ePrivacy-Verordnung: Was sind die aktuellen Entwicklungen?

Ab dem 25. Mai 2018 findet die Datenschutz-Grundverordnung (DSGVO) Anwendung. Sie verfolgt unter anderem das Ziel, einheitliche Standards für den Datenschutz in Europa zu schaffen und den Datenschutz an den technischen Fortschritt anzupassen. Ergänzend dazu sollte ursprünglich ebenfalls am 25. Mai 2018 die sog. ePrivacy-Verordnung als Nachfolger der entsprechenden Richtlinie Anwendung finden. Bei dieser handelt es sich ebenfalls um einen EU-Rechtsakt, der unmittelbar in den Mitgliedstaaten gilt, ohne, dass er in nationales Recht umgesetzt werden muss. Die ePrivacy-Verordnung (ePVO) soll vor allem die Privatsphäre innerhalb des elektronischen Datenverkehrs schützen und dient damit dem Datenschutz in Fällen elektronischer Kommunikation. Im neuesten Vorschlag des Ratspräsidenten vom 13.04.2018 wurde in den Erwägungsgründen 2a, 2aa und 3 das Verhältnis zur DSGVO klargestellt. Erwägungsgründe dienen den Rechtsanwendern, die Vorschriften im Sinne des Gesetzgebers auszulegen. Die ePrivacy-Verordnung geht der Anwendung der DSGVO vor und erweitert den Anwendungsbereich auch auf juristische Personen im Bereich der elektronischen Kommunikation.

Wie wird die Cookie-Nutzung geregelt?
Bisher gilt in Deutschland gemäß § 15 Abs. 3 S. 1 des Telemediengesetzes (TMG) für die Verwendung von Cookies die sog. Opt-Out-Lösung, das heißt Unternehmen, die beim Aufrufen z.B. der eigenen Websites Cookies verwenden wollen, müssen Nutzer über die Verwendung von Cookies informieren und diesen die Möglichkeit geben, der Nutzung von Cookies zu widersprechen. Die Regelungen lassen sich auf die ePrivacy- und Cookie-Richtlinie zurückführen. Dies geschieht bisher in der Regel durch sog. „Cookie-Banner“, die beim Aufrufen entsprechender Websites eingeblendet werden. Da diese Regelung von der EU-Kommission für richtlinienkonform erklärt wurde, können Unternehmen bis 2018 entsprechend verfahren.
Auch wenn die Nutzer der Datenerhebung nicht widersprochen haben, ist es jedoch erforderlich, dass die Daten pseudonymisiert erhoben werden gem. § 15 Abs. 3 TMG. Das heißt vor allem, dass keine Rückschlüsse auf die Identität eines einzelnen Nutzers möglich sein dürfen. Ein Zusammenschluss zu Nutzergruppen zum Zwecke der Profilbildung bzw. für Marketingzwecke ist aber möglich, wenn der Nutzer nicht widerspricht. Will ein Unternehmen darüber hinaus Direktmarketing betreiben, so muss es die Einwilligung des Nutzers einholen.
Im jetzigen Vorschlag vom 13.04.2018 zur ePrivacy-Verordnung gibt es unter anderem eine Änderung des Artikel 16 von einer Erlaubnisnorm zu einer Verbotsnorm mit Erlaubnisvorbehalt. Daraus lässt sich ableiten, dass im Bereich des Direktmarketings strengere Regulierungen erfolgen sollen und Direktmarketing ohne die Einwilligung des Betroffenen nicht erfolgen soll.

Welche Rolle spielen Browser in der ePrivacy-Verordnung?
Die Regelung des Artikel 10 der ePrivacy-Verordnung, Vorschlag vom 13.04.2018, bezieht sich auf Software, die die elektronische Kommunikation, den Abruf und die Präsentation von Informationen im Internet erlaubt. Ein Browser ist ein typisches Beispiel für eine Software, die den genannten Zwecken dient.
Das Speichern von Cookies durch Browser wurde im jetzigen Vorschlag nochmals angepasst. Cookies sind kleine Textdateien, die vom Browser auf der Festplatte des Endgeräts gespeichert werden. Cookies werden bei erneutem Besuch der Website genutzt, um personalisierte Informationen zu übermitteln und einen individuell angepassten Inhalt von der Website zu erhalten. Da bei dieser Datenverarbeitung der Browser als Intermediär fungiert, sollen Softwarehersteller verpflichtet werden, bestimmte Einstellungsmöglichkeiten zur Privatsphäre und zum Cookie-Management bereitzuhalten. Jedoch werden sie im Vergleich zum vorherigen Vorschlag, vom 22.03.2018, von mehreren Verpflichtungen befreit. Es wird im Erwägungsgrund 23, des Vorschlags vom 13.04.2018, nicht mehr explizit von der Verpflichtung zu einer nutzerfreundlichen Voreinstellung nach dem Grundsatz data protection by design and default gesprochen. Es wird nur noch gefordert, dass die Möglichkeit bestehen muss, Einstellungen leicht erkennbar und verständlich zu ändern.
Entgegen der vorherigen Fassung vom 22.03.2018 ist eine intervallweise vorzunehmende Hinweispflicht auf die Privatsphäreneinstellung nicht mehr vorgesehen. Der Browseranbieter muss den Nutzer lediglich bei Installation oder erstmaliger Nutzung und bei jedem Update über die Privatsphäreneinstellungen informieren und den Nutzer durch die Privatsphäreneinstellungen leiten. Updates dürfen keine Veränderung der Privatsphäreneinstellungen bewirken und müssen den vorherigen Einstellungen des Nutzers entsprechen.

Fazit
Bis zum Inkrafttreten der Verordnung können sich zentrale Regelungen der Verordnung noch ändern. Der jetzige Vorschlag vom 13.04.2018 könnte in der nächsten Diskussion modifiziert werden, jedoch ist festzuhalten, dass durch die letzte Änderung Abstand genommen wurde von einer reinen Hinweispflicht auf die Privatsphäreneinstellungen, welche in Intervallen erfolgen sollte. Das Leiten des Nutzers durch die Privatsphäreneinstellung, ehe die Software genutzt werden kann, verspricht einen besseren Ansatz zum Schutz der Nutzer. Ihnen werden verschiedene Optionen bei der Wahl ihrer Privatsphäreneinstellungen angeboten und sie werden über die Risiken ihrer Wahl informiert. Der Vorschlag bleibt aber inkonsequent beim Schutz der Nutzer, da die Verpflichtung zu nutzerfreundlichen Standardeinstellungen durch Browser nicht mehr vorliegt. Es bleibt abzuwarten, welche Verpflichtungen Browser-Hersteller zum Schutz der Nutzer treffen werden und wie deren Rolle in konkreter Form aussehen wird.

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.