Skip to main content

 last updated: 20. Dezember 2019


ePrivacy Verordnung: Wer ist betroffen? Wann gilt was?

Die ePrivacy-Verordnung (ePrivacy-VO) ist derzeit im europäischen Legislativverfahren und wird von Seiten der Netzwirtschaft stark kritisiert. Wichtig für das Verständnis, ob ein Unternehmen überhaupt unter diese Verordnung fallen wird, sind zwei Fragen:

A.Welche Netz- und Dienstebetreiber sind von der e-Privacy-VO erfasst?
B.Wie ist das Verhältnis von ePrivacy-VO zur Datenschutz-Grundverordnung (DS-GVO) sowie zum nationalen Telekommunikationsrecht?

The ePrivacy Regulation is currently in the EU legislative procedure and there is a great deal of debate from the internet economy. In order to understand whether a company will actually fall under the ePrivacy Regulation, two important questions should be looked at:

A.Which electronic communications networks and service providers are affected by this Regulation?
B.How is the relationship between the ePrivacy Regulation and the General Data Protection Regulation (GDPR) and local telecommunication regulations?


Anmerkung: Zugrunde liegt die Fassung des Europäischen Parlaments vom 17. Oktober 2017 sowie der neue Entwurf zur ePrivacy-VO durch die finnische EU-Ratspräsidentschaft vom 17. Oktober 2019. Der Ausschuss der Ständigen Vertreter der Mitgliedstaaten lehnte den jüngsten Entwurf jedoch kürzlich ab. Um das Verfahren voranzutreiben, will nun die Kommission einen neuen Vorschlag vorlegen.  


A. Persönlicher und sachlicher Anwendungsbereich der ePrivacy-VO

Die ePrivacy-VO entspricht unglücklicherweise nicht dem üblichen Regelungsschema anderer Verordnungen, in denen vorab eine Definition der Adressaten vorgenommen wird. Vielmehr ist für jeden Erlaubnistatbestand zu prüfen, ob ein Anbieter erfasst wird. Für die Bestimmung der unterschiedlichen Begriffe von Kommunikationsdiensten wird zudem auf die DS-GVO, auf den europäischen Kodex für die elektronische Kommunikation, die Richtlinie über den Wettbewerb auf dem Markt für Telekommunikationseinrichtungen (RL 2008/63/EG) und die Richtlinie über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft verwiesen. Dies erschwert die Frage, nach dem konkreten Anwendungsbereich der Verordnung zusätzlich.
Festzuhalten bleibt, dass die Verordnung auf persönlicher Ebene für folgende natürliche und juristische Personen gilt:

  1. Betreiber elektronischer Kommunikationsnetze,
  2. Betreiber elektronischer Kommunikationsdienste (inkl. Anbieter von Software, die elektronische Kommunikation ermöglicht),
  3. Betreiber nummernbasierter interpersönlicher Kommunikationsdienste,
  4. Betreiber öffentlich zugänglicher Verzeichnisse, und
  5. Unternehmen, die mithilfe elektronischer Kommunikationsdienste an Nutzer gerichtete Direktwerbung betreiben oder von Endeinrichtungen der Nutzer (z.B. Smartphones, Tablets) Informationen sammeln.

Auf sachlicher Ebene bedeutet das: Die ePrivacy-VO gilt, sobald ein Mensch mit einem anderen Menschen, eine Maschine mit einer anderen Maschine oder ein Mensch mit einer Maschine über elektronische Dienste kommuniziert. Endnutzern werden nach Erwägungsgrund 2a hingegen keine Verpflichtungen auferlegt.
 


1. Betreiber elektronischer Kommunikationsnetze

(z.B. Art. 6 Abs. 1 ePrivacy-VO)

Übertragungssysteme und gegebenenfalls Vermittlungs- und Leitwegeinrichtungen sowie anderweitige Ressourcen (einschließlich der nicht aktiven Netzbestandteile), die die Übertragung von Signalen über Kabel, Funk, optische oder andere elektromagnetische Einrichtungen ermöglichen, einschließlich Satellitennetze, feste (leitungs- und paketvermittelte, einschließlich Internet) und mobile terrestrische Netze, Stromleitungssysteme, soweit sie zur Signalübertragung genutzt werden, Netze für Hör- und Fernsehfunk sowie Kabelfernsehnetze, unabhängig von der Art der übertragenen Informationen.

Betroffen sind als Netzbetreiber insbesondere Telekommunikationsnetzbetreiber, Mobilfunknetzbetreiber, Internet Service Provider mit eigenem Netz, Kabelnetzbetreiber, Stromnetzbetreiber, sofern Signale über das Stromnetz übertragen werden, sowie Satellitennetzbetreiber. 


2. Betreiber elektronischer Kommunikationsdienste

(z.B. Art. 6 Abs. 1 ePrivacy-VO)

Gewöhnlich gegen Entgelt über elektronische Kommunikationsnetze erbrachte Dienste, die Internetzugangsdienste im Sinne der VO (EU) 2015/2120 und/oder interpersonelle Kommunikationsdienste und/oder Dienste umfassen, die ganz oder überwiegend in der Übertragung von Signalen wie Übertragungsdienste, die für die Maschine-Maschine-Kommunikation und für Rundfunk genutzt werden, jedoch ausgenommen Dienste, die Inhalte über elektronische Kommunikationsnetze und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben.

Betreiber von Kommunikationsdiensten sind insbesondere Telekommunikationsanbieter (Fest- und Mobilfunknetz) und Internetanbieter. Die ePrivacy-VO nimmt aber auch sog. „Over-the-top“-Anbieter („OTTs“) in die Pflicht. Dies sind alle Anbieter von Diensten, die eine Übermittlung von Inhalten über das Internet ermöglichen, ohne selbst Internet-Service-Provider, also Betreiber auch der IT-Infrastruktur, zu sein. Beispielsweise Anbieter von VoIP-Telefonie, Instant-Messaging-Anbieter (WhatsApp) und Anbieter von webgestützten E-Mail-Diensten (Gmail). Auch Anbieter von Webbrowsern und Apps sind betroffen.


3. Betreiber nummernbasierter interpersönlicher Kommunikationsdienste

Interpersönlicher – d.h. zwischen zwei oder mehreren Personen bestehender – Kommunikationsdienst, der mit dem öffentlichen Telefonnetz verbindet, und zwar entweder durch zugewiesene Nummernressourcen, d.h. einer Nummer oder Nummern in nationalen und internationalen Telefonnummernplänen, oder durch die Ermöglichung von Kommunikation mit einer Nummer oder Nummern in nationalen oder internationalen Telefonnummernplänen.

Betroffen sind Betreiber von Telefondiensten, die auf Nummern basieren, etwa VoIP-Dienstebetreiber. Für diese Dienstebetreiber stellen Art. 12-14 ePrivacy-VO eigene Anforderungen auf, etwa das Blockieren bestimmter eingehender Telefonate zu ermöglichen.


4. Betreiber öffentlich zugänglicher Verzeichnisse

(Art. 15 ePrivacy-VO)

Verzeichnisse der Endnutzer elektronischer Kommunikationsdienste in gedruckter oder elektronischer Form, die veröffentlicht oder der Öffentlichkeit bzw. einem Teil der Öffentlichkeit zugänglich gemacht werden, auch mithilfe eines Verzeichnisauskunftsdienstes.

Betroffen sind Betreiber öffentlich zugänglicher Verzeichnisse sowie nummernbasierter Kommunikations-Dienste, die Informationen über Nutzer wie deren Telefonnummer (auch Mobiltelefonnummer), E-Mail-Adresse oder andere Kontaktangaben enthalten und Auskunftsdienste umfassen. Für Betreiber öffentlich zugänglicher Verzeichnisse gilt dies jedoch nur entsprechend, sofern die Mitgliedstaaten eine diesbezügliche Regelung treffen, dass die Anforderungen für nummernbasierte Kommunikations-Dienste auch für Betreiber öffentlich zugänglicher Verzeichnisse gelten (Art. 15 Abs. 3aa). Zu diesen Diensten gehören beispielsweise die „Gelben Seiten“ oder „Das Örtliche“. Die Zulässigkeit der Aufnahme personenbezogener Daten in derartige Verzeichnisse und Dienste, die bislang vom Bundesdatenschutzgesetz (BDSG) erfasst wurden, richtet sich zukünftig nach Art. 15 ePrivacy-VO und nicht etwa nach DS-GVO bzw. BDSG (neu).


5. Direktwerbung

(Art. 16 ePrivacy-VO)

Jede Art der Werbung in schriftlicher oder mündlicher Form, die an einen oder mehrere bestimmte oder bestimmbare Nutzer elektronischer Kommunikationsdienste gerichtet wird, auch mittels automatischer Anruf- und Kommunikationssysteme mit oder ohne menschliche Beteiligung, mittels E-Mail, SMS-Nachrichten usw.

Es sind Einzelpersonen oder Unternehmen betroffen, die direkt persönlich oder mittels Anruf- und Kommunikationssystemen (E-Mail, SMS etc.) an Nutzer von Kommunikationsdiensten Werbung richten. Die Werberegelung der e-Privacy-VO knüpft nicht an eine bestimmte Diensteanbietereigenschaft des Werbenden an, sondern setzt lediglich voraus, dass sich der Werbende eines elektronischen Werbesystems bedient. Die Zulässigkeit derartiger Werbetätigkeiten, die bislang vom BDSG erfasst wurden, richtet sich zukünftig nach Art. 16 ePrivacy-VO, die die DS-GVO bzw. das BDSG (neu) insofern verdrängt.


B. Verhältnis ePrivacy-VO zu anderen Vorschriften

1. Verhältnis zur DS-GVO

Auf die Verarbeitung elektronischer Kommunikationsdaten soll grundsätzlich allein die ePrivacy-VO Anwendung finden. Das Verhältnis von DS-GVO und ePrivacy-VO ist Gegenstand der Erörterungen zwischen EU-Parlament und Rat. Erwägungsgrund 2a der ePrivacy-VO stellt klar, dass die ePrivacy-VO die DS-GVO spezifiziert und ergänzt. Soweit in der ePrivacy-VO keine besonderen Regelungen getroffen werden, gilt die DS-GVO. Auch soll das Schutzniveau der DS-GVO nicht reduziert werden. Da die ePrivacy-VO nicht – wie ursprünglich geplant – zeitgleich mit der seit Mai 2018 verbindlichen DS-GVO in Kraft getreten ist, ist zunächst die DS-GVO hinsichtlich des Umgangs mit personenbezogenen Daten von natürlichen Personen vorrangig anzuwenden. 


2. Verhältnis zum Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG)

Aufgrund ihres Anwendungsvorrangs geht die ePrivacy-VO den Datenschutzbestimmungen des TMG und des TKG vor. Sprich: Ist der persönliche (und sachliche) Anwendungsbereich der ePrivacy-VO eröffnet, greift lediglich die e-Privacy-VO zur Bewertung datenschutzrechtlicher Fragen. Dort wo die Öffnungsklauseln der DS-GVO und der ePrivacy-VO Raum für nationale Regelungen lassen, können TMG und TKG theoretisch nach wie vor anwendbar bleiben. Nach den Standpunkten der Datenschutzkonferenz des Bundes und der Länder vom 25. Mai 2018 (siehe hier) und vom März 2019 (siehe hier) werden aber zumindest die §§ 11 ff. TMG durch die DS-GVO verdrängt.

Ausblick

  • Aufgrund zahlreicher Änderungsanträge des EU Parlaments und Ablehnung des jüngsten Entwurfs will die Kommission nunmehr einen neuen Vorschlag vorlegen. Der ursprünglich geplante Veröffentlichungstermin – Mai 2018 – konnte somit nicht eingehalten werden. Wann genau die Verordnung in Kraft treten wird bleibt weiterhin offen. Diese Aufgabe wird aber mindestens in die Zeit der kroatischen Ratspräsidentschaft fallen. Vielfach wird nicht mit einer Geltung der ePrivacy-VO vor 2022 gerechnet.
  • Grundsätzlich ist hier noch vieles im Fluss: Es bleibt abzuwarten, wie sich die Aufsichtsbehörden in der Zwischenzeit zur Rechtslage positionieren werden.