Auf der Webseite von politico.eu wurde gestern ein Entwurf für eine neue ePrivacy-Verordnung der Europäischen Kommission veröffentlicht (pdf). Diese Verordnung soll die bisher geltende Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG in der Fassung durch RL 2009/136/EG) ersetzen und inhaltlich mit der bereits in Kraft getretenen Datenschutz-Grundverordnung abstimmen.
Ob es sich bei dem nun veröffentlichten Entwurf tatsächlich um den letzten Stand handelt oder wie am Ende der offiziell veröffentlichte Entwurf für eine ePrivacy-Verordnung (ePrivacy-VO) aussieht, lässt sich momentan noch nicht sagen. Daher sollte man in jedem Fall im Hinterkopf behalten, dass es auch noch inhaltliche Änderungen an diesem Entwurf geben kann. Nichtsdestotrotz möchte ich nachfolgend einige interessante Aspekte der vorgeschlagenen Verordnung ansprechen.
Verhältnis zur Datenschutz-Grundverordnung (DSGVO)
Sowohl aus den Erwägungsgründen (5 und 7) als auch aus den Artikeln des Entwurfs (insbesondere Art. 1 Abs. 3) wird deutlich, dass die geplante ePrivacy-VO die speziellere Regelung gegenüber der DSGVO sein wird. Soweit also der Anwendungsbereich der ePrivacy-VO eröffnet ist, tritt die DSGVO zurück. Da die ePrivacy-VO jedoch weit weniger umfassende Regelungen trifft als die DSGVO, werden viele Vorgaben der DSGVO die Lücken in der ePrivacy-VO füllen. Dies betrifft etwa die Rechte der Betroffenen (vgl. Ziffer. 1.2. ePrivacy-VO).
Keine Regelung zur Vorratsdatenspeicherung
Ausdrücklich macht die Kommission in ihren Verordnungsentwurf klar, dass sie keine spezifischen Vorgaben zu einer Speicherung von Daten auf Vorrat vorsieht (Ziffer 1.3.; am Ende). Die Kommission stellt doch gleichzeitig klar, dass die Mitgliedstaaten weiterhin die Möglichkeit besitzen, nationale Regeln zu einer Vorratsdatenspeicherung beizubehalten oder zu kreieren.
Anwendungsbereich der ePrivacy-VO
Nach Art. 2 Abs. 1 soll die Verordnung für die Verarbeitung elektronischer Kommunikationsdaten im Zusammenhang mit der Bereitstellung und Benutzung elektronischer Kommunikationsdienste gelten. Hiervon umfasst sind nach der Begriffsbestimmung in Art. 4 Abs. 2 lit. (b) sowohl Inhalts- als auch Metadaten.
Wichtig ist zudem der Hinweis darauf, dass sich der Anwendungsbereich nach Art. 2 Abs. 1 auch allein auf „Informationen“ erstreckt, die sich auf die Endgeräteinrichtungen von Endnutzern beziehen. Umfasst sind damit von der Verordnung also nicht nur klassische Kommunikationsdaten.
Räumlich soll die ePrivacy-VO, den Regelungen der DSGVO entsprechend, einen weiten Anwendungsbereich haben (vergleiche Art. 3). Insbesondere ist sie anwendbar auf die Verarbeitung elektronischer Kommunikationsdaten im Zusammenhang mit der Bereitstellung von elektronischen Kommunikationsdiensten in der Europäischen Union, unabhängig davon, ob die Verarbeitung selbst in der Europäischen Union stattfindet oder nicht. Der räumliche Anwendungsbereich erstreckt sich auch auf den Schutz von Informationen bezogen auf Endgeräte von Nutzern, die sich in der Europäischen Union befinden (vgl. Art. 3 Abs. 1 lit (a)).
Räumlich ist die ePrivacy-VO auch auf eine Verarbeitung elektronischer Kommunikationsdaten anwendbar, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste außerhalb der Europäischen Union an Endnutzer in der Europäischen Union steht. Auch diese Regelung erinnert an die neuen Vorgaben der DSGVO (vgl. Art. 3 Abs. 1 lit. (b).
Neue Pflichten für OTT-Dienste
Im Rahmen der Diskussionen zu der Neuregelung der ePrivacy-VO wurde stets auch eine Erweiterung des Anwendungsbereichs auf sogenannte OTT-Dienste erörtert. Diese Erweiterung soll nun tatsächlich mit der ePrivacy-VO kommen. Nach Auffassung der Kommission (siehe Erwägungsgrund 13) hat die bisherige Situation, dass Anbieter von over-the-top-Diensten nicht den Pflichten der bisher geltenden ePrivacy-Richtlinie Unterlagen, dazu geführt, dass ein unzureichender Schutz der Vertraulichkeit der Kommunikation existierte. Aus diesem Grund müsse der Anwendungsbereich der existierenden Richtlinie mit der nun vorliegenden Verordnung erweitert werden.
Internet der Dinge und Industrie 4.0
Ausdrückliche Erwähnung findet in den Erwägungsgründen (14) auch das Internet der Dinge vernetzte Geräte und Maschinen. Der Fokus der Kommission liegt im Rahmen dieses Entwurfs jedoch nicht nur auf eine Kommunikation zwischen Maschine und einem Endbenutzer sondern ausdrücklich auch auf der Kommunikation zwischen zwei Maschinen. Informationen, die im Rahmen der vernetzten Industrie und auch verletzter Haushaltsgeräte zwischen zwei Geräten ausgetauscht werden, können auch personenbezogene Daten im Sinne der DSGVO enthalten.
Um dem Schutz der Privatsphäre und auch der vertraulichen Kommission größtmögliche Rechnung zu tragen stellt die Kommission klar, dass die ePrivacy-VO auch für die Maschine-Maschine-Kommunikation und damit also auch für den Informationsaustausch zwischen vernetzten Geräten selbst, etwa im Rahmen der Industrie 4.0, Anwendung findet.
„Cookie-Regelung“
Eines der umstrittensten Themen bereits unter der geltenden ePrivacy-Richtlinie und dann auch im Zuge der Diskussion um deren Überarbeitung war die Frage nach dem regulatorischen Umgang mit Cookies und anderen Techniken, mit denen auf Informationen in Endgeräten von Nutzern zugegriffen wird bzw. Informationen auf Endgeräten von Nutzern abgelegt werden.
Vorgaben hier zu finden sich in Art. 8 ePrivacy-VO. Grundsätzlich soll nach Art. 8 Abs. 1 verboten sein, die Rechen- und Speicherleistung eines Endgerätes zu nutzen und auch Informationen über Endgeräte eines Endnutzers (einschließlich Informationen über Software und Hardware) zu erheben.
Von diesem Grundsatz gibt es einige wenige Ausnahmen. Unter anderem dann, wenn es erforderlich ist für den alleinigen Zweck der Übertragung der Kommunikation über ein elektronisches Kommunikationsnetzwerk oder aber wenn der Endnutzer zuvor dieser Datenerhebung oder der Nutzung der Speicherkapazität seines Endgeräts zugestimmt hat.
Nicht erforderlich ist eine Einwilligung beim Einsatz von Cookies auch dann, wenn ihre Verwendung für die Nutzung eines bestimmten Dienstes erforderlich ist und ausdrücklich von dem Endbenutzer gewünscht wird. In Erwägungsgrund 25 wird beispielhaft ein Cookie zur Personalisierung einer Benutzeroberfläche erwähnt, insbesondere etwa auch um Spracheinstellungen zu speichern. Hierzu gehören nach dem Erwägungsgrund 25 auch solche Cookies, die die Eingaben von Nutzer speichern, während dieser über mehrere Webseiten hinweg Formulare ausfüllt.
Insgesamt sind die Erwägungsgründe 25 bis 28 durchaus lesenswert. In Erwägungsgrund 26 wird konstatiert, dass derzeit sich die Nutzer im Internet bei der Erteilung von Einwilligungen einer Informationsüberflutung gegenübersehen und daher zum Einsatz zentralisierter, transparenter und benutzerfreundlicher Einstellungen zur Privatsphäre „ermutigt“ werden soll. Grundsätzlich wird auch klargestellt, dass die Einstellungen im Browser oder in der Anwendung durch einen Nutzer als Einwilligung in die Verarbeitung von Daten angesehen werden kann.
Interessant ist die neue Regelung in Art. 8 Abs. 2. Diese befasst sich mit dem oben bereits erwähnten erweiterten Anwendungsbereich der ePrivacy-VO auf die Maschinen-Maschinen-Kommunikation und dem Internet der Dinge. Nach Art. 8 Abs. 2 ist der Erhebung von Daten (Achtung: nicht etwa nur elektronischen Kommunikationsdaten), die von Endgeräten ausgesendet werden, um eine Verbindung mit einem anderen Gerät oder einem Netzwerk herzustellen, ebenfalls grundsätzlich ausgeschlossen. Auch hier bestehen jedoch Ausnahmen. Die Erhebung solcher Daten ist dann gestattet, wenn dies ausschließlich dem Zweck einer Verbindungsaufbau zwischen den Geräten dient. Außerdem ist Erhebung und Nutzung solcher Daten auch für Werbezwecke möglich (Art. 8 Abs. 2 lit. (b)), jedoch ist hierfür erforderlich, dass ein klarer und deutlicher Hinweis über die Umstände der Erhebung, die Zwecke, den Verantwortlichen und jene Maßnahmen erteilt wird, die Endbenutzer der Endgeräte unternehmen können, um den Erhebungsumfang zu verringern. Sollten solche Daten für Werbezwecke oder das Pro feilen genutzt werden, so hat der Nutzer ein Widerspruchsrecht wie dies in Art. 21 DSGVO vorgesehen ist.
Zusätzlich, und dies ist insbesondere auch für Unternehmen im Bereich der Industrie 4.0 und der vernetzten Geräte interessant, müssen angemessene technische und obligatorische Maßnahmen getroffen werden um ein angemessenes Sicherheitsniveau zu schaffen. Auch hier verweist der Verordnungsentwurf auf die DSGVO, nämlich Art. 32.
Beschränkungen durch die Mitgliedstaaten
Nach Art. 11 ePrivacy-VO ist es den Mitgliedstaaten jedoch auch gestattet, in gewissen Grenzen die Rechte und Pflichten welche in den Artikeln 5,6, 7 und 8 vorgesehen sind zu begrenzen. Diese Möglichkeit der Beschränkung erinnert ebenfalls an jene in der DSGVO. Auch hier dürfte sich da das Problem ergeben, dass es zur abweichenden Regelung in den verschiedenen Mitgliedstaaten kommen kann, und der Harmonisierungseffekt der Verordnung zumindest nur bis zu einem gewissen Grad erreicht wird.
Einwilligung
Was die Einwilligung anbelangt, so verweist die ePrivacy-VO auf die Vorgaben der DSGVO. Dennoch sieht Art. 9 ePrivacy-VO einige Spezialitäten bei der Einwilligung vor. So wird etwa ausdrücklich darauf hingewiesen, dass die Einwilligung auch durch die Nutzung angemessener technischer Einstellungen von Softwareprodukten erteilt werden kann, die den Zugang zum Internet ermöglichen. Hier scheint die Europäische Kommission also insbesondere Webbrowser im Blick zu haben.
Zudem sollen Nutzer, die in die Verarbeitung elektronischer Kommunikationsdaten eingewilligt haben, stets die Möglichkeit haben, ihre Einwilligung mit Wirkung für die Zukunft zu widerrufen und zusätzlich in periodischen Intervallen von 6 Monaten diese Widerrufsmöglichkeit haben. Diese letzte Verpflichtung erscheint jedoch etwas unverständlich, da ja ohnehin stets eine Widerrufsmöglichkeit existiert. Die Vorgabe einer periodischen Widerrufsmöglichkeit alle 6 Monate lässt sich daher eventuell nur so verstehen, dass das Unternehmen alle 6 Monate den jeweiligen Nutzer darauf hinweisen muss, dass er seine Einwilligung widerrufen kann.
Privacy by Design
In Erwägungsgrund 28 wird vorgesehen, dass Softwareanbieter dazu verpflichtet werden sollten, Software am Markt nur mit Privatsphäre-freundlichen Einstellungen zu vertreiben. Insbesondere hiervon umfasst sind Anbieter von Webbrowsern oder andere Software, mit denen man im Internet surfen kann. Zudem möchte die Kommission vorsehen, dass Nutzer beim 1. Aktivieren der Software ihre Privatsphäre Einstellungen wählen müssen. Nimmt ein Nutzer dann keine Einstellungen vor, soll der Webbrowser die Voreinstellung besitzen, dass er jegliche Speicherung durch Cookies von Dritten oder andere Art von Zwecken nicht gestattet.
In Art. 10 befasst sich die ePrivacy-VO ausdrücklich mit dem Prinzip des Privacy by Design. Nach Abs. 1 müssen die Einstellungen aller Komponenten eines Endgerätes, welches im europäischen Markt vertrieben wird, als Grundeinstellung vorsehen, dass Dritte keine Informationen auf dem Endgerät speichern können oder Informationen aus diesem Endgerät erheben können. Für Softwareanbieter sieht Abs. 2 eine ähnliche Verpflichtung vor.
Bei den Verpflichtungen des Art. 10 fragt man sich freilich, welche Pflichten Adressaten hier angesprochen sind. Denn bei dem Hersteller eines Endgerätes oder bei dem Softwarehersteller muss es sich nicht stets um den Anbieter eines elektronischen Kommunikationsdienstes handeln. Der Anwendungsbereich der ePrivacy-VO erstreckt sich nach ihm Art. 2 Jahr aber grundsätzlich nur auf die Verarbeitung elektronischer Kommunikationsdaten oder aber zumindest die Verarbeitung von „Informationen“ in Bezug auf Endgeräte. Die in Art. 10 beschriebenen Pflichten setzen aber bereits in der Produktionskette eher an. Man wird hier abwarten müssen, ob es noch eine entsprechende Anpassung des Art. 10 gibt.
Vorgaben für Werbung
Wie bisher wird auch die ePrivacy-VO gewisse Regelungen zur Nutzung elektronischer Kommunikationsdienste für Werbezwecke vorsehen. Grundsätzlich soll nach Art. 16 Abs. 1 die Nutzung elektronischer Kommunikationsdienste für den Zweck der Übertragung von Direktwerbung nur nach vorheriger Einwilligung des Endnutzers gestattet sein.
Art. 16 Abs. 2 macht hiervon eine Ausnahme für den bereits jetzt bekannten Fall, dass eine Kundenbeziehung zwischen den werbenden und dem Endnutzer existiert. Ausdrücklich wird jedoch darauf Bezug genommen dass es sich um ein „Kunden“ handeln muss und etwa ein Unternehmen von diesem elektronische Kontaktdaten im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung erhalten hat. Dieser Schritt der Erhebung der elektronischen Kontaktdaten unterliegt nach Art. 16 Abs. 2 der DSGVO und muss den Vorgaben eben dieser entsprechen. Grundsätzlich hat der Kunde dann auch jederzeit ein Recht, der Direktwerbung zu widersprechen.
Aufsichtsbehörden und Kooperation
Zudem ist noch darauf hinzuweisen, dass Art. 19 ePrivacy-VO vorsieht, dass die Regelungen des Kapitels 2 der ePrivacy-VO durch die nationalen Datenschutzbehörden überwacht werden sollen. Art. 19 Abs. 2 verweist ja ausdrücklich auf die Aufsichtsbehörden, welche auch für die Überwachung der Einhaltung der DSGVO zuständig sind.
Diese ausdrückliche Zuweisung ist insbesondere deshalb interessant, weil sie einmal inhaltlich wichtige Pflichten der geplanten ePrivacy-VO umfasst, wie die Vorgaben zur Einwilligung, zur Zulässigkeit der Verarbeitung elektronischer Kommunikationsdaten, zum Einsatz von Cookies und anderen ähnlichen Technologien oder auch zu den Vorgaben des Privacy by Design. In Deutschland wären dann alle Landesaufsichtsbehörden und nicht etwa nur exklusiv die Bundesbeauftragte für den Datenschutz im Rahmen ihrer Zuständigkeit für Telekommunikationsunternehmen, für die Überwachung und Durchsetzung des Kapitels II der ePrivacy-VO zuständig.
Bußgelder
In Art. 25 werden die Vorgaben für die Verhängung von Bußgeldern beschrieben. Diese sind in weiten Teilen an jene Regelungen der DSGVO angelehnt. Dies bedeutet gleichzeitig auch, dass die Höhe der möglichen Bußgeldbeträge auf 4 % des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres eines Unternehmens festgesetzt wird.
Ab wann ist die ePrivacy-VO anwendbar?
Auf diese Frage findet sich in dem Entwurf noch keine Antwort. Im Unterschied zu DSGVO ist jedoch in Art. 31 Abs. 2 vorgesehen, dass die ePrivacy-VO 6 Monate nach dem Datum des Inkrafttretens anwendbar sein soll. Die Übergangszeit ist hier also deutlich kürzer bemessen als mit Blick auf die zwei Jahre bei der DSGVO. Dies ist im Endeffekt aber auch konsequent, da es der Plan der europäischen Kommission sein wird, die DSGVO und auch die neue ePrivacy-VO dem Grunde nach zeitgleich zur Anwendung zu bringen. Die kürzere Frist zur Umstellung auf die neuen Vorgaben der ePrivacy-VO bedeutet für Unternehmen aber gleichzeitig auch erhöhten Anpassungsbedarf und –druck.