Neue Bewegung bei der ePrivacy-Verordnung

Ok, ja, wir hatten versprochen, uns zur ePrivacy-Verordnung erst wieder zu melden, wenn es etwas substanziell Neues zu berichten gibt. Immerhin berichten wir über die ePrivacy-Verordnung bereits seit mehreren Jahren. Aber wir meinen, es passiert gerade etwas, das berichtenswert ist.

Kurzzusammenfassung: Was war in der Vergangenheit?

Ursprünglich hätte die ePrivacy-Verordnung zeitgleich mit Geltung der DSGVO, also ab 25.05.2018, zur Anwendung kommen sollen. Ein erster abgestimmter Entwurf der EU-Kommission lag bereits zum 10.01.2017 vor. Das EU-Parlament verabschiedete seinen Entwurf am 26.10.2017. Im nächsten Schritt hätte der Rat der Europäischen Union ebenfalls einen abgestimmten Entwurf liefern müssen. Hierzu ist es allerdings über insgesamt 5 Ratspräsidentschaften (Estland, Österreich, Bulgarien, Rumänien, Finnland) hinweg aus unterschiedlichen Gründen nicht gekommen. Zuletzt wurden die Verhandlungen offiziell für gescheitert erklärt. Die EU-Kommission hatte sogar in Aussicht gestellt, einen überarbeiteten Entwurf als Grundlage für die Verhandlungen im Rat liefern zu wollen. Allerdings hatte die Kommission in ihrer WP TELE-Sitzung am 09.01.2020 klargestellt, dass sie nach wie vor hinter ihrem bisherigen Vorschlag stehe und einer Kompromisslösung gegenüber offen sei.

Eine Wendung?

Daraufhin hatte die aktuelle kroatische Ratspräsidentschaft einen Kompromissvorschlag erarbeitet. Dieser wurde im März in insgesamt drei informellen Treffen in getrennten Gruppen diskutiert und in den Verordnungstext eingearbeitet. Den aktuellen Vorschlag findet man seit 21.02.2020 hier. Dieser berücksichtigt allerdings noch nicht den Vorschlag zu Artikel 8 (hierzu weiter unten mehr).

Angleichung von Artikel 6 ePVO an die DSGVO

Aufgrund der Komplexität und der zahlreichen Ausnahmen des bisherigen Artikel 6 schlägt die Ratspräsidentschaft eine Neustrukturierung dieses Konglomerats und eine Angleichung an die DSGVO vor. Man erhofft sich damit eine Vereinfachung für die Verantwortlichen. Herausgekommen ist eine Aufteilung in die neuen Artikel 6 bis 6d. Wir vermuten, dass für den Fall der Akzeptanz noch eine Neunummerierung der Artikel stattfinden wird. Die vorgeschlagenen neuen fünf Artikel sehen derzeit die folgenden Regelungsbereiche vor:

  • 6: Rechtsgrundlagen der Verarbeitung von Daten elektronischer Kommunikation
  • 6a: Verarbeitung von Inhaltsdaten elektronischer Kommunikation
  • 6b: Verarbeitung von Metadaten elektronischer Kommunikation
  • 6c: Kompatible Verarbeitungen von Metadaten elektronischer Kommunikation (also Änderung des Verarbeitungszwecks)
  • 6d: Verarbeitung von Daten elektronischer Kommunikation zum Zwecke der Erkennung, Löschung und Meldung kinderpornographischer Inhalte.

Bitte beachten Sie, dass wir die „Überschriften“ der Artikel übersetzt haben und diese in einer zukünftigen offiziellen Übersetzung anders lauten können.

Bitte raushalten aus den Endgeräten der Nutzer

Zusätzlich zu den diskutierten strukturellen Änderungen schlägt die Ratspräsidentschaft vor, den bisherigen Artikel 8 ersatzlos zu streichen. Dieser Artikel regelt den Schutz des Nutzer-Endgeräts. In der aktuell geltenden ePrivacy-Richtlinie, die in Deutschland unter anderem im Telemediengesetz (TMG) umgesetzt wurde, entspricht das in etwa der Cookie-Regelung. Diese sorgt seit einiger Zeit immer wieder für Aufregung und Anpassungs- oder Umsetzungsbedarf aufgrund von Urteilen des Europäischen Gerichtshofs (EuGH). Die Begründung hierfür liest sich interessant:

„Es ist nämlich schwer, zwischen dem Schutz der Endgeräte und dem Schutz der auf ihnen gespeicherten personenbezogenen Daten zu unterscheiden. Berücksichtigt man, dass jedes Erheben und Verarbeiten von personenbezogenen Daten eine nach der DSGVO gültige Rechtsgrundlage haben muss, gibt es keine Notwendigkeit für einen zusätzlichen Schutz der Endgeräte als solche.“

[Das Zitat wurde vom Autor übersetzt – Fehler vorbehalten]

Hurra – ach nee, doch nicht…

Die ersatzlose Streichung des Artikel 8 aus der ePrivacy-Verordnung könnte unter Umständen die mittlerweile wirklich leidige Diskussion über Einwilligungen in Cookies oder Tracking in der aktuellen Form beenden. Aber bevor wir uns jetzt zu sehr darüber freuen, noch der folgende Gedanke:

Im Hinblick auf die bisherigen Urteile des EuGH, in denen die aktuell geltende ePrivacy-Richtlinie ausgesprochen eng ausgelegt wurde, wäre zu überprüfen, inwieweit zukünftig der Einsatz von Cookies stärker mit einem berechtigten Interesse begründet werden könnte. Das klingt erst einmal vielversprechend. Allerdings sind Cookies ja meist nur Mittel zum Zweck. Anders ausgedrückt: Cookies könnten vermutlich in zahlreichen Fällen einfacher und vor allem ohne Einwilligung gesetzt werden. Dabei darf aber nicht übersehen werden, dass der eigentliche Zweck der Verarbeitung üblicher Weise etwas anderes ist, zum Beispiel Tracking. Genau dies war aber in Art. 8 Abs. 1 lit d unter gewissen Voraussetzungen sogar explizit erlaubt. Sollte Artikel 8 also tatsächlich vollständig entfallen, könnten auch sinnvolle Regelungen wieder aus dem Entwurf verschwinden. Also Cookies hin oder her – vielleicht hilft uns die Streichung von Artikel 8 in der Praxis nicht wirklich weiter.

Die übliche Frage: Wie geht’s weiter?

Angenommen, der aktuelle Entwurf führt letztlich zu einer Einigung im EU-Rat, so könnte unter der nächsten Ratspräsidentschaft (Deutschland übernimmt zum 01.07.2020) ein abgestimmter Entwurf verabschiedet werden.

Es ist anzunehmen, dass die EU-Kommission auch einen überarbeiteten Entwurf liefern wird. Dieser könnte gegen Mitte des Jahres veröffentlicht werden. Da dieser dann auch wieder vom EU-Rat zu berücksichtigen ist, ist vor Ende 2020 kein gemeinsam verabschiedeter Entwurf zu erwarten.

Im Jahr 2021 könnten dann die Trilog-Verhandlungen beginnen. Diese dauern maximal drei Monate. Ist der Trilog erfolglos, folgt ein Vermittlungsausschussverfahren. Wir rechnen nicht vor Ende 2021 mit einer Verabschiedung der endgültigen Fassung. Diese Fassung müsste dann im EU Amtsblatt veröffentlicht werden und tritt gemäß aktuell vorgesehener Frist 20 Tage nach Veröffentlichung in Kraft. Wie nach Verabschiedung der DSGVO bereits bekannt, ist auch hier eine 24-monatige Übergangsfrist bis zur Anwendbarkeit geplant.

Läuft also alles optimal (damit ist in diesem Fall „schnellstmöglich“ gemeint) müssten alle von der ePrivacy-Verordnung Betroffenen bis vermutlich Mitte 2023 die dann geltenden Regelungen umgesetzt haben. Etwas Zeit haben wir also noch. Wir schreiben uns den nächsten Merker für den Januar 2021 in den Kalender und schauen, welchen Stand wir dann vorfinden. Vielleicht berichten wir zwischendurch noch einmal – aber nur, wenn es auch etwas Berichtenswertes gibt.

Benötigen Sie Unterstützung bei der Vorbereitung auf die Umsetzung der ePrivacy-Verordnung? Sind Sie unsicher, ob Sie etwas tun müssen? Warten Sie ab! 😉