Aktuelle Informationen zur Evaluation der „Cookie-Richtlinie“

 

An dieser Stelle informieren wir Sie fortlaufend über den Stand der Konsultationen der EU-Kommission zur Überarbeitung der ePrivacy-Richtlinie.

UPDATE 27.02.2017

Die neue ePrivacy-Verordnung-Factsheet

Am 10.Januar 2017 hat die EU-Kommission den Entwurf für eine neue Verordnung des europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) vorgestellt (ePV).

Ziel der Neuregelung ist die Angleichung der bisherigen Bestimmungen zum Persönlichkeitsschutz im Bereich der elektronischen Kommunikation an die Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO). Die EU-Kommission beabsichtigt, die ePV zusammen mit der ab 25.05.2018 geltenden EU-DSGVO einzuführen. Wen die Verordnung betrifft, was geregelt werden soll und wie sie im Kontext der EU-Datenschutzgrundverordnung einzuordnen ist, erläutert BVDW-Justiziar Michael Neuber in einem Factsheet.

 
 

UPDATE 15.02.2017

Amtliche deutsche Übersetzung der ePrivacy Verordnung

Mittlerweile ist nun auch die amtliche deutsche Übersetzung des Entwurfstextes zur ePrivacy-Verordnung verfügbar.

Der deutsche Text weicht allerdings teilweise erheblich von den Formulierungen der englischen Originalversion ab. So werden unter dem in Art. 4 Abs. 2 beschriebenen Begriff der interpersonellen Kommunikationsdienste auch solche verstanden „…die eine interpersonelle und interaktive Kommunikation lediglich als untrennbar mit einem anderen Dienst verbundene untergeordnete Nebenfunktion ermöglichen.“, während die englische Version beschreibt „…shall include services which enable interpersonal and interactive communication merely as a minor ancillary feature that is intrinsically linked to another service.“

Es steht zu erwarten, dass hier auch andernorts noch weitreichende Korrekturen notwendig werden.

 
 

UPDATE 01.02.2017

Entwurf einer neuen ePrivacy-Verordnung öffentlich

Am 10. 01.2017 hat die EU-Kommission ihren offiziellen Entwurf für neue ePrivacy-Regeln vorgestellt. Wie im Vorfeld bereits vielfach vermutet, kommt der Gesetzesvorschlag statt bislang als Richtlinie nun in Form einer EU-Verordnung daher. Im Gegensatz zu einer Richtlinie bedarf es hier keiner weiteren Umsetzung, sie wäre – nach Inkrafttreten - in jedem EU-Mitgliedsstaat direkt anwendbares Recht.

Die überarbeiteten Regeln dienen vorrangig dem Ziel, die Vertraulichkeit in der elektronischen Kommunikation sicherzustellen. Trotz der nach jahrelangem Ringen nun in Kraft getretenen und ab 25.05.2018 europaweit für analoge und digitale Daten einheitlich geltenden EU-Datenschutzgrundverordnung sollen aber auch weiterhin – nun erheblich verschärfte - Cookie-Vorgaben gelten. Die ePrivacy-Verordnung (ePV) soll hier im Sinne einer Spezialregelung den Umgang mit personenbezogenen Daten auch im Online-Bereich regeln.


Weitreichende Einschränkungen, Art. 8 epV

Wesentlich für die digitale Wirtschaft sind die neuen, in den Art. 8-10 ePV vorgesehenen Vorschriften. Es steht nun mehr als bislang der Geräteschutz im Mittelpunkt. Von engen Ausnahmen abgesehen, sollen die Nutzung von Rechen- und Speicherfähigkeiten eines Endgerätes sowie das Erheben jeglicher Informationen (einschließlich Informationen über die Beschaffenheit von Hard- oder Software) verboten sein. Hierzu soll allein der Besitzer des Gerätes in der Lage sein dürfen. Dies geht weit über das bisherige Anwendungsverständnis hinaus und erfasst damit auch Techniken wie z.B. das technische Fingerprinting, wie sich aus Erwägungsgrund 20 ergibt.

Ausnahmen sollen künftig nur für Erfordernisse der Konnektivität sowie dort erlaubt sein, wo der Online-Anbieter diese Möglichkeiten für die Erbringung seines Dienstes und das statistische Auswerten (web audience measuring) desselben unbedingt benötigt. Ausgeschlossen sind damit jegliche Dienste, die naturgemäß keinen Kontakt zum Endnutzer haben.

Sämtliche andere Methoden zur Ermöglichung von nach Maßstäben der EU-Datenschutzgrundverordnung legalen Datenverarbeitungen oder Evaluierung von Auslieferungsqualitäten (Setzen von Cookies, Messen von Reichweiten, Evaluierung der Auslieferungsqualität etc.) werden nun von der Einwilligung des End-Nutzers abhängig gemacht. Während die EU-Kommission hier eine vermeintliche Verbesserung der Nutzerfreundlichkeit wegen Entfalls der Cookie-Banner heraushebt stellt sich schon die Frage, ob hier nicht das Gegenteil der Fall ist. Mehr dazu bei Art. 10 ePV sowie unserer späteren, detaillierteren Einschätzung.

In Art. 8 Abs. 2 ePV wird das Nutzen von Informationen geregelt, die zwischen kabellos verbunden Endgeräten ausgetauscht werden. Die Nutzung solcher Informationen soll ebenfalls verboten sein es sei denn, es ist notwendig für den Verbindungsaufbau oder geschieht unter Einblendung einer prominenten Information, die über Zweck und Identität aufklärt und ansonsten die Vorgaben eine Informationserteilung gemäß EU-Datenschutzgrundverordnung einhält. Hier stellt sich z.B. bei ad hoc Bluetooth-Verbindungen bereits die Frage der technischen Machbarkeit.


Einwilligungsvorgaben, Art. 9 ePV

In Art. 9 ePV finden sich Vorgaben für die Einwilligung, die sich nach den Grundsätzen der EU-Datenschutzgrundverordnung richten. Mit Blick auf Einwilligungen bezüglich des Setzens von Cookies wird in Absatz 2 klargestellt, dass für eine Erklärung der Einwilligung auch genügt, dass geeignete technische Einstellungen einer Internetverbindungssoftware ausreichen. Damit wird die Verbindung zu den in Art. 10 ePV geregelten technischen Vorgaben hergestellt. Für eine wirksame Einwilligung selbst gelten hingegen die umfangreichen Informationspflichten aus Art. 4 und 7 EU-Datenschutzgrundverordnung,

Darüber hinaus soll es dem Nutzer ermöglicht werden, eine erteilte Einwilligung alle 6 Monate zu widerrufen.


Einwilligung und Technikvorgaben, Art. 10 ePV
Hinzu kommen in den weiteren Abschnitten Vorschriften zur technischen Umsetzung des Nutzungsverbots im Online-Bereich. Die Verbote des Art. 8 epV sollen künftig verbindlich technisch abgebildet sein. Künftig muss eine Software sicherstellen können, dass so genannte Drittanbieter (3rd parties) Informationen weder im Endgerät speichern noch auslesen können. Mit Blick auf den Regelungszweck – Sicherung der Vertraulichkeit in der elektronischen Kommunikation – vielleicht für Software vorstellbar, die elektronische Kommunikation vermittelt. Das Anwendungsszenario erstreckt sich hier aber vor allem aber auf jegliche Software, die Internetverbindungen ermöglicht, namentlich Web-Browser, wie sich aus Erwägungsgründen 23 und 24 ergibt.

Bei Installation muss der Nutzer nun über die Einstellungsmöglichkeiten informiert werden. Der Nutzer muss sich dann – um die Installation abschließen zu können – für eine Einstellung entscheiden. Wie und unter welchen Umständen diese Entscheidung ganz oder für einzelne Webseiten bezogen auf jegliche Art nicht privilegierter Cookies ändern können muss, ist nicht geregelt. Web-Browser müssten dann auch nachgelagerte Informationsfenster steuern oder auf Änderungsoptionen in Abhängigkeit des Funktionierens einer Webseite hinweisen. Ob hier die propagierte Vereinfachung – und darüber hinaus Datenschutzfreundlichkeit – erreicht wird, darf zu recht bezweifelt werden.


Over-the Top-Dienste

Die neuen Regeln sollen auch nicht mehr nur die klassischen Telekommunikationsanbieter sondern auch so genannte „over-the-top-Dienste (OTTs) erfassen. Nach Mitteilung der EU-Kommission und laut der Erwägungsgründe werden darunter all jene Dienste verstanden, die interpersonelle Kommunikation erlauben, wie Voice over IP, instant messaging oder web-based e-mail services. Wesentliches Abgrenzungskriterium soll die Möglichkeit der direkten, interaktiven Kommunikationsmöglichkeit sein. Die Definition wird im European Electronic Communications Code geregelt werden.


Inkrafttreten zusammen mit EU-Datenschutzgrundverordnung

Laut Art. 31 Abs. 2 ePV und nach erklärtem Willen der EU-Kommission, soll die neue Verordnung zeitgleich mit der EU-Datenschutzgrundverordnung am 25.05.2018 in Kraft treten. Ein politisches Ziel, welches den komplexen und für die digitale Wirtschaft hochwichtigen Regelungsfragen kaum gerecht wird. 

Unmittelbar nach Bekanntwerden der ersten Entwurfsfassung hatte der BVDW bereits deutlich vor den Folgen dieser überbordenden Spezialregulierung gewarnt. Die Kernkritikpunkte im Überblick:

  • Kein level playing field zwischen den verschiedenen Anbietern digitaler Angebote im Internet
  • Überschießende Spiezialnormen für den Online-Bereich
  • Fehlende Kohärenz mit EU-DSGVO
  • Uneinheitliche und unklare Begriffsbestimmungen
  • Verbot von 3rd Party-Cookies bedroht Funktionsweise des Internets
 

UPDATE 5. September 2016

EU-Kommission veröffentlicht Stellungnahmen und Ergebnisse

Im Nachgang zum Abschluss der öffentlichen Konsultation der EU-Kommission zur ePrivacy-Richtlinie hat diese eine Übersicht über die eingegangenen Antworten auf den Fragebogen sowie die Stellungnahmen von Bürgern, Verbänden und Wirtschaftsunternehmen zusammengestellt und veröffentlicht.

Contributions received from Citizens
Contributions received from Industry
Contributions received from Civil Society and Consumer and User Associations
Contributions received from public bodies

Ebenso hat die EU-Kommission eine erste Zusammenfassung der Ergebnisse der öffentlichen Befragung erstellt, welche hier abrufbar ist. Ein erster Überarbeitungsentwurf der ePrivacy-Richtlinie wird zum Ende des Jahres 2016 erwartet.

summary report on the public consultation

 
 

UPDATE 6. Juli 2016

Öffentliche Konsultationen der EU-Kommission abgeschlossen

Die von der EU-Kommission im Zuge der REFIT-Überprüfungen zur e-Privacy-Richtlinie (Datenschutzrichtlinie für elektronische Kommunikation, ePR) am 11.April eröffnete Konsultation sind am 05.Juli 2016 abgeschlossen worden. Um zu erfahren, wie die zuletzt im Jahre 2009 (Cookie-Regelungen) geänderten Richtlinien-Vorgaben in den Mitgliedsstaaten umgesetzt und wurden und welche Erfahrungen sich daraus ergeben haben, hatte die Kommission einen Fragebogen veröffentlicht, der sich an Bürger, juristische Personen und öffentliche Behörden gleichermaßen richtet. Der BVDW hat in den zurückliegenden Wochen nach zahlreichen Gesprächen und Abstimmungen mit Behörden, Dachverbänden und seinen Mitgliedern seine Kommentare und Stellungnahmen zu den im Fragebogen aufgeworfenen Fragen am 30.06.2016 an die EU-Kommission in Brüssel übersandt.

Der BVDW fordert insbesondere eine sachgerechte und umfassende Überprüfung der Richtlinie mit Blick auf deren telemedienrechtlichen Regelungsansatz. Es ist unbedingt erforderlich, die von der EU-Kommission im Rahmen des REFIT-Programms aufgestellten Kriterien umfassend und praxisgerecht anzuwenden und gleichzeitig auch die von den  Mitgliedsstaaten mitgeteilten Erfahrungen bei der Umsetzung der aktuellen ePR angemessen und kritisch zu berücksichtigen. Dies betrifft vor allen Dingen die überdehnte Auslegung und Anwendung von Art. 5 Abs. 3 ePR auf sämtliche Online-Sachverhalte. Dieses Verständnis war und ist – insbesondere angesichts der nun in Kraft getretenen EU-Datenschutzgrundverordnung (EU-DSGVO) - unvereinbar mit der von der EU-Kommission selbst intendierten Anwendungsreichweite der ePR. Die Überprüfung darf daher nicht dem Zweck dienen, Regelungsbereiche der EU-DSGVO nachträglich neu zu bestimmen.
 
Regelungsgegenstand der ePR ist gemäß Art. 3 ausdrücklich und allein die Sicherstellung der Vertraulichkeit in öffentlichen Kommunikationsnetzwerken und des damit verbundenen Datenverkehrs. Grundlage für die Einführung unter anderem des Art. 5 Abs. 3 ePR waren die vom Europäischen Parlament verabschiedeten und am 25. November 2009 als Richtlinie 2009/136/EG „Rechte der Bürger“ in Kraft getretenen Regelungen zur weiteren Vereinheitlichung und Konkretisierung des europäischen Rechtsrahmens für elektronische Kommunikationsnetze und -dienste.

Nach dem Wunsch des EU-Parlaments sollte unter anderem die Regelung des Art. 5 Abs. 3 ePR die Schaffung von mehr Transparenz und Sicherheit für die Verbraucher allein im Bereich der Telekommunikation ermöglichen. Dennoch wurden und werden diese für einen eng definierten Bereich geschaffenen Vorschriften (namentlich Art. 5 Abs. 3, 13 ePR)  auf den gesamten Online-Bereich und den Datenverkehr über das Internet verstanden und angewandt.
 
Ausnahmen von dem in Art. 3 ePR auf elektronische Kommunikationsdienste beschränkten Anwendungsbereich sind indes nicht vorgesehen. Sachliche Gründe hierfür sind ebenfalls nicht ersichtlich. Vor dem Hintergrund des klaren Überprüfungsauftrags in Erwägungsgrund 173 EU-DSGVO, wonach Kohärenz mit den insoweit einschlägigen Regelungen der Verordnung herzustellen sei, ist zumindest die Klarstellung dringend erforderlich, dass die Vorschriften der Art. 5 Abs. 3 und Artikel 13 ePR nicht auf Dienste d. Informationsgesellschaft anzuwenden sind. Die Ergebnisse der Konsultation werden in die Überarbeitung der Richtlinie fließen. Eine Streichung, zumindest des Art. 5 Abs, 3 ePR wäre hier nach Ansicht des BVDW die beste Lösung.

 

11. April 2016 - Start der öffentlichen Konsultationen

Evaluierung durch EU-Kommission 2016 - Fragenkatalog

Start der öffentlichen Konsultationen zur ePrivacy-Richtlinie. Die Konsultation soll innerhalb von 12 Wochen am Dienstag, den 5.Juli 2016 abgeschlossen sein.


Da die ePrivacy-Richtlinie nach Auffassung der EU-Kommission die  gerade verabschiedete EU-Datenschutzgrundverordnung in speziellen Teilen weiterführt und begleitende Regelungen enthält. Die Evaluation soll vor allem dazu dienen, ein neben der EU-DSGVO stehenden Rechtsrahmen für Fragen der Privatheit für die Digitale Ära zu schaffen. Folgende Punkte hält die EU-KOMM für in jedem Falle klärungsbedürftig:

  • Konsistenz mit den Regelungen zur EU-DSGVO
  • Überarbeitung des Anwendungsbereiches der ePrivacy-Richtlinie vor dem Hintergrund der neuen Markt und Technikrealitäten
  • Verbesserung von Sicherheit und Vertraulichkeit (Integrität) von Kommunikation
  • Adressierung uneinheitlicher Rechtsdurchsetzung und Rechtsunterschiede in einzelnen Mitgliedsstaaten


Konsultation erfolgt anhand eines umfassenden Fragebogens mit insgesamt 33 Fragen. Sie ist in zwei Teile gegliedert:

  • Abfrage der Wirksamkeit und Geeignetheit der bisherigen Regelungen der Richtlinie bzw. der Umsetzung in den Mitgliedsstaaten
  • Meinungen und Vorschläge hinsichtlich der Überarbeitung


EU-KOMM erwähnt ausdrücklich die Bereiche OBA und Cookies. Es werden allerdings keine anderen Stellungnahmen, als die im Rahmen des Fragebogens akzeptiert. Hier sind pro Fragefeld max. 1500 Zeichen vorgesehen.

Es fragt sich, wie eine solch komplexe Materie auf diese Weise überhaupt verständlich und umfassend behandelt werden soll. Die Art und Weise der direkten Adressierung bestimmter Marktmaßnahmen und die begrenzten Möglichkeiten zur Argumentation im Rahmen des Fragebogens lassen eine stark vorgefasste Richtung der EU-KOMM vermuten.

Ein erster Entwurf der überarbeiteten Richtlinie soll bereits nach der Sommerpause (!) 2016 vorliegen. Anfang 2017 soll dann er Entwurf ins Parlament eingebracht werden. Der Zeitrahmen soll so gehalten werden, dass die neuen Regelungen möglich mit Anwendbarkeit der EU-DSGVO zum 25.05.2018 in Kraft treten können.


2. Hintergrund Cookie-Richtlinie

  • Am 25. November 2009 verabschiedete das Europäische Parlament die als Richtlinie 2009/136/EG „Rechte der Bürger“ in Kraft getretenen Regelungen zur weiteren Vereinheitlichung und Konkretisierung des europäischen Rechtsrahmens für elektronische Kommunikationsnetze- und Dienste.
  • Nach dem Wunsch des EU-Parlaments Schaffung von mehr Transparenz und Sicherheit für die Verbraucher. Neue Datenschutz-Vorgaben hinsichtlich der Voraussetzungen für die Nutzung von auf dem Endgerät eines Nutzers gespeicherten Informationen.
  • Bestimmungen zu Datenschutz wurden 2009 eingeführt. Bilden kein eigenes, neues Regelwerk sondern sahen Änderungen und Anpassungen der Verordnung (EG) Nr. 200/2004 sowie zweier, bereits bestehender Richtlinien, namentlich der Richtlinien 2002/22/EG (Universaldienstrichtlinie) und 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation – ePrivacy-Richtlinie) vor.  Die ePrivacy-Richtlinie ist keine explizit für Telemedien bestimmte Richtlinie sondern betrifft Regelungen zur Vertraulichkeit in der elektronischen Kommunikation, namentlich Telekommunikation, weshalb der deutsche Gesetzgeber die Richtlinie im TKG umgesetzt hat.
  • Eingeführt wurde 2009 u.a. Art.5 Abs.3:
  • Art. 5 Abs. 3 E-Privacy-Richtlinie:
    "(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."
  • Die dort genannten Informationen können dabei in vielfältiger Weise gespeichert und ausgelesen werden. Cookies stellen dabei zwar nur eine mögliche, jedoch die wohl bekannteste Art der Verarbeitungsmöglichkeit dar. Vor allem deshalb hatte sich schnell der Begriff „Cookie-Richtlinie“ eingebürgert.
addthis.combluedot.usdel.icio.usdigg.comgoogle.comMister WongYiggIt