Skip to content

Erneut wurde ein Entwurf der ePrivacy-Verordnung von den Mitgliedstaaten abgelehnt. Steht die geplante Verordnung jetzt vor dem Aus?

ENTWICKLUNGEN DER EPRIVACY-VERORDNUNG

Einführung

Seit 2016 gibt es Verhandlungen über eine ePrivacy-Verordnung in der EU, welche die bisherige ePrivacy-Richtlinie (2002/58/EG) aus dem Jahr 2002 ablösen soll, da diese als veraltet angesehen wird und den Fortschritten in Technik und Wirtschaft nicht mehr gerecht wird, bzw. die neuen Belange teils unzulänglich regelt. Die Umsetzung der Richtlinie erfolgte in Deutschland im Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG).

Die ePrivacy-Verordnung soll die Richtlinie schließlich aktualisieren und ergänzend neben die Datenschutz-Grundverordnung (DS-GVO) treten. Ursprünglich war geplant, dass die DS-GVO und die ePrivacy-Verordnung gemeinsam am 25.05.2018 in Kraft treten sollten. Die ePrivacy-Verordnung bekam in der Vergangenheit jedoch viel Gegenwind, sodass ein mögliches Inkrafttreten noch nicht in Sicht ist.

Im Folgenden geben wir einen kurzen Überblick über das Thema ePrivacy und beleuchten die Entwicklungen bezüglich der geplanten Verordnung.

Was ist die ePrivacy-Verordnung? Was soll geregelt werden?

Die geplante ePrivacy-Verordnung geht auf eine Gesetzesinitiative der Europäischen Kommission aus Januar 2017 zurück und soll die Privatsphäre von Bürgern im Onlinebereich stärken. Sie beschäftigt sich in erster Linie mit elektronischen Kommunikationsdaten, welche als personenbezogene Daten einzustufen sind. Ziel ist es, dass Privatsphäre zur Standardeinstellung in Browsern wird.

Die ePrivacy-Verordnung präzisiert die DS-GVO also im Hinblick auf elektronische Kommunikationsdaten und schließt damit ein paar Regelungslücken. Im Großen und Ganzen soll durch die Verordnung die Sicherheit elektronischer Kommunikationsdaten geregelt und schließlich festgelegt werden, unter welchen Voraussetzungen und Bedingungen diese Daten von Betreibern elektronischer Kommunikationsnetze und -dienste verarbeitet werden dürfen. Es werden auch Betroffenenrechte aufgegriffen: es soll Regelungen zur Speicherung und Löschung der elektronischen Kommunikationsdaten geben, sowie weitere Vorgaben zum Schutz der gespeicherten Daten der Endnutzer. Zudem soll die Verordnung die bisherigen Regeln zur Einwilligung in die Datenverarbeitung präzisieren und Vorgaben bezüglich bereitzustellender Informationen und Privatsphäreeinstellungen bei elektronischer Kommunikation enthalten. Des Weiteren soll eine Ende-zu-Ende-Verschlüsselung obligatorisch werden, sodass auch ein Eingreifen seitens staatlicher Stellen stärker reguliert wird.

Ebenso soll es Regelungen für den Telekommunikationssektor geben. Darunter fallen bspw. Vorgaben für die Anzeige von Rufnummern, deren Unterdrückung, die Sperrung eingehender Anrufe, sowie für unerbetene Kommunikation, Direktwerbung über elektronische Kommunikationsdienste an Endnutzer und Informationspflichten über erkannte Sicherheitsrisiken.

Letztlich beinhaltet die ePrivacy-Verordnung auch Sanktionen für mögliche Verstöße und beschreibt die Aufgaben der Aufsichtsbehörden. 

Wen wird die ePrivacy-Verordnung betreffen?

Sobald die ePrivacy-Verordnung in Kraft tritt, sind vor allem Unternehmen mit dem Sitz innerhalb der EU betroffen. Daneben ist die Verordnung aber nach dem sog. Marktortprinzip auch auf solche Unternehmen anwendbar, die ihre elektronischen Kommunikationsdienste innerhalb der EU anbieten. Nicht-EU-Unternehmen benötigen dann einen EU-Vertreter.

Zu den betroffenen Unternehmen zählen neben den konventionellen Telekommunikationsdiensten auch OTT-I-Dienste (Over-the-top-Dienste der ersten Kategorie), insbesondere Messenger- und E-Mail-Dienste, sowie Anbieter von Internettelefonie. In den Anwendungsbereich der Verordnung fallen zudem nur elektronische Kommunikationsdienste, die öffentlich zugänglich sind, also von einem Anbieter für den Endnutzer bereitgestellt werden.

Entwicklungen der ePrivacy-Verordnung

Bisher bekamen die Ausarbeitungen für die ePrivacy-Verordnung viel Gegenwind – sowohl seitens zahlreicher Wirtschaftsverbände als auch der EU-Mitgliedstaaten. Im Europäischen Rat konnte bisher noch kein Konsens erreicht werden. Viele Mitgliedstaaten, darunter bisher auch Deutschland, sahen die Verordnung entweder als zu weitreichend oder eben nicht weitreichend genug an. Bislang gelang es den Mitgliedstaaten nicht, eine gemeinsame Linie auszuarbeiten, Kompromissvorschläge wurden immer wieder abgelehnt, so bspw. im November 2019 als die finnische Ratspräsidentschaft einen Entwurf vorlegte. Nachdem Deutschland Mitte 2020 die Ratspräsidentschaft übernommen hatte, arbeitete die Regierung an einem neuen Kompromiss, um den Interessen der Nutzer in datenschutzrechtlicher Hinsicht, aber auch denen der Wirtschaftsunternehmen gerecht zu werden. Im Fokus der Kritik an den bisherigen Entwürfen standen immer wieder die Regelungen zum Tracking der Nutzer sowie der zielgerichteten Werbung, insbesondere dem Setzen von und der Zustimmung zu Cookies. Das liegt daran, dass diesbezüglich die Rechtslage sehr unklar ist, weil es bislang keine vergleichbaren Regelungen in der EU gibt.

Der sodann ausgearbeitete Entwurf der Bundesregierung richtete sich vor allem gegen Forderungen der Werbeindustrie, ein Sammeln von Metadaten aufgrund eines „berechtigten Interesses“ oder „kompatiblen Zwecks“ zu erlauben. Gestattet werden sollte nur das Sammeln von Metadaten zu statistischen und wissenschaftlichen Zwecken. Dieser Vorschlag wurde im Rat von den anderen Mitgliedstaaten jedoch im November 2020 abgelehnt. Ein neuer Vorschlag für eine mögliche Verordnung ist noch nicht in Sicht.

Seit Anfang Januar hat Portugal die Ratspräsidentschaft inne, sodass abzuwarten bleibt, inwiefern die portugiesische Regierung sich an einen neuen Kompromissvorschlag wagt.

Fazit

Anhand der letzten Entwicklungen im Europäischen Rat erscheint es erstmal unwahrscheinlich, dass es in Kürze zu einem Konsens kommt. Teilweise wird sogar befürchtet, dass die ePrivacy-Verordnung nun gänzlich vor dem Aus steht.

Demnach wird es voraussichtlich noch einige Zeit dauern, bis die ePrivacy-Verordnung, namentlich ein Kompromiss, von allen Mitgliedstaaten abgesegnet und dann auch verabschiedet wird. Bisher ist es noch sehr unklar, ob und wie die Ansichten der jeweiligen Akteure bezüglich ePrivacy auf einen Nenner gebracht werden können.

Deshalb herrscht also weiterhin Rechtsunsicherheit für Unternehmen, vor allem im Bereich von Nutzer-Tracking und Cookies. Solange noch keine Verordnung erlassen und in Kraft getreten ist, muss sich also weiter an den Vorschriften der DS-GVO, sowie dem TMG und dem TKG orientiert werden.  

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!