bereich der digitalen Datenverarbeitung ergänzen. Außerdem zielt auch diese Verordnung auf die Sicherstellung eines funktionierenden Binnenmarktes ab. Für die Datenverarbeitung Verantwortliche soll sich auf diese Weise ein (noch um einige Spezialgesetze zu ergänzendes) vollständiges Regelungsbild bieten. Sie wird somit die datenschutzrechtlichen Regelungen u.a. im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) ersetzen.
Stand des Gesetzgebungsverfahrens vor dem Abbruch der Verhandlungen
Nach derzeitigem Stand haben sich die Kommission und das Parlament jeweils auf eine gemeinsame Linie geeinigt. Der Europäische Rat befindet sich noch in eigenen Verhandlungen zu einem eigenen Entwurf bzw. einer gemeinsamen Linie. Sobald diese gefunden wurde, können die „Trilog-Verhandlungen“ starten. Dies ist für Sommer 2019 vorgesehen. Wird diesem zeitlichen Horizont gefolgt, könnte es bis Ende des Jahres 2019 oder Anfang des Jahres 2020 zu einer finalen Fassung und einem Inkrafttreten kommen. Folgt der Gesetzgeber der Systematik des Verfahrens bei der DSGVO wird es auch für die Umsetzung der ePrivacy-Verordnung nach Inkrafttreten eine Umsetzungszeit von zwei Jahren geben.
Relevante Regelungen – weshalb sich Anbieter auch jetzt schon damit auseinandersetzen müssen
Die ePrivacy-Verordnung wird für die tägliche Praxis einige Veränderungen mit sich bringen. Die Datenverarbeitung im Rahmen des Online-Auftritts wird neu evaluiert werden müssen. Ein Einsatz von Tracking-Technologien für die eigene Webseite oder Werbemaßnahmen (z.B. re-targeting) wird komplexer gestaltet. Dies zeigt sich beispielhaft am vorgesehen Art. 8 der Verordnung.
Die Erhebung und Verarbeitung von Daten des Nutzers bzw. des genutzten Endgeräts, die nicht vom Endnutzer selbst vorgenommen wurde, wird zukünftig untersagt, sofern nicht eine der Ausnahmen Anwendung finden (sog. „Verbot mit Erlaubnisvorbehalt – Art. 8 Abs. 1 des Entwurfs der Kommission). Als mögliche Ausnahmen sind hierbei geregelt
- die Einwilligung des Endnutzers,
- die Verarbeitung ist ausschließlich für die Durchführung des elektronischen Kommunikationsvorgangs über ein elektronisches Netz erforderlich,
- die Datenverarbeitung ist für die Konnektivität des Dienstes erforderlich oder
- die Datenverarbeitung ist für die Messung des Webpublikums erforderlich, sofern die Messung vom Betreiber des Dienstes durchgeführt wird.
Eine mögliche Einwilligung richtet sich dabei nach den Anforderungen der DSGVO. Hervorzuheben ist das Fehlen einer Widerspruchslösung (opt-out), sodass – wenn keine der anderen Ausnahmen Anwendung finden kann – zwingend die Einwilligung einzuholen sein wird. Für das Betreiben von Trackingmaßnahmen, insbesondere für erforderliche Werbemaßnahmen, ist diese Tatsache eine große Herausforderung. Daran ändert zunächst auch die Möglichkeit, die Einwilligung mittels geeigneter Browservoreinstellung einzuholen (Art. 9 Abs. 2 des Entwurfs) erst einmal nicht viel, denn wie genau eine solche Voreinstellung auszusehen hat, wird sich erst nach einigen Jahren herausarbeiten. Für die erfolgreiche Durchführung einer Messung, auch des eigenen Online-Auftritts, ist die Verwendung einer effektiven Technologie jedoch kurzfristig unerlässlich.
Ausblick
Unabhängig vom Zeithorizont lässt sich festhalten: Die ePrivacy-Verordnung wird den Umgang mit der Datenverarbeitung erheblich verändern. Es werden sich neue Technologien bilden müssen, die es dem verantwortlichen Betreiber weiterhin ermöglichen, seine Maßnahmen auf effektive Weise nachvollziehen zu können, ohne das erforderliche Datenschutzniveau herabzusetzen. Diese Abwägung der bestehenden Interessen erscheint schwierig. Sie ist aber lösbar.
Guter Datenschutz schließt den Einsatz bestimmter Technologien (z.B. zum Tracking) nicht aus.
Gerne beraten wir Sie bei der Entwicklung und Implementierung entsprechender Maßnahmen. Eine rechtzeitige Vorbereitung verschafft Ihnen dabei einen Vorteil! Sprechen Sie uns gerne an.
Den aktuellen Entwurf der Kommission zur ePrivacy-Verordnung finden Sie hier: http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=42678