Aktuelle Informationen zur ePrivacy-Verordnung

An dieser Stelle informieren wir Sie fortlaufend über den Stand des Gesetzgebungsverfahrens zur geplanten ePrivacy-Verordnung.

UPDATE 26.06.2018

Zweites Verbändeschreiben an Bundesminister Altmaier zur ePrivacy-Verordnung

Mit Schreiben vom 26.Juni 2018 haben 17 führende Wirtschaftsverbände noch einmal an Bundeswirtschaftsminister Peter Altmaier appelliert, die Diskussionen über die ePrivacy VO und ihr Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO) auf europäischer Ebene mit größtmöglicher Sorgfalt zu führen. Die deutsche Bundesregierung hatte ihre Position anlässlich des EU-Ministerratstreffens am 08.Juni 2018 vorgestellt und dabei auf weiteren Diskussionsbedarf an entscheidenden Stellen des Verordnungsentwurfs hingewiesen. Trotz erkennbarer Fortschritte stellt die derzeitige Version keine Grundlage für den Eintritt in Triloggespräche dar.

UPDATE 20.06.2018

Positionierung Deutschlands zu aktuellem ePrivacy-Entwurf

Die deutsche Bundesregierung hat anlässlich der Rats-Gruppensitzung am 14.06.2018 ihre eigene Position zum laufenden Gesetzgebungsverfahren zur ePrivacy-Verordnung vorgestellt. In dem Papier antwortet die Bundesregierung auf die Fragen der bulgarischen Ratspräsidentschaft im Fortschrittspapier vom 18.05.2018. Die wichtigsten Punkte auszugsweise und im Überblick (Original in Englisch, Hervorhebungen hier):

Kommentierung Dt. zu Art. 5:
Der vom Vorsitz vorgeschlagene Ansatz zur zulässigen Verarbeitung von Kommunikationsdaten bietet aufgrund von Fragen zu Artikel 5 noch keine akzeptable Grundlage für die Aufnahme von Verhandlungen mit dem Europäischen Parlament.
- Deutschland verweist auf seinen Vorschlag zu Artikel 5 Absatz 2 in seinen schriftlichen Stellungnahmen vom 8. März 2018, die die notwendige Klarstellung enthalten.
Dementsprechend sollte der Wortlaut "bei Erhalt" aus den Erwägungen gestrichen werden.
- Die aus Artikel 7 gestrichenen Sätze, in denen klargestellt wird, dass die Verarbeitung durch oder im Namen des Endnutzers in den Anwendungsbereich des GDPR fällt, sollten wieder aufgenommen werden.

 

Kommentierung Dt. zu Art. 8:
Deutschland hält den derzeitigen Ansatz zum Schutz der Endgeräte und der Privatsphäre in einigen Punkten für noch nicht akzeptabel.

  • Wir unterstützen die Auflistung von Verfahren nach Artikel 8, die ohne Zustimmung zulässig sind.
  • Die aktuellen Aussagen in Erwägung 20 reichen nicht aus und sind auch nicht klar genug. Die Bestimmung sollte wie folgt lauten:

"Die Bereitstellung von Diensten der Informationsgesellschaft, die ganz oder teilweise durch Werbung finanziert werden, kann von der Zustimmung des Endnutzers zur Speicherung und Sammlung von Informationen zu Werbezwecken abhängig gemacht werden, sofern der Endnutzer entsprechend informiert wird.“

  • Darüber hinaus halten wir es für notwendig, in Artikel 4a eine Bestimmung aufzunehmen, die die Praktikabilität des Nachweises der Zustimmung sicherstellt. Die Bestimmung sollte wie folgt lauten:

"Ist der für die Verarbeitung Verantwortliche nicht in der Lage, eine betroffene Person zu identifizieren, muss das technische Protokoll, aus dem hervorgeht, dass die Einwilligung der Endgeräte erteilt wurde, ausreichen, um die Einwilligung des Endnutzers gemäß Artikel 8 Absatz 1 Buchstabe b) nachzuweisen.“

 

Kommentierung Dt. zu Art. 10:
Es gibt zwei Hauptziele in Bezug auf Artikel 10 :

  • Erstens darf Software nicht standardmäßig so eingestellt werden, dass die Speicherung und Sammlung von Informationen von Endgeräten ohne das Wissen des Endbenutzers möglich ist.
  • Zweitens dürfen Aktualisierungen die vom Endbenutzer vorgenommenen Datenschutzeinstellungen nicht ändern.

Die derzeitige Bestimmung im Text des Vorsitzes entspricht diesen Zielen nicht in ausreichendem Maße. Darüber hinaus sollte klargestellt werden, dass Anbieter, die durch Datenschutzeinstellungen abgelehnt werden, Endnutzer um ihre Zustimmung bitten können.

 

1. Software, die die elektronische Kommunikation, einschließlich des Abrufs und der Präsentation von Informationen im Internet, ermöglicht, bietet die Möglichkeit, andere Parteien als den Endnutzer daran zu hindern, Informationen über die Endgeräte eines Endnutzers zu speichern oder bereits auf diesen Geräten gespeicherte Informationen zu verarbeiten.

2. Die in Absatz 1 genannte Software informiert den Endbenutzer einmalig bei der Erstinstallation oder Erstbenutzung über die Möglichkeiten der Datenschutzeinstellungen und verlangt die Zustimmung des Endbenutzers zu einer Einstellung.

2a. Die in Absatz 1 genannte Software muss den Endnutzern eine einfache Möglichkeit bieten, die gemäß Absatz 2 genehmigte Datenschutzeinstellung jederzeit während der Nutzung zu ändern.

2b. (2) Falls die in Absatz 1 genannte Software andere Parteien als den Endnutzer daran hindert, Informationen über seine Endgeräte zu speichern oder bereits auf diesen Geräten gespeicherte Informationen zu verarbeiten, können diese Parteien den Endnutzer auffordern, die in Artikel 8 Absatz 1 Buchstabe b) genannte Zustimmung zu erteilen, die die Einstellungen entsprechend ändern kann.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Anhörung des Europäischen Datenschutzbeauftragten und gemäß Artikel 25 zur Festlegung von Normen, die die Einhaltung der Anforderungen dieses Artikels ermöglichen, zu erlassen.

 

Kommentierung Dt. zum Timing:
Um allen Beteiligten ausreichend Zeit zur Erfüllung der neuen Regelung zu geben, hält Deutschland eine Übergangsfrist von 2 Jahren für notwendig.

UPDATE 14.06.2018

Aktueller Textentwurf ePrivacy-Verordnung vom 12.06.2018

Am heutigen Tage findet die EU-Ratsarbeitsgruppen-Sitzung statt, auf welcher der aktuelle Entwurf für die geplante ePrivacy-Verordnung diskutiert wird. Grundlage des Textes war das Treffen der EU-Minister am 08. Juni 2018.

UPDATE 01.06.2018

BVDW schreibt zusammen mit 13 führenden Wirtschaftsverbänden ePrivacy-Brief an deutsche Ministerien

Kurz vor der Abstimmung der beteiligten Ministerien BMI, BMWi und BMJV am 01.Juni 2018 und dem Ratsarbeitstreffen der WP TELE am 08.Juni 2018 haben sich auf Initiative des BVDW 14 führende Wirtschaftsverbände noch einmal deutlich gegen eine vorschnelle und unbedachte Festlegung der deutschen Regierung in Sachen ePrivacy-Verordnung ausgesprochen. In dem Schreiben vom 01. Juni wird noch einmal auf die immer noch bestehenden Inkongruenzen zur gerade erst anwendbaren DSGVO verwiesen ebenso wie auf die, den Technik- und Marktgegebenheiten nicht gerecht werdenden Regelungen über den Endgerätezugriff und die inkompatiblen technischen Absicherungen der rigiden Vorgaben.

Derzeit laufen die Diskussionen der Mitgliedstaaten. Am 08.Juni 2018 findet hier das nächste Treffen der beteiligten Mitgliedsstaaten statt. Trilogverhandlungen dürfen aber erst aufgenommen werden, wenn ein solides, ausgewogenes und umfassendes Gesamtkonzept vorliegt. Dies ist nach derzeitigem Stand nach Ansicht des BVDW und der den Brief tragenden Verbände aber nicht der Fall. Die derzeitigen Entwürfe kombinieren den Schutz der Vertraulichkeit in der elektronischen Kommunikation mit datenschutzrechtlichen Regelungen im Bereich der Dienste der Kommunikationsgesellschaft. Anstatt die Regelungen der DSGVO sinnstiftend zu ergänzen, werden die gerade erst etablierten grundlegenden Wertungen und Abwägungserfordernisse des EU-Datenschutzrahmens aufgegeben und entwertet. Unternehmen stehen mit den gerade erst anwendbaren, neuen Datenschutzregeln bereits vor erheblichen, oftmals noch nicht vollständig absehbaren Herausforderungen – auch wegen der unklaren und teilweise überaus restriktiv ausfallenden Ankündigungen der Aufsichtsbehörden. Eine zusätzliche, mit dem EU-Datenschutzrecht inkompatible und den tatsächlichen Marktverhältnissen nicht ausreichend Rechnung tragende Regulierung würde weitergehende Folgen nach sich ziehen. Sie würde die Schaffung eines funktionierenden digitalen Binnenmarktes regelrecht konterkarieren.

Die Regelungen der ePV sollen sowohl für personenbezogene wie für nicht-personenbezogene Daten (z.B. machine-to-machine-Kommunikation) gelten und unterstellt die Datenverarbeitung – bis auf wenige, restriktive Ausnahmen – einem kompletten Einwilligungsregime. Erfasst sein sollen neben natürlichen Personen auch Unternehmen. Die Anwendung beträfe alle Sektoren der Wirtschaft der EU, von digitalen Medien und Services bis hin zu vernetzten Fahrzeugen und intelligenter Fertigung – die im schlimmsten Fall so nicht mehr in der Lage sein werden, ihre Produkte und Dienstleistungen unter Verwendung von Daten anzubieten und zu innovieren. Dies wird auch Auswirkungen auf andere Wirtschaftszweige haben, die sich mit zunehmender Digitalisierung der Wirtschaft immer mehr auf die Nutzung von Daten aus Endgeräten einstellen müssen. Die zahlreichen Diskussionen und Konsultationen zwischen Wirtschaft und Politik zeigen bis heute, dass es zunächst weitergehender Folgenbetrachtung bedarf, bevor Entscheidungen getroffen werden können.

Es sind insbesondere die erst in einigen Monaten ansatzweise erkennbaren Auswirkungen der DSGVO mit zu berücksichtigen. Die DSGVO – nicht jedoch die geplante ePrivacy-Verordnung  - regelt bereits eine Vielzahl der hier ins Auge gefassten Verarbeitungen. Es müssen zudem tiefere und verständigere Betrachtungen der tatsächlichen Marktverhältnisse und der durch die geplanten Regelungen betroffenen Technologieprozesse identifiziert und mitbedacht werden. Die ePrivacy-Verordnung werden wir auch auf unseren BVDW Data-Summit am 5. Juni in Berlin diskutieren (www.data-summit.de ).

UPDATE 31.05.2018

BVDW unterzeichnet Joint Industry Letter an EU-Delegationen zum Überdenken der geplanten ePrivacy-Regeln

Zusammen mit 58 europäischen Wirtschaftsverbänden hat der BVDW in einem Schreiben erneut die beteiligten Minister aufgefordert, die geplanten Regeln für eine neue ePrivacy-Verordnung zu überdenken und mehr Zeit für die Klärung von Grundsatzfragen in diesem Bereich einzuplanen. Dies gilt insbesondere für die nach wie vor ungeklärten Abgrenzungsfragen zu Regelungsbereichen der bereits anwendbaren DSGVO. Unausgereifte Bestimmungen können nicht nur für die gesamte digitale Wirtschaft sondern auch für Endnutzer unerwünschte Konsequenzen für heute funktionierende oder künftige, innovative Angebote haben.

UPDATE 19.05.2018

Bulgarische Ratspräsidentschaft mit neuem Fortschrittsbericht/Positionspapier

Die bulgarische Ratspräsidentschaft hat die Ergebnisse der bisherigen Verhandlungen in einem neuen Fortschrittspapier vom 18.Mai 2018 zusammengefasst und veröffentlicht. In dem Papier widmet sich der Vorsitz den einzelnen Fragen, die seitens der Mitgliedsstaaten zu bestimmten Regelungspunkten aufgeworfen und diskutiert wurden.

So wird mit Blick auf die Kommunikationsdatenverarbeitung in Art. 6 Abs. 1 ePR zwar festgestellt, dass es weitere Klarstellungen zum Begriff der Sicherheit als solcher und zur Anwendung dieses Grundes für die Verarbeitung in den Erwägungsgründen gegeben habe. Trotzdem würden hier weitere Feinabstimmungen erforderlich sein. Bei der Verarbeitung von Kommunikationsmetadaten (Art. 6 Abs. 2,3a ePR) wurden neue gesetzliche Erlaubnisse integriert, um die Bedenken der Mitgliedsstaaten auszuräumen.

Mit Blick auf die – nicht nur seitens des BVDW – kritisierten Regelungen zum Endgerätezugriff und zu verbindlichen Softwareeinstellungen stellt die Ratspräsidentschaft die aktuelle Situation wie folgt dar:

Als Ergebnis der letzten Diskussionen der WP TELE am 16./17.Mai 2018 wurde die allgemeine Struktur von Artikel 8 beibehalten. Hier gab es leider keine weitere Diskussion über die seitens der digitalen Wirtschaft geforderten Erweiterung der Legalausnahmen, die insbesondere eine Einheitlichkeit mit den Datenverarbeitungserlaubnissen der DSGVO herstellen sollen. Die Nutzung der Verarbeitungs- und Speichermöglichkeiten von Endgeräten und die Sammlung von Informationen von Endgeräten der Endnutzer, einschließlich ihrer Soft- und Hardware, ist ,außer in Fällen technischer Erforderlichkeit oder mit Einwilligung weiterhin verboten. Es fehlt nach wie vor an der Festschreibung technischer Verarbeitungsregeln für eine geschützte, dafür aber einwilligungslose Datenkommunikation (z.B. durch Pseudonymisierung und Transparenz) um Endnutzern und Unternehmen gleichermaßen praktikable und datenschutzkonforme Anwendungen zu ermöglichen.

Das Papier erläutert zu Art. 10 richtigerweise, dass aufgrund der neu im Rat eingeführten Änderungen die Endbenutzer bei der Installation oder der ersten Nutzung und bei Änderungen der Datenschutzeinstellungen über die Einstellungen und die Art und Weise, wie sie vom Endbenutzer verwendet werden dürfen, zu informieren ist. Auch, dass diese Bestimmung nicht für Software gilt, die nicht mehr unterstützt wird. Allerdings sind weiterhin starke Zweifel bei den Delegationen vorhanden, ob diese Bestimmungen generell einen Mehrwert haben. Auch der BVDW hat hier mehrfach drauf hingewiesen, dass die gesetzliche Festschreibung von Zugangs-Software als Kontrollinstanz (Gatekeeper) zu einer massiven Einschränkung des Datenflusses führen wird. Ohne zumindest festzulegen, dass anderweitig (z.B. über die Webseite) eingeholte Einwilligungen auch automatisch in den Browser(Software-)Settings umzusetzen sind, werden unanbhängige Seitenbetreiber ansonsten keine Möglichkeit mehr haben, notwendige, technische Drittzugriffe für die Bereitstellung ihrer Inhalte möglich zu machen.

Am Ende werden in Vorbereitung auf das nächste (und wohl letzte) Treffen der WP TELE unter bulgarischem Vorsitz folgende Frage gestellt.

  1. Sind Sie der Ansicht, dass der derzeitige Ansatz, wie er von der Präsidentschaft vorgeschlagen und oben zur zulässigen Verarbeitung von Metadaten (Art. 5 und 6) dargelegt wurde, eine akzeptable Grundlage für weitere Fortschritte darstellt? Welche weiteren Verbesserungen sind möglich?
  2. Halten Sie den Ansatz zum Schutz der Endgeräte und der Privatsphäre (Art. 8 und 10) für eine akzeptable Grundlage, um voranzukommen?
  3. Glauben Sie, dass der jüngste Kompromiss des Vorsitzes ein zukunftssicherer Ansatz ist und das notwendige Gleichgewicht zwischen dem Schutz von Bürgerdaten (oder sensiblen Daten) und der Wettbewerbsfähigkeit der europäischen Industrie bei der Bereitstellung innovativer Dienstleistungen schafft?

Aus Sicht der digitalen Wirtschaft wird man beim derzeitigen Stand des Textes alle Fragen mit einem klaren NEIN beantworten müssen.

UPDATE 05.05.2018

Bulgarische Ratspräsidentschaft veröffentlicht überarbeiteten Textentwurf

In Vorbereitung auf das nächste Treffen des Rates „Verkehr, Telekommunikation und Energie“ (WP TELE) am 16.Mai 2018 hat die bulgarische Ratspräsidentschaft einen weiter überarbeiteten Entwurf der geplanten ePrivacy-Verordnung veröffentlicht.

UPDATE 14.04.2018

Ergebnisse des Treffens der WP TELE vom 28.03.2018 – neuer Textentwurf veröffentlicht

Entwurf Text ePrivacy 13.04.2018

Die bulgarische Ratspräsidentschaft hat einen neuen Textentwurf für die geplante ePrivacy-Verordnung mit Datum vom 13.April 2018 veröffentlicht. Das Dokument ist Ergebnis der WP TELE-Tagung am 28. März 2018, die auf der Grundlage des letzten Textes vom 22.März 2018 geführt wurde. Im Ergebnis wurden vornehmlich die Erwägungsgründe weiter ausgestaltet. So ist in Erwägungsgrund 20 nun die Rede von "Cookies oder ähnlichen Identifikatoren", um klarer zu machen, dass die Regelungen nicht allein Cookie-zentriert sind. Bereits der alte Text hatte Änderungen dahingehend enthalten, dass der Endnutzer der "Speicherung eines Cookies oder einer ähnlichen Vorrichtung" zustimmt, und diese Zustimmung "auch die Zustimmung für die nachfolgenden Cookies im Rahmen eines erneuten Besuchs derselben, vom Endnutzer ursprünglich besuchten Websiten-Domain beinhalten kann". Diese rigide Festlegung auf dieselbe Webseite kann zur Folge haben, dass die Zustimmung für ein bestimmtes Cookie nicht auch auf anderen Domains genutzt werden kann. Am Ende würde ein Nutzer dann auf neuen Domains demselben Cookie immer wieder gesondert zustimmen müssen und entsprechende Banner angezeigt bekommen. Dies würde zu mehr statt zu den versprochenen weniger Bannern führen und die Nutzung verschiedener Webseiten erheblich erschweren.

In Erwägungsgrund 20 wird das zuvor eingeräumte Recht, den Besuch einer Webseite von der Akzeptanz des Setzens legitimer Cookies noch einmal eingeschränkt. Danach sollen solche Cookies nicht erfasst sein (und damit nicht legitim) die nach der Löschung durch den Endnutzer wiederhergestellt werden. Dies soll augenscheinlich auf "Respawning Cookies" oder "Zombie-Cookies" zugeschnitten sein.  Erwägung 21a beschäftigt sich noch einmal mit dem legitimen Zweck. Der Text führt nun weitere Beispiele auf, wann ein Cookie als legitimes und nützliches Werkzeug anzusehen sein kann. Dazu sollen nun auch Website-Design und Werbung zählen können. Bislang war nur von der Messung der Zahl der Endnutzer, die eine Website besuchen die Rede. Cookies sollen wohl nur dann nicht legitim sein, wenn sie zur Bestimmung der Natur eines Nutzers verwendet werden, auch wenn die Bestimmung der Natur eines Nutzers einem anderen legitimen Zweck dient - wie etwa der Werbung. Laut Erwägungsgründen 22-24 besteht hinsichtlich der Browser-Sicherung nur noch die die Verpflichtung, dem Endnutzer die Auswahl aus einer Reihe von Einstellungen zu überlassen. Endnutzer müssen bei der ersten Verwendung und nach jedem Update allein über die Verfügbarkeit von Datenschutzeinstellungen und die Standardeinstellung informiert werden. Damit ist die Verpflichtung zum Ausschluss von Drittaufrufen per default vom Tisch.

Zu den kritischen Artikeln 8 und 10 sind keine wesentlichen Änderungen hinzugekommen. In Artikel 4a ist nun festgelegt, dass sich die Definitionen und Bedingungen für die Einwilligung nach DSGVO richten. Da die ePrivacy-Verordnung aber neben natürlichen auch juristische Personen schützt, soll es dem nationalen Recht obliegen zu definieren, wer befugt ist, eine juristische Person gegenüber anderen Personen zu vertreten. Die Einwilligung kann mit den entsprechenden technischen Einstellungen der Software, wie z.B. einem Browser, erteilt werden. Die seit Anbeginn kritisierten Inkongruenzen zu den Nachweisanforderungen einer DSGVO-konformen Einwilligung sind damit allerdings weiterhin nicht beseitigt.

UPDATE 23.03.2018

Bulgarische Ratspräsidentschaft veröffentlicht neue Vorschläge zur ePrivacy-Verordnung

Die bulgarische EU-Ratspräsidentschaft hat am 22. März 2018 einen neuen Entwurf bezüglich bestimmter Regelungsinhalte für die ePrivacy-Verordnung vorgestellt. Es geht im Wesentlichen um die Art. 8,10,15,16. Das Dokument dient als Grundlage für die Sitzung der Arbeitsgruppe "TELE" am 28.03.2018.

Es steht nach Lage der Dinge nicht zu erwarten, dass es noch innerhalb der ersten Jahreshälfte zu einem gemeinsamen Standpunkt kommen wird. Vielmehr wird dies in die ab Juli laufende österreichische Ratspräsidentschaft fallen.

Der Einstieg in einen Trilog ist demnach nicht vor Ablauf des Jahres 2018 zu erwarten, was die Zeitschiene für das Ende von Verhandlungen weit ins Jahr 2019 strecken lässt. Mit einem Inkrafttreten wäre dann frühestens Mitte/Ende 2019 zu rechnen, wobei für die Anwendung mit Sicherheit eine zumindest 1-jährige Übergangsfrist (Vorschlag EU-Parlament) gelten wird.

Alles in allem sind die Änderungen teils marginal, teils unverständlich bzw. in der Konsequenz nicht hilfreich. Ergänzende Ausführungen in den Erwägungsgründen finden mitunter keine Entsprechung im Text. Als Ergebnis der im Januar 2018 aufgeworfenen Sachfragen (Optionen-Papier vom 11.01.2018) ist hier keine echte Beschäftigung/Beantwortung zu erkennen.

 

Die wesentlichen Änderungen/Erkenntnisse aus dem neuen Text:

  • Nach wie vor striktes Kopplungsverbot – Ausnahme soll nur dort gelten, wo es um notwendige Cookies spezifischer Dienste geht z.B. bei Authentifizierung/Warenkorb etc.(ErwG. 21 a.E.) – keine Verbesserung
  • Nach wie vor zu eng zugeschnittene Legalausnahmen. Betrugsprävention/ Sichtbarkeitsmessungen etc. nicht im Normtext erfasst – keine Verbesserung
  • Nach wie vor keine Berücksichtigung des legitimen Interesses unter Einsatz risikoverringernder Maßnahmen (Pseudonymisierung/Transparenz/Widerrufsrecht) – keine Verbesserung
  • Die Auswahl eines Software-Settings soll nicht mehr Voraussetzung für den Abschluss der Installation/Upgrade sein. – Verbesserung
  • Nach wie vor keine Verpflichtung zur automatischen Berücksichtigung anderweitig generierter Einwilligungen (etwa auf Website-Level) – keine Verbesserung

Im Einzelnen:

 

1. Art. 8

Der neue Text enthält hier wenig Neues. Art. 8 Abs. 1d) erweitert lediglich den Regelungsbereich auf sämtliche Audience-Messungen. Durch Streichung des Begriffs „Web“ soll dies nun auch alle Mobile-Sachverhalte umfassen. Bezüglich des ebenfalls unter die Privilegierung fallenden Auftragsmessdienstleisters nimmt der Text nun direkt Bezug auf die dafür einzuhaltenden Voraussetzungen gemäß Art. 28 DSGVO.

Die Einwilligung für das Setzen eines Cookies soll nun die Mehrfachnutzung über mehrere Seitenaufrufe hinweg ermöglichen (ErwG.20 a.E.). Diese Erläuterung liest sich allerdings so, dass hier verhindert werden soll, mit einer einzigen Cookie-Einwilligung Cookie-Droppings für verschiedene Domains zu legitimieren (global consent). Denn dass eine Einwilligung auch bei mehrfachem Aufruf ein- und derselben Domain weiter Gültigkeit habenmuss, dürfte außer Frage stehen. Hier dürfte es außerdem darum gehen festzuhalten, dass die Zugangssoftware in der Lage sein muss, sich bestimmte Einstellungen zu „merken“ und damit ein so genanntes „Whitelisting“ zu fördern. Die Stellung als Gatekeeper wird dadurch – ohne Berücksichtigung der Marktverhältnisse - endgültig festgeschrieben.

In Erwägungsgrund 21 ist nun folgender Zusatz enthalten: Access to specific website content may still be made conditional on the well-informed acceptance of a cookie or similar device, if it is used for a legitimate purpose.

Was zunächst aussieht wie eine Lockerung des Kopplungsverbots entpuppt sich bei genauem Hinsehen als Schein. Ausnahmen von dem Verbot einer Angebotssperrung, soweit eine Einwilligungen für Cookies nicht erteilt werden wird nach wie vor nur dort gelten, wo es um notwendige Cookies spezifischer Dienste geht z.B. bei Authentifizierung/Warenkorb etc.(ErwG. 21 a.E.). Dies ergibt sich aus der Zusammenschau der Erwägungen zum „berechtigten Zweck“.

Gestützt wird diese Feststellung durch Erwägungsgrund 21a. Unter „nützlichen“ (Web)Messungen werden nach wie vor ausschließlich statistische Zählungen (Anzahl Zugriffe/ Nutzer auf einer Webseite) verstanden. Cookies sollen dann nicht legitim sein, wenn sie zur Bestimmung der „Art des Nutzers“ verwendet werden. Dies bedeutet den Rückfall ins Web 1.0 und das faktische Verbot heutiger Tracking-Services.

In Art. 8 Abs. 1e) wird eine Ausnahmeregelung für Sicherheitsupdates eingeführt, sofern diese Sicherheitsupdates "notwendig" sind und die vom Endnutzer gewählten Datenschutzeinstellungen nicht ändern. Darüber hinaus muss der Benutzer vorab darüber informiert werden, dass das Sicherheitsupdate installiert wird und er die Möglichkeit hat, automatische Updates zu verschieben oder abzuschalten.

Das Gleiche gilt für WiFi/Bluetooth-Trackings (emmitted signals). In Art. 8 Abs. 2b) wird klargestellt, dass auch hier allein eine statistische Zählung erlaubt sein soll.

 

2. Art. 10

In Art. 10 Abs. 1 wird klarstellend noch einmal das Konzept des Verordnungsentwurfs deutlich. Es soll "jeder anderen Partei als dem Endnutzer" unmöglich sein, Informationen auf dem Gerät eines Nutzers zu speichern und/oder darauf zuzugreifen, soweit keine Einwilligung oder Rechtsgrundlage vorliegt. "Dritte" sind hier also nach technischem Verständnis nicht nur echte 3rd-party-Dineste sondern auch alle 1st-party-Dienste mit ihren eigenen Cookies.

Eine Verbesserung ist lediglich in der Streichung der Anforderung zu sehen, dass der Nutzer eine Entscheidung treffen muss, bevor er mit der Installation oder der Nutzung der Software fortfahren kann. Hier ist stattdessen nur erforderlich, dass der Nutzer regelmäßig an die Datenschutzeinstellungen der Software erinnert wird.

Diese Änderung ist allerdings kaum etwas wert, solange es nach wie vor keine gesetzliche Verpflichtung für die Software gibt, anderweitig eingeholte Einwilligungen automatisch und selbstvollziehend zu berücksichtigen.

 

3. Fazit

Der Text enthält in Summe eher Verschlechterungen als positive Ansätze, wie zuletzt in dem Optionspapier vom 11.01.2018 angeklungen.

UPDATE 11.01.2018

Bulgarische Ratspräsidentschaft mit neuem Sachstandsbericht zur ePrivacy-Verordnung

Am 11.01.2018 hat die neue bulgarische Ratspräsidentschaft ein neues Sachstandspapier zur geplanten ePrivacy-Verordnung veröffentlicht. In dem Papier werden die verschiedenen Diskussionspunkte zu einzelnen Regelungen aufgenommen und die Mitgliedsstaaten um Beantwortung gebeten. Es werden jeweils verschiedene Optionen zur Wahl gestellt, die weitere Diskussionen und Vorschläge ermöglichen sollen. Erfreulicherweise wird erstmals die Frage nach ausgewogenen verarbeitungsregeln im Einklang mit der DSGVO gefragt. Das Prinzip der einwilligungslosen weil pseudonymen Verarbeitung wird aufgegriffen ebenso wie die Frage, ob Webseitenbetreiber ernsthaft Services anbieten müssen, obwohl Nutzer den Nutzungsbedingungen, zu denen die Möglichkeit von Datenverarbeitungen gehören muss, ablehnen (Kopplungsverbot). Der BVDW hat ein eigenes Stellungnahmepapier zu dem Dossier veröffentlicht.

UPDATE 05.12.2017

EU-Rat mit ersten Änderungsvorschlägen zur ePrivacy-Verordnung

Am 05.12.2017 hat der EU-Rat einen ersten Änderungstext zum Vorschlag der EU-Kommission für eine neue ePrivacy-Verordnung veröffentlicht. Der Entwurf enthält unter anderem Neuerungen bei den Definitionen in Art. 4. Die Bedingungen zur Einwilligung finden sich nun in einem neuen Art. 4a wieder. Keine wesentlichen Änderungen enthalten die Art. 8 und 10, welche die für die digitale Wirtschaft negativsten Regelungen enthalten. Insgesamt lässt sich feststellen, dass auch in der Version des Rates die Kritikpunkte hinsichtlich der Vereinbarkeit von rechts- und technikangemessener Reglungen bestehen bleiben. Auch in der nun vorgelegten Form bestimmen rigide und zur Datenschutzgrundverordnung inkohärente Regelungen den Text.

UPDATE 17.11.2017

Fortschrittsbericht des EU-Rats zu ePrivacy-Verordnung

Die noch bis Jahresende unter estnischer Führung stehende Ratspräsidentschaft hat einen neuen Fortschrittsbericht zu den Abstimmungen des EU-Rats zur geplanten ePrivacy-Verordnung veröffentlicht. Anders als die Stimmen im EU-Parlament sehen Vertreter der Mitgliedsstaaten die Einführung restriktiver Einwilligungsmechanismen auf Cookie-Ebene teils kritisch. Insbesondere die – technisch wie rechtlich fragwürdige - Absicherung durch Browser als Gatekeeper in Art. 10 soll weiter diskutiert werden. Auch die Inkohärenz zur im Mai 2018 anwendbaren EU-Datenschutzgrundverordnung spielt eine wichtige Rolle in den Abstimmungen.

UPDATE 19.10.2017

EU-Abstimmung: E-Privacy-Verordnung untergräbt Informationsgesellschaft

Heute hat der Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) des europäischen Parlaments dem umstrittenen Entwurf zur Neuregelung einer E-Privacy-Verordnung abschließend zugestimmt. Der BVDW sieht durch das Abstimmungsergebnis die Informationsgesellschaft gefährdet. Der mit knapper Mehrheit der Fraktionen der Sozialisten, Grünen und Liberalen angenommene Entwurf konterkariere geradezu die von der EU-Kommission ins Leben gerufene digitale Binnenmarktstrategie. „Die EU macht es im Grunde unmöglich, digitale Angebote ohne Barrieren anzubieten und zu finanzieren“, kritisiert BVDW-Vizepräsident Thomas Duhr. mehr

UPDATE 22.09.2017

LIBE-Ausschuss mit Kompromisstext am 11.10.2017 

Derzeit werden im federführenden LIBE-Ausschuss (wie auch in den anderen Ausschüssen JURI, IMCO und ITRE) die über 800 Änderungsanträge zum Entwurfsvorschlag der ePrivacy-Verordnung beraten. Bereits am 11.10.2017 will der Ausschuss unter seiner Berichterstatterin Marju Lauristin über den Entwurf abstimmen. Bereits die Anzahl der Anträge wie auch deren unterschiedliche Inhalte bestätigen die grundsätzliche Kritik, die auch die digitale Wirtschaft an dem Verordnungsentwurf der EU-Kommission geübt hat. Das konsolidierte Dokument mit allen Änderungsanträgen ist hier abrufbar.

Auch der EU-Rat beschäftigt sich in einer Arbeitsgruppe mit dem Verordnungsentwurf. Die Mitgliedstaaten waren aufgefordert, ihre Stellungnahmen bis zum 14.08.2017 dorthin zu übersenden. Die derzeitige estnische Ratspräsidentschaft hat am 08.09.2017 ihre eigene Stellungnahme hierzu veröffentlicht. Deutschland hat – verspätet - eine eigene, inhaltlich leider kaum überzeugende Stellungnahme übersandt. Der von der Kommission vorgesehene Zeitrahmen für das Inkrafttreten der ePrivacy-Verordnung zusammen mit der DSGVO am 25.05.2017 wird vor dem Hintergrund der vielfältigen und teilweise entgegengesetzten Kritiken sowohl in den Parlamentsausschüssen als auch im Rat wohl nicht zu halten sein.

UPDATE 23.06.2017

Änderungsempfehlungen der EU-Ausschüsse (LIBE, JURI, ITRE, IMCO) zur ePrivacy-Verordnung

Zusammenfassung der wesentlichen Inhalte:

LIBE (zum Download)

Einleitung
In ihrer einleitenden Erläuterung schreibt Berichterstatterin Marju Lauristin, dass "das von der Kommission vorgeschlagene Regime ein hohes Schutzniveau nicht in vollem Umfang sicherstellt, im Gegenteil, es würde sogar noch das von der EU-Datenschutzgrundverordnung (EU-DSGVO) vorgesehene absenken. Darum schlägt Lauristin vor, so genannte „Tracking Walls“ vollständig zu verbieten, um die Bedingungen für die Einwilligung des Nutzers in Einklang mit der EU-DSGVO zu bringen. Gemeint ist hier das Kopplungsverbot, ignoriert allerdings die Tatsache, dass die EU-DSGVO solche Mechanismen nicht zwangsläufig verbietet.

Das Papier erwähnt auch die W3C „Tracking Protection Working Group“, die sich mit dem Do-Not-Track-Standard befasst. Hier ist man allerdings der Auffassung, dass dieses System es nicht ermöglicht, "wesentliche Kernprinzipien des EU-Datenschutzgesetzes" abzudecken. Genannt werden hier „privacy by design“ und „privacy by default“, was ergänzt werden müsse. Es wird zu diesem Zwecke vorgeschlagen, DNT-Signale technologieneutral zu gestalten, um verschiedene Arten von technischer Ausrüstung und Software abzudecken. DNT-Signale müssten "standardmäßig ihre Einstellungen in einer Weise so konfigurieren, dass Drittpartien automatisch daran gehindert werden, einen Benutzer ohne ihre Zustimmung zu verfolgen“. Die Optionen hinsichtlich der Funktionalität von Cookies und Verfolgung sollten granularer gestaltet sein.

Änderungsvorschläge in den Erwägungsgründen
Mit Blick auf die von der Verordnung erfasste „machine-to-machine-communication“ soll der Anwendungsbereich nach ergänztem Erwägungsgrund 12 auf diejenige Kommunikation beschränkt sein, die einen Bezug zu einem Nutzer aufweist.

Erwägungsgrund 15 soll endgültig die Spezialität der ePrivacy-Verordnung im Datenschutz festschreiben. Künftig sollen Datenverarbeitungen, die auf gesetzlichen Erlaubnissen der ePrivacy-Verordnung beruhen, für "jede andere Verarbeitung auf Grundlage von Art. 6 EU-DSGVO als verboten angesehen werden, einschließlich der Verarbeitung zu einem anderen Zweck auf Grundlage von Art. 6 (4) EU-DSGVO“. Damit würde die Vorfeldregulierung der ePrivacy-Verordnung anderweitige – ansonsten legale – Datenverarbeitungen künftig unmöglich machen. Dies würde insbesondere Verarbeitungen von Daten betreffen, die ursprünglich von Gerät unter einem berechtigten Interesse gesammelt wurden, einschließlich der Weiterverarbeitung solcher Daten durch Dritte.

Ausdrücklich soll die Verordnung nicht nur auf „Daten in Transit“ sondern auch auf diejenigen Daten anwendbar sein, die in einem Endgerät gespeichert sind.

Anstelle von „Cookies“ soll in Erwägungsgrund 21 nun auf "Tracking-Techniken" verwiesen werden. Solche stellen nämlich grundsätzlich ein legitimes und nützliches Werkzeug dar vorausgesetzt, dass sie unter Beachtung und Einhaltung angemessener Sicherungsmaßnahmen eingesetzt werden.
"Cookie-Walls“ und „Cookie-Banner“ sollen künftig verhindert werden, wo sie den Nutzern nicht helfen, die Kontrolle über ihre persönlichen Daten und die Privatsphäre zu behalten oder über ihre Rechte informiert zu werden.

Diese Einstellungen über den Browser sollten auch "verbindliche Entscheidungen über die Speicherung von Informationen über das Endgerät des Benutzers sowie ein Signal, das vom Browser gesendet wird, enthalten. Die Einstellungsmöglichkeiten in Art. 10 ePV sollen abgestuft sein. Die Software muss zum einen standardmäßig die Möglichkeit anbieten, niemals Tracker zu akzeptieren. Auf der zweiten Stufe sollen alle Tracker und Cookies zurückgewiesen werden, die nicht unbedingt notwendig sind, um einen vom Benutzer explizit angeforderten Dienst zu erbringen" oder alle branchenübergreifenden Verfolgungen zurückgewiesen werden können.  Es soll zusätzlich gesetzlich vorgesehen sein, Optionen anzubieten um zu entscheiden, ob Flash, JavaScript oder andere Software ausgeführt werden können und ob Webseiten Geo-Location-Daten sammeln oder die Webcam oder das Mikrosophon eines Gerätes verwendet werden können.

Einzelne Artikel
Artikel 4 Abs. 3 f) ePV soll so geändert werden, dass die Display-Werbung in die Definition der Direktmarketing-Mitteilungen eingeschlossen würde „“any form of advertising, whether in written, oral or video format, sent served or presented to one of more identified or identifiable end-users.”.

Die Einwilligung in Art. 8 Abs. 1 b) soll nun „spezifisch“ sein und keine Voraussetzung, um einen Service nutzen zu können. Sicherheits- und Security-Updates sollen nach einem neuen Abs. 1 d) a) ePV nur zulässig sein, wo diese keine Änderungen an den zuvor getroffenen Privacy-Einstellungen des Nutzers vornehmen und die Möglichkeit besteht, automatische Updates auszuschalten. Darüber hinaus sollen in einem neuen Abs. 1 d) b) ePV Schutzmaßnahmen gegen Situationen greifen, in denen aufgrund einer Arbeitgeber-Arbeitnehmer-Zustimmung die Zustimmung nicht wirksam sein kann, so dass, wenn der Zugang zu einem Gerät für ein Arbeitsverhältnis erforderlich ist, eine Zustimmung nicht erforderlich ist. Dies vorausgesetzt, dass (1) der Arbeitgeber die Ausrüstung zur Verfügung stellt , (2) der Mitarbeiter der Benutzer des Gerätes ist, (3) die Einwirkung ist für das Funktionieren des Gerätes unbedingt erforderlich.

In einem neuen Art. 8 Abs. 1a ePV ist nunmehr ein Kopplungsverbot vorgesehen.  Es heißt, dass "keinem Benutzer der Zugang zu einem [Online-Dienst] oder einer Funktionalität verweigert werden darf, unabhängig davon, ob dieser Dienst vergütet wird oder nicht, weil er oder sie nicht seine Zustimmung zur Verarbeitung personenbezogener Daten und /oder die Nutzung von Speicherkapazitäten seines Endgeräts, die für die Bereitstellung dieses Dienstes oder der Funktionalität nicht notwendig sind, gegeben hat. Das hinter dieser Regelung stehende Ziel der Verhinderung so genannter Cookie-Walls würde allerdings auch bedeuten, dass Anbieter auch ohne Einwilligung wenigstens Dienste anbieten, die beispielsweise eine geringere Video-Qualität aufweisen oder Funktionen nicht enthalten, die sonst verfügbar sind.

Ausnahmen von Cookies sollen in Art. 8 Abs. 1 c) ePV nur für "streng technische" Notwendigkeiten und nicht nur auf "notwendige" Platzierungen gemacht werden können. Damit wird z.B. der Bereich der Reichweitenmessungen noch stärker als bislang betroffen sein.

Art. 8 Abs. 1 d) wird nun klarstellend erweitert. Webmessungen können nun nichtmehr nur vom Betreiber selbst vorgenommen werden sondern “or on behalf [of the first party], or “by an independent web analytics agency acting in the public interest or for scientific purpose; and further provided that no personal data is made accessible to any other party and that such web audience measurement does not adversely affect the fundamental rights of the user.”  Dieser Änderungsantrag führt einen Balance-Test ein, der dem legitimen Interesse entspricht. Allerdings werden zusätzliche Anforderungen geschaffen, nämlich dass es (1) für einen ganz bestimmten Zweck, d.h. "Web-Publikums-Messung", durchgeführt wird, (2) dass es von ganz bestimmten Personen, dh. einer 1stParty oder einem Beauftragten einer solchen, durchgeführt wird (bzw. eine "unabhängige Stelle, die im öffentlichen Interesse tätig ist"), und (3) dass keine Daten mit anderen Parteien geteilt werden.

Die auch ohne Einwilligung mögliche Verarbeitung von Standortdaten durch wifi Signale / Bluetooth etc. geregelt durch Art. 8 (2) ist nun in einen Opt-in-Ansatz geändert worden es sei denn, die Daten sind anonymisiert und werden angemessen abgegrenzt. Die Verarbeitung soll (1) auf bloße statistische Zählung beschränkt sein, (2) die Verfolgung ist auf das begrenzt, was für das statistische Zählen unbedingt erforderlich ist, (3) die Daten werden unmittelbar nach dem statistischen Zählen gelöscht und (4) ein Widerspruchsrecht wird eingeräumt. Der Anwendungsbereich solcher Messungen dürfte gegen Null tendieren.

Art. 10 ePV wird dahingehend angepasst, dass in einem neuen Abs. 1a  standardmäßig der Ausschluss von Drittpartien voreingestellt sein soll. Gemäß Abs. 1b müssen Nutzer diese Einstellungen für die Privatsphäre bestätigen oder ändern können. Nach Abs. 1 c sollen die Einstellungsoptionen während der Benutzung der Software leicht zugänglich sein und müssen nach Abs. 1d , dem Nutzer die Möglichkeit geben, eine spezifische Zustimmung durch die Einstellungen nach der Installation der Software auszudrücken. Letzteres könnte bedeuten, dass hier die Alikationen die Möglichkeit zur Verfügung stellen müssen den Browser anzufordern, den Nutzer aktiv zu fragen. Das wäre dann aber auch keine Verbesserung der Consent-Wall-Problematik. Das Signal soll verbindlich sein. Hier wird stark auf „Do-Not-Track“ referiert.


JURI (zum Download)

Im Gegensatz dazu lehnt der JURI- Ausschuss unter Vorsitz von Axel Voss den Verordnungs-Vorschlag der EU-Kommission ausdrücklich ab. Nach seiner – vom BVDW geteilten - Ansicht kann die ePrivacy-Verordnung die DSGVO in Bereichen der Vertraulichkeit lediglich ergänzen, nicht aber nicht im Speziellen erweitern. Es wird insbesondere gefordert, von der Konzentration auf die Einwilligung Abstand zu nehmen. Die Einwilligung sei heute nicht mehr das richtige Mittel; Transparenz, Datenhoheit, Opt-out-Lösungen, Widerspruchslösungen, eine neue Datenkategorie (z.B. pseudonymisierter Daten) oder zumindest eine bessere Differenzierung nach anonymisierten, pseudonymisierten und verschlüsselten Daten wäre der bessere Ansatz. Zudem drohe die in der DSGVO gefundene Balance zwischen dem Schutz der Privatsphäre und neuen Technologien wieder zerschlagen zu werden, indem in weiten Bereichen Datenverarbeitungen, die unter der EU-DSGVO zulässig sind, entweder einer noch strengeren Form der Einwilligung unterliegen oder ganz untersagt werden. Dies sei absolut kontraproduktiv.

Im Einzelnen werden folgende Änderungen und neue Ausnahmen vorgeschlagen:
Art. 8 (c): Notwendig für die Zustellung eines Dienstes, einschließlich der Sicherung seiner Integrität, Sicherheit, Verbesserung oder digitale Rechte Verwaltung Zwecke.
Art. 8 (d): Notwendig für die Messung der Nutzung einer Dienstleistung, auch für Abrechnungszwecke.
Art. 8 (d) (a) {neu}: Notwendig für die unternehmensübergreifende Messung von anonymen Identifikatoren.
Art. 8 (d) (b) {neu}: Notwendig für Marketingzwecke, und das zuständige Unternehmen hat zu Beginn der Bearbeitung klare Informationen vorgelegt und ein einfach zu bedienendes Opt-out.
Art. 8 (d) (c) {neu}: Erforderlich für die Ausführung eines Vertrages oder des Verkaufs von Waren oder Dienstleistungen, wenn der Vertrag oder der Verkauf online abgeschlossen ist.
Gelöscht Art. 9 (2) "Zustimmung durch Browser-Einstellungen"
Gelöscht Art. 10 "Browser blockiert" und ersetzt sie mit einem Verweis auf Art. 25 EU-DSGVO zum „privacy-by-design“.

Die Mitglieder des JURI-Ausschusses haben bis zum Ende des Monats Zeit, ihre Änderungsanträge zu diesem Entwurf einer Stellungnahme vorzulegen. Der führende LIBE-Ausschuss nicht an die Stellungnahmen der einzelnen Stellungnahmeausschüsse gebunden.


ITRE (zum Download)

Berichterstatterin Katja Kallas unterstützt grundsätzlich den Vorschlag der EU-Kommission, insbesondere die Notwendigkeit, die Regularien zur ePrivacy an technologische Innovationen und neue Kommunikationsmittel anzupassen. Es wird insbesondere auf das Erfordernis der Technikneutralität hingewiesen.

Ebenso wird hier der Ansicht gefolgt, dass Webseitenaufrufe unter Einbindung von Drittparteien nicht mit dem Erfordernis einer Einwilligung des Nutzers gekoppelt werden dürfen.

Akzeptiert werden nur Cookies, welche absolut notwendig zur Erbringung der Dienste sein sollen. Eine Einwilligung zur Setzung weiterer Cookies soll mit Blick auf ein Cross-Device-Tracking nur wirksam sein, wenn der Nutzer entsprechend informiert wird und ein Widerspruchsrecht erhält. Art. 8 Abs. 1 d) ePV wird noch weiter eingeschränkt. Nun soll der Zugriff auf das Engerät bzw. das Auslesen von Informationen hieraus nur noch möglich sein, um Informationen zur „technischen Qualität“ oder „Effizienz“ zu erhalten. Das Wort „web audience measuring“ wurde gestrichen.

Bei Art. 8 Abs 2 ePV (Drahtlosverbindungen) soll die Kontaktaufnahme mit dem Endgerät künftig nur noch per Einwilligung möglich sein. Der derzeitige Entwurf, wonach es lediglich eines transparenten Hinweises auf Drahtlosverbindungen bedarf, wird abgelehnt, da diese Bestimmung das Risiko von Ängsten unter den Endnutzern steigern soll ohne, dass ihnen eine konkrete und praktische Möglichkeit offen stünde, nicht getracked zu werden. Eine Verarbeitung solcher emittierten Daten soll neben der Einwilligung nur noch für statistische Zwecke und Anonymisierung und Löschung nach Gebrauch gestattet sein.

Der Verweis auf Regelungen zu technischen Schutzmaßnahmen („Pseudonymisierung“) in Art. 8 Abs. 2 S.2 und Abs. 3 ePV wurde dagegen gestrichen – eine Absage an „privacy-by-design“. Unverständlich, aber die Möglichkeit der Mitgliedsstaaten Regeln zu entwickeln, um Informationen durch Symbole anzeigen zu können, wird gestrichen. Dies soll den Harmonisierungsgedanken der Verordnung stärken und nationale Regelungen eindämmen.

In Art. 10 ePV werden weitere – umständliche und kaum praktikable – Einschränkungen vorgenommen. Die Ausschlussmöglichkeit des Zugriffs durch Drittparteien soll sich auf Informationen beziehen, die nicht notwendig ist, um den angefragten Dienst zu erbringen. Insoweit eine Klarstellung mit Blick auf Art. 8 ePV. Zusätzlich soll die Software granulare Einstellungen für jeden Cookie und jeden Zweck und die Information anbieten, inwieweit Informationen mit Drittparteien geteilt werden.

In Art. 10 Abs. 2 ePV ist die bislang vorgesehene Pflicht zur Entscheidung des Nutzers für eine Einstellungsoption richtigerweise gestrichen. Es muss reichen, bei Installation und Update auf die Einstellungsoptionen hinzuweisen.

Ein Augenmerk liegt in Art. 11 Abs. 1 a) ePV auf dem Anreiz zur Verschlüsselung („the use of end-to-end-encryption should be promoted“) und der Forderung, dass Mitgliedsstaaten diese Schutzmaßnahmen umgehen oder ausnutzen können („Member states should not impose any obligation on encryption providers, on providers of electronic communications services or on any other organisations (at any level of the supply chain) that would result in the weakening of the security of their networks and services, such as the creation or facilitation of backdoors).


IMCO (zum Download)

Der Entwurf des IMCO-Ausschusses ist hier abrufbar.

UPDATE 22.05.2017

Bundesrat – Ausschüsse legen ihre Empfehlungen zum Entwurf der ePrivacy-Verordnung vor

Die Bundesrats-Ausschüsse für Agrarpolitik und Verbraucherschutz, für Innere Angelegenheiten , Recht und Wirtschaf haben am 22.05.2017 ihre Empfehlungen (PDF) zu dem Entwurf der EU-Kommission für eine neue ePrivacy-Verordnung vorgelegt. Über die Empfehlungen soll am 02.Juni 2017 erstmals im Bundesrat beraten werden.

Zusammenfassend zeichnen die Ausschüsse ein eher kritisches Bild zum Entwurf und fordern eine grundlegende Überarbeitung des Verordnungsvorschlags. Zwar wird das Ziel der EU-Kommission begrüßt, den allgemeinen Rechtsrahmen der EU-Datenschutzgrundverordnung (EU-DSGVO) zu präzisieren und zu ergänzen. Gleichwohl wird eine grundsätzliche Überprüfung und Nachbesserung des Verordnungsvorschlags auch unter Inkaufnahme von Verzögerungen des Rechtsetzungsverfahrens für für unerlässlich gehalten, um neben Detailmängeln grundsätzliche Defizite bei der Abgrenzung des Rechtsaktes zur Datenschutz-Grundverordnung, dem notwendigen Ausgleich zwischen dem Schutz der elektronischen Kommunikation und Sicherheitsbelangen sowie der Ausgestaltung des Aufsichtsregimes zu beheben.

Mit dieser Einschätzung bestätigen die Ausschüsse die Bedenken, die auch seitens der Digitalen Wirtschaft hervorgebracht wurden. Das Ziel, die neue ePrivacy-Verordnung ohne Übergangsfrist zusammen mit der EU-DSGVO in Kraft treten zu lassen, kann mit Blick auf die bislang ungelösten Abgrenzungs- und Detailfragen unmöglich gehalten werden, ohne zu massiver Rechtsunsicherheit zu führen.

Inhaltich macht der Bericht deutlich, dass werbefinanzierte Angebote einen integralen Bestandteil der Internetwirtschaft darstellen. Der Bundesrat fordert daher, die Vorschrift des Artikels 8 Absatz 1 Buchstabe d des Verordnungsvorschlags auch auf den Einsatz von Third-Party-Cookies auszudehnen. Mit Blick auf die rigiden Cookie-Regelungen befürwortet das Papier ausdrücklich die Prüfung der Einführung ausgleichender Regelungen, wie sie heute in § 15 Abs. 3 Telemediengesetz (TMG) enthalten sind und Akteuren Datenverarbeitungen unter der Nutzung pseudonymisierter Profile bei gleichzeitiger Information und Widerspruchsrecht des Nutzers vorsehen.

UPDATE 13.04.2017

Anhörung zur ePrivacy-Verordnung im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) am 11.04.2017

Die Anhörung befasste sich mit verschiedenen Elementen des neuen Verordnungs-Vorschlags der EU-Kommission, um dem Europäischen Parlament die Ansichten der beteiligten Akteure zu vermitteln. Zu den Angesprochenen gehörten Telekommunikationssektor, neue Kommunikationsdiensteanbieter (OSP, OTT), Verbraucher, NGOs, Professoren und Datenschutzbehörden. Die Veranstaltung sollte dazu beitragen, ein breites und repräsentatives Bild im Hinblick auf die Vorbereitung des Legislativberichts des LIEBE-Ausschusses im EU-Parlament erhalten.

Der BVDW hatte bereits anlässlich einer ersten nationalen Anhörung im Bundesministerium für Wirtschaft und Energie (BMWi) am 16. Februar 2017 seine kritische Stellungnahme zur geplanten Verordnung gefertigt und öffentlich gemacht.

UPDATE 27.02.2017

Die neue ePrivacy-Verordnung-Factsheet

Am 10.Januar 2017 hat die EU-Kommission den Entwurf für eine neue Verordnung des europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) vorgestellt (ePV).

Ziel der Neuregelung ist die Angleichung der bisherigen Bestimmungen zum Persönlichkeitsschutz im Bereich der elektronischen Kommunikation an die Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO). Die EU-Kommission beabsichtigt, die ePV zusammen mit der ab 25.05.2018 geltenden EU-DSGVO einzuführen. Wen die Verordnung betrifft, was geregelt werden soll und wie sie im Kontext der EU-Datenschutzgrundverordnung einzuordnen ist, erläutert BVDW-Justiziar Michael Neuber in einem Factsheet.

UPDATE 15.02.2017

Amtliche deutsche Übersetzung der ePrivacy Verordnung

Mittlerweile ist nun auch die amtliche deutsche Übersetzung des Entwurfstextes zur ePrivacy-Verordnung verfügbar.

Der deutsche Text weicht allerdings teilweise erheblich von den Formulierungen der englischen Originalversion ab. So werden unter dem in Art. 4 Abs. 2 beschriebenen Begriff der interpersonellen Kommunikationsdienste auch solche verstanden „…die eine interpersonelle und interaktive Kommunikation lediglich als untrennbar mit einem anderen Dienst verbundene untergeordnete Nebenfunktion ermöglichen.“, während die englische Version beschreibt „…shall include services which enable interpersonal and interactive communication merely as a minor ancillary feature that is intrinsically linked to another service.“

Es steht zu erwarten, dass hier auch andernorts noch weitreichende Korrekturen notwendig werden.

UPDATE 01.02.2017

Entwurf einer neuen ePrivacy-Verordnung öffentlich

Am 10. 01.2017 hat die EU-Kommission ihren offiziellen Entwurf für neue ePrivacy-Regeln vorgestellt. Wie im Vorfeld bereits vielfach vermutet, kommt der Gesetzesvorschlag statt bislang als Richtlinie nun in Form einer EU-Verordnung daher. Im Gegensatz zu einer Richtlinie bedarf es hier keiner weiteren Umsetzung, sie wäre – nach Inkrafttreten - in jedem EU-Mitgliedsstaat direkt anwendbares Recht.

Die überarbeiteten Regeln dienen vorrangig dem Ziel, die Vertraulichkeit in der elektronischen Kommunikation sicherzustellen. Trotz der nach jahrelangem Ringen nun in Kraft getretenen und ab 25.05.2018 europaweit für analoge und digitale Daten einheitlich geltenden EU-Datenschutzgrundverordnung sollen aber auch weiterhin – nun erheblich verschärfte - Cookie-Vorgaben gelten. Die ePrivacy-Verordnung (ePV) soll hier im Sinne einer Spezialregelung den Umgang mit personenbezogenen Daten auch im Online-Bereich regeln.


Weitreichende Einschränkungen, Art. 8 epV

Wesentlich für die digitale Wirtschaft sind die neuen, in den Art. 8-10 ePV vorgesehenen Vorschriften. Es steht nun mehr als bislang der Geräteschutz im Mittelpunkt. Von engen Ausnahmen abgesehen, sollen die Nutzung von Rechen- und Speicherfähigkeiten eines Endgerätes sowie das Erheben jeglicher Informationen (einschließlich Informationen über die Beschaffenheit von Hard- oder Software) verboten sein. Hierzu soll allein der Besitzer des Gerätes in der Lage sein dürfen. Dies geht weit über das bisherige Anwendungsverständnis hinaus und erfasst damit auch Techniken wie z.B. das technische Fingerprinting, wie sich aus Erwägungsgrund 20 ergibt.

Ausnahmen sollen künftig nur für Erfordernisse der Konnektivität sowie dort erlaubt sein, wo der Online-Anbieter diese Möglichkeiten für die Erbringung seines Dienstes und das statistische Auswerten (web audience measuring) desselben unbedingt benötigt. Ausgeschlossen sind damit jegliche Dienste, die naturgemäß keinen Kontakt zum Endnutzer haben.

Sämtliche andere Methoden zur Ermöglichung von nach Maßstäben der EU-Datenschutzgrundverordnung legalen Datenverarbeitungen oder Evaluierung von Auslieferungsqualitäten (Setzen von Cookies, Messen von Reichweiten, Evaluierung der Auslieferungsqualität etc.) werden nun von der Einwilligung des End-Nutzers abhängig gemacht. Während die EU-Kommission hier eine vermeintliche Verbesserung der Nutzerfreundlichkeit wegen Entfalls der Cookie-Banner heraushebt stellt sich schon die Frage, ob hier nicht das Gegenteil der Fall ist. Mehr dazu bei Art. 10 ePV sowie unserer späteren, detaillierteren Einschätzung.

In Art. 8 Abs. 2 ePV wird das Nutzen von Informationen geregelt, die zwischen kabellos verbunden Endgeräten ausgetauscht werden. Die Nutzung solcher Informationen soll ebenfalls verboten sein es sei denn, es ist notwendig für den Verbindungsaufbau oder geschieht unter Einblendung einer prominenten Information, die über Zweck und Identität aufklärt und ansonsten die Vorgaben eine Informationserteilung gemäß EU-Datenschutzgrundverordnung einhält. Hier stellt sich z.B. bei ad hoc Bluetooth-Verbindungen bereits die Frage der technischen Machbarkeit.


Einwilligungsvorgaben, Art. 9 ePV

In Art. 9 ePV finden sich Vorgaben für die Einwilligung, die sich nach den Grundsätzen der EU-Datenschutzgrundverordnung richten. Mit Blick auf Einwilligungen bezüglich des Setzens von Cookies wird in Absatz 2 klargestellt, dass für eine Erklärung der Einwilligung auch genügt, dass geeignete technische Einstellungen einer Internetverbindungssoftware ausreichen. Damit wird die Verbindung zu den in Art. 10 ePV geregelten technischen Vorgaben hergestellt. Für eine wirksame Einwilligung selbst gelten hingegen die umfangreichen Informationspflichten aus Art. 4 und 7 EU-Datenschutzgrundverordnung,

Darüber hinaus soll es dem Nutzer ermöglicht werden, eine erteilte Einwilligung alle 6 Monate zu widerrufen.


Einwilligung und Technikvorgaben, Art. 10 ePV
Hinzu kommen in den weiteren Abschnitten Vorschriften zur technischen Umsetzung des Nutzungsverbots im Online-Bereich. Die Verbote des Art. 8 epV sollen künftig verbindlich technisch abgebildet sein. Künftig muss eine Software sicherstellen können, dass so genannte Drittanbieter (3rd parties) Informationen weder im Endgerät speichern noch auslesen können. Mit Blick auf den Regelungszweck – Sicherung der Vertraulichkeit in der elektronischen Kommunikation – vielleicht für Software vorstellbar, die elektronische Kommunikation vermittelt. Das Anwendungsszenario erstreckt sich hier aber vor allem aber auf jegliche Software, die Internetverbindungen ermöglicht, namentlich Web-Browser, wie sich aus Erwägungsgründen 23 und 24 ergibt.

Bei Installation muss der Nutzer nun über die Einstellungsmöglichkeiten informiert werden. Der Nutzer muss sich dann – um die Installation abschließen zu können – für eine Einstellung entscheiden. Wie und unter welchen Umständen diese Entscheidung ganz oder für einzelne Webseiten bezogen auf jegliche Art nicht privilegierter Cookies ändern können muss, ist nicht geregelt. Web-Browser müssten dann auch nachgelagerte Informationsfenster steuern oder auf Änderungsoptionen in Abhängigkeit des Funktionierens einer Webseite hinweisen. Ob hier die propagierte Vereinfachung – und darüber hinaus Datenschutzfreundlichkeit – erreicht wird, darf zu recht bezweifelt werden.


Over-the Top-Dienste

Die neuen Regeln sollen auch nicht mehr nur die klassischen Telekommunikationsanbieter sondern auch so genannte „over-the-top-Dienste (OTTs) erfassen. Nach Mitteilung der EU-Kommission und laut der Erwägungsgründe werden darunter all jene Dienste verstanden, die interpersonelle Kommunikation erlauben, wie Voice over IP, instant messaging oder web-based e-mail services. Wesentliches Abgrenzungskriterium soll die Möglichkeit der direkten, interaktiven Kommunikationsmöglichkeit sein. Die Definition wird im European Electronic Communications Code geregelt werden.


Inkrafttreten zusammen mit EU-Datenschutzgrundverordnung

Laut Art. 31 Abs. 2 ePV und nach erklärtem Willen der EU-Kommission, soll die neue Verordnung zeitgleich mit der EU-Datenschutzgrundverordnung am 25.05.2018 in Kraft treten. Ein politisches Ziel, welches den komplexen und für die digitale Wirtschaft hochwichtigen Regelungsfragen kaum gerecht wird. 

Unmittelbar nach Bekanntwerden der ersten Entwurfsfassung hatte der BVDW bereits deutlich vor den Folgen dieser überbordenden Spezialregulierung gewarnt. Die Kernkritikpunkte im Überblick:

  • Kein level playing field zwischen den verschiedenen Anbietern digitaler Angebote im Internet
  • Überschießende Spiezialnormen für den Online-Bereich
  • Fehlende Kohärenz mit EU-DSGVO
  • Uneinheitliche und unklare Begriffsbestimmungen
  • Verbot von 3rd Party-Cookies bedroht Funktionsweise des Internets

UPDATE 5. September 2016

EU-Kommission veröffentlicht Stellungnahmen und Ergebnisse

 

Im Nachgang zum Abschluss der öffentlichen Konsultation der EU-Kommission zur ePrivacy-Richtlinie hat diese eine Übersicht über die eingegangenen Antworten auf den Fragebogen sowie die Stellungnahmen von Bürgern, Verbänden und Wirtschaftsunternehmen zusammengestellt und veröffentlicht.

Contributions received from Citizens
Contributions received from Industry
Contributions received from Civil Society and Consumer and User Associations
Contributions received from public bodies

Ebenso hat die EU-Kommission eine erste Zusammenfassung der Ergebnisse der öffentlichen Befragung erstellt, welche hier abrufbar ist. Ein erster Überarbeitungsentwurf der ePrivacy-Richtlinie wird zum Ende des Jahres 2016 erwartet.

summary report on the public consultation

UPDATE 6. Juli 2016

Öffentliche Konsultationen der EU-Kommission abgeschlossen

Die von der EU-Kommission im Zuge der REFIT-Überprüfungen zur e-Privacy-Richtlinie (Datenschutzrichtlinie für elektronische Kommunikation, ePR) am 11.April eröffnete Konsultation sind am 05.Juli 2016 abgeschlossen worden. Um zu erfahren, wie die zuletzt im Jahre 2009 (Cookie-Regelungen) geänderten Richtlinien-Vorgaben in den Mitgliedsstaaten umgesetzt und wurden und welche Erfahrungen sich daraus ergeben haben, hatte die Kommission einen Fragebogen veröffentlicht, der sich an Bürger, juristische Personen und öffentliche Behörden gleichermaßen richtet. Der BVDW hat in den zurückliegenden Wochen nach zahlreichen Gesprächen und Abstimmungen mit Behörden, Dachverbänden und seinen Mitgliedern seine Kommentare und Stellungnahmen zu den im Fragebogen aufgeworfenen Fragen am 30.06.2016 an die EU-Kommission in Brüssel übersandt.

Der BVDW fordert insbesondere eine sachgerechte und umfassende Überprüfung der Richtlinie mit Blick auf deren telemedienrechtlichen Regelungsansatz. Es ist unbedingt erforderlich, die von der EU-Kommission im Rahmen des REFIT-Programms aufgestellten Kriterien umfassend und praxisgerecht anzuwenden und gleichzeitig auch die von den  Mitgliedsstaaten mitgeteilten Erfahrungen bei der Umsetzung der aktuellen ePR angemessen und kritisch zu berücksichtigen. Dies betrifft vor allen Dingen die überdehnte Auslegung und Anwendung von Art. 5 Abs. 3 ePR auf sämtliche Online-Sachverhalte. Dieses Verständnis war und ist – insbesondere angesichts der nun in Kraft getretenen EU-Datenschutzgrundverordnung (EU-DSGVO) - unvereinbar mit der von der EU-Kommission selbst intendierten Anwendungsreichweite der ePR. Die Überprüfung darf daher nicht dem Zweck dienen, Regelungsbereiche der EU-DSGVO nachträglich neu zu bestimmen.
 
Regelungsgegenstand der ePR ist gemäß Art. 3 ausdrücklich und allein die Sicherstellung der Vertraulichkeit in öffentlichen Kommunikationsnetzwerken und des damit verbundenen Datenverkehrs. Grundlage für die Einführung unter anderem des Art. 5 Abs. 3 ePR waren die vom Europäischen Parlament verabschiedeten und am 25. November 2009 als Richtlinie 2009/136/EG „Rechte der Bürger“ in Kraft getretenen Regelungen zur weiteren Vereinheitlichung und Konkretisierung des europäischen Rechtsrahmens für elektronische Kommunikationsnetze und -dienste.

Nach dem Wunsch des EU-Parlaments sollte unter anderem die Regelung des Art. 5 Abs. 3 ePR die Schaffung von mehr Transparenz und Sicherheit für die Verbraucher allein im Bereich der Telekommunikation ermöglichen. Dennoch wurden und werden diese für einen eng definierten Bereich geschaffenen Vorschriften (namentlich Art. 5 Abs. 3, 13 ePR)  auf den gesamten Online-Bereich und den Datenverkehr über das Internet verstanden und angewandt.
 
Ausnahmen von dem in Art. 3 ePR auf elektronische Kommunikationsdienste beschränkten Anwendungsbereich sind indes nicht vorgesehen. Sachliche Gründe hierfür sind ebenfalls nicht ersichtlich. Vor dem Hintergrund des klaren Überprüfungsauftrags in Erwägungsgrund 173 EU-DSGVO, wonach Kohärenz mit den insoweit einschlägigen Regelungen der Verordnung herzustellen sei, ist zumindest die Klarstellung dringend erforderlich, dass die Vorschriften der Art. 5 Abs. 3 und Artikel 13 ePR nicht auf Dienste d. Informationsgesellschaft anzuwenden sind. Die Ergebnisse der Konsultation werden in die Überarbeitung der Richtlinie fließen. Eine Streichung, zumindest des Art. 5 Abs, 3 ePR wäre hier nach Ansicht des BVDW die beste Lösung.

11. April 2016 - Start der öffentlichen Konsultationen

Evaluierung durch EU-Kommission 2016 - Fragenkatalog

Start der öffentlichen Konsultationen zur ePrivacy-Richtlinie. Die Konsultation soll innerhalb von 12 Wochen am Dienstag, den 5.Juli 2016 abgeschlossen sein.


Da die ePrivacy-Richtlinie nach Auffassung der EU-Kommission die  gerade verabschiedete EU-Datenschutzgrundverordnung in speziellen Teilen weiterführt und begleitende Regelungen enthält. Die Evaluation soll vor allem dazu dienen, ein neben der EU-DSGVO stehenden Rechtsrahmen für Fragen der Privatheit für die Digitale Ära zu schaffen. Folgende Punkte hält die EU-KOMM für in jedem Falle klärungsbedürftig:

  • Konsistenz mit den Regelungen zur EU-DSGVO
  • Überarbeitung des Anwendungsbereiches der ePrivacy-Richtlinie vor dem Hintergrund der neuen Markt und Technikrealitäten
  • Verbesserung von Sicherheit und Vertraulichkeit (Integrität) von Kommunikation
  • Adressierung uneinheitlicher Rechtsdurchsetzung und Rechtsunterschiede in einzelnen Mitgliedsstaaten


Konsultation erfolgt anhand eines umfassenden Fragebogens mit insgesamt 33 Fragen. Sie ist in zwei Teile gegliedert:

  • Abfrage der Wirksamkeit und Geeignetheit der bisherigen Regelungen der Richtlinie bzw. der Umsetzung in den Mitgliedsstaaten
  • Meinungen und Vorschläge hinsichtlich der Überarbeitung


EU-KOMM erwähnt ausdrücklich die Bereiche OBA und Cookies. Es werden allerdings keine anderen Stellungnahmen, als die im Rahmen des Fragebogens akzeptiert. Hier sind pro Fragefeld max. 1500 Zeichen vorgesehen.

Es fragt sich, wie eine solch komplexe Materie auf diese Weise überhaupt verständlich und umfassend behandelt werden soll. Die Art und Weise der direkten Adressierung bestimmter Marktmaßnahmen und die begrenzten Möglichkeiten zur Argumentation im Rahmen des Fragebogens lassen eine stark vorgefasste Richtung der EU-KOMM vermuten.

Ein erster Entwurf der überarbeiteten Richtlinie soll bereits nach der Sommerpause (!) 2016 vorliegen. Anfang 2017 soll dann er Entwurf ins Parlament eingebracht werden. Der Zeitrahmen soll so gehalten werden, dass die neuen Regelungen möglich mit Anwendbarkeit der EU-DSGVO zum 25.05.2018 in Kraft treten können.


2. Hintergrund Cookie-Richtlinie

  • Am 25. November 2009 verabschiedete das Europäische Parlament die als Richtlinie 2009/136/EG „Rechte der Bürger“ in Kraft getretenen Regelungen zur weiteren Vereinheitlichung und Konkretisierung des europäischen Rechtsrahmens für elektronische Kommunikationsnetze- und Dienste.
  • Nach dem Wunsch des EU-Parlaments Schaffung von mehr Transparenz und Sicherheit für die Verbraucher. Neue Datenschutz-Vorgaben hinsichtlich der Voraussetzungen für die Nutzung von auf dem Endgerät eines Nutzers gespeicherten Informationen.
  • Bestimmungen zu Datenschutz wurden 2009 eingeführt. Bilden kein eigenes, neues Regelwerk sondern sahen Änderungen und Anpassungen der Verordnung (EG) Nr. 200/2004 sowie zweier, bereits bestehender Richtlinien, namentlich der Richtlinien 2002/22/EG (Universaldienstrichtlinie) und 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation – ePrivacy-Richtlinie) vor.  Die ePrivacy-Richtlinie ist keine explizit für Telemedien bestimmte Richtlinie sondern betrifft Regelungen zur Vertraulichkeit in der elektronischen Kommunikation, namentlich Telekommunikation, weshalb der deutsche Gesetzgeber die Richtlinie im TKG umgesetzt hat.
  • Eingeführt wurde 2009 u.a. Art.5 Abs.3:
  • Art. 5 Abs. 3 E-Privacy-Richtlinie:
    "(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."
  • Die dort genannten Informationen können dabei in vielfältiger Weise gespeichert und ausgelesen werden. Cookies stellen dabei zwar nur eine mögliche, jedoch die wohl bekannteste Art der Verarbeitungsmöglichkeit dar. Vor allem deshalb hatte sich schnell der Begriff „Cookie-Richtlinie“ eingebürgert.

Bei uns befassen sich diese Gremien mit dem Thema Recht: