Skip to main content

 last updated: 23 December 2019


ePrivacy-Verordnung: Ein erster Überblick über die Inhalte der Schwesterverordnung zur Datenschutzgrundverordnung

Die ePrivacy-Verordnung (ePrivacy-VO) – gewissermaßen die „Schwester-Verordnung“ der Datenschutzgrundverordnung (DS-GVO) – befindet sich derzeit noch im europäischen Legislativverfahren. Es wurden bereits mehrere Entwürfe durch die EU-Ratspräsidentschaften veröffentlicht, die gegenüber dem Kommissionsentwurf vom 10. Januar 2017 zahlreiche Änderungen bringen. Der letzte Entwurf der finnischen Ratspräsidentschaft wurde nunmehr im November 2019 abgelehnt. Bisher ausstehend ist das Trilogverfahren unter Beteiligung von Parlament, Rat und Kommission. Aufgrund der zahlreichen Änderungsvorschläge war der bisher geplante Termin zum Inkrafttreten der ePrivacy-VO am 25. Mai 2018 – zeitgleich mit der Anwendbarkeit der DS-GVO – nicht einzuhalten. Wann die e-Privacy-VO in Kraft treten wird, ist noch unklar. Vielfach wird davon ausgegangen, dass eine endgültige Fassung erst im Jahr 2022 Anwendung finden wird. Hier ein Überblick über den derzeitigen Entwurf.

After the General Data Protection Regulation (GDPR) has been successfully launched, its related regulation – the ePrivacy Regulation – in a way the GDPR’s “little sister” – Is currently within the EU legislative process. The European Parliament has already published several own drafts containing numerous changes compared to the Commission’s draft of 10 January 2017. A trilogue procedure between the European Parliament, Council and Commission is still to be carried out, hence an entry into force on 25 May 2018 – at the same time as the GDPR will be applicable – was not possible. It is assumed that the ePrivacy Regulation will not apply until 2022. Here is an overview of the current draft.

 

 


1. Anwendungsbereich

Die ePrivacy-VO wird wie die DS-GVO direkt in den EU-Mitgliedstaaten anwendbar sein, und zwar:

  • Sachlich: auf die Verarbeitung
    • elektronischer Kommunikationsinhalte im Rahmen der Bereitstellung und Nutzung elektronischer Kommunikationsdienste;
    • von Informationen auf Endgeräten von Endnutzern (etwa Handys);

sowie auf das Angebot von öffentlich verfügbaren Nutzerverzeichnissen und auf das Senden elektronischer Werbenachrichten. Im Verhältnis zur DS-GVO wird die ePrivacy-VO grundsätzlich Vorrang haben.

  • Räumlich: (i) wenn elektronische Kommunikationsdienste, Nutzerverzeichnisse oder Werbenachrichten Nutzern in der EU angeboten bzw. gesendet werden, (ii) wenn Kommunikationsinhalte oder Kommunikationsmetadaten von Nutzern in der EU verarbeitet werden oder (iii) wenn Informationen von Endgeräten von Nutzern, die sich in der EU befinden, verarbeitet werden sollen. Die ersten beiden erinnern an ein „Marktortprinzip“, das auch von der DSGVO bekannt ist.
  • Persönlich: Auf Anbieter elektronischer Kommunikationsdienste (etwa Chat-Dienste) einschließlich Anbieter nummernbasierter Kommunikationsdienste zwischen Personen, und auf Anbieter öffentlich verfügbarer Nutzerverzeichnisse (etwa Gelbe Seiten) (Erwägungsgrund 8). Auf Seite der Betroffenen ist die ePrivacy-VO weiter gefasst als die DS-GVO, indem sie natürliche und juristische Personen – etwa GmbHs – schützt.

Anwendbar ist die ePrivacy-VO auf sogenannte „Over-the-top“-Anbieter („OTTs“), deren datenschutzrechtliche Pflichten unter nationalem Recht noch umstritten waren.

OTTs betreiben keine eigenen Netze. Sie übermitteln Informationen mit Hilfe von Internet-Service-Providern über das Internet. Die Internet-Service-Provider sorgen dabei ausschließlich für die Übertragung von Datenpaketen. Um Over-The-Top Kommunikationsdienste handelt es sich insbesondere bei Anwendungen wie „Skype“, „WhatsApp“ oder Web-basierten E-Mail Diensten. OTTs sind somit keine klassischen Erbringer von Telekommunikationsdiensten. Daher ist umstritten, ob das Telekommunikationsgesetz (TKG) auf diese Anwendung findet, wenngleich einige wenige Dienste bereits durch den EuGH entschieden wurden. Durch die unmittelbare Geltung vermag die ePrivacy-VO in diesem Bereich Gewissheit verschaffen.


2. Schutz elektronischer Kommunikationsdaten

Die ePrivacy-VO knüpft an das von der DS-GVO bekannte Prinzip des „Verbots mit Erlaubnisvorbehalt“ an, wonach jede Datenverarbeitung grundsätzlich untersagt ist, falls nicht eine Rechtsnorm diese Verarbeitung erlaubt (vgl. Art. 5). In Bezug auf Erlaubnisnormen trifft der Verordnungsgeber eine grundlegende Entscheidung in „Kommunikationsinhalte“ und „Metadaten“ (d.h. die Verkehrsdaten, etwa Ort und Zeit der Kommunikation, Absender und Empfänger). Für beide Kategorien gibt es wenige übergreifende und mehrere spezielle Erlaubnisgründe. Grob gesagt ist eine Verarbeitung insbesondere erlaubt, wenn diese zur Erbringung oder Abrechnung eines Services, aus Sicherheitsgründen, für wissenschaftliche Forschung, oder zur Vermeidung kinderpornografischer Inhalte erforderlich ist, oder wenn der Nutzer – bei Inhalten sogar alle beteiligten Nutzer – eingewilligt haben (Art. 6 – Art. 6d). Art. 7 erlaubt es den Betreibern elektronischer Kommunikationsdienste, auf Antrag des Endnutzers elektronische Kommunikationsinhalte der Endnutzer als Bestandteile der Dienstleistung zu speichern. Eine solche Speicherung muss im Einklang mit Art. 6 und der Verordnung stehen.


3. Daten auf Endgeräten (z.B. Smartphones)

Wichtige Änderung gehen mit Regelungen einher, die den Schutz von Informationen in und im Zusammenhang mit Endgeräten von Nutzern betreffen (Art. 8). Unterschieden wird hier zwischen Informationen, die an oder auf Endgeräten gesendet bzw. verarbeitet oder gespeichert werden, und Informationen, die von Endgeräten gesendet (emittiert) werden.

  • Informationen, die an Endgeräte gesendet oder auf diesen verarbeitet werden, dürfen zur Herstellung einer Verbindung oder der Erbringung eines Dienstes, bei Vorliegen einer Einwilligung, bei aggregierten Daten zu Reichweiten- oder Webanalyse-Zwecken, zu Sicherheitszwecken oder wenn Notrufe vorgenommen werden verarbeitet werden.
  • Informationen, die von Endgeräten emittiert werden, dürfen zur Herstellung oder Aufrechterhaltung einer vom Nutzer gewünschten Verbindung, bei Vorliegen einer Einwilligung, zu statistischen Zwecken oder zur Erbringung eines Dienstes, der von dem Endnutzer angefragt wurde, verarbeitet werden. Dies kann etwa Machine-to-Machine-Kommunikation betreffen.

In diese Kategorie von Erlaubnisgründen dürfte auch die Verwendung von Cookies fallen, also kleinen Textdateien, die etwa auf Handys platziert werden und die Präferenzen eines Nutzers speichern.

Cookies haben mittlerweile einen weiten Anwendungsbereich, weil in einer Reihe von Endgeräten Informationen gespeichert werden können – im Zeitalter der „Internet der Dinge“ reicht die Produktpalette dabei von der sprechenden Puppe über das „Connected Car“ bis hin zum „Smart Home“. Die ePrivacy-VO schützt jedwede Art von Informationen, etwa auch schlichte Gerätekennungen, aus denen kein Personenbezug herzuleiten ist.

Im deutschen Telemediengesetz (TMG) griff bislang häufig die sog. Opt-Out-Lösung für die Verwendung von Cookies, die zur bedarfsgerechten Ausgestaltung des Angebots oder zu Werbezwecken pseudonymisiert gesetzt wurden: Dabei musste der Nutzer lediglich in der Datenschutzerklärung oder durch entsprechende Einblendungen darüber informiert werden, dass er der Erstellung von Nutzerprofilen auf pseudonymisierter Basis widersprechen kann (§ 15 Abs. 3 TMG). Der Generalanwalt des Europäischen Gerichtshofs äußerte sich am 22. März 2019 jedoch dahingehend, dass die Einwilligung ein aktives Handeln erfordere. Es genüge nicht, wenn der Nutzer widersprechen muss, sofern er die Verarbeitung nicht wünscht. Auch der EuGH erteilte im Oktober 2019 dem Opt-Out-Prinzip eine Absage und fordert seither für das Setzen von Cookies eine ausdrückliche Einwilligung des Nutzers. Unklar ist, ob § 15 TMG seit Geltung der Datenschutz-Grundverordnung überhaupt noch Anwendung findet.

Der Erwägungsgrund 20 stellt nun klar, dass personenbezogene Daten der Endnutzer, die von ihren Endgeräten gesammelt wurden, der DS-GVO unterliegen. Jedoch gilt die ePrivacy-VO für die Verarbeitung elektronischer Kommunikationsdaten, sodass auch Cookies darunterfallen können. Folglich ist die Einwilligung des Nutzers in die Verarbeitung und Speicherung dieser Daten erforderlich. Diese Einwilligung einzuholen obliegt derjenigen natürlichen oder juristischen Person, die die Daten des Endnutzergerätes verarbeitet oder speichert. Sie muss jedoch nicht notwendigerweise von der natürlichen oder juristischen Person selbst eingeholt werden. Vielmehr kann auch ein Dritter beauftragt werden, die Einwilligung im Auftrag einzuholen.

Auch darüber hinaus wird die ePrivacy-VO künftig stärker differenzieren und weitere Erlaubnisgründe vorsehen. Was die häufige bedarfsgerechte Ausgestaltung des Dienstes und Werbung betrifft, werden sich Anbieter allerdings häufig auf die Einwilligung des Nutzers verlassen müssen, die jedoch wohl auch über die Browsereinstellungen erteilt werden kann (vgl. Art.4a Abs.2).


4. Regelungen für Softwareanbieter

Möglicherweise wird die ePrivacy-VO Regelungen zu datenschutzfreundlichen Voreinstellungen von Anbietern von Software, die elektronische Kommunikation erlaubt (etwa Messenger-Apps), treffen. Ob eine solche Regelung jedoch tatsächlich verabschiedet wird, ist derzeit noch unklar. So war zwar zwischenzeitlich im Gesetzgebungsverfahren in Art. 10 ePrivacy-VO vorgeschrieben, dass der Nutzer grundsätzlich verhindern kann, dass Dritte Informationen im Endgerät speichern oder von diesen abrufen können („Nicht verfolgen“- bzw. „Do Not Track“-Mechanismen). Bei der Installation der Software müsse der Nutzer zudem über die Einstellungsmöglichkeiten zur Privatsphäre informiert sowie regelmäßig an diese erinnert werden. In den letzten Entwürfen wurde Art. 10 ePrivacy-VO allerdings wieder gestrichen.

Die Anforderungen an datenschutzfreundliche Voreinstellungen in Art. 10 der ePrivacy-VO wären wesentlich detaillierter als in der DS-GVO, indem geregelt ist, wovor die Voreinstellungen schützen müssen, und worüber der Nutzer im Einzelnen zu informieren ist.


5. „Telefonie-Dienste“ und öffentlich verfügbare Verzeichnisse

Sonderregeln finden sich für Anbieter „nummernbasierter interpersoneller Kommunikationsdienste“ in Art. 12 bis 14, etwa Voice over IP-Dienste. Art. 15 betrifft auch die Datenverarbeitung öffentlich verfügbarer Verzeichnisse, etwa Gelbe Seiten.

Sonderregeln für „Telefonie-Dienste“

Anbieter nummernbasierter interpersoneller Kommunikationsdienste haben ähnliche Pflichten wie unter dem jetzigen deutschen Telekommunikationsgesetz (TKG): Sie müssen etwa eine Rufnummernunterdrückung anbieten und ermöglichen, dass eingehende Anrufe geblockt werden. Außerdem müssen sie für die Öffentlichkeit entsprechende Informationen vorhalten. Ausnahmen bestehen für Notfallanrufe (Art. 13)

Sonderregeln für öffentlich verfügbare Verzeichnisse

Das Erfassen von Nutzerinformationen ist nur mit Einwilligung der jeweiligen Nutzer möglich. Die Nutzer müssen die Möglichkeit haben, ihre Daten zu überprüfen, korrigieren oder zu löschen, sowie Fremddaten abzulehnen. Sie sind über Suchfunktionen zu informieren. Für Betreiber öffentlich zugänglicher Verzeichnisse gilt dies jedoch nur entsprechend, sofern die Mitgliedstaaten eine diesbezügliche Regelung treffen, dass die Anforderungen für nummernbasierte Kommunikations-Dienste auch für Betreiber öffentlich zugänglicher Verzeichnisse gelten (Art. 15 Abs. 3aa).


6. Sicherheitsanforderungen

Die ePrivacy-VO enthält ferner Anforderungen an die Sicherheit angebotener Netzwerke und Dienste, ohne jedoch konkrete Maßnahmen vorzuschreiben. Nutzer dürfen nicht daran gehindert werden (etwa vertraglich), die besten am Markt verfügbaren Sicherheitstechniken zum Schutz ihrer Informationen einzusetzen. Über Sicherheitsrisiken sind Nutzer zu informieren.


7. Direktmarketing

In Art. 16 finden sich Regelungen zu Direktmarketingmaßnahmen. So ist Direktmarketing durch automatische Anrufmaschinen oder andere Kommunikationssysteme (z.B. E-Mail) grundsätzlich nur mit der (vorherigen) Einwilligung des Angesprochenen möglich; das gilt auch für beworbene juristische Personen. Eine Ausnahme besteht – ähnlich wie in § 7 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) – dann, wenn der Werbende die Kontaktdaten des Angesprochenen im Zusammenhang mit einem Vertrag über Waren oder Dienstleistungen erhalten hat und nur für eigene – nicht notwendig ähnliche – Waren oder Dienstleistungen wirbt, und die Angesprochenen dem widersprechen können, worüber sie bei Datenerhebung und bei jeder Werbung zu informieren sind.

Nicht-automatisierte Werbeanrufe („voice-to-voice“) werden gemäß Art. 16 Abs. 4 zulässig sein, sofern der Angerufene diesen nicht widersprochen hat (etwa über das Do Not Call Register). Gemeinsam mit der Verpflichtung von Telefonie-Anbietern, Nutzern die technische Möglichkeit zu gewähren, Anrufe gewisser Rufnummern zu unterdrücken (Art. 14), führt dies dazu, dass der Nutzer unerwünschte Werbeanrufe komplett vermeiden kann.


8. Aufsichtsbehörden; Rechtsbehelfe, Haftung & Sanktionen

Das Haftungsrecht der ePrivacy-VO geht Hand in Hand mit dem der DS-GVO. Die Haftungsregelungen und Bußgeldhöhen entsprechen denen der DS-GVO. Dies bedeutet, Verstöße gegen die ePrivacy-VO können zu Geldstrafen in Höhe von 4 % des Jahresumsatzes eines Unternehmens betragen. Es ist zudem zu erwarten, dass die etablierten Aufsichtsbehörden auch für die Aufsicht über die ePrivacy-VO verantwortlich sein werden. Zwar wurden entsprechend verpflichtende Vorschriften in den neuen Entwürfen gestrichen, in der Praxis dürfte im Ergebnis jedoch keine andere Zuständigkeit zu erwarten sein.

Ausblick

Aktueller Stand des Gesetzgebungsverfahrens: Nach Ablehnung des jüngsten Entwurfs der finnischen Ratspräsidentschaft will die Kommission einen neuen Vorschlag vorlegen, um das Verfahren voranzutreiben.
Ausblick:

  • Trilogverfahren unter Beteiligung von EU-Parlament, Rat der EU und Kommission
  • Geltung der ePrivacy-VO voraussichtlich erst ab 2022.