23. April 2019Allgemein, Datenschutz

All eyes on ePrivacy – aktueller Stand und wichtigste Fragestellungen

Die DSGVO ist nun seit fast einem Jahr anwendbar und schon kommen wieder Neuigkeiten in Bezug auf den Datenschutz auf viele Unternehmen zu: die ePrivacy-VO steht in den Startlöchern! Wann mit einem Inkrafttreten gerechnet werden kann ist unklar, aber aktuell wurde unter der rumänischen Ratspräsidentschaft Ende Februar 2019 ein neuer Entwurf veröffentlicht. Ein Blick darauf könnte sich insbesondere für die Marketing- und Werbebranche lohnen, da u.a. auch die Datenverarbeitung zu Werbezwecken (insbesondere durch Cookies) fester Bestandteil der Verordnung werden wird.

An den bisherigen Entwürfen gab es immer wieder Kritik, da viele Fragen nicht eindeutig geklärt wurden. So kritisierte die Werbebranche die geplanten strikteren Regelungen zu Cookies, wohingegen Verbraucherschützer auf einen höheren Standard an Datenschutz drängten. Befürchtungen gab es auch, dass auf Verbraucher in Zukunft eine Flut an zu erteilenden Einwilligungen in die Datenverarbeitung zukommt, die sie in der Nutzung des Internets behindert. Diskutiert wurde außerdem das Verhältnis der ePrivacy-VO zur DSGVO und zur Frage, wer Endnutzer eines Endgeräts ist.

Wie sieht es nun aus? Geht der aktuelle Entwurf auf diese Fragen ein? Wie ist der aktuelle Stand in der Diskussion um die ePrivacy-VO?

Ist das Verhältnis zur DSGVO geklärt?

Die ePrivacy-VO soll die DSGVO mit Blick auf die elektronische Kommunikation als bereichsspezifisches Datenschutzrecht präzisieren, ergänzen und diesbezüglich vorrangig anwendbar sein. Am letzten Entwurf wurde jedoch kritisiert, dass er den exakten Anwendungsbereich der ePrivacy-VO nicht eindeutig definiert und daher für die Verantwortlichen Unklarheiten entstehen würden, welche Vorschriften bei der Datenverarbeitung angewendet werden müssen. Um dieses Problem zu lösen, müsse eindeutig definiert werden, wann ein Kommunikationsprozess endet. Ab dem Zeitpunkt, an dem eine Kommunikation geendet ist und noch Daten verarbeitet werden, unterfällt die Datenverarbeitung den Regeln der DSGVO. Die Daten, die während des Kommunikationsprozesses verarbeitet werden, müssen den Regeln der ePrivacy-VO unterfallen. Um diese Unterscheidung vornehmen zu können, muss jedoch das Ende eines Kommunikationsprozesses genau bestimmbar sein.

Art. 1 Abs. 3 des Entwurfs legt weiterhin das grundsätzliche Verhältnis zur DSGVO fest. Allerdings wird der sachliche Anwendungsbereich in Bezug auf die Verarbeitung der elektronischen Kommunikationsdaten im neuen Entwurf nicht genau formuliert. In den Begriffsbestimmungen des Entwurfs wird auch keine Definition des Kommunikationsvorgangs an sich eingeführt.

Somit gibt es immer noch keine Klarheit, wann ein Kommunikationsvorgang endet, welche Daten ihm unterfallen und folglich wann die ePrivacy-VO anwendbar ist. Dies ist jedoch für Kommunkationsdienste wichtig, um zu wissen, nach welchem Regelungswerk sie die Daten verarbeiten dürfen. Auch in den Erwägungsgründen finden sich dazu weiterhin keine klaren Aussagen.

Gibt es Neuigkeiten bzgl. Cookies und Targeting?

Im Gesetzgebungsprozess der ePrivacy-VO ist besonders oft Kritik an den strengen Plänen bzgl. des Einsatzes von Cookies und Targeting laut geworden. So gilt in Deutschland bisher noch, dass auf die Verwendung von Cookies mit einem Banner hingewiesen werden kann (sog. Opt-Out-Lösung). Es wird von der Werbebranche befürchtet und von Verbraucherschützern gewünscht, dass sich Besucher von Webseiten unter der ePrivacy-VO aktiv entscheiden dürfen, ob sie Cookies zulassen oder nicht und die Seite auch bei einer Nichtzulassung genauso verwenden dürfen (sog. Opt-In-Lösung). Die Befürchtungen haben sich kürzlich durch einen Schlussantrag eines EuGH Generalanwalts verstärkt, der darin die Auffassung vertritt, Opt-In sei bereits nach der jetzigen Rechtslage in manchen Fällen verpflichtend.

Dies wäre insbesondere für das Onlinemarketing ein Problem, da dort u.a. das sog. Cookie-Tracking genutzt wird, um bei Onlinekampagnen Zielgruppen genau anzusprechen (sog. Targeting) und so teure Werbemaßnahmen zielgruppengerecht zu steuern. Beim Cookie-Tracking wird ein bestimmter Cookie auf der Festplatte des Endutzers eines Geräts abgelegt, um ihn anschließend wiedererkennen und nachverfolgen zu können. In den bisherigen Entwürfen wurde aus den Erwägungsgründen (21)-(24) deutlich, dass bei den meisten Trackingcookies eine widerrufbare Einwilligung erfolgen muss (Erwägungsgründe (34), (35)). Im Gesetzestext selbst regelten bisher Art. 8 und 9 des alten Entwurfs diesen Bereich.

Im aktuellen Entwurf von Ende Februar wurde noch einmal an den Erwägungsgründen gewerkelt und auch in den Normenhat sich etwas getan. Allerdings hat sich inhaltlich wenig geändert, die Regelungen haben sich hauptsächlich nur an andere Stellen verschoben. Die Verwendung von Cookies wird nun in den Erwägungsgründen (19)-(21a) und weiterhin in Art. 8 des Entwurfs geregelt und Vorgaben zur Einwilligung finden sich in Art. 4a anstatt in Art. 9 des Entwurfs.

Allerdings geben zwei Änderungen Anlass zur Hoffnung bei Werbetreibenden: Zum einen hat sich eine Änderung im Zulässigkeitstatbestand des Art. 8 Abs. 1 lit. c) des Entwurfs ergeben, wonach eine vom Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktion nun möglich ist, wenn sie für die Bereitstellung eines vom Endnutzer gewünschten Dienstes nötig ist. Vorher war noch speziell der Dienst einer Informationsgesellschaft vorausgesetzt. Dass unter Dienste nun auch Targeting fällt, scheint jedoch leider nicht der Fall zu sein. Vielmehr wird sich die Änderung auf IoT-Services beziehen, wie Erwägungsgrund (21) zeigt. Dies kann sich jedoch noch ändern und daher sollte man diesbezüglich die Augen offen halten.

Zum anderen hat sich in Erwägungsgrund (20), der explizit Trackingcookies erwähnt, ein kleines Wörtchen geändert, das viel bewegen kann: aus „und“ wurde „oder“. Danach kann auf das Endgerät des Endnutzers nur zugegriffen werden, wenn eine Einwilligung erteilt wurde oder spezifische Zwecke und Transparenz es erfordern. Die Anforderungen für einen Cookieeinsatz wurden also gesenkt. Auch wenn diese Formulierung sehr ungenau ausgefallen ist, kann sich dies in kommenden Entwürfen oder sogar in der Endfassung noch ändern. Zudem kann nach Erwägungsgrund (20) der Verantwortliche, z.B. der Werbetreibende, einen Dritten beauftragen die Einwilligung einzuholen. So kann auch der Do-not-track-http-Header eingesetzt werden, mit dessen Hilfe Nutzer über ihren Browser einstellen können kein Tracking zuzulassen. Webseiten werden diese Information dann von dem Browser zugeleitet. Maßnahmen vom Betreiber sind dann nicht mehr notwendig, wenn Einstellungen im Browser vorgenommen und diese beachtet werden.

Des Weiteren hat sich im neuen Entwurf zum Glück die Zeitvorgabe der Erinnerungspflicht zum Widerruf der Einwilligung von sechs auf zwölf Monate verlängert. Zweck der Änderung ist vermutlich, dass der Endnutzer von häufigeren Erinnerungen genervt wird und sie dann grundsätzlich ignoriert. Damit hängt auch eng die sog. Einwilligungsmüdigkeit zusammen. Mit diesem Begriff wird das Problem beschrieben, dass viele Endnutzer aufgrund der Flut an zu erteilenden Einwilligungen gereizt sind und sie einfach erteilen. Der Sinn und Zweck einer Einwilligung sich mit der Verarbeitung seiner Daten auseinanderzusetzen wird damit nicht erfüllt. Dieses Problem spricht der neu eingeführte Erwägungsgrund (20a) an und führt die Möglichkeit ein, dass Einwilligungen auch übergreifend für verschiedene Angebote eines Anbieters und für verschiedene Zwecke gegeben werden können.

Wer darf wann Software Updates installieren?

In Art. 8 Abs. 1 lit. e) des Entwurfs wurde ein weiterer Zulässigkeitstatbestand eingeführt. Dieser betrifft Software Updates und besagt, dass unter bestimmten Voraussetzungen vom Endnutzer nicht vorgenommene Software Updates erlaubt sind, wenn sie ausschließlich Sicherheitsgründen dienen. Die meisten Software Updates beheben jedoch nicht nur Sicherheitsmängel, sondern auch andere Mängel in der Software. Letztendlich müsste daher weiterhin für jedes Software Update die Einwilligung des Endnutzers eingeholt werden, da es keine reinen Sicherheitsupdates gibt.

Außerdem ist wie auch in vorangegangenen Entwürfen nicht klar, wer überhaupt Endnutzer ist und ob darunter auch juristische Personen fallen. Die neu eingeführten Erwägungsgründe (19b) und (21a) unterstützen die These, dass Endnutzer immer nur eine natürliche Person sein kann, also ein Individuum, und nicht eine juristische Person wie ein Unternehmen. Der Gesetzgeber beachtet dabei nicht, dass dies dazu führt, dass jeder Angestellte in einem Unternehmen auf dem von ihm genutzten Endgerät einzeln ein Software Update erlauben muss.

Dies darf nicht das Unternehmen, z.B. die IT-Abteilung, selbst erledigen und somit die Updates auf allen von ihren Angestellten genutzten Endgeräten erlauben. Das wird dazu führen, dass der Arbeitgeber abhängig von der Einwilligung seiner Angestellten ist, wenn er neue Programme installieren möchte. Der Entwurf stellt sich in dieser Hinsicht daher als unpraktisch und realitätsfern heraus. Außerdem können sich Sicherheitsrisiken für ein Unternehmen ergeben, wenn wichtige Software Updates von einzelnen Angestellten nicht erlaubt werden, die auch Sicherheitsdefizite beheben sollen.

Wie wird die Industrie 4.0 integriert?

Einen weiteren Fokus, den die ePrivacy-VO setzen sollte, um auf die immer noch schnell entwickelnde Digitalisierung vorbereitet zu sein, ist die sog. Industrie 4.0. Schon im letzten Entwurf haben die Erwägungsgründe die grundsätzliche Anwendbarkeit der ePrivacy-VO auf die Maschine-zu-Maschine-Kommunikation (M2M Kommunikation) sowie das Internet der Dinge (IoT-Services) erläutert, indem vom Endgerät erhobene Daten personenebezogene Daten im Sinne der DSGVO sein können und daher die ePrivacy-VO auch für diese Art der Kommunikation Anwendung findet.

Genauere Vorgaben enthält Art. 8 Abs. 2 des Entwurfs wie auch schon in der alten Fassung. Darin enthalten ist ein grundsätzliches Verbot der Verarbeitung von Daten, die durch die M2M Kommunikation erhoben werden können. Ausnahmen sind jedoch aufgezählt und im neuen Entwurf kann nun gem. Art. 8 Abs. 2 lit. b) des Entwurfs der Endnutzer des Geräts eine Einwilligung zur Datenverarbeitung erteilen. Dies ist auch darauf zurückzuführen, dass nach Erwägungsgrund (21) IoT-Services nun die Datenverarbeitung erleichtert werden soll, was sich anscheinend in Art. 8 Abs. 1 lit. c) niedergeschlagen hat (s.o.). Allerdings wurde im Gegenzug dazu in den Erwägungsgründen (19) – (20) nochmals deutlich gemacht, dass auch Datensicherheit im Bereich der Industrie 4.0 erreicht werden muss.

Was ist die zuständige Aufsichtsbehörde?

Im aktuellen Entwurf wurde sich nochmal mit der Frage auseinandergesetzt, welche Behörden die Anwendung der ePrivacy-Verordnung überwachen sollen. Diesbezüglich gab es schon in älteren Entwürfen oft Änderungen. In einem Entwurf regelte Art. 18, dass die Aufsichtsbehörden der DSGVO auch für die Überwachung der ePrivacy-Verordnung zuständig sein sollen. Im aktuellen Entwurf wird zwischen personenbezogenen Daten und nicht personenbezogenen Daten unterschieden. Bei der Erhebung von personenbezogenen Daten sind weiterhin die Aufsichtsbehörden nach der DSGVO zuständig. Für nicht personenbezogene Daten werden neue Aufsichtsbehörden eingerichtet.

Bei dieser Regelung drängt sich jedoch die Frage auf, welche Aufsichtsbehörde zuständig ist, wenn sowohl personenbezogene als auch nicht personenbezogene Daten betroffen sind? Art. 18 Abs. 2 des Entwurfs ermöglicht in diesem Zusammenhang eine Kooperation der Aufsichtsbehörden. Ob dies auch in der endgültigen Fassung so geregelt sein wird ist fraglich, da eine Kooperation zwischen mehreren Behörden immer undurchsichtiger ist, als wenn nur eine Behörde zuständig ist.

Wie viel Zeit bleibt noch?!

Eine letzte Frage, die für Unternehmen noch interessant ist, wird im aktuellen Entwurf neu beantwortet. Da die ePrivacy-VO genau wie die DSGVO mit Hilfe von hohen Bußgeldverfahren bei Nichtbeachtung arbeiten wird, ist nun die für Unternehmer dringendste Frage vermutlich wie viel Zeit bleibt, um die Anforderungen umzusetzen. Sie werden sehr begrüßen, dass Art. 29 des Entwurfs eine zweijährige Implementierungsphase zwischen Inkrafttreten und Anwendbarkeit einführt.

Fazit und Handlungsempfehlung

Der aktuelle Entwurf der ePrivacy-VO hat viele Fragen angesprochen und Lösungsansätze dafür geliefert. Kritikfest sind diese Lösungen allerdings nicht. Das Zusammenspiel mit der DSGVO ist noch nicht eindeutig geklärt, da der Anwendungsbereich nicht exakt definiert ist. In Bezug auf Software Updates gibt es Neuigkeiten, die in der Praxis jedoch kaum Relevanz haben werden. Zudem wurde sich nochmal mit der Industrie 4.0 auseinandergesetzt. Deren Unternehmen sollen zwar in bestimmten Fällen mehr Möglichkeiten zur Datenverarbeitung bekommen, wobei aber nochmals unterstrichen wurde, dass sie auf den Datenschutz großen Wert zu legen haben.

Unternehmen im Bereich der Werbung und des Onlinemarketings sollten die Entwicklungen im Auge behalten, auch wenn sich für sie im aktuellen Entwurf nicht viel geändert zu haben scheint. Die Änderungen im Bereich des IoT-Services zeigen jedoch, dass sich der Gesetzgeber in dem Bereich von den sehr strengen Regelungen entfernt. Eventuell kann dies im nächsten Entwurf auch für die Datenverarbeitung in anderen Bereichen gelten. Beobachten sollte man auch, wie sich die Änderung in Erwägungsgrund (20) auswirken wird und ob die auch noch in der Endfassung bestehen bleiben wird.

nach oben
Mehr zum Thema

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.