Update Datenschutz 17
Die neue E-Privacy Verordnung
Die EU-Kommission hat am 10. Januar 2017 ihren aktuellen Entwurf der neuen e-Privacy Verordnung zum Schutz elektronischer Kommunikation veröffentlicht (das Dokument ist hier abrufbar). Nachfolgend soll ein kurzer Überblick über die wichtigsten Änderungen in dem neuen Entwurf dargestellt werden.
Hintergrund
Die neue Verordnung soll die bestehenden Regelungen der e-Privacy Richtlinie 2002/58 (e-Privacy Richtlinie), teilweise auch als „Cookie-Richtlinie“ bekannt, ersetzen. Hintergrund ist, dass die aktuellen Regelungen der e-Privacy Richtlinie aufgrund der stetigen technischen und wirtschaftlichen Weiterentwicklungen, insbesondere der Verbreitung von internetbasierten Diensten, von der EU-Kommission als nicht mehr zeitgerecht eingestuft werden. Weiterhin sollen die Regelungen der e-Privacy Verordnung die neue Datenschutzgrundverordnung (DSGVO) ergänzen. Zurzeit ist der Entwurf der e-Privacy Verordnung Gegenstand eingehender Beratung durch das Europäische Parlament und dem Rat der Europäischen Union. Ziel ist es, dass der Entwurf zeitnah verabschiedet wird und am 25. Mai 2018 parallel zur DSGVO in Kraft tritt.
Erweiterter Anwendungsbereich
Eine wesentliche Änderung des neuen Entwurfs betrifft den Anwendungsbereich der Verordnung. Erfasst werden nunmehr sämtliche elektronischen Kommunikationsdienste, unabhängig davon ob der Nutzer ein Entgelt zahlen muss oder nicht. Ausweislich der Erwägungsgründe sollen gerade auch neuartige internetbasierte Kommunikationsdienste erfasst werden. Exemplarisch nennt die e-Privacy Verordnung etwa Voice-over IP, Internet Messaging und Web-Email Services. Ebenfalls erwähnt die Verordnung ausdrücklich auch solche Kommunikationsdienste, die als Zusatz zu einem bestehenden (Haupt-) Dienst angeboten werden, etwa Messenger-Dienste, die von sozialen Netzwerken angeboten werden (siehe Erwägungsgrund 2). Im Ergebnis wird der Anwendungsbereich der neuen Verordnung im Gegensatz zu den bestehenden Regelungen wesentlich erweitert. Dienste wie Gmail, Skype, iMessage oder Whatsapp, aber auch der Facebook Messenger werden somit in Zukunft genauso wie traditionelle Kommunikationsdienste der neuen Verordnung unterfallen und sind dazu verpflichtet, die speziellen Anforderungen der Verordnung einzuhalten.
Verhältnis zur DSGVO
Inhaltlich werden von der neuen e-Privacy Verordnung zum einen elektronische Kommunikationsdaten, die im Rahmen der Bereitstellung und/oder Nutzung von elektronischen Kommunikationsdiensten verarbeitet werden, geschützt. Darunter fallen sowohl Kommunikationsinhalte (etwa Bilder, Texte und Videos) als auch Metadaten, die im Rahmen der Nutzung von elektronischen Kommunikationsdiensten anfallen. Zum anderen werden auch Informationen erfasst, die mit der Nutzung der Endgeräte der Nutzer (z.B. Smartphones, Tablets) zusammenhängen (etwa Standortdaten und Identifikationsmerkmale eines Geräts). Zu beachten ist, dass der aktuelle Entwurf der e-Privacy Verordnung sämtliche Kommunikationsdaten und Endgeräteinformationen erfasst, unabhängig davon, ob diese einen Personenbezug aufweisen oder nicht. Der Anwendungsbereich der e-Privacy-Verordnung ist somit inhaltlich weiter gefasst als der der DSGVO. Soweit personenbezogene Daten erfasst werden, geht die geplante e-Privacy Verordnung der DSGVO ausdrücklich vor. Die Vorgaben der DSGVO gelten aber ergänzend.
Verstärktes Erfordernis der Einwilligung und Verzahnung mit den Regelungen der DSGVO
Hinsichtlich der Verarbeitung und Verwendung von Kommunikationsdaten und Endgeräteinformationen statuiert der aktuelle Entwurf der e-Privacy Verordnung ein Verbot mit Erlaubnisvorbehalt. Zu den Ausnahmetatbeständen, die eine entsprechende Verarbeitung erlauben, gehört insbesondere die Einwilligung der Nutzer. So sieht die neue e-Privacy Verordnung an verschiedenen Stellen ausdrücklich das Erfordernis einer Einwilligung vor. Daneben enthält der aktuelle Verordnungsentwurf aber auch weitere gesetzliche Ausnahmetatbestände, je nachdem welche Art von Daten von der Verarbeitung betroffen sind. Zur Bestimmung der Anforderung an die Einholung einer wirksamen Einwilligung sowie deren Widerruf verweist die e-Privacy Verordnung auf die DSGVO. Hierdurch wird ein harmonisierendes Regelungssystem zwischen beiden Verordnungen geschaffen. Daran anknüpfend verweist der Entwurf der e-Privacy Verordnung auch an anderer Stelle auf die Vorgaben der DSGVO, etwa die Pflicht zur Einhaltung der Vorgaben zur Datensicherheit nach Art. 32 DSGVO im Rahmen der Sammlung von Endgeräteinformationen zum Zwecke der Verbindungsherstellung, vgl. Art. 8 Abs. 2 (b) der e-Privacy Verordnung.
Verwendung von Cookies und anderen Identifizierungs- und Trackingmethoden
Hinsichtlich der Endgeräteinformationen, d.h. Informationen, die mit der Nutzung der Endgeräte durch die Nutzer zusammenhängen, sieht der Entwurf der e-Privacy Verordnung ebenfalls verschiedene neue Regelung vor. Grundsätzlich gilt auch hier, dass die Erfassung und Verwendung solcher Endgeräteinformationen durch Cookies und anderen Identifizierungs- und Trackingmethoden (z.B. „Device Fingerprinting“) einer Einwilligung der Nutzer unterliegt. Eine Ausnahme hiervon besteht allerdings etwa dann, wenn das jeweilige Cookie für die Bereitstellung des Dienstes erforderlich ist. Hierzu gehören etwa im Rahmen eines Online Shops Cookies, die die Produkte, die vom Nutzer in den Warenkorb gelegt wurden, speichert. Diese Regelung war zwar bereits in der bisherigen e-Privacy Richtlinie enthalten, aber in Deutschland nicht ausdrücklich umgesetzt worden. Durch die neue Verordnung, die im Gegensatz zur bisherigen e-Privacy Richtlinie, unmittelbare Wirkung entfalten wird, wird diese Regelung auch in Deutschland ausdrücklich Geltung erlangen. Eine weitere Ausnahme vom grundsätzlichen Verwendungsverbot der Endgeräteinformationen besteht nunmehr, wenn diese Informationen zur Reichweitenmessung erforderlich sind, etwa der Erhebung von Nutzerzahlen. Die wohl wichtigste Änderung im Zusammenhang mit der Erfassung und Verwendung von Endgeräteinformationen betrifft aber wohl die Einholung einer Einwilligung. Der aktuelle Entwurf der e-Privacy Verordnung sieht in einem solchen Fall ausdrücklich vor, dass eine wirksame Einwilligung nun - unabhängig von den Anforderungen der DSGVO - explizit auch durch die Auswahl von geeigneten technischen Einstellungen im jeweiligen Webbrowser des Endgeräts erklärt werden kann. Voraussetzung ist hierfür, dass dem Nutzer verschiedene, abgestufte Optionen zur Verfügung stehen, die er auswählen kann. Denkbar ist somit, dass die Nutzer durch die Auswahl von Cookie-Einstellungen – soweit sie darauf von dem Browser explizit hingewiesen wurden – ihre Zustimmung zur Verwendung von Cookies geben können. Bislang war es in den einzelnen Mitgliedstaaten stets umstritten, inwieweit der Nutzer auch durch die Vornahme solcher Einstellungen seine Einwilligung erteilen konnte. Diese Frage wird nun durch die e-Privacy Verordnung geklärt. Gleichzeitig ergeben sich hier jedoch eine Vielzahl an Folgefragen, sowohl auf Seiten der Diensteanbieter als auch der Betroffenen, die es zu lösen gilt. So stellt sich etwa die Frage, ob der Dienstanbieter verpflichtet ist, stets zu prüfen, ob ein Nutzer einen aktuellen Browser mit entsprechenden Einstellungsmöglichkeiten verwendet und ob er für den Fall, dass dies nicht zutrifft, einen weiteren „klassischen“ Einwilligungsmechanismus, etwa in Form eines Akzeptieren-Felds, vorhalten muss. Hier wird man abwarten müssen, wie sich die Aufsichtsbehörden und die Artikel 29 Datenschutzgruppen in Zukunft positionieren werden.
Direktmarketing
Weiterhin sind in dem Entwurf der e-Privacy Verordnung Regelungen zu unerbetenen Nachrichten zum Zwecke des Direktmarketings enthalten. Grundsätzlich unterliegt das Direktmarketing wie bisher einer Einwilligung, es sei denn der Diensteanbieter hat die jeweiligen elektronischen Kontaktdaten des Nutzers im Rahmen eines Verkaufs oder einer Dienstleistung erhalten. In dem Fall besteht ein Opt-Out Mechanismus zugunsten der Nutzer. Die Regelungen korrelieren insoweit mit den bisherigen Bestimmungen der e-Privacy Richtlinie, die ihre Umsetzung in § 7 Abs. 3 UWG gefunden haben. Neu ist allerdings, dass die Vorschriften zum Direktmarketing nunmehr sämtliche Formen der werblichen Ansprache erfassen und nicht mehr wie die bisherigen Vorschriften der e-Privacy Richtlinie auf die Ansprache mithilfe von automatisierten Anrufmaschinen, Faxgeräten oder elektronischer Post beschränkt sind. Damit wird klargestellt, dass auch neuartige Kommunikationsarten, etwa Push-Nachrichten, etc. einer Einwilligung bedürfen, soweit diese der werblichen Ansprache dienen. Anrufe zum Zwecke des Direktmarketings bedürfen nach dem aktuellen Entwurf hingegen keiner Einwilligung mehr, sondern unterliegen einem Opt-Out der Nutzer. Diese müssen dem Direktmarketing per Telefon somit widersprechen.
Sanktionen und Rechtsschutzmöglichkeit
Im Falle eines Verstoßes gegen die Regelungen der e-Privacy Verordnung, sieht der aktuelle Entwurf verschiedene Rechtsschutzmöglichkeiten und Sanktionen vor. So sind die Nutzer berechtigt, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen und gegebenenfalls gerichtlich vorzugehen. Ebenfalls sind die Nutzer befugt, Schadensersatzansprüche gegenüber dem Diensteanbieter geltend zu machen. Die e-Privacy Verordnung verweist insoweit explizit auf die Artikel 77, 78 und 79 sowie 82 der DSGVO. Daneben haben die Aufsichtsbehörden die Möglichkeit Bußgelder zu verhängen. Die Höhe dieser Bußgelder ist vergleichbar mit Vorschriften in der DSGVO. So sind je nach Art des Verstoßes Bußgelder bis zu 10.000.000. bzw. 20.000.000 Euro oder bei Unternehmen 2% bzw. 4% des weltweiten jährlichen Umsatzes denkbar.
Fazit
Der aktuelle Entwurf der neuen e-Privacy Verordnung enthält eine Vielzahl an neuen Vorgaben. Sollte die neue Verordnung wie beabsichtigt vom Europäischen Parlament und dem Rat verabschiedet werden, wird dies nicht nur den deutschen Gesetzgeber vor neue Herausforderungen stellen, der - ähnlich wie bei der DSGVO – die Auswirkungen der Regelung der e-Privacy Verordnung auf bestehende nationale Gesetze prüfen und gegebenenfalls Änderungen vornehmen muss, sondern auch die Diensteanbieter, die dann neben der Umsetzung der Vorgaben der DSGVO auch die neuen Regelungen der e-Privacy Verordnung in ihre Geschäftsprozesse implementieren müssen. Dies gilt insbesondere für Diensteanbieter von internetbasierten Kommunikationsdiensten, die dann neuerdings in den Anwendungsbereich der neuen Verordnung fallen werden.