ePrivacy-Verordnung: 2018? 2019? Ein Update.

14. Dezember 2017

ePrivacy-Verordnung: 2018? 2019? Ein Update.

Zu Beginn diesen Jahres legte der europäische Gesetzgeber einen ersten Entwurf für eine ePrivacy-Verordnung als Nachfolger der bisherigen ePrivacy-Richtlinie vor. Es folgten danach der Bericht des Rats der Europäischen Union, eine kritische Stellungnahme des Europäischen Datenschutzbeauftragten sowie ein Entwurf des Berichts des LIBE und Stellungnahmen diverser anderer Ausschüsse. Der „Zwischenentwurfsfassung“ von September 2017 folgte jüngst die Veröffentlichung eines Sachstandsberichts der Präsidentschaft im Rat der Europäischen Union.

Regelungen der ePrivacy-Verordnung:

Der Sachstandsbericht enthält unter anderem folgende Vorschläge zur Änderung des Kommisssionspapiers:

  1. Bezogen auf den Anwendungsbereich der ePrivacy-Verordnung wird darauf hingewiesen, dass dieser hinsichtlich elektronischer Kommunikationsdienste als spezielleres Gesetz der DSGVO vorgehe. Dies gelte jedoch nur für personenbezogene Daten natürlicher Personen. Für juristische Personen gilt, im Gegensatz zur DSGVO, die ePrivacy-Verordnung  gleichermaßen. Um die Regelungen der DSGVO aber auf juristische Personen anwenden zu können, bedürfe es einer ausdrücklichen Bezugnahme in der ePrivacy-Verordnung.
  2. Da die ePrivacy-Verordnung auch juristische Personen erfasst, für welche die sie handelnden Personen eine Einwilligung erteilen können, wurden die Regelungen hierzu in den Allgemeinen Teil, also an den Anfang der Verordnung gezogen.
  3. Grundsätzlich ist eine Einwilligung des Nutzers bei der Verwendung von Cookies und anderen Tracking-Tools erforderlich. Zur Vermeidung von Cookie-Hinweis-Bannern soll die Einwilligung künftig nutzerfreundlich über den Browser eingeholt werden können. Über den Grundsatz des Privacy by Design nimmt der EU-Gesetzgeber dafür auch die Anbieter der Browser in die Verantwortung (Pohle, ZD-Aktuell 2017, 5452). Die Anbieter müssen einen sog. Do-Not-Track-Mechanismus in ihre Browser implementieren, damit Cookies von Drittanbietern („Third Party Cookies“) blockiert werden können. Diesen Mechanismus dürfen Werbetreibende dann nicht mehr, wie bisher, ignorieren. Im Sachstandsbericht wurde jedoch ausdrücklich darauf hingewiesen, dass hinsichtlich der Endgeräte der Nutzer und dem Einsatz von Cookies weiterhin Arbeitsaufwand bestehen würde.
  4. Ursprünglich waren Schutzgut der ePrivacy-Verordnung elektronische Kommunikationsdaten, wozu neben typischen Kommunikationsdaten auch Metadaten gehörten. Der Entwurf der ePrivacy-Verordnung erweiterte den Schutz auch auf Inhalte einer Maschine-zu-Maschine-Kommunikation. Dies wurde jüngst von der Präsidentschaft kritisiert und im Ergebnis soll die Kommunikation zwischen Maschinen nicht in den Anwendungsbereich der ePrivacy-Verordnung fallen. Vielmehr soll hier eine Unterscheidung gemäß der Richtlinie über den europäischen Kodex für elektronische Kommunikation stattfinden und vielmehr dann die Verordnung anwendbar sein, wenn die Maschine-zu-Maschine-Kommunikation einen Bezug zum Endnutzer aufweist.
  5. Auch eine Direktwerbung mittels elektronischer Kommunikationsdienste soll nur nach vorheriger ausdrücklicher Einwilligung möglich sein, Art. 16 ePrivacy-Verordnung. Eine E-Mail-Werbung soll dann zulässig sein, wenn das werbende Unternehmen die E-Mail-Adresse des Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung erhalten hat und diese für eigene ähnliche Produkte oder Dienstleistungen verwendet. Hierbei ist jedoch zu beachten, dass der Kunde jederzeit einer solchen Nutzung kostenlos und auf einfache Weise widersprechen können muss. Diese Regelung entspricht der bereits geltenden Regelung in § 7 Abs. 2, Abs. 3 UWG, sodass sich insoweit keine Abweichungen ergeben dürften.
  6. Die Aufsichtsbehörden sind zuständig für die Überprüfung der Einhaltung der Regularien durch staatliche Stellen und sind zudem berechtigt, die Einhaltung der Bestimmungen in den Unternehmen zu prüfen und Verstöße zu sanktionieren. Die Zuständigkeit der Aufsichtsbehörden erstreckt sich insbesondere auf die Bestimmungen des Kapitels II der ePrivacy-Verordnung und somit auf Bestimmungen u.a. zur Gewährleistung der Vertraulichkeit der elektronischen Kommunikation und die zulässigen Zwecke und Bedingungen der Verarbeitung solcher Kommunikationsdaten. Was die Regelungen in Kapitel III der ePrivacy-Verordnung betrifft, mithin Rechte der Endnutzer auf die Kontrolle über ausgehende und eingehende elektronische Kommunikation zum Schutz der Privatsphäre, so sollen die Mitgliedstaaten andere Aufsichtsbehörden für die Überwachung benennen können.

Zeitplan für das Inkrafttreten

Das Ziel eines Wirksamwerdens zum 25.5.2018 zeitgleich mit der Datenschutz-Grundverordnung (DSGVO) erscheint als ausgeschlossen. Nach den jüngsten Äußerungen des Bundeswirtschaftsministeriums werden sich die EU-Mitgliedstaaten erst im Frühjahr 2018 auf eine Verhandlungsposition einigen können. Wenn man dann noch in Betracht zieht, dass die Trilog-Verhandlungen im Laufe des Jahres 2018 abgeschlossen werden und eine Übergangsfrist von zwölf Monaten berücksichtigt, dürfte mit einer wirksamen ePrivacy-Verordnung erst gegen Ende des Jahres 2019 zu rechnen sein.

 

Haben Sie Fragen zum Datenschutz bei elektronischen Kommunikationsdiensten? Wollen Sie wissen, was Sie als OTT-Diensteanbieter für Pflichten treffen? Hier finden Sie unsere Ansprechpartner.

 

Allgemein, Datenschutz und Datensicherheit, IT-Recht, News , , , , , , , , ,

Kommentar verfassen