Einführung 

Seit 2016 gibt es Verhandlungen über eine ePrivacy-Verordnung in der EU, welche die bisherige ePrivacy-Richtlinie (2002/58/EG) aus dem Jahr 2002 ablösen soll, da diese als veraltet angesehen wird und den Fortschritten in Technik und Wirtschaft nicht mehr gerecht wird, bzw. die neuen Belange teils unzulänglich regelt. Die Umsetzung der Richtlinie erfolgte in Deutschland im Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG).  

Die ePrivacy-Verordnung soll die Richtlinie schließlich aktualisieren und ergänzend neben die Datenschutz-Grundverordnung (DS-GVO) treten. Ursprünglich war geplant, dass die DS-GVO und die ePrivacy-Verordnung gemeinsam am 25. Mai 2018 in Kraft treten sollten. Die ePrivacy-Verordnung bekam in der Vergangenheit jedoch viel Gegenwind, sodass ein mögliches Inkrafttreten derzeit nicht in Sicht ist. 

Im Folgenden geben wir einen kurzen Überblick über das Thema ePrivacy und beleuchten die Entwicklungen bezüglich der geplanten Verordnung.  

Was ist die ePrivacy-Verordnung? Was soll geregelt werden?  

Die geplante ePrivacy-Verordnung geht auf eine Gesetzesinitiative der Europäischen Kommission aus Januar 2017 zurück und soll die Privatsphäre von Bürgern im Onlinebereich stärken. Sie beschäftigt sich in erster Linie mit elektronischen Kommunikationsdaten, welche als personenbezogene Daten einzustufen sind. Ziel ist es, dass Privatsphäre zur Standardeinstellung in Browsern wird. 

Die ePrivacy-Verordnung präzisiert die DS-GVO also im Hinblick auf elektronische Kommunikationsdaten und schließt damit ein paar Regelungslücken. Im Großen und Ganzen soll durch die Verordnung die Sicherheit elektronischer Kommunikationsdaten geregelt und schließlich festgelegt werden, unter welchen Voraussetzungen und Bedingungen diese Daten von Betreibern elektronischer Kommunikationsnetze und -dienste verarbeitet werden dürfen. Es werden auch Betroffenenrechte aufgegriffen: es soll Regelungen zur Speicherung und Löschung der elektronischen Kommunikationsdaten geben, sowie weitere Vorgaben zum Schutz der gespeicherten Daten der Endnutzer. Zudem soll die Verordnung die bisherigen Regeln zur Einwilligung in die Datenverarbeitung präzisieren und Vorgaben bezüglich bereitzustellender Informationen und Privatsphäreeinstellungen bei elektronischer Kommunikation enthalten. Des Weiteren soll eine Ende-zu-Ende-Verschlüsselung obligatorisch werden, sodass auch ein Eingreifen seitens staatlicher Stellen stärker reguliert wird. 

Ebenso soll es Regelungen für den Telekommunikationssektor geben. Darunter fallen bspw. Vorgaben für die Anzeige von Rufnummern, deren Unterdrückung, die Sperrung eingehender Anrufe, sowie für unerbetene Kommunikation, Direktwerbung über elektronische Kommunikationsdienste an Endnutzer und Informationspflichten über erkannte Sicherheitsrisiken.  

Letztlich beinhaltet die ePrivacy-Verordnung auch Sanktionen für mögliche Verstöße und beschreibt die Aufgaben der Aufsichtsbehörden.   

Wen wird die ePrivacy-Verordnung betreffen? 

Sobald die ePrivacy-Verordnung in Kraft tritt, sind vor allem Unternehmen mit dem Sitz innerhalb der EU betroffen. Daneben ist die Verordnung aber nach dem sog. Marktortprinzip auch auf solche Unternehmen anwendbar, die ihre elektronischen Kommunikationsdienste innerhalb der EU anbieten. Nicht-EU-Unternehmen benötigen dann einen EU-Vertreter.  

Zu den betroffenen Unternehmen zählen neben den konventionellen Telekommunikationsdiensten auch OTT-I-Dienste (Over-the-top-Dienste der ersten Kategorie), insbesondere Messenger- und E-Mail-Dienste, sowie Anbieter von Internettelefonie. In den Anwendungsbereich der Verordnung fallen zudem nur elektronische Kommunikationsdienste, die öffentlich zugänglich sind, also von einem Anbieter für den Endnutzer bereitgestellt werden.  

Entwicklungen der ePrivacy-Verordnung 

Bisher bekamen die jeweiligen Ausarbeitungen der ePrivacy-Verordnung viel Gegenwind – sowohl seitens zahlreicher Wirtschaftsverbände als auch der EU-Mitgliedstaaten. Bereits 2017 hat die Europäische Kommission einen Gesetzesentwurf für die ePrivacy-Verordnung erlassen, woraufhin das Europäische Parlament noch im selben Jahr einen Änderungsvorschlag abgegeben hat. Lange konnte sich nur der Europäische Rat nicht auf eine einheitliche Linie festlegen. Nachdem etliche Vorschläge innerhalb des Rates von den EU-Mitgliedstaaten abgelehnt wurden, kam es am 10. Februar 2021 schließlich zu einem Konsens.  

Seitdem stehen Trilogverhandlungen zwischen dem Rat, der Kommission und dem Parlament an – bisher jedoch ohne Ergebnis. Die jeweiligen Entwürfe bezüglich der geplanten Verordnung unterscheiden sich in vielerlei Hinsicht, insbesondere in Bezug auf eine Einwilligung in die Datenverarbeitung bzw. deren Ausnahmetatbestände. 

Zunächst sind sich alle drei Organe einig, dass eine Einwilligung nach den Vorgaben der DS-GVO für die Nutzung vorliegen muss, es sei denn, einer der gelisteten Ausnahmetatbestände greift ein. Die in der Privacy-RL genannten Erlaubnistatbestände für eine Datenverarbeitung ohne Einwilligung des Betroffenen werden auch in allen drei Entwürfen größtenteils übernommen, zum Beispiel, wenn die Verarbeitung der Durchführung von Kommunikationsvorgängen dient oder für die Bereitstellung eines Dienstes erforderlich ist.  

Bezüglich weitergehender Erlaubnistatbestände herrscht derzeit Uneinigkeit bei der Kommission, dem Parlament und dem Rat. Zwar halten alle drei Entwürfe der Verordnung eine Ausnahme zur Reichweitenmessung für zulässig, der Umfang dieser Ausnahme ist jedoch umstritten. Während die Kommission und das Parlament diese nur im Namen des Diensteanbieters ohne Einwilligung gestatten, bedarf es nach Ansicht des Rates auch keiner Einwilligung bei der gemeinsamen Verarbeitung durch den betreibenden Diensteanbieter und einem externen Dienstleister (sofern die Voraussetzungen der gemeinsamen Verantwortlichkeit i.S.d. Art. 26 DS-GVO gewahrt sind). Darüber hinaus sehen die Entwürfe des Parlaments und des Rates eines Erlaubnistatbestand vor, sofern die Verarbeitung einer Aktualisierung zum Zwecke der Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Authentizität dient. Zudem sieht der Europäische Rat eine Ausnahme vom Einwilligungsprinzip darin, wenn die Verarbeitung eine Aufrechterhaltung oder Wiederherstellung der Sicherheit darstellt oder die Verarbeitung mit dem ursprünglichen Zweck der Verarbeitung vereinbar ist, sofern diese vorher nicht aufgrund einer ausdrücklichen Einwilligung des Betroffenen oder zum Schutz des öffentlichen Interesses erfolgte.  

Obwohl die oben genannten, nicht abschließenden Unterschiede zunächst nicht sonderlich schwerwiegend oder ausschlaggebend wirken, sind sie dies in der Praxis jedoch schon. Jeder kleinste Unterschied sorgt dafür, dass die Rechtslage sich beispielsweise in Bezug auf die Nutzung von Cookies erheblich verändert. In einigen Punkten, insbesondere bei Unterschieden in sprachlichen Feinheiten, dürften sich die europäischen Organe relativ zeitnah einigen können, wohingegen andere deutlich auseinander gehen und die Parteien grundverschiedenen Ansichten haben. Es bleibt also abzuwarten, wie sich die Trilogverhandlungen entwickeln und ob letztlich ein Kompromiss gefunden werden kann.  

 “Übergangsregelungen” im TTDSG 

Die Bundesregierung hat im Mai 2021 zudem das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) verabschiedet, welches am 01. Dezember 2021 in Kraft treten soll und bestätigt damit erstmals die in Deutschland geltende Regelung zu aktuellen Themen wie Webtracking oder Cookies. Durch das TTDSG werden jedoch auch keine neuen Regelungen aufgestellt, sondern nur die bereits bestehenden Vorschriften, welche sich bisher im TKG und TMG befanden, zusammengetragen und somit der status quo nochmal klargestellt. Änderungen und eine klare europäische Linie bezüglich der Thematik sollen dann durch die ePrivacy-Verordnung eintreten.  

Fazit  

Aufgrund der anhaltenden Verhandlungen innerhalb der EU, erscheint es erstmal unwahrscheinlich, dass sich der Rat, die Kommission und das Parlament in Kürze auf eine Fassung der ePrivacy-Verordnung einigen können. 

Demnach wird es voraussichtlich noch einige Zeit dauern, bis die ePrivacy-Verordnung, namentlich ein Kompromiss, von allen drei europäischen Organen abgesegnet und dann auch verabschiedet wird. Bisher ist es noch sehr unklar, ob und wie die Ansichten der jeweiligen Akteure bezüglich ePrivacy auf einen Nenner gebracht werden können. Die ePrivacy-Verordnung wird daher (mit hoher Wahrscheinlichkeit) nicht mehr vor 2022 erwartet werden können. 

Deshalb herrschen weiterhin Rechtsunsicherheiten für Unternehmen, vor allem im Bereich von Nutzer-Tracking und Cookies. Solange noch keine Verordnung erlassen und in Kraft getreten ist, muss sich also weiter an den Vorschriften der DS-GVO, sowie dem TMG und dem TKG, bzw. ab Dezember 2021 an dem TTDSG orientiert werden.