Die ePrivacy Richtlinie, besser bekannt als „Cookie Richtlinie“, stellt eine ausschlaggebende Regelung für die Datenverarbeitung im Internet dar. Sie ist das primäre Steuerungsinstrument für die Anforderungen an die datenschutzrechtlich konforme Einwilligung im elektronischen Daten- und Rechtsverkehr. Ab 2018 wird die Datenschutzgrundverordnung (DSGVO) das Datenschutzrecht in Europa regeln. Um das Zusammenspiel der ePrivacy Richtlinie und der DSGVO zu vereinfachen, hat die EU-Kommission beschlossen, aus der ePrivacy Richtlinie eine Verordnung zu machen. Zur Erinnerung: EU-Verordnungen gelten unmittelbar in allen Mitgliedsländern und müssen nicht in nationales Recht umgesetzt werden, was immer auch nationale Spielräume eröffnet.

Vor kurzem präsentierte die Europäische Kommission den finalen Entwurf für die ePrivacy Verordnung, die am 25. Mai 2018 in Kraft treten soll, was angesichts des europäischen Gesetzgebungsverfahrens ein sehr optimistischer Zeitplan sein dürfte.

Der aktuelle Kommissionsentwurf, der Teil des derzeitigen Konzepts zur Etablierung eines „digitalen Binnenmarktes“ in Europa ist, bietet angesichts der erwarteten Folgen für die Wirtschaft einen Anlass zur Diskussion.

Ein erster Schritt in die richtige Richtung

Der aktuell vorliegende  Entwurf der ePrivacy Verordnung schafft gleich an mehreren Stellen eindeutig mehr Rechtsklarheit.

Die EU-Kommission will die technischen und wirtschaftlichen Entwicklungen auf dem Markt nicht nur erkannt haben, sondern diesen Faktoren auch angemessen Rechnung tragen (Vgl. die Gründe und Ziele des Vorschlags). Vor diesem Hintergrund soll die Verordnung spätestens nach drei Jahren einer Überprüfung unterzogen werden (Art. 28 Abs. 2 des Entwurfs), um sich auftretenden Fragen nicht zu versperren.

Das neue Regelungswerk ist endlich von der langersehnten Klarstellung getragen, in welcher sich auch die sogenannten „OTT-Dienste“ („Over The Top“) wie WhatsApp, Skype oder Facetime zukünftig diesen Regelungen zu unterwerfen haben, wie es bereits seit Jahren Juristen und der Bundesrat (Entschließung vom 22.04.2016) fordern. Schließlich haben diese Kommunikationsmethoden längst den klassischen Diensten wie Telefon oder SMS den Rang abgelaufen, waren jedoch bislang von der Einhaltung der Vorschriften zum Datenschutz und Gewährleistung der Privatsphäre (Telekommunikationsgeheimnis) sowie Integrität weitestgehend verschont geblieben. Die nun anvisierte Gleichstellung der internetbasierten Anbieter mit den herkömmlichen TK-Diensten soll insgesamt die Sicherheit der Kommunikationswege erhöhen, bisherige Rechtslücken schließen und somit auch den Rechten von Privatpersonen einen höheren Schutz zubilligen.

Nunmehr werden auch die Metadaten der elektronischen Kommunikation ausdrücklich erwähnt (Art. 4 Abs. 3 c des Entwurfs) und vom Schutzumfang der E-Privacy Verordnung erfasst, denn durch sie können „sehr sensible und persönliche Informationen offengelegt werden“.  So heißt es:

„Zu solchen Metadaten gehören beispielsweise angerufene Nummern, besuchte Websites, der geografische Standort, Uhrzeit, Datum und Dauer eines von einer Person getätigten Anrufs, aus denen sich präzise Schlussfolgerungen über das Privatleben der an der elektronischen Kommunikation beteiligten Personen ziehen lassen, z. B. in Bezug auf ihre sozialen Beziehungen, Gewohnheiten und ihren Lebensalltag, ihre Interessen, ihren Geschmack usw.“ (Erwägungsgrund 2).

Die Vergangenheit zeigte, welche Brisanz und Funktion diese Meta-Daten haben können und warum die Datenschützer auf diese ein besonderes Augenmerk legen. Die Folgen des erweiterten Schutzumfangs dürften sich auch bei der Gestaltung von Apps und Diensten bemerkbar machen.

Die Ausnahmen bestimmen die Regel

Welche Auswirkung die ePrivacy Regelung auf die Verarbeitung von „Nutzerdaten“ (im weiten Sinne) hat und haben könnte, veranschaulichen die unzähligen Cookie-Banner im Web. Viele wünschten sich deshalb im Hinblick auf die denkbaren Einwilligungsmodelle beim Einsatz von Cookies und insbesondere beim Tracking deutlich mehr Licht im Dunkeln.

Stand heute: In Art. 5 des Entwurfs zur ePrivacy Verordnung wird „generalklauselartig“ ausgeführt, dass jedwede Überwachung der elektronischen Kommunikationsinhalte verboten ist, es sei denn, die Zulässigkeit ergibt sich aus dieser Verordnung:

“Elektronische Kommunikationsdaten sind vertraulich. Eingriffe in elektronische Kommunikationsdaten wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens oder Überwachens oder Verarbeitens elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer sind untersagt, sofern sie nicht durch diese Verordnung erlaubt werden.”

Doch nur eine Norm weiter (Art. 6) listet der Entwurf der EU-Kommission zahlreiche Ausnahmen diesbezüglich auf. Der Seitenbetreiber darf danach die Kommunikationsdaten des Nutzers verarbeiten, wenn es der Prozess technisch erfordert und im Wege der Übermittlung der Kommunikation oder zur vertragsgemäßen Überprüfung der Person nötig ist.

In ähnlicher Rechtsdogmatik legt der Entwurf in Art. 8 das Verbot zur Nutzung der Rechen- und Speicherleistung eines Endgeräts sowie der Erhebung von Informationen über Endgeräte eines Endnutzers inklusive der Informationen über Soft- und Hardware fest. Diese Norm ist von erheblicher Relevanz für das Webtracking, Fingerprinting oder bei Webbeacons und wahrscheinlich das zentrale Thema des Regelwerks.

Nach Art. 8 Abs. 1 und Abs. 2 des Entwurfs werden das Tracking im Web sowie das Offline-Tracking (z. B. W-LAN Tracking im Supermarkt) unter bestimmten Voraussetzungen für zulässig erachtet. Dabei zeichnet sich ab, dass ein vom Seitenbetreiber selbst durchgeführtes Tracking künftig privilegiert wird und möglicherweise sogar noch einfacher als bisher möglich ist. Eine ausführliche Besprechung dieser neuen Regelungen zum Tracking finden Sie hier.

Daneben existiert weiterhin das Instrument der Einwilligung des Betroffenen (Art. 9 des Entwurfs), mittels dessen sich eine Datenverarbeitung in jedem Sinne rechtfertigen lässt. Hinsichtlich der Voraussetzungen an die Einwilligung verweist der Entwurf auf die DSGVO (genauer: auf Art. 4 Nr. 11 und Art. 7 DSGVO).

Zudem bleibt es den Mitgliedstaaten überlassen, die in Art. 5 bis 8 eingekleideten Regelungen zu beschränken (Vgl. Art. 11).

Wenig Neues zum Direktmailing

Vorgaben zur Werbung durch die elektronischen Kommunikationsdienste finden sich in Art. 16 des Entwurfs wieder. Die Vorschrift hält wenige Überraschungen bereit.

Das in der Praxis bedeutungsvolle Direktmailing setzt grundsätzlich die Einwilligung des Empfängers voraus (Art. 16 Abs. 1) –  es sei denn, es liegt ein Kundenverhältnis vor und die beworbenen Produkte sind vergleichbar mit denen aus dem Rechtsgeschäft (Art. 16 Abs. 2).  Damit strebt die EU-Kommission einen interessengerechten Ausgleich an. So heißt es in Erwägungsgrund 33:

„Es ist jedoch vertretbar, im Rahmen einer bestehenden Kundenbeziehung die Nutzung von E-Mail-Kontaktangaben zu erlauben, damit ähnliche Produkte oder Dienstleistungen angeboten werden können.“

Das dürfte der Wirtschaft und vor allem den Online-Händler gefallen, die sich vermutlich hierzulande auf jene weitgefasste Ausnahme regelmäßig bei ihren Werbemails stützen werden. In der Praxis bekannt ist eine derartig wohlgewonnene Ausnahme-Regelung bereits bei § 7 Abs. 3 UWG. Diese Vorschrift dürfte jedoch zukünftig verdrängt werden durch die ePrivacy Verordnung, die mit höheren Strafen (Geldbußen) droht.
Gleichwohl muss dem Kunde ein jederzeitiges Widerspruchsrecht zustehen, auf das er erkennbar hinzuweisen ist. Zudem wird den werbenden Akteuren nahegelegt, die Identität der eigenen juristischen oder natürlichen Person offenzulegen oder anzugeben (Vgl. Erwägungsgrund 34).

Empfindliche Geldbußen als Sanktion

Anders als bei der E-Privacy Richtlinie handelt es sich bei der Verordnung endlich nicht mehr um einen zahnlosen Tiger. Mit ihr wurde ein weiteres Sanktionsmodell erschaffen, das in Anlehnung an die Datenschutzgrundverordnung sogar für größere Unternehmen das Risiko empfindlicher Geldbußen bedeuten könnte (Vgl. Art. 83 DSGVO).

So sollen bei Verstößen gegen das ePrivacy Regelwerk auch Geldbußen von zwei bzw. bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres gegen die handelnden Akteure durch die jeweiligen Aufsichtsbehörden verhängt werden können (Art. 23 des Entwurfs).  So werden nach § 23 Abs. 3 des Entwurfs

„bei Verstößen gegen den Grundsatz der Vertraulichkeit der Kommunikation, die erlaubte Verarbeitung elektronischer Kommunikationsdaten und Löschungsfristen [..] Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.“

Ein erstes Fazit

Der Entwurf zur neuen ePrivacy Verordnung bietet gute Ansätze, lässt dennoch viele Fragen, wie z.B. „wird das Tracking nun strenger reglementiert?“ unbeantwortet.

Ferner wird der eine oder andere Datenschützer nähere Ausgestaltungen zu zahlreichen weiteren Themen wie beispielsweise die Erforderlichkeit der Verschlüsselungstechnologie (Ende-zu-Ende-Verschlüsselung) oder der Vorratsdatenspeicherung vermissen. Ebenso ist das Zusammenwirken mit der DSGVO und eventuellen nationalen Vorschriften noch ungewiss, auf die verschiedenfach verwiesen wird.

Allein das Gesetzgebungsverfahren ist noch lange nicht beendet. Der Entwurf der EU-Kommission wird nun den Rat der Europäischen Union sowie das EU-Parlament passieren müssen. Weitere Überarbeitungen des Kommissionsentwurfs bis zum finalen Regelungswerk sind daher nicht ausgeschlossen und eher wahrscheinlich. Sollten der EU-Rat sowie das EU-Parlament dem Entwurf zustimmen, könnte die ePrivacy Verordnung plangemäß zum 25. Mai 2018 und – womöglich – ohne Übergangsfrist wirksam werden.