Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

ePrivacy-Verordnung

Eine weitere EU-Verordnung ist geplant

Seit über einem Jahr ist die neue Datenschutz-Grundverordnung (DS-GVO) verabschiedet und am 25.05.2018 endet die Übergangsfrist. Ab diesem Zeitpunkt ist sie anzuwenden. In unseren Artikeln haben wir immer wieder über die rechtlichen Änderungen, die uns erwarten, berichtet. Im Schatten der DS-GVO wird derzeit noch über eine weitere Verordnung verhandelt, die ebenfalls noch vor dem 25.05.2018 verabschiedet werden soll um dann gleichzeitig mit der DS-GVO im nächsten Jahr ihre Wirkung zu entfalten – die ePrivacy-Verordnung. Die aktuelle Version des Entwurfs kann hier heruntergeladen werden.

 

Bisherige Rechtslage

Ähnlich wie bei der Gesetzgebung zum Datenschutz gibt es auch zum Thema ePrivacy bereits vor den Verhandlungen über eine Verordnung eine entsprechende europäische Richtlinie, in diesem Fall die Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation). Diese wurde durch die einzelnen Mitgliedsländer in nationale Gesetze umgesetzt. In Deutschland erfolgte dies durch die Novellierung des Telekommunikationsgesetzes (TKG) im Jahr 2004. Inhalte der Richtlinie waren telekommunikationsspezifische Regelungen zum Datenschutz wie beispielsweise das Mithören von Telefongesprächen und das Abfangen von E-Mails. In den Medien wurde die Richtlinie häufig auch als „Cookie-Richtlinie“ bezeichnet, da die Regelung des datenschutzkonformen Umgangs mit Cookies ein Teil der Richtlinie war.  Der deutsche Gesetzgeber war der Auffasssung, dass die Anforderungen der Richtlinie hinsichtlich des Einsatzes von Cookies, bereits hinreichend in § 15 TMG umgesetzt sind.

 

Inhalte der ePrivacy-Verordnung

Da über die genaue Formulierung der Verordnung derzeit noch intensiv verhandelt wird und es durchaus wahrscheinlich ist, dass sich große Teile des Inhalts noch erheblich ändern werden, werden im Rahmen dieses Artikels nur einige wichtige Themen grob vorgestellt ohne auf Details einzugehen. Sobald die Verordnung verabschiedet ist, werden wir uns dann noch detailliert mit der Verordnung auseinandersetzen und berichten.

 

Tracking der Besucher von Webseiten

Das Tracking soll künftig klar geregelt werden. Demnach wäre es zulässig, sofern der Webseitenbetreiber dieses selbst durchführt. Das bedeutet PIWIK wäre künftig ausdrücklich als zulässig definiert. Aber auch Google Analytics wird wohl unter diese Regelung fallen, da der Dienst zwar letztlich von Google im Rahmen einer Auftragsverarbeitung erbracht wird. Verantwortlich bleibt jedoch der Webseitenbetreiber.

 

Andere Trackingtechnologien

Das zuvor beschriebene Tracking der Besucher von Webseiten stellt einen explizit definierten Ausnahmetatbestand dar. Alle weiteren Trackingtechnologien, die nicht ausschließlich der Messung des Besucherverhaltens auf der eigenen Webseite dienen, sollen nur nach vorheriger Einwilligung zulässig sein. Dies gilt beispielsweise dann, wenn Daten an Werbenetzwerke Dritter übermittelt werden. Fraglich ist, ob hier künftig das derzeit eingesetzte Cookie-Banner ausreichen wird. Letztlich stellt das Cookie-Banner nur eine Information des Benutzers und keine Einwilligung dar. Die Einwilligung wird lediglich als konkludent erteilt angenommen, sofern der Benutzer nach Erhalt der Information die Webseite nicht verlässt, sondern weitere Inhalte abruft.

 

Einwilligung über den Browser

Eine zumindest auf den ersten Blick sinnvolle Neuerung scheint die Möglichkeit, Einwilligungen durch Einstellungen direkt im Browser erteilen zu können. Das bedeutet, dass künftig allgemeine Einstellungen im Browser vorhanden sein könnten, mit denen vorab definiert wird, welchen Datenverarbeitungen zugestimmt wird bzw. welche abgelehnt werden. Dies hätte für den Nutzer den Vorteil, dass die Einstellungen nur einmal vorgenommen werden und nicht für jede einzelne Webseite separat. Auch ein Löschen gespeicherte Inhalte wie Cookies, würde nicht mehr dazu führen, dass alle Einstellungen ebenfalls gelöscht werden. Diverse Interessenverbände sehen diese Möglichkeit jedoch durchaus skeptisch wie weiter unten im Text unter dem Punkt „Kritik“ dargestellt wird.

 

Geltungsbereich

Genau wie die DS-GVO soll auch die ePrivacy-Verordnung ebenfalls dann gelten, wenn die eigentliche Datenverarbeitung zwar außerhalb der EU stattfindet, jedoch Daten von Bürgern innerhalb der EU verarbeitet werden.

Außerdem wurde der Geltungsbereich dahingehend erweitert, dass auch Dienste wie Instant-Messaging, Internet-Telefonie und Personal-Messaging unter die Regelung fallen. Dies ist nach dem derzeitigen TKG nicht immer der Fall oder zumindest strittig.

 

Marketing

Die Ansprache von Verbrauchern zu Werbezwecken per Telefon, Telefax oder E-Mail ist bisher in § 7 UWG geregelt. Auch diese Regelungen sollen künftig europaweit einheitlich in der ePrivacy-Verordnung festgelegt werden. Allerdings orientiert sich der Entwurf der ePrivacy-Verordnung sehr eng an der derzeitigen Regelung in Deutschland. Das bedeutet:

  • Telefon: Nur nach vorheriger Einwilligung. Allerdings erlaubt eine Öffnungsklausel anderslautende Regelungen.

  • E-Mail: Nur nach vorheriger Einwilligung. Allerdings dürfen Bestandskunden unter bestimmten Voraussetzungen angesprochen werden.

 

Kritik

Zahlreiche Interessengruppen äußern aus unterschiedlichen Gründen Kritik an dem Entwurf zur neuen ePrivacy-Verordnung. Der Artikel-29-Gruppe (unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) gehen viele Regelungen nicht weit genug. Der Interessenverband Bitkom sieht viele Regelungen in der ePrivacy Richtlinie als überflüssig an, da sich die Inhalte bereits aus der DS-GVO ergeben würden. Andererseits würden andere Regelungen der DS-GVO sogar widersprechen. Zahlreiche Verleger wiederum sehen ihr Geschäftsmodell in Frage gestellt, da sich viele Dienste nur durch die Einblendung von Werbung finanzieren lassen. Bei Voreinstellungen im Browser gehen die Verleger davon aus, dass künftig kaum noch jemand in derartige Dienste einwilligen wird.

 

Fazit

Bislang ist nur ein Entwurf der neuen ePrivacy-Verordnung vorhanden. Die vielfältige Kritik an dem bestehenden Entwurf lässt es zumindest als sehr wahrscheinlich erscheinen, dass noch zahlreiche Änderungen einfließen werden. Sollte die ePrivacy-Verordnung also tatsächlich zum 25.05.2018 in Kraft treten sollen, wird den Unternehmen nur wenig Zeit bleiben, die darin enthaltenen Neuerungen umzusetzen. Dies ist umso brisanter, als die Bußgelder dem entsprechen sollen, was wir mittlerweile aus der DS-GVO kennen – bis zu 20 Mio. EUR bzw. bis zu 4 % des weltweit erzielten Jahresumsatzes.

 

Wir werden Sie weiterhin bezüglich des Gesetzgebungsverfahrens zur ePrivacy-Verordnung auf dem Laufenden halten.  Sprechen Sie uns an, wenn Sie hierzu weitere Fragen haben!