Aktuelle Informationen zur ePrivacy-Verordnung

 

An dieser Stelle informieren wir Sie fortlaufend über den Stand des Gesetzgebungsverfahrens zur geplanten ePrivacy-Verordnung.

Gang des Verfahrens
Gang des Verfahrens

Update 22.09.2017

LIBE-Ausschuss mit Kompromisstext am 11.10.2017  

Derzeit werden im federführenden LIBE-Ausschuss (wie auch in den anderen Ausschüssen JURI, IMCO und ITRE) die über 800 Änderungsanträge zum Entwurfsvorschlag der ePrivacy-Verordnung beraten. Bereits am 11.10.2017 will der Ausschuss unter seiner Berichterstatterin Marju Lauristin über den Entwurf abstimmen. Bereits die Anzahl der Anträge wie auch deren unterschiedliche Inhalte bestätigen die grundsätzliche Kritik, die auch die digitale Wirtschaft an dem Verordnungsentwurf der EU-Kommission geübt hat. Das konsolidierte Dokument mit allen Änderungsanträgen ist hier abrufbar.

Auch der EU-Rat beschäftigt sich in einer Arbeitsgruppe mit dem Verordnungsentwurf. Die Mitgliedstaaten waren aufgefordert, ihre Stellungnahmen bis zum 14.08.2017 dorthin zu übersenden. Die derzeitige estnische Ratspräsidentschaft hat am 08.09.2017 ihre eigene Stellungnahme hierzu veröffentlicht. Deutschland hat – verspätet - eine eigene, inhaltlich leider kaum überzeugende Stellungnahme übersandt. Der von der Kommission vorgesehene Zeitrahmen für das Inkrafttreten der ePrivacy-Verordnung zusammen mit der DSGVO am 25.05.2017 wird vor dem Hintergrund der vielfältigen und teilweise entgegengesetzten Kritiken sowohl in den Parlamentsausschüssen als auch im Rat wohl nicht zu halten sein.

 
 

UPDATE 23.06.2017

Änderungsempfehlungen der EU-Ausschüsse (LIBE, JURI, ITRE, IMCO) zur ePrivacy-Verordnung

Zusammenfassung der wesentlichen Inhalte:

LIBE (zum Download)

Einleitung
In ihrer einleitenden Erläuterung schreibt Berichterstatterin Marju Lauristin, dass "das von der Kommission vorgeschlagene Regime ein hohes Schutzniveau nicht in vollem Umfang sicherstellt, im Gegenteil, es würde sogar noch das von der EU-Datenschutzgrundverordnung (EU-DSGVO) vorgesehene absenken. Darum schlägt Lauristin vor, so genannte „Tracking Walls“ vollständig zu verbieten, um die Bedingungen für die Einwilligung des Nutzers in Einklang mit der EU-DSGVO zu bringen. Gemeint ist hier das Kopplungsverbot, ignoriert allerdings die Tatsache, dass die EU-DSGVO solche Mechanismen nicht zwangsläufig verbietet.

Das Papier erwähnt auch die W3C „Tracking Protection Working Group“, die sich mit dem Do-Not-Track-Standard befasst. Hier ist man allerdings der Auffassung, dass dieses System es nicht ermöglicht, "wesentliche Kernprinzipien des EU-Datenschutzgesetzes" abzudecken. Genannt werden hier „privacy by design“ und „privacy by default“, was ergänzt werden müsse. Es wird zu diesem Zwecke vorgeschlagen, DNT-Signale technologieneutral zu gestalten, um verschiedene Arten von technischer Ausrüstung und Software abzudecken. DNT-Signale müssten "standardmäßig ihre Einstellungen in einer Weise so konfigurieren, dass Drittpartien automatisch daran gehindert werden, einen Benutzer ohne ihre Zustimmung zu verfolgen“. Die Optionen hinsichtlich der Funktionalität von Cookies und Verfolgung sollten granularer gestaltet sein.

Änderungsvorschläge in den Erwägungsgründen
Mit Blick auf die von der Verordnung erfasste „machine-to-machine-communication“ soll der Anwendungsbereich nach ergänztem Erwägungsgrund 12 auf diejenige Kommunikation beschränkt sein, die einen Bezug zu einem Nutzer aufweist.

Erwägungsgrund 15 soll endgültig die Spezialität der ePrivacy-Verordnung im Datenschutz festschreiben. Künftig sollen Datenverarbeitungen, die auf gesetzlichen Erlaubnissen der ePrivacy-Verordnung beruhen, für "jede andere Verarbeitung auf Grundlage von Art. 6 EU-DSGVO als verboten angesehen werden, einschließlich der Verarbeitung zu einem anderen Zweck auf Grundlage von Art. 6 (4) EU-DSGVO“. Damit würde die Vorfeldregulierung der ePrivacy-Verordnung anderweitige – ansonsten legale – Datenverarbeitungen künftig unmöglich machen. Dies würde insbesondere Verarbeitungen von Daten betreffen, die ursprünglich von Gerät unter einem berechtigten Interesse gesammelt wurden, einschließlich der Weiterverarbeitung solcher Daten durch Dritte.

Ausdrücklich soll die Verordnung nicht nur auf „Daten in Transit“ sondern auch auf diejenigen Daten anwendbar sein, die in einem Endgerät gespeichert sind.

Anstelle von „Cookies“ soll in Erwägungsgrund 21 nun auf "Tracking-Techniken" verwiesen werden. Solche stellen nämlich grundsätzlich ein legitimes und nützliches Werkzeug dar vorausgesetzt, dass sie unter Beachtung und Einhaltung angemessener Sicherungsmaßnahmen eingesetzt werden.
"Cookie-Walls“ und „Cookie-Banner“ sollen künftig verhindert werden, wo sie den Nutzern nicht helfen, die Kontrolle über ihre persönlichen Daten und die Privatsphäre zu behalten oder über ihre Rechte informiert zu werden.

Diese Einstellungen über den Browser sollten auch "verbindliche Entscheidungen über die Speicherung von Informationen über das Endgerät des Benutzers sowie ein Signal, das vom Browser gesendet wird, enthalten. Die Einstellungsmöglichkeiten in Art. 10 ePV sollen abgestuft sein. Die Software muss zum einen standardmäßig die Möglichkeit anbieten, niemals Tracker zu akzeptieren. Auf der zweiten Stufe sollen alle Tracker und Cookies zurückgewiesen werden, die nicht unbedingt notwendig sind, um einen vom Benutzer explizit angeforderten Dienst zu erbringen" oder alle branchenübergreifenden Verfolgungen zurückgewiesen werden können.  Es soll zusätzlich gesetzlich vorgesehen sein, Optionen anzubieten um zu entscheiden, ob Flash, JavaScript oder andere Software ausgeführt werden können und ob Webseiten Geo-Location-Daten sammeln oder die Webcam oder das Mikrosophon eines Gerätes verwendet werden können.

Einzelne Artikel
Artikel 4 Abs. 3 f) ePV soll so geändert werden, dass die Display-Werbung in die Definition der Direktmarketing-Mitteilungen eingeschlossen würde „“any form of advertising, whether in written, oral or video format, sent served or presented to one of more identified or identifiable end-users.”.

Die Einwilligung in Art. 8 Abs. 1 b) soll nun „spezifisch“ sein und keine Voraussetzung, um einen Service nutzen zu können. Sicherheits- und Security-Updates sollen nach einem neuen Abs. 1 d) a) ePV nur zulässig sein, wo diese keine Änderungen an den zuvor getroffenen Privacy-Einstellungen des Nutzers vornehmen und die Möglichkeit besteht, automatische Updates auszuschalten. Darüber hinaus sollen in einem neuen Abs. 1 d) b) ePV Schutzmaßnahmen gegen Situationen greifen, in denen aufgrund einer Arbeitgeber-Arbeitnehmer-Zustimmung die Zustimmung nicht wirksam sein kann, so dass, wenn der Zugang zu einem Gerät für ein Arbeitsverhältnis erforderlich ist, eine Zustimmung nicht erforderlich ist. Dies vorausgesetzt, dass (1) der Arbeitgeber die Ausrüstung zur Verfügung stellt , (2) der Mitarbeiter der Benutzer des Gerätes ist, (3) die Einwirkung ist für das Funktionieren des Gerätes unbedingt erforderlich.

In einem neuen Art. 8 Abs. 1a ePV ist nunmehr ein Kopplungsverbot vorgesehen.  Es heißt, dass "keinem Benutzer der Zugang zu einem [Online-Dienst] oder einer Funktionalität verweigert werden darf, unabhängig davon, ob dieser Dienst vergütet wird oder nicht, weil er oder sie nicht seine Zustimmung zur Verarbeitung personenbezogener Daten und /oder die Nutzung von Speicherkapazitäten seines Endgeräts, die für die Bereitstellung dieses Dienstes oder der Funktionalität nicht notwendig sind, gegeben hat. Das hinter dieser Regelung stehende Ziel der Verhinderung so genannter Cookie-Walls würde allerdings auch bedeuten, dass Anbieter auch ohne Einwilligung wenigstens Dienste anbieten, die beispielsweise eine geringere Video-Qualität aufweisen oder Funktionen nicht enthalten, die sonst verfügbar sind.

Ausnahmen von Cookies sollen in Art. 8 Abs. 1 c) ePV nur für "streng technische" Notwendigkeiten und nicht nur auf "notwendige" Platzierungen gemacht werden können. Damit wird z.B. der Bereich der Reichweitenmessungen noch stärker als bislang betroffen sein.

Art. 8 Abs. 1 d) wird nun klarstellend erweitert. Webmessungen können nun nichtmehr nur vom Betreiber selbst vorgenommen werden sondern “or on behalf [of the first party], or “by an independent web analytics agency acting in the public interest or for scientific purpose; and further provided that no personal data is made accessible to any other party and that such web audience measurement does not adversely affect the fundamental rights of the user.”  Dieser Änderungsantrag führt einen Balance-Test ein, der dem legitimen Interesse entspricht. Allerdings werden zusätzliche Anforderungen geschaffen, nämlich dass es (1) für einen ganz bestimmten Zweck, d.h. "Web-Publikums-Messung", durchgeführt wird, (2) dass es von ganz bestimmten Personen, dh. einer 1stParty oder einem Beauftragten einer solchen, durchgeführt wird (bzw. eine "unabhängige Stelle, die im öffentlichen Interesse tätig ist"), und (3) dass keine Daten mit anderen Parteien geteilt werden.

Die auch ohne Einwilligung mögliche Verarbeitung von Standortdaten durch wifi Signale / Bluetooth etc. geregelt durch Art. 8 (2) ist nun in einen Opt-in-Ansatz geändert worden es sei denn, die Daten sind anonymisiert und werden angemessen abgegrenzt. Die Verarbeitung soll (1) auf bloße statistische Zählung beschränkt sein, (2) die Verfolgung ist auf das begrenzt, was für das statistische Zählen unbedingt erforderlich ist, (3) die Daten werden unmittelbar nach dem statistischen Zählen gelöscht und (4) ein Widerspruchsrecht wird eingeräumt. Der Anwendungsbereich solcher Messungen dürfte gegen Null tendieren.

Art. 10 ePV wird dahingehend angepasst, dass in einem neuen Abs. 1a  standardmäßig der Ausschluss von Drittpartien voreingestellt sein soll. Gemäß Abs. 1b müssen Nutzer diese Einstellungen für die Privatsphäre bestätigen oder ändern können. Nach Abs. 1 c sollen die Einstellungsoptionen während der Benutzung der Software leicht zugänglich sein und müssen nach Abs. 1d , dem Nutzer die Möglichkeit geben, eine spezifische Zustimmung durch die Einstellungen nach der Installation der Software auszudrücken. Letzteres könnte bedeuten, dass hier die Alikationen die Möglichkeit zur Verfügung stellen müssen den Browser anzufordern, den Nutzer aktiv zu fragen. Das wäre dann aber auch keine Verbesserung der Consent-Wall-Problematik. Das Signal soll verbindlich sein. Hier wird stark auf „Do-Not-Track“ referiert.


JURI (zum Download)

Im Gegensatz dazu lehnt der JURI- Ausschuss unter Vorsitz von Axel Voss den Verordnungs-Vorschlag der EU-Kommission ausdrücklich ab. Nach seiner – vom BVDW geteilten - Ansicht kann die ePrivacy-Verordnung die DSGVO in Bereichen der Vertraulichkeit lediglich ergänzen, nicht aber nicht im Speziellen erweitern. Es wird insbesondere gefordert, von der Konzentration auf die Einwilligung Abstand zu nehmen. Die Einwilligung sei heute nicht mehr das richtige Mittel; Transparenz, Datenhoheit, Opt-out-Lösungen, Widerspruchslösungen, eine neue Datenkategorie (z.B. pseudonymisierter Daten) oder zumindest eine bessere Differenzierung nach anonymisierten, pseudonymisierten und verschlüsselten Daten wäre der bessere Ansatz. Zudem drohe die in der DSGVO gefundene Balance zwischen dem Schutz der Privatsphäre und neuen Technologien wieder zerschlagen zu werden, indem in weiten Bereichen Datenverarbeitungen, die unter der EU-DSGVO zulässig sind, entweder einer noch strengeren Form der Einwilligung unterliegen oder ganz untersagt werden. Dies sei absolut kontraproduktiv.

Im Einzelnen werden folgende Änderungen und neue Ausnahmen vorgeschlagen:
Art. 8 (c): Notwendig für die Zustellung eines Dienstes, einschließlich der Sicherung seiner Integrität, Sicherheit, Verbesserung oder digitale Rechte Verwaltung Zwecke.
Art. 8 (d): Notwendig für die Messung der Nutzung einer Dienstleistung, auch für Abrechnungszwecke.
Art. 8 (d) (a) {neu}: Notwendig für die unternehmensübergreifende Messung von anonymen Identifikatoren.
Art. 8 (d) (b) {neu}: Notwendig für Marketingzwecke, und das zuständige Unternehmen hat zu Beginn der Bearbeitung klare Informationen vorgelegt und ein einfach zu bedienendes Opt-out.
Art. 8 (d) (c) {neu}: Erforderlich für die Ausführung eines Vertrages oder des Verkaufs von Waren oder Dienstleistungen, wenn der Vertrag oder der Verkauf online abgeschlossen ist.
Gelöscht Art. 9 (2) "Zustimmung durch Browser-Einstellungen"
Gelöscht Art. 10 "Browser blockiert" und ersetzt sie mit einem Verweis auf Art. 25 EU-DSGVO zum „privacy-by-design“.

Die Mitglieder des JURI-Ausschusses haben bis zum Ende des Monats Zeit, ihre Änderungsanträge zu diesem Entwurf einer Stellungnahme vorzulegen. Der führende LIBE-Ausschuss nicht an die Stellungnahmen der einzelnen Stellungnahmeausschüsse gebunden.


ITRE (zum Download)

Berichterstatterin Katja Kallas unterstützt grundsätzlich den Vorschlag der EU-Kommission, insbesondere die Notwendigkeit, die Regularien zur ePrivacy an technologische Innovationen und neue Kommunikationsmittel anzupassen. Es wird insbesondere auf das Erfordernis der Technikneutralität hingewiesen.

Ebenso wird hier der Ansicht gefolgt, dass Webseitenaufrufe unter Einbindung von Drittparteien nicht mit dem Erfordernis einer Einwilligung des Nutzers gekoppelt werden dürfen.

Akzeptiert werden nur Cookies, welche absolut notwendig zur Erbringung der Dienste sein sollen. Eine Einwilligung zur Setzung weiterer Cookies soll mit Blick auf ein Cross-Device-Tracking nur wirksam sein, wenn der Nutzer entsprechend informiert wird und ein Widerspruchsrecht erhält. Art. 8 Abs. 1 d) ePV wird noch weiter eingeschränkt. Nun soll der Zugriff auf das Engerät bzw. das Auslesen von Informationen hieraus nur noch möglich sein, um Informationen zur „technischen Qualität“ oder „Effizienz“ zu erhalten. Das Wort „web audience measuring“ wurde gestrichen.

Bei Art. 8 Abs 2 ePV (Drahtlosverbindungen) soll die Kontaktaufnahme mit dem Endgerät künftig nur noch per Einwilligung möglich sein. Der derzeitige Entwurf, wonach es lediglich eines transparenten Hinweises auf Drahtlosverbindungen bedarf, wird abgelehnt, da diese Bestimmung das Risiko von Ängsten unter den Endnutzern steigern soll ohne, dass ihnen eine konkrete und praktische Möglichkeit offen stünde, nicht getracked zu werden. Eine Verarbeitung solcher emittierten Daten soll neben der Einwilligung nur noch für statistische Zwecke und Anonymisierung und Löschung nach Gebrauch gestattet sein.

Der Verweis auf Regelungen zu technischen Schutzmaßnahmen („Pseudonymisierung“) in Art. 8 Abs. 2 S.2 und Abs. 3 ePV wurde dagegen gestrichen – eine Absage an „privacy-by-design“. Unverständlich, aber die Möglichkeit der Mitgliedsstaaten Regeln zu entwickeln, um Informationen durch Symbole anzeigen zu können, wird gestrichen. Dies soll den Harmonisierungsgedanken der Verordnung stärken und nationale Regelungen eindämmen.

In Art. 10 ePV werden weitere – umständliche und kaum praktikable – Einschränkungen vorgenommen. Die Ausschlussmöglichkeit des Zugriffs durch Drittparteien soll sich auf Informationen beziehen, die nicht notwendig ist, um den angefragten Dienst zu erbringen. Insoweit eine Klarstellung mit Blick auf Art. 8 ePV. Zusätzlich soll die Software granulare Einstellungen für jeden Cookie und jeden Zweck und die Information anbieten, inwieweit Informationen mit Drittparteien geteilt werden.

In Art. 10 Abs. 2 ePV ist die bislang vorgesehene Pflicht zur Entscheidung des Nutzers für eine Einstellungsoption richtigerweise gestrichen. Es muss reichen, bei Installation und Update auf die Einstellungsoptionen hinzuweisen.

Ein Augenmerk liegt in Art. 11 Abs. 1 a) ePV auf dem Anreiz zur Verschlüsselung („the use of end-to-end-encryption should be promoted“) und der Forderung, dass Mitgliedsstaaten diese Schutzmaßnahmen umgehen oder ausnutzen können („Member states should not impose any obligation on encryption providers, on providers of electronic communications services or on any other organisations (at any level of the supply chain) that would result in the weakening of the security of their networks and services, such as the creation or facilitation of backdoors).


IMCO (zum Download)

Der Entwurf des IMCO-Ausschusses ist hier abrufbar.

 
 

UPDATE 22.05.2017

Bundesrat – Ausschüsse legen ihre Empfehlungen zum Entwurf der ePrivacy-Verordnung vor

Die Bundesrats-Ausschüsse für Agrarpolitik und Verbraucherschutz, für Innere Angelegenheiten , Recht und Wirtschaf haben am 22.05.2017 ihre Empfehlungen (PDF) zu dem Entwurf der EU-Kommission für eine neue ePrivacy-Verordnung vorgelegt. Über die Empfehlungen soll am 02.Juni 2017 erstmals im Bundesrat beraten werden.

Zusammenfassend zeichnen die Ausschüsse ein eher kritisches Bild zum Entwurf und fordern eine grundlegende Überarbeitung des Verordnungsvorschlags. Zwar wird das Ziel der EU-Kommission begrüßt, den allgemeinen Rechtsrahmen der EU-Datenschutzgrundverordnung (EU-DSGVO) zu präzisieren und zu ergänzen. Gleichwohl wird eine grundsätzliche Überprüfung und Nachbesserung des Verordnungsvorschlags auch unter Inkaufnahme von Verzögerungen des Rechtsetzungsverfahrens für für unerlässlich gehalten, um neben Detailmängeln grundsätzliche Defizite bei der Abgrenzung des Rechtsaktes zur Datenschutz-Grundverordnung, dem notwendigen Ausgleich zwischen dem Schutz der elektronischen Kommunikation und Sicherheitsbelangen sowie der Ausgestaltung des Aufsichtsregimes zu beheben.

Mit dieser Einschätzung bestätigen die Ausschüsse die Bedenken, die auch seitens der Digitalen Wirtschaft hervorgebracht wurden. Das Ziel, die neue ePrivacy-Verordnung ohne Übergangsfrist zusammen mit der EU-DSGVO in Kraft treten zu lassen, kann mit Blick auf die bislang ungelösten Abgrenzungs- und Detailfragen unmöglich gehalten werden, ohne zu massiver Rechtsunsicherheit zu führen.

Inhaltich macht der Bericht deutlich, dass werbefinanzierte Angebote einen integralen Bestandteil der Internetwirtschaft darstellen. Der Bundesrat fordert daher, die Vorschrift des Artikels 8 Absatz 1 Buchstabe d des Verordnungsvorschlags auch auf den Einsatz von Third-Party-Cookies auszudehnen. Mit Blick auf die rigiden Cookie-Regelungen befürwortet das Papier ausdrücklich die Prüfung der Einführung ausgleichender Regelungen, wie sie heute in § 15 Abs. 3 Telemediengesetz (TMG) enthalten sind und Akteuren Datenverarbeitungen unter der Nutzung pseudonymisierter Profile bei gleichzeitiger Information und Widerspruchsrecht des Nutzers vorsehen.

 
 

UPDATE 13.04.2017

Anhörung zur ePrivacy-Verordnung im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) am 11.04.2017

Die Anhörung befasste sich mit verschiedenen Elementen des neuen Verordnungs-Vorschlags der EU-Kommission, um dem Europäischen Parlament die Ansichten der beteiligten Akteure zu vermitteln. Zu den Angesprochenen gehörten Telekommunikationssektor, neue Kommunikationsdiensteanbieter (OSP, OTT), Verbraucher, NGOs, Professoren und Datenschutzbehörden. Die Veranstaltung sollte dazu beitragen, ein breites und repräsentatives Bild im Hinblick auf die Vorbereitung des Legislativberichts des LIEBE-Ausschusses im EU-Parlament erhalten.

Der BVDW hatte bereits anlässlich einer ersten nationalen Anhörung im Bundesministerium für Wirtschaft und Energie (BMWi) am 16. Februar 2017 seine kritische Stellungnahme zur geplanten Verordnung gefertigt und öffentlich gemacht.

 
 

UPDATE 27.02.2017

Die neue ePrivacy-Verordnung-Factsheet

Am 10.Januar 2017 hat die EU-Kommission den Entwurf für eine neue Verordnung des europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) vorgestellt (ePV).

Ziel der Neuregelung ist die Angleichung der bisherigen Bestimmungen zum Persönlichkeitsschutz im Bereich der elektronischen Kommunikation an die Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO). Die EU-Kommission beabsichtigt, die ePV zusammen mit der ab 25.05.2018 geltenden EU-DSGVO einzuführen. Wen die Verordnung betrifft, was geregelt werden soll und wie sie im Kontext der EU-Datenschutzgrundverordnung einzuordnen ist, erläutert BVDW-Justiziar Michael Neuber in einem Factsheet.

 
 

UPDATE 15.02.2017

Amtliche deutsche Übersetzung der ePrivacy Verordnung

Mittlerweile ist nun auch die amtliche deutsche Übersetzung des Entwurfstextes zur ePrivacy-Verordnung verfügbar.

Der deutsche Text weicht allerdings teilweise erheblich von den Formulierungen der englischen Originalversion ab. So werden unter dem in Art. 4 Abs. 2 beschriebenen Begriff der interpersonellen Kommunikationsdienste auch solche verstanden „…die eine interpersonelle und interaktive Kommunikation lediglich als untrennbar mit einem anderen Dienst verbundene untergeordnete Nebenfunktion ermöglichen.“, während die englische Version beschreibt „…shall include services which enable interpersonal and interactive communication merely as a minor ancillary feature that is intrinsically linked to another service.“

Es steht zu erwarten, dass hier auch andernorts noch weitreichende Korrekturen notwendig werden.

 
 

UPDATE 01.02.2017

Entwurf einer neuen ePrivacy-Verordnung öffentlich

Am 10. 01.2017 hat die EU-Kommission ihren offiziellen Entwurf für neue ePrivacy-Regeln vorgestellt. Wie im Vorfeld bereits vielfach vermutet, kommt der Gesetzesvorschlag statt bislang als Richtlinie nun in Form einer EU-Verordnung daher. Im Gegensatz zu einer Richtlinie bedarf es hier keiner weiteren Umsetzung, sie wäre – nach Inkrafttreten - in jedem EU-Mitgliedsstaat direkt anwendbares Recht.

Die überarbeiteten Regeln dienen vorrangig dem Ziel, die Vertraulichkeit in der elektronischen Kommunikation sicherzustellen. Trotz der nach jahrelangem Ringen nun in Kraft getretenen und ab 25.05.2018 europaweit für analoge und digitale Daten einheitlich geltenden EU-Datenschutzgrundverordnung sollen aber auch weiterhin – nun erheblich verschärfte - Cookie-Vorgaben gelten. Die ePrivacy-Verordnung (ePV) soll hier im Sinne einer Spezialregelung den Umgang mit personenbezogenen Daten auch im Online-Bereich regeln.


Weitreichende Einschränkungen, Art. 8 epV

Wesentlich für die digitale Wirtschaft sind die neuen, in den Art. 8-10 ePV vorgesehenen Vorschriften. Es steht nun mehr als bislang der Geräteschutz im Mittelpunkt. Von engen Ausnahmen abgesehen, sollen die Nutzung von Rechen- und Speicherfähigkeiten eines Endgerätes sowie das Erheben jeglicher Informationen (einschließlich Informationen über die Beschaffenheit von Hard- oder Software) verboten sein. Hierzu soll allein der Besitzer des Gerätes in der Lage sein dürfen. Dies geht weit über das bisherige Anwendungsverständnis hinaus und erfasst damit auch Techniken wie z.B. das technische Fingerprinting, wie sich aus Erwägungsgrund 20 ergibt.

Ausnahmen sollen künftig nur für Erfordernisse der Konnektivität sowie dort erlaubt sein, wo der Online-Anbieter diese Möglichkeiten für die Erbringung seines Dienstes und das statistische Auswerten (web audience measuring) desselben unbedingt benötigt. Ausgeschlossen sind damit jegliche Dienste, die naturgemäß keinen Kontakt zum Endnutzer haben.

Sämtliche andere Methoden zur Ermöglichung von nach Maßstäben der EU-Datenschutzgrundverordnung legalen Datenverarbeitungen oder Evaluierung von Auslieferungsqualitäten (Setzen von Cookies, Messen von Reichweiten, Evaluierung der Auslieferungsqualität etc.) werden nun von der Einwilligung des End-Nutzers abhängig gemacht. Während die EU-Kommission hier eine vermeintliche Verbesserung der Nutzerfreundlichkeit wegen Entfalls der Cookie-Banner heraushebt stellt sich schon die Frage, ob hier nicht das Gegenteil der Fall ist. Mehr dazu bei Art. 10 ePV sowie unserer späteren, detaillierteren Einschätzung.

In Art. 8 Abs. 2 ePV wird das Nutzen von Informationen geregelt, die zwischen kabellos verbunden Endgeräten ausgetauscht werden. Die Nutzung solcher Informationen soll ebenfalls verboten sein es sei denn, es ist notwendig für den Verbindungsaufbau oder geschieht unter Einblendung einer prominenten Information, die über Zweck und Identität aufklärt und ansonsten die Vorgaben eine Informationserteilung gemäß EU-Datenschutzgrundverordnung einhält. Hier stellt sich z.B. bei ad hoc Bluetooth-Verbindungen bereits die Frage der technischen Machbarkeit.


Einwilligungsvorgaben, Art. 9 ePV

In Art. 9 ePV finden sich Vorgaben für die Einwilligung, die sich nach den Grundsätzen der EU-Datenschutzgrundverordnung richten. Mit Blick auf Einwilligungen bezüglich des Setzens von Cookies wird in Absatz 2 klargestellt, dass für eine Erklärung der Einwilligung auch genügt, dass geeignete technische Einstellungen einer Internetverbindungssoftware ausreichen. Damit wird die Verbindung zu den in Art. 10 ePV geregelten technischen Vorgaben hergestellt. Für eine wirksame Einwilligung selbst gelten hingegen die umfangreichen Informationspflichten aus Art. 4 und 7 EU-Datenschutzgrundverordnung,

Darüber hinaus soll es dem Nutzer ermöglicht werden, eine erteilte Einwilligung alle 6 Monate zu widerrufen.


Einwilligung und Technikvorgaben, Art. 10 ePV
Hinzu kommen in den weiteren Abschnitten Vorschriften zur technischen Umsetzung des Nutzungsverbots im Online-Bereich. Die Verbote des Art. 8 epV sollen künftig verbindlich technisch abgebildet sein. Künftig muss eine Software sicherstellen können, dass so genannte Drittanbieter (3rd parties) Informationen weder im Endgerät speichern noch auslesen können. Mit Blick auf den Regelungszweck – Sicherung der Vertraulichkeit in der elektronischen Kommunikation – vielleicht für Software vorstellbar, die elektronische Kommunikation vermittelt. Das Anwendungsszenario erstreckt sich hier aber vor allem aber auf jegliche Software, die Internetverbindungen ermöglicht, namentlich Web-Browser, wie sich aus Erwägungsgründen 23 und 24 ergibt.

Bei Installation muss der Nutzer nun über die Einstellungsmöglichkeiten informiert werden. Der Nutzer muss sich dann – um die Installation abschließen zu können – für eine Einstellung entscheiden. Wie und unter welchen Umständen diese Entscheidung ganz oder für einzelne Webseiten bezogen auf jegliche Art nicht privilegierter Cookies ändern können muss, ist nicht geregelt. Web-Browser müssten dann auch nachgelagerte Informationsfenster steuern oder auf Änderungsoptionen in Abhängigkeit des Funktionierens einer Webseite hinweisen. Ob hier die propagierte Vereinfachung – und darüber hinaus Datenschutzfreundlichkeit – erreicht wird, darf zu recht bezweifelt werden.


Over-the Top-Dienste

Die neuen Regeln sollen auch nicht mehr nur die klassischen Telekommunikationsanbieter sondern auch so genannte „over-the-top-Dienste (OTTs) erfassen. Nach Mitteilung der EU-Kommission und laut der Erwägungsgründe werden darunter all jene Dienste verstanden, die interpersonelle Kommunikation erlauben, wie Voice over IP, instant messaging oder web-based e-mail services. Wesentliches Abgrenzungskriterium soll die Möglichkeit der direkten, interaktiven Kommunikationsmöglichkeit sein. Die Definition wird im European Electronic Communications Code geregelt werden.


Inkrafttreten zusammen mit EU-Datenschutzgrundverordnung

Laut Art. 31 Abs. 2 ePV und nach erklärtem Willen der EU-Kommission, soll die neue Verordnung zeitgleich mit der EU-Datenschutzgrundverordnung am 25.05.2018 in Kraft treten. Ein politisches Ziel, welches den komplexen und für die digitale Wirtschaft hochwichtigen Regelungsfragen kaum gerecht wird. 

Unmittelbar nach Bekanntwerden der ersten Entwurfsfassung hatte der BVDW bereits deutlich vor den Folgen dieser überbordenden Spezialregulierung gewarnt. Die Kernkritikpunkte im Überblick:

  • Kein level playing field zwischen den verschiedenen Anbietern digitaler Angebote im Internet
  • Überschießende Spiezialnormen für den Online-Bereich
  • Fehlende Kohärenz mit EU-DSGVO
  • Uneinheitliche und unklare Begriffsbestimmungen
  • Verbot von 3rd Party-Cookies bedroht Funktionsweise des Internets
 

UPDATE 5. September 2016

EU-Kommission veröffentlicht Stellungnahmen und Ergebnisse

Im Nachgang zum Abschluss der öffentlichen Konsultation der EU-Kommission zur ePrivacy-Richtlinie hat diese eine Übersicht über die eingegangenen Antworten auf den Fragebogen sowie die Stellungnahmen von Bürgern, Verbänden und Wirtschaftsunternehmen zusammengestellt und veröffentlicht.

Contributions received from Citizens
Contributions received from Industry
Contributions received from Civil Society and Consumer and User Associations
Contributions received from public bodies

Ebenso hat die EU-Kommission eine erste Zusammenfassung der Ergebnisse der öffentlichen Befragung erstellt, welche hier abrufbar ist. Ein erster Überarbeitungsentwurf der ePrivacy-Richtlinie wird zum Ende des Jahres 2016 erwartet.

summary report on the public consultation

 
 

UPDATE 6. Juli 2016

Öffentliche Konsultationen der EU-Kommission abgeschlossen

Die von der EU-Kommission im Zuge der REFIT-Überprüfungen zur e-Privacy-Richtlinie (Datenschutzrichtlinie für elektronische Kommunikation, ePR) am 11.April eröffnete Konsultation sind am 05.Juli 2016 abgeschlossen worden. Um zu erfahren, wie die zuletzt im Jahre 2009 (Cookie-Regelungen) geänderten Richtlinien-Vorgaben in den Mitgliedsstaaten umgesetzt und wurden und welche Erfahrungen sich daraus ergeben haben, hatte die Kommission einen Fragebogen veröffentlicht, der sich an Bürger, juristische Personen und öffentliche Behörden gleichermaßen richtet. Der BVDW hat in den zurückliegenden Wochen nach zahlreichen Gesprächen und Abstimmungen mit Behörden, Dachverbänden und seinen Mitgliedern seine Kommentare und Stellungnahmen zu den im Fragebogen aufgeworfenen Fragen am 30.06.2016 an die EU-Kommission in Brüssel übersandt.

Der BVDW fordert insbesondere eine sachgerechte und umfassende Überprüfung der Richtlinie mit Blick auf deren telemedienrechtlichen Regelungsansatz. Es ist unbedingt erforderlich, die von der EU-Kommission im Rahmen des REFIT-Programms aufgestellten Kriterien umfassend und praxisgerecht anzuwenden und gleichzeitig auch die von den  Mitgliedsstaaten mitgeteilten Erfahrungen bei der Umsetzung der aktuellen ePR angemessen und kritisch zu berücksichtigen. Dies betrifft vor allen Dingen die überdehnte Auslegung und Anwendung von Art. 5 Abs. 3 ePR auf sämtliche Online-Sachverhalte. Dieses Verständnis war und ist – insbesondere angesichts der nun in Kraft getretenen EU-Datenschutzgrundverordnung (EU-DSGVO) - unvereinbar mit der von der EU-Kommission selbst intendierten Anwendungsreichweite der ePR. Die Überprüfung darf daher nicht dem Zweck dienen, Regelungsbereiche der EU-DSGVO nachträglich neu zu bestimmen.
 
Regelungsgegenstand der ePR ist gemäß Art. 3 ausdrücklich und allein die Sicherstellung der Vertraulichkeit in öffentlichen Kommunikationsnetzwerken und des damit verbundenen Datenverkehrs. Grundlage für die Einführung unter anderem des Art. 5 Abs. 3 ePR waren die vom Europäischen Parlament verabschiedeten und am 25. November 2009 als Richtlinie 2009/136/EG „Rechte der Bürger“ in Kraft getretenen Regelungen zur weiteren Vereinheitlichung und Konkretisierung des europäischen Rechtsrahmens für elektronische Kommunikationsnetze und -dienste.

Nach dem Wunsch des EU-Parlaments sollte unter anderem die Regelung des Art. 5 Abs. 3 ePR die Schaffung von mehr Transparenz und Sicherheit für die Verbraucher allein im Bereich der Telekommunikation ermöglichen. Dennoch wurden und werden diese für einen eng definierten Bereich geschaffenen Vorschriften (namentlich Art. 5 Abs. 3, 13 ePR)  auf den gesamten Online-Bereich und den Datenverkehr über das Internet verstanden und angewandt.
 
Ausnahmen von dem in Art. 3 ePR auf elektronische Kommunikationsdienste beschränkten Anwendungsbereich sind indes nicht vorgesehen. Sachliche Gründe hierfür sind ebenfalls nicht ersichtlich. Vor dem Hintergrund des klaren Überprüfungsauftrags in Erwägungsgrund 173 EU-DSGVO, wonach Kohärenz mit den insoweit einschlägigen Regelungen der Verordnung herzustellen sei, ist zumindest die Klarstellung dringend erforderlich, dass die Vorschriften der Art. 5 Abs. 3 und Artikel 13 ePR nicht auf Dienste d. Informationsgesellschaft anzuwenden sind. Die Ergebnisse der Konsultation werden in die Überarbeitung der Richtlinie fließen. Eine Streichung, zumindest des Art. 5 Abs, 3 ePR wäre hier nach Ansicht des BVDW die beste Lösung.

 

11. April 2016 - Start der öffentlichen Konsultationen

Evaluierung durch EU-Kommission 2016 - Fragenkatalog

Start der öffentlichen Konsultationen zur ePrivacy-Richtlinie. Die Konsultation soll innerhalb von 12 Wochen am Dienstag, den 5.Juli 2016 abgeschlossen sein.


Da die ePrivacy-Richtlinie nach Auffassung der EU-Kommission die  gerade verabschiedete EU-Datenschutzgrundverordnung in speziellen Teilen weiterführt und begleitende Regelungen enthält. Die Evaluation soll vor allem dazu dienen, ein neben der EU-DSGVO stehenden Rechtsrahmen für Fragen der Privatheit für die Digitale Ära zu schaffen. Folgende Punkte hält die EU-KOMM für in jedem Falle klärungsbedürftig:

  • Konsistenz mit den Regelungen zur EU-DSGVO
  • Überarbeitung des Anwendungsbereiches der ePrivacy-Richtlinie vor dem Hintergrund der neuen Markt und Technikrealitäten
  • Verbesserung von Sicherheit und Vertraulichkeit (Integrität) von Kommunikation
  • Adressierung uneinheitlicher Rechtsdurchsetzung und Rechtsunterschiede in einzelnen Mitgliedsstaaten


Konsultation erfolgt anhand eines umfassenden Fragebogens mit insgesamt 33 Fragen. Sie ist in zwei Teile gegliedert:

  • Abfrage der Wirksamkeit und Geeignetheit der bisherigen Regelungen der Richtlinie bzw. der Umsetzung in den Mitgliedsstaaten
  • Meinungen und Vorschläge hinsichtlich der Überarbeitung


EU-KOMM erwähnt ausdrücklich die Bereiche OBA und Cookies. Es werden allerdings keine anderen Stellungnahmen, als die im Rahmen des Fragebogens akzeptiert. Hier sind pro Fragefeld max. 1500 Zeichen vorgesehen.

Es fragt sich, wie eine solch komplexe Materie auf diese Weise überhaupt verständlich und umfassend behandelt werden soll. Die Art und Weise der direkten Adressierung bestimmter Marktmaßnahmen und die begrenzten Möglichkeiten zur Argumentation im Rahmen des Fragebogens lassen eine stark vorgefasste Richtung der EU-KOMM vermuten.

Ein erster Entwurf der überarbeiteten Richtlinie soll bereits nach der Sommerpause (!) 2016 vorliegen. Anfang 2017 soll dann er Entwurf ins Parlament eingebracht werden. Der Zeitrahmen soll so gehalten werden, dass die neuen Regelungen möglich mit Anwendbarkeit der EU-DSGVO zum 25.05.2018 in Kraft treten können.


2. Hintergrund Cookie-Richtlinie

  • Am 25. November 2009 verabschiedete das Europäische Parlament die als Richtlinie 2009/136/EG „Rechte der Bürger“ in Kraft getretenen Regelungen zur weiteren Vereinheitlichung und Konkretisierung des europäischen Rechtsrahmens für elektronische Kommunikationsnetze- und Dienste.
  • Nach dem Wunsch des EU-Parlaments Schaffung von mehr Transparenz und Sicherheit für die Verbraucher. Neue Datenschutz-Vorgaben hinsichtlich der Voraussetzungen für die Nutzung von auf dem Endgerät eines Nutzers gespeicherten Informationen.
  • Bestimmungen zu Datenschutz wurden 2009 eingeführt. Bilden kein eigenes, neues Regelwerk sondern sahen Änderungen und Anpassungen der Verordnung (EG) Nr. 200/2004 sowie zweier, bereits bestehender Richtlinien, namentlich der Richtlinien 2002/22/EG (Universaldienstrichtlinie) und 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation – ePrivacy-Richtlinie) vor.  Die ePrivacy-Richtlinie ist keine explizit für Telemedien bestimmte Richtlinie sondern betrifft Regelungen zur Vertraulichkeit in der elektronischen Kommunikation, namentlich Telekommunikation, weshalb der deutsche Gesetzgeber die Richtlinie im TKG umgesetzt hat.
  • Eingeführt wurde 2009 u.a. Art.5 Abs.3:
  • Art. 5 Abs. 3 E-Privacy-Richtlinie:
    "(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."
  • Die dort genannten Informationen können dabei in vielfältiger Weise gespeichert und ausgelesen werden. Cookies stellen dabei zwar nur eine mögliche, jedoch die wohl bekannteste Art der Verarbeitungsmöglichkeit dar. Vor allem deshalb hatte sich schnell der Begriff „Cookie-Richtlinie“ eingebürgert.
addthis.combluedot.usdel.icio.usdigg.comgoogle.comMister WongYiggIt