Aktuelle Informationen zur ePrivacy-Verordnung

An dieser Stelle informieren wir Sie fortlaufend über den Stand des Gesetzgebungsverfahrens zur geplanten ePrivacy-Verordnung.

Update 03.03.2020

Die kroatische Ratspräsidentschaft hat weitere Änderungen an der ePrivacy-Verordnung vorgeschlagen.

Bei diesen zusätzlichen Änderungen geht es um den Schutz von Endgeräteinformationen der Endbenutzer und die erlaubte Verarbeitung von elektronischen Kommunikationsdaten sowie Änderungen an Erwägungsgrund 12 bezüglich Machine-to-machine- und Internet-of-things-Diensten.

UPDATE 21.02.2020

Die kroatische Ratspräsidentschaft hat ihren ersten überarbeiteten ePrivacy Text veröffentlicht.

Änderungen werden in den Artikeln 6 und 8 und den damit verbundenen Erwägungen vorgeschlagen.
Zwei bevorstehende WP TELE-Sitzungen am 5. und 12. März werden der Prüfung der vorgeschlagenen Änderungen gewidmet sein. 
Anfang Februar gab die Ratspräsidentschaft bereits ein erstes „Non-Paper“ heraus, in dem grundlegende Änderungen am Text vorgeschlagen wurden, darunter die Streichung von Artikel 8 insgesamt.

UPDATE 04.12.2019

Digitalkommissar Breton offenbar für Neuausrichtung bei ePrivacy-Verordnung

Auf dem gestrigen Treffen des Telekommunikationsrates hat der neue EU-Digitalkommissar Thierry Breton offenbar eine komplette Neuausrichtung der Verhandlungen um die geplante ePrivacy-Verordnung vorgeschlagen. Angesichts der noch immer bestehenden Unstimmigkeiten zwischen den Mitgliedsstaaten war es der finnischen Ratspräsidentschaft zuletzt nicht gelungen, einen Gemeinsamen Standpunkt zum Verordnungsentwurf zu erzielen. In der Sitzung hatten Vertreter verschiedener Mitgliedsstaaten die Diskussionslage als insgesamt nicht zufriedenstellend kritisiert. Daraufhin sei ein neuer Vorschlag ins Spiel gebracht worden sein. Auf der nachfolgenden Pressekonferenz stellte Breton klar, mit jedem Vertreter sowie dem EU-Parlament sprechen zu wollen, um hier zu einem Fortschritt zu gelangen. Nach seiner Aussage seien hier allerdings „alle Optionen offen“. Konkrete Schritte sind, auf Nachfrage, jedoch noch nicht geplant. Man wolle sich die Lage allerdings weiter anschauen. Hier sei vor allem die Rolle der Plattformen ein weiter zu besprechendes Thema.

Der BVDW unterstützt sein Langem die Idee einer Neuausrichtung der festgefahrenen Verhandlungen. Hier kann die Abtrennung der nach wie vor strittigen Cookie-Regelungen und eine zukunftsgerichtete Neubefassung unter Berücksichtigung der laufenden Evaluierung der DSGVO ein geeigneter Weg sein. Dieser Vorschlag war auch Gegenstand mehrerer Verbändebriefe der digitalen Wirtschaft an die europäische und deutsche Politik.

UPDATE 25.11.2019

ePrivacy-Text fällt in COREPER durch

Der Ausschuss der ständigen Vertreter der EU-Mitgliedsstaaten (COREPER) hat auf seiner Sitzung am letzten Freitag (22.11.2019) den seitens der finnischen Ratspräsidentschaft vorgelegten Textentwurf für eine ePrivacy-Verordnung als Grundlage für die Beschlussfassung über einen Gemeinsamen Standpunkt des Europäischen Rates abgelehnt. Dies hätte ansonsten in der nächsten Sitzung des Telekommunikationsrates (WP TELE) am 03.Dezember auf der Tagesordnung gestanden. Damit wird es – anders als seitens der Präsidentschaft geplant – nun doch nicht mehr zur Aufnahme von Trilogverhandlungen in diesem Jahr kommen.

Die Nachricht ist zunächst eine grundsätzlich begrüßenswerte, auch wenn ein Ende des Gesetzgebungsverfahrens damit einmal mehr in die Ferne rückt. Angesichts der zahlreichen widerstreitenden Interessen und der wachsenden Erkenntnis, dass die bislang vorgelegten Formulierungen keine zukunftsfähige Lösung für die komplexen Anforderungen des Digitalmarktes darstellen, liegt hierin jedoch die Chance, das Dossier neu zu denken. Bereits seit Veröffentlichung des Kommissionsentwurfs im Jahre 2017 waren insbesondere die zu befürchtenden, negativen Konsequenzen für die Angebots- und Wettbewerbsvielfalt einer der Hauptkritikpunkte an dem Entwurf.

UPDATE 20.11.2019

BVDW unterzeichnet weiteren Verbändebrief zu ePrivacy-Verordnung

Nachdem sich der BVDW bereits auf europäischer Ebene gegen die Beschlussfassung des aus Sicht der Digitalwirtschaft unzureichenden Textes einer ePrivacy-Verordnung ausgesprochen hatte, sind entsprechende Bedenken noch einmal an die relevanten Ministerien in Deutschland getragen worden. Am 22. November 2019 soll im Ausschuss der ständigen Vertreter der EU-Mitgliedsstaaten (COREPER) eine Abstimmung darüber stattfinden, ob der zuletzt gefundene Entwurf Grundlage für die Trilogverhandlungen werden kann. Der BVDW ist Unterzeichner eines weiteren Verbändebriefes.

UPDATE 18.11.2019

Ratspräsidentschaft mit weiterem Textentwurf  - neue Erwägungen zu notwendigen Speicherungen

In Vorbereitung der angestrebten gemeinsamen Ausrichtung und als Grundlage für eine Freigabe durch den Ausschuss der ständigen Vertreter der Mitgliedsstaaten (COREPER) zur Aufnahme von Trilogverhandlungen hat die finnische Ratspräsidentschaft weitere Ergänzungen am Kompromisstext zur erivacy-Verordnung vorgenommen.

Ausführlich diskutiert wurde in den Meetings der Ratsarbeitsgruppe unter anderem die Frage der Verarbeitung von elektronischen Kommunikationsdaten zum Zwecke der Prävention von Kindesmissbrauchsbildern. Obwohl es Unterstützung für die Behandlung dieses Themas auf EU-Ebene gab, hatten die Delegationen unterschiedliche Auffassungen darüber, ob und wie dies im Vorschlag zum Datenschutz im Internet geschehen soll. Im jetzt veröffentlichten Text ist eine permanente Lösung vorgeschlagen, die eine dauerhafte Erlaubnis für eine solche Verarbeitung unter Beachtung geeigneter Schutzvorkehrungen für den Rahmen einer solchen Verarbeitung bietet.

Eine Änderung enthält der Text nun für die Erlaubnis der Verarbeitung elektronischer Kommunikationsdaten durch die Anbieter elektronischer Kommunikationsnetze und -dienste, wenn dies „notwendig“ für die Erbringung des Dienstes ist. Als Vorteil dieser Lösung wird angeführt, dass der Begriff "elektronischer Kommunikationsdienst" im Kodex für elektronische Kommunikation klar definiert ist und so gleichzeitig ein flexiblerer Verarbeitungsgrund etabliert wird, der mehr erlaubt als die bloße Übertragung der Kommunikation. Erfasst ist damit nun auch die Speicherung der Nachrichten, wenn dies für den Dienst erforderlich ist.

Mit Blick auf die Zugangsbedingungen zu Webseiten mit datengetriebenen Geschäftsmodellen drehten sich die Diskussionen im EU-Rat hauptsächlich um die Frage der Zulassung eines bedingten Zugangs zu Website-Inhalten. Erkannt wurde, dass die Notwendigkeit besteht Regelungen zu finden, die bestehende Geschäftsmodelle nicht untergraben und gleichzeitig die einschlägigen Bedingungen der DSGVO reflektieren. Angepasst wurden die Erwägungsgründe zur Wahlfreiheit des Endnutzers (Erwägung 20) sowie weitere Klarstellungen zu den durch Werbung finanzierten Diensten der Informationsgesellschaft (Erwägung 21):

„Making access to website content provided without direct monetary payment dependent on the consent of the end-user to the storage and reading of cookies for additional purposes would normally not be considered as deprivingthe end-user of a genuine choice if the end-user is able to choosebetween services, on the basis of clear, precise and user-friendly information about the purposes of cookiesand similar techniques.“

„In some cases the use of processing and storage capabilities of terminal equipment and the collection of information from end-users'terminal equipment may also be necessary for providing an information society service, requested by the end-user, such as services provided to safeguard freedom of expression and information including for journalistic purposes,such as online newspaper orother press publications as defined in Article 2(4) of Directive (EU) 2019/790, that is wholly or mainly financed by advertising provided that, in addition, the end-user has been provided with clear, precise and user-friendly information about the purposes of cookies or similar techniques and has accepted such use.“

Wenngleich die Ergänzungen zur Notwendigkeit in Erwg. 21 richtig erscheinen ist nicht nachvollziehbar, warum am Ende doch eine Einwilligung stehen soll (has accepted such use). Richtigerweise müssten notwendige Verarbeitungen unter die Privilegierungen des Art. 8 fallen. Diesen Widerspruch löst auch der neue Text unverständlicherweise nicht auf.

Der Text wurde gestern, am 18.11.2019 in der Ratsarbeitsgruppe diskutiert und nun tatsächlich an den Ausschuss der Ständigen Vertreter zur Prüfung und Bestätigung geleitet. Danac soll der Kommunikationsrat auf seiner Tagung am 3. Dezember 2019 eine allgemeine Ausrichtung festlegen. Ob es angesichts der enorm stark divergierenden Textvorschläge hier im Trilog dann zu einer tragfähigen Kompromisslösung im Interesse der Digitalwirtschaft aber auch der Nutzer kommen wird, darf nach wie vor bezweifelt werden.

UPDATE 08.11.2019

Gemeinsamer Standpunkt zu ePrivacy-Verordnung im Dezember 2019 geplant

Die finnische Ratspräsidentschaft hat heute einen erneut angepassten Text für die geplante ePrivacy-Verordnung vorgelegt. Ausgemachtes Ziel ist es nun, das Dossier am 22.November 2019 an den Ausschuss der ständigen Vertreter der Mitgliedsstaaten (COREPER) zu überweisen, um ein Verhandlungsmandat zu erhalten bzw. einen Gemeinsamen Standpunkt des EU-Rates zu erzielen. Dieser Standpunkt soll auf dem letzten Meeting am 03.Dezember 2019 zustande kommen. Der neue Textvorschlag ist Grundlage für die weiteren Ratsarbeitsgruppensitzungen am 12., 14. Und 18. November 2019. 

UPDATE 01.11.2019

Aktualisierter Entwurf für ePrivacy-Verordnung veröffentlicht

Am 07. November 2019 wird die Ratsarbeitsgruppe Telekommunikation (WP TELE) erneut über den derzeit im EU-Rat liegenden Entwurf für eine neue ePrivacy-Verordnung diskutieren. In Vorbereitung auf diesen Termin hat die Finnische Ratspräsidentschaft erneut eine aktualisierte Fassung des Dossiers vorgestellt. Der neue Text ist HIER abrufbar.

Es sollen vor allem 2 Dinge besprochen werden.

  1. Anwendungsbereich

    Hier sollen die zuletzt eingebrachten Änderungsvorschläge der finnischen Ratspräsidentschaft erneut diskutiert werden. Ausgangspunkt ist die Überlegung, ob sich der Anwendungsbereich nur auf solche Daten beziehen soll, die sich im Vorgang der elektronischen „Übertragung“ befinden oder auch auf im Endgerät gespeicherte Daten. Nach Erhalt/Empfang dieser Daten sollen die ePrivacy-Vorgaben grundsätzlich nicht mehr gelten. Der letzte Text ging aber davon aus, dass das Konzept der Datenspeicherung „ein integraler Bestandteil eines elektronischen Kommunikationsservices“ sei. Dies habe zu Verunsicherung darüber geführt, ob gespeicherte Daten nun doch erfasst seien. Zu Klarstellung wird nun ausgeführt, das man 2 Optionen diskutieren wolle. Entweder soll die Verarbeitung von Daten nach Speicherung gemäß Art. 6a (1) a) für einwilligungsspezifische Zwecke erlaubt sein oder es wird eine flexiblere „Notwendigkeitsschranke“ für die Erbringung des angeforderten Dienstes eingeführt, was den Text des Art. 7 stark vereinfachen würde.

    Außerdem soll der Begriff der „third party“ klargestellt werden. In Art. 2 (2) e) ist geregelt, dass sich der Anwendungsbereich nicht auf Daten nach deren Erhalt bezieht, die der Nutzer selbst oder unter Zuhilfenahme eines „Dritten“ verarbeitet. Hier könnten zunächst nur jene „Dritte“ gemeint sein, welche nicht den elektronischen Kommunikationsdienst anbieten. Da es jedoch vorkommen kann, dass Provider kombinierte Services mit ihren Produkten anbieten, soll „Dritter“ auch jene Provider umfassen. Um eine Umgehung der ePrivacy-Vorgaben zu verhindern soll auch klargestellt sein, das dies dann nicht der Fall sein soll, wenn der Service einen integralen Bestandteil des elektronischen Kommunikationsdienstes darstellt (und damit umfasst ist). Hier werden 3 Optionen zur Wahl gestellt.
     
  2. Cookie-Regeln

    Mit Blick auf die weiteren Änderungen geht es insbesondere um die „Cookie-Grundlagen“ in Erwägungsgrund 20 und in Art. 8. Hier wird das Erfordernis einer echten Wahlmöglichkeit für Nutzer textlich geschärft, wo es um den Bedingungszusammenhang zwischen Einwilligung und Zugang beim Besuch von Webseiten geht. Dieser soll weiterhin möglich sein, soweit der Nutzer umfassende Informationen über die Cookies erhält und zugleich ein alternatives Angebot nutzen kann, welches auf den Einsatz von Cookies für andere als technisch notwendige Verarbeitungen verzichtet (z.B. Paymodelle). Hinzu gekommen ist die Klarstellung, dass das Speichern oder der Zugriff auf in Endgeräten gespeicherten Informationen dann zulässig sein soll, wenn es nicht nur für die Sicherheit des Webangebotes sondern auch für die des Endgerätes notwendig ist.
     
  3. E-Mail-Marketing

    Zuletzt wird in Erwägungsgrund klar gestellt, dass ein opt-out bei Bestandskundenwerbung in das belieben der Mitgliedsstaaten gestellt wird. Dies ist derzeit im UWG in § 7 Abs. 3 geregelt.

Update 08.10.2019

BVDW unterzeichnet Verbändebrief zu ePrivacy-Verordnung

Die Ratsarbeitsgruppe Telekommunikation (WP Tele) wird am 11.Oktober 2019 erneut über den Entwurf einer ePrivacy-Verordnung diskutieren. Ziel der Finnischen Ratspräsidentschaft wird augenscheinlich sein, hier einen Gemeinsamen Standpunkt der Mitgliedsstaaten zu Ende Dezember 2019 zu finden, um danach in den Trilog über das Dossier eintreten zu können. Angesichts der nach wie vor zahlreichen und gravierenden Bedenken zu einzelnen Regelungen sowie die zu Tage tretenden Inkongruenzen zur DSGVO ist der BVDW als Mitunterzeichner eines von einer breiten Verbändeallianz getragenen Schreibens an alle Vertreter der Mitgliedsstaaten im EU-Rat. Wie der BVDW bereits seit langem fordert, muss eine gründliche Überprüfung der geplanten Regelungen durch die neue EU-Kommission erfolgen, vor allem im Rahmen der anstehenden Evaluation der DSGVO im Jahr 2020. Dabei muss der Gedanke zulässig sein, das Dossier oder zumindest Teile davon gegebenenfalls zurückzuziehen und neu zu denken.

Update 07.10.2019

Finnische Ratspräsidentschaft mit neuem Text

Die Finnische Ratspräsidentschaft hat am 04.Oktober 2019 einen abermals aktualisierten Entwurfstext zur geplanten ePrivacy-Verordnung veröffentlicht. Der Text soll Grundlage für die am 11. Oktober 2019 anstehenden Gespräche der Ratsarbeitsgruppe (WP TELE) sein. So enthält der Text beispielsweise Ergänzungen in Erwägungsgrund 20. Dieser wurde mit Blick auf das Verhältnis von DSGVO und ePrivacyVO wie folgt geändert:

  • Therefore, any such interference with the use of processing and storage capabilities and the collection of information from end-user's terminal equipment should be allowed only with the end-user's consent and or for specific and transparent purposes. The information collected from end-user’s terminal equipment can often contain personal data. As the provisions of this Regulation particularise and complement the general rules on the protection of personal data laid down in Regulation (EU) 2016/679, that Regulation should apply to the processing of this data, to the extent it is personal data, after it has been collected from the end user’s terminal equipment. In light of the principle of purpose limitation according to Article 5 of Regulation (EU) 2016/679 and Article 8 of this Regulation, such data should only be processed for purposes compatible with the purpose for which it was collected from the end-user’s terminal equipment.

Ebenso ist eine klarstellende Ergänzung des Art. 8 Abs. 1 d) vorgenommen worden, das Auftragsverarbeiter auch mehrere Drittanbieter sein können:

  • if it is necessary for web audience measuring, provided that such measurement is carried out by the provider of the information society service requested by the end-user or by a third party on behalf of the one or more providers of the information society service provided that conditions laid down in Article 28 of Regulation (EU) 2016/679 are met.;

In Erwägungsgrund 21 a.E. ist interessanterweise der Klammerzusatz durch Streichung der eckigen Klammern nun in den Satz aufgenommen worden. Es ist nicht ganz eindeutig, ob hier nun eine Einwilligungsschranke gelten soll oder nicht:

  • In some cases the use of processing and storage capabilities of terminal equipment and the collection of information from end-users' terminal equipment may also be necessary for providing an information society service, requested by the end-user, that is wholly or mainly financed by advertising provided that, in addition, the end-user has been provided with clear, precise and user-friendly information about the purposes of cookies or similar techniques and has accepted such use.

Außerdem erfolgte die Einfügung eines neuen Unterpunktes d) in Art. 8 Abs. 2, die augenscheinlich einen Gleichklang mit 8 Abs. 1c)  herstellen soll.

  • es erlaubt die Verarbeitung von Aussendungssignalen wo ‘it is necessary for providing a service requested by the end-user’.

Artikel 10 bleibt nach wie vor gestrichen.

Update 29.07.2019

Deutschland mit e-Privacy-Stellungnahme

Die Bundesregierung (BReg) hat im Juli 2019 erstmals eine Gesamtstellungnahme zum Rats-Entwurf der ePrivacy-Verordnung abgegeben. Den darin enthaltenen Vorschlägen wird vorausgeschickt, dass die derzeitige Textfassung des ePrivacy-Entwurfs nicht das Schutzniveau für die Endnutzer und die Vertraulichkeit der Kommunikation, wie sie in der EU-Charta der Grundrechte gefordert wird, sicherstelle. Deutschland sei daher nicht in der Lage, den Text in seiner jetzigen Form zu akzeptieren.

So soll das grundsätzliche Verbot der Datenverarbeitung ausdrücklich auch Kommunikationsdaten erfassen, die nach Abschluss des Kommunikationsvorgangs auf Endgeräten gespeichert werden. Ausnahmen sollen dort erlaubt sein, wo der Zugriff auf solche Daten Unternehmen dazu dient Kinderpornographie aufzudecken oder terroristische Inhalte zu bekämpfen.

Mit Blick auf erlaubte Datenverarbeitungen in Art. 8 möchte Deutschland weiter über ein Whitelisting von Datenschutzeinstellungen in Kommunikationssoftware diskutieren und verweist dazu auf Art. 10. Hier fordert die BReg die Wiedereinfügung von Art. 10 in modifizierter Form. Nach unseren Informationen ist diese Forderung jedoch nach wie vor nicht mehrheitsfähig im Rat. D will sich außerdem dafür einsetzen, bestimmte endgerätebezogene Datenverarbeitungen (insbesondere „Smart Meter“ im Energiebereich) vom Einwilligungserfordernis auszunehmen. Die BReg möchte weiterhin die im Erwägungsgrund 21 a.E. enthaltene Ausnahme vom Einwilligungserfordernis für werbefinanzierte Online-Angebote weiter unterstützen. Für weitere Erlaubnisse auf Tatbestandsebene, insbesondere im Umfeld von Online-Werbung zur Finanzierung von Angeboten, soll es hingegen keine Änderungen geben.

Kritisch dünn ist dagegen die neue Position zur Zulässigkeit eines Bedingungszusammenhangs zwischen der Einwilligung in eine gerätebezogene Datenverarbeitung und der Erbringung eines Online-Angebots. Der hier ursprünglich unterstützende Standpunkt soll eher nicht weiterverfolgt werden, wenn die Position zu ErwG 21 a.E. eine Mehrheit im Rat erfahre.

Update 15.07.2019

Finnische Ratspräsidentschaft mit neuem e-Privacy-Text

Die finnische Ratspräsidentschaft hat nach zwei ersten Arbeitsgruppensitzungen, zuletzt am 17.07.2019, einen weiteren Textentwurf veröffentlicht. Dieser soll nach der Sommerpause (ab 11.09.2019) weiter diskutiert werden.

Augenfällig ist die Umformulierung der Definition der „direct marketing communications“ in Art. 4 Abs. 3 lit. f und die Änderungen in ErwG 32. Datengetriebene Online-Werbung soll nunmehr aus dem Anwendungsbereich von Art. 16 ausgenommen sein. Erfreulich ist zudem, dass Art. 10 auch (weiterhin) gestrichen ist. Die Ratspräsidentschaft strebt nun einen gemeinsamen Standpunkt zu Dezember 2019 an.

sstaaten versandt.

Update 01.07.2019

Fragebogen der Finnischen Ratspräsidentschaft

In Vorbereitung auf die erste Arbeitsgruppensitzung am 07.Juli 2019 hat die Finnische Ratspräsidentschaft einen e-Privacy-Fragebogen zum aktuellen Stand an die Mitgliedsstaaten versandt.

UPDATE 21.05.2019

Rumänische Ratspräsidentschaft nur mit Fortschrittsbericht  

Die rumänische Ratspräsidentschaft wird die Verhandlungen über die geplante ePrivacvy-Verordnung nun doch nicht - anders als angekündigt - mit einem gemeinsamen Standpunkt schließen. Das offizielle Programm sah vor, den gemeinsamen Standpunkt unter den Mitgliedsstaaten zum Treffen des Telekommunikationsrates am 7. Juni 2019 zu verabschieden. Danach wären dann die so genannten Trilogverhandlungen zwischen Kommission, EU-Parlament und Rat gestartet. Angesichts der anhaltenden, inhaltlichen Unstimmigkeiten ist dieser Plan nun vom Tisch. Stattdessen hat die Ratspräsidentschaft nun einen abschließenden Fortschrittsbericht vorgelegt, der noch im Ausschuss der ständigen Vertreter abgestimmt werden muss, um dann am 7. Juni beschlossen zu werden.

Angesichts der anhaltenden Kritik an wesentlichen Teilen des Gesetzesvorhabens - allen voran der geplanten Cookie-Regelungen - ist der Schritt folgerichtig. Die systemischen Überschneidungen zwischen Endgeräteschutz und Datenschutz müssen noch einmal unter die Lupe genommen werden. Am Ende wird es auch darauf ankommen müssen, die sich stellenden Fragen ganzheitlich besser im Rahmen der Überarbeitung der Datenschutzgrundverordnung zu klären, um Wertungswidersprüche zu vermeiden.

Nach Rumänien wird Finnland ab 1.Juli 2019 die Ratspräsidentschaft übernehmen. Eine Weiterarbeit an dem Text wird nach der Wahl zum Europäischen Parlament in der zweiten Jahreshälfte erwartet. 

UPDATE 13.03.2019

Kompromissregelungen zur ePrivacy-Verordnung vorgelegt

Am 13.März 2019 hat die rumänische Ratspräsidentschaft den angekündigten Kompromissvorschlag für Teile der künftigen ePrivacy-Verordnung (ePV) vorgelegt. Er enthält mit Blick auf das Treffen der Arbeitsgruppe "Telekommunikation und Informationsgesellschaft" (WP TELE) am 14.März den Text vom 22.03.2019 mit einigen Änderungen an den Regelungen, die im Dokument vorangestellt aufgezählt sind. Zumindest existiert in Erwägungsgrund 20 a.E. eine teilweise Klarstellung zur Kopplung von Einwilligunen an den Webseitenbesuch.- Dort heißt es nunmehr (übersetzt – Hervorhebungen hier):

„Der Zugang zu den Inhalten der Website, die ohne direkte Geldzahlung zur Verfügung gestellt werden, von der Zustimmung des Endnutzers zur Speicherung und zum Lesen von Cookies für zusätzliche Zwecke abhängig zu machen, würde in der Regel nicht als unverhältnismäßig angesehen werden, insbesondere wenn der Endnutzer die Wahl hat zwischen einem Angebot, das die Zustimmung zur Verwendung von Cookies für zusätzliche Zwecke beinhaltet, einerseits und einem gleichwertigen Angebot desselben Anbieters, das keine Zustimmung zur Datennutzung für zusätzliche Zwecke beinhaltet, andererseits. Umgekehrt kann es in einigen Fällen als unverhältnismäßig angesehen werden, den Zugang zu Inhalten der Website von der Zustimmung zur Verwendung solcher Cookies abhängig zu machen. Dies wäre normalerweise der Fall bei Websites, die bestimmte Dienste anbieten, wie beispielsweise die von Behörden, bei denen der Nutzer nur wenige oder gar keine anderen Möglichkeiten hat, als den Dienst zu nutzen, und somit keine wirkliche Wahl bei der Verwendung von Cookies hat.“

Der gesamte restliche Text ist noch immer in der Diskussion insbesondere in den erst in jüngster Zeit behandelten Fragen der Abbildung von notwendigen Regeln zur  Bekämpfung von Kinderpornographie und Terrorismus.

UPDATE 22.02.2019

Rumänische Ratspräsidentschaft mit neuem Textentwurf für ePrivacy-Verordnung

Auf Grundlage des letzten Diskussionspapiers und in Vorbereitung auf das Treffen der Arbeitsgruppe "Telekommunikation und Informationsgesellschaft" am 26.Februar 2019 hat die rumänische Ratspräsidentschaft am 22.Februar 2019 nunmehr einen neuen, abgeänderten Textentwurf für die geplante ePrivacy-Verordnung (ePV) vorgelegt.

Die Änderungen beziehen sich vorwiegend – aber nicht nur auf die Erwägungsgründe. So sind insbesondere die Erläuterungen zu Zugriffbeschränkungen werbefinanzierter – und damit entgeltfreier – Webseiteninhalte in Erw.G 20 geändert worden. Ein neu eingeführter Erw-G 20a befasst sich mit der Möglichkeit, Einwilligungen gebündelt für mehrere Anbieter und mehrere Zwecke zusammen abgeben zu können, um Kaskaden separater Einwilligungen zu vermeiden. Das Problem der „consent-fatigue“ ist im digitalen Umfeld ein wesentliches Problem bei der Fokussierung der Gesetzgeber auf die Einwilligung als Mittel der Wahl.

Die unter österreichischer Ratspräsidentschaft eingefügte Formulierung zur einwilligungslosen Verarbeitung für Werbezwecke (ErwG 21 a.E) ist weiter enthalten. Gleichzeitig wird die Möglichkeit der einwilligungslosen Verarbeitung für IOT-Kommunikation hervorgehoben. Inwieweit hier allerdings klar abgrenzbare Anwendungssicherheit bestehen soll, bleibt vor dem >Hintergrund des weiten Verständnisses von Personenbeziehbarkeit in der DSGVO unklar. In Erw.G 21a werden erlaubte Verarbeitungen im Bereich der Webseiten-Verbesserungen gesehen. Anstatt jedoch auf die Realität einzugehen, und die erlaubten Verarbeitungen darauf zu beziehen, dass Systeme laufend angepasst und optimiert werden können, beschränkt sich die Feststellung des Erlaubten auf das Zählen von Besuchern oder Sicherheitseinstellungen.

In Artikel 4 wurde die Definition des Verarbeitungsbegriffs und damit zugleich der Anwendungsbereichs der ePV wurde dahingehend präzisiert, dass ein Personenbezug irrelevant ist. Die neue Formulierung verschärft weiter die Probleme der Verschränkung von Datenschutzrecht (welches nur für personenbezogene Daten gilt) und Telekommunikationsrecht. Denn das Problem besteht bei den Rechtsgrundlagen für erlaubte Verarbeitungen. Bei einer übergreifenden (Vorschalt-)Geltung der epV stündendie zahlreicheren DSGVO-Rechtsgrundlagen nicht mehr uneingeschränkt zur Verfügung und zwar auch für Datenverarbeitungen nach dem Speichern von personenbezogenen Informationen oder Zugriff auf im Endgerät (bereits) gespeicherte Informationen.

Art. 8 ist weitgehend unverändert. Art. 10 blebt gestrichen, wenngleich in Erw.G 20a Browsereinstellungen – die als „Einwilligungen fungieren können sollen – favorisiert werden: „To that end, web browser and operating system providers are encouraged to ensure that end users can easily set up and amend such white lists and withdraw consent at any moment in a user-friendly and transparent manner.” Wie dies mit den Anforderungen der DSGVO-Einwilligung zusammenpassen soll, ist nicht geklärt.

UPDATE 07.02.2019

Rumänische Ratspräsidentschaft veröffentlich neues Diskussionspapier zum aktuellen Verordnungsentwurf

Mit Verweis auf die zahlreichen Austausch-Sitzungen der Rats-AG WP Tele im Januar 2019 hat die rumänische Ratspräsidentschaft ein neues Diskussionspapier zum Sachstand veröffentlicht. Damit sollen Kompromissvorschläge mit Blick auf die Themen gemacht werden, die die Delegationen der einzelnen Mitgliedsstaaten als noch immer problematisch/ungelöst identifiziert haben. Es werden keine materiellen Textänderungen mit Blick auf die Artikel 8-10 (gestrichen) vorgeschlagen. In den Erwägungsgründen soll allerdings klargestellt werden, dass Einwilligungen auch übergreifend für verschiedene Angebote eines Anbieters und für verschiedene Zwecke gegeben werden können (ErwG. 20a-neu). Damit soll überbordenden Einwilligungsabfragen entgegen gewirkt werden, die zu einer Einwilligungs-Müdigkeit führen.

In Erwägungsgrund 21 soll weiterer Text klarstellen, dass eine Nutzung der Speicherfähigkeiten eines Endgerätes (Cookie-Dropping) über die erforderlichen Zwecke hinaus einer Einwilligung bedürfen sollen. Angesprochen wird hier auch das Problem, dass eine Einwilligung zwar den Endnutzer betrifft, aber auch in Angestellten-Umgebungen (z.B. auf Arbeitsplatzrechnern) denkbar ist und insoweit der Beschäftigtendatenschutz zu beachten sei.

Die rumänische Ratspräsidentschaft hatte zuletzt angekündigt, auf einen Kompromisstext im Rat hinarbeiten zu wollen. Ein Verhandlungsmandat sollte zum 07.Juni erreicht werden. Ob diese Zeitschiene allerdings realistisch ist scheint, angesichts der in der Zwischenzeit auch stattfindenden Europawahl, fraglich.

UPDATE 27.11.2018

Digitalverbände mit Forderungen an WP Tele und Ministerien

Vor dem nächsten Beratungstermin des Telekommunikationsrates am 4. Dezember hat sich der BVDW zusammen mit einer Vielzahl von Digitalverbänden noch einmal sowohl auf nationaler wie auf europäischer Ebene für eine komplette Überarbeitung des ePrivacy-Dossiers ausgesprochen. Zwischen den notwendigen Regelungen zum Kommunikationsschutz und einer angemessenen Regulierung von Online-Diensten muss ein ausgewogenes, vor allem aber unbedingt DSGVO-konformes Verhältnis hergestellt werden. Nach der derzeitigen Lage ist dies nicht sicher gestellt. Auf dieser Grundlage können dann auch keine Verhandlungen geführt werden.

UPDATE 26.11.2018

Österreichische Ratspräsidentschaft mit neuem Fortschrittsbericht

In Vorbereitung des nächsten Treffens des Telekommunikationsrates (WP TELE) am 4. Dezember 2018 hat die österreichische Ratspräsidentschaft einen weiteren Fortschrittsbericht zum Stand der Beratungen zur neuen ePrivacy-Verordnung veröffentlicht. Der Veröffentlichung war eine turbulente Abstimmungslage unter den Mitgliedsstaaten vorausgegangen. Am 8. November 2018 hatte die Ratspräsidentschaft verlauten lassen , das ePrivacy-Verordnungspaket an den Ausschuss der ständigen Vertreter der Mitgliedsstaaten (COREPER) überweisen zu wollen. Dies sollte geschehen, um den Verhandlungsstillstand in der Rats-Arbeitsgruppe (WP TELE) zu beenden und zu einem Mandat für den Beginn von Trilogverhandlungen mit EU-Parlament und EU-Kommission zu gelangen. Offenbar hatte dieses Vorgehen jedoch keine volle Unterstützung der am Dossier beteiligten Mitgliedsstaaten. Die Überweisung an COREPER ist daher wieder zurückgezogen worden. In der Tat sind grundlegende Fragen zum Dossier weiterhin ungeklärt. Eine deutsche Gesamtstellungnahme liegt weiterhin nicht vor. Aus Sicht der digitalen Wirtschaft ist es nun unbedingt erforderlich, endlich Entscheidungen zu treffen und zumindest die vorgeschlagene Streichung des Art. 10 zu unterstützen. Wie die Diskussionen gerade um die besonders für die Online-Branche relevanten Cookie-Regelungen in den Art. 8-10 aber zeigen, wird mit dem vorliegenden Text auch dann weder DSGVO-Kohärenz noch künftige Rechtssicherheit geschaffen werden können. Vielmehr sollte dieser Bereich nunmehr komplett ausgeklammert und das gesamte Thema vielmehr im Rahmen der Evaluierung der DSGVO zu 2020 vollkommen neu konzipiert werden.

UPDATE 26.10.2018

Ratsarbeitsgruppe berät über neuen Textentwurf zur ePrivacy-Verordnung

In der Sitzung der EU-Ratsarbeitsgruppe am 26. Oktober 2018 wurde über weitere Änderungsvorschläge zum aktuellen Entwurf einer ePrivacy-Verordnung gesprochen. Art. 10 (Softwareverpflichtung) bleibt auch im aktuellsten Entwurf gestrichen. Es besteht derzeit keine Einigkeit unter den Mitgliedsvertretern, dass der Entwurf in dieser Form verhandlungsfähig sei. In Deutschland hatte sich zuletzt die Monopolkommission kritisch zum ePrivacy-Entwurf geäußert, da hier Wettbewerbsnachteile für einzelne Marktakteure befürchtet werden. Aus der Bewertung der Monopolkommission:

„Die bisherigen Entwürfe zur ePrivacy Verordnung erscheinen allerdings unausgewogen. Die Verordnung dürfte bei einer Umsetzung dieser Entwürfe einerseits die Position der ohnehin marktstarken Akteure im Online-Werbebereich, also der großen Online-Plattformen, im Vergleich zu anderen Marktteilnehmern weiter stärken, obwohl sie zugleich auch deren Geschäft negativ beeinflussen dürfte. Andererseits werden die Möglichkeiten anderer Anbieter im Werbemarkt und die Refinanzierungsmöglichkeiten kleinerer Inhalteanbieter geschwächt. Im Übrigen wäre hiermit auch dem Datenschutz sowie der Privatsphäre der Nutzer kaum geholfen.“(Wettbewerb 2018, XXII. Hauptgutachten der Monopolkommission, v. 3.7.2018,  Kapitel 4; Ziffer 4.4.2, Tz. 1194 ff, abrufbar hier.)

Einige der Themen des neuen Entwurfs im Überblick:

Ergänzung zu Kopplungsverbot in ErwG 19 a.E.:
Making access to the website content provided without direct monetary payment conditional to the consent of the end-user to the storage and reading of cookies for additional purposes would normally not be considered disproportionate in particular if the end-user is able to choose between an offer that includes consenting to the use of cookies for additional purposes on the one hand, and an equivalent offer by the same provider that does not involve consenting to data use for additional purposes on the other hand. Conversely, in some cases, making access to website content conditional to consent to the use of such cookies may be considered to be disproportionate. This would normally be the case for websites providing certain services, such as those provided by public authorities, where the user could be seen as having few or no other options but to use the service, and thus having no real choice as to the usage of cookies.

Ergänzung zu einwilligungsloser Verarbeitung in ErwG. 21 a.E:
Consent should not be necessary either if the use of processing and storage capabilities of terminal equipment and the collection of information from end-users’ terminal equipment is necessary for the provision of the information society services, such as those used by IoT devices (for instance connected devices, such as connected thermostats), requested by the end-user. In some cases the use of processing and storage capabilities of terminal equipment and the collection of information from end-users' terminal equipment may also be necessary for providing an information society service, requested by the end-user, that is wholly or mainly financed by advertising provided that, in addition, the end-user has been provided with clear, precise and user-friendly information about the purposes of cookies or similar devices and has accepted such use.

Nachweis der Einwilligung durch technisches Protokoll zum betreffenden Endgerät Art. 4a Abs. 2a:
As far as the controller is not able to identify a data subject, the technical protocolshowing that consent was given from the terminal equipment shall be sufficient to demonstrate the consent of the end-user according Article 8 (1) (b).

Verarbeitungserlaubnis nur für limitierte statistische Erhebungen Art. 8 Abs. 2 c):
it is necessary for the purpose of statistical counting that is limited in time and space to the extent necessary for this purpose and the data is made anonymous or erased as soon as it is no longer needed for this purpose.

Technisches Gatekeeping durch Browser Art. 10:
Bleibt Gestrichen.

UPDATE 17.07.2018

Ratsarbeitsgruppe votiert für Streichung von Art. 10

In der Sitzung der EU-Ratsarbeitsgruppe am 17. Juli 2018 wurden weitere Änderungen am Text des ePrivacy-Verordnungsentwurfs vorgenommen. Wesentliche Änderungen bestehen in der Neuformulierung des Erwägungsgrundes 20 mit Blick auf die Zulässigkeit der Verwehrung des Webseitenzugriffs bei nicht gegebener Einwilligung des Nutzers für bestimmte Zwecke sowie die Streichung des Art. 10.

Die Änderung des Erwägungsgrundes 20 hebt die Beschränkung auf die zuvor von der bulgarischen Ratspräsidentschaft eingeführten „legitimen Zwecke“ auf. Auf der anderen Seite enthält der jetzige Vorschlag eine allerdings „Ausgleichsoption“ in Form einer Paywall. Es stellt sich hier die Frage, ob dies für die Kopplung zwingend sein soll oder nur ein Beispiel für Ausgleichsmöglichkeiten anstelle der Cookie-Einwilligung darstellt. Letzteres wäre zu fordern, da der Gesetzgeber die individuelle Gestaltung der seitens eines Anbieters zu entwickelnden Geschäftsmodelle nicht einseitig vorgeben kann.

Außerdem wurde mit knapper Mehrheit für eine Streichung des Art. 10 gestimmt. Diese „technische“ Regelung hatte die digitale Wirtschaft seit Beginn strak kritisiert, da sie weder technisch noch aus Marktgesichtspunkten zielführend bzw. umsetzbar war.

Die Mitgliedsstaaten haben eine Frist zur Stellungnahme auf Ratsentwurf bis 17. August 2018, die nächste Rats-AG ist zu Mitte September 2018 angesetzt. Deutschland hat hier bislang keine weitere Ergänzung zu ihrer ursprünglichen Stellungnahme vorgebracht.

UPDATE 10.07.2018

Neuer Textentwurf der österreichischen Ratspräsidentschaft

Am 10. Juli 2018 hat die neue, österreichische Ratspräsidentschaft einen erneut abgeänderten Textentwurf für die geplante ePrivacy-Verordnung vorgelegt. Die in dem Text enthaltenden Vorschläge sollen Grundlage für die anstehende Sitzung der Rats-AG am 17.Juli 2018 sein.

Die Änderungen betreffen vornehmlich die besonders problematischen Art. 8 und Art. 10 sowie die dazugehörigen Erwägungsgründe.

  • Artikel 8 (Schutz der Endgeräte der Endnutzer)

Der österreichische Vorsitz hat in Erwägungsgrund 20 "weitere Einzelheiten zum bedingten Zugang zu Website-Inhalten" eingeführt und die Delegationen ersucht, zu prüfen, ob diese Formulierung im Einklang mit Artikel 7 Absatz 4 GCh und "insbesondere unter Berücksichtigung der von der Artikel-29-Arbeitsgruppe gegebenen Leitlinien" stehen würde.

Konkret wird sinngemäß formuliert, dass: "der Zugang Websiteninhalten, die ohne direkte Geldzahlung zur Verfügung gestellt werden, beschränkt und von der Zustimmung des Nutzers zum Setzen von Cookies abhängig gemacht werden kann. Dies ist an sich erst einmal als positiv zu bewerten, da die vorherige Erwägung vorsah, dass eine Zugriffbedingung nur für solche Cookies gestellt werden konnte, die „legitime Zwecke“ verfolgten. Unter „legitime“ Zwecke wurden dann allerdings kaum praxisrelevante Nutzungen gezählt.

Der neue Textentwurf öffnet diese Bedingung zwar stellt aber gleichzeitig darauf ab, dass eine solche Zugriffs-Bedingung nur dann nicht „unproportional“ sein soll, wenn der Nutzer die Möglichkeit hat, zwischen verschiedene Optionen zu wählen, namentlich, wenn statt der „Datenlösung“ auch eine „Bezahllösung“ als Alternative angeboten wird. Obwohl nicht als absolute Verpflichtung formuliert, ist die Sprache anfällig dafür, so interpretiert zu werden, dass eine kostenpflichtige Alternative für kostenlose Dienste erforderlich ist, um den Zugang von der Zustimmung abhängig zu machen. Hier muss es darum gehen ganz klar herauszustellen, dass solche Angebote keine Bedingung sondern lediglich Vorschläge des Gesetzgebers sind. Anderenfalls würde dies zu einer gesetzlichen Verpflichtung werden, nur bestimmte Geschäfts- und Monetarisierungsmodelle Online-Dienste nutzen zu dürfen.

  • Artikel 10 (Datenschutzeinstellungen der Software)

Der österreichische Ratsvorsitz schlägt vor, Artikel 10 zu streichen, weil der Vorschlag erhebliche Bedenken hinsichtlich des Wettbewerbs, der Belastung der Softwareentwickler und der Auswirkungen auf die Endnutzer aufwirft. Genannt wird auch ein weiterer Grund; Die so genannte Browser-Obligation biete keinen Mehrwert mit Blick auf das ebenfalls angestrebte Ziel: Der Einwilligungsmüdigkeit der Nutzer entgegenzuwirken und die „click-trough“-Mentalität nicht auszuweiten.

UPDATE 26.06.2018

Zweites Verbändeschreiben an Bundesminister Altmaier zur ePrivacy-Verordnung

Mit Schreiben vom 26.Juni 2018 haben 17 führende Wirtschaftsverbände noch einmal an Bundeswirtschaftsminister Peter Altmaier appelliert, die Diskussionen über die ePrivacy VO und ihr Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO) auf europäischer Ebene mit größtmöglicher Sorgfalt zu führen. Die deutsche Bundesregierung hatte ihre Position anlässlich des EU-Ministerratstreffens am 08.Juni 2018 vorgestellt und dabei auf weiteren Diskussionsbedarf an entscheidenden Stellen des Verordnungsentwurfs hingewiesen. Trotz erkennbarer Fortschritte stellt die derzeitige Version keine Grundlage für den Eintritt in Triloggespräche dar.

UPDATE 20.06.2018

Positionierung Deutschlands zu aktuellem ePrivacy-Entwurf

Die deutsche Bundesregierung hat anlässlich der Rats-Gruppensitzung am 14.06.2018 ihre eigene Position zum laufenden Gesetzgebungsverfahren zur ePrivacy-Verordnung vorgestellt. In dem Papier antwortet die Bundesregierung auf die Fragen der bulgarischen Ratspräsidentschaft im Fortschrittspapier vom 18.05.2018. Die wichtigsten Punkte auszugsweise und im Überblick (Original in Englisch, Hervorhebungen hier):

Kommentierung Dt. zu Art. 5:
Der vom Vorsitz vorgeschlagene Ansatz zur zulässigen Verarbeitung von Kommunikationsdaten bietet aufgrund von Fragen zu Artikel 5 noch keine akzeptable Grundlage für die Aufnahme von Verhandlungen mit dem Europäischen Parlament.
- Deutschland verweist auf seinen Vorschlag zu Artikel 5 Absatz 2 in seinen schriftlichen Stellungnahmen vom 8. März 2018, die die notwendige Klarstellung enthalten.
Dementsprechend sollte der Wortlaut "bei Erhalt" aus den Erwägungen gestrichen werden.
- Die aus Artikel 7 gestrichenen Sätze, in denen klargestellt wird, dass die Verarbeitung durch oder im Namen des Endnutzers in den Anwendungsbereich des GDPR fällt, sollten wieder aufgenommen werden.

 

Kommentierung Dt. zu Art. 8:
Deutschland hält den derzeitigen Ansatz zum Schutz der Endgeräte und der Privatsphäre in einigen Punkten für noch nicht akzeptabel.

  • Wir unterstützen die Auflistung von Verfahren nach Artikel 8, die ohne Zustimmung zulässig sind.
  • Die aktuellen Aussagen in Erwägung 20 reichen nicht aus und sind auch nicht klar genug. Die Bestimmung sollte wie folgt lauten:

"Die Bereitstellung von Diensten der Informationsgesellschaft, die ganz oder teilweise durch Werbung finanziert werden, kann von der Zustimmung des Endnutzers zur Speicherung und Sammlung von Informationen zu Werbezwecken abhängig gemacht werden, sofern der Endnutzer entsprechend informiert wird.“

  • Darüber hinaus halten wir es für notwendig, in Artikel 4a eine Bestimmung aufzunehmen, die die Praktikabilität des Nachweises der Zustimmung sicherstellt. Die Bestimmung sollte wie folgt lauten:

"Ist der für die Verarbeitung Verantwortliche nicht in der Lage, eine betroffene Person zu identifizieren, muss das technische Protokoll, aus dem hervorgeht, dass die Einwilligung der Endgeräte erteilt wurde, ausreichen, um die Einwilligung des Endnutzers gemäß Artikel 8 Absatz 1 Buchstabe b) nachzuweisen.“

 

Kommentierung Dt. zu Art. 10:
Es gibt zwei Hauptziele in Bezug auf Artikel 10 :

  • Erstens darf Software nicht standardmäßig so eingestellt werden, dass die Speicherung und Sammlung von Informationen von Endgeräten ohne das Wissen des Endbenutzers möglich ist.
  • Zweitens dürfen Aktualisierungen die vom Endbenutzer vorgenommenen Datenschutzeinstellungen nicht ändern.

Die derzeitige Bestimmung im Text des Vorsitzes entspricht diesen Zielen nicht in ausreichendem Maße. Darüber hinaus sollte klargestellt werden, dass Anbieter, die durch Datenschutzeinstellungen abgelehnt werden, Endnutzer um ihre Zustimmung bitten können.

 

1. Software, die die elektronische Kommunikation, einschließlich des Abrufs und der Präsentation von Informationen im Internet, ermöglicht, bietet die Möglichkeit, andere Parteien als den Endnutzer daran zu hindern, Informationen über die Endgeräte eines Endnutzers zu speichern oder bereits auf diesen Geräten gespeicherte Informationen zu verarbeiten.

2. Die in Absatz 1 genannte Software informiert den Endbenutzer einmalig bei der Erstinstallation oder Erstbenutzung über die Möglichkeiten der Datenschutzeinstellungen und verlangt die Zustimmung des Endbenutzers zu einer Einstellung.

2a. Die in Absatz 1 genannte Software muss den Endnutzern eine einfache Möglichkeit bieten, die gemäß Absatz 2 genehmigte Datenschutzeinstellung jederzeit während der Nutzung zu ändern.

2b. (2) Falls die in Absatz 1 genannte Software andere Parteien als den Endnutzer daran hindert, Informationen über seine Endgeräte zu speichern oder bereits auf diesen Geräten gespeicherte Informationen zu verarbeiten, können diese Parteien den Endnutzer auffordern, die in Artikel 8 Absatz 1 Buchstabe b) genannte Zustimmung zu erteilen, die die Einstellungen entsprechend ändern kann.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Anhörung des Europäischen Datenschutzbeauftragten und gemäß Artikel 25 zur Festlegung von Normen, die die Einhaltung der Anforderungen dieses Artikels ermöglichen, zu erlassen.

 

Kommentierung Dt. zum Timing:
Um allen Beteiligten ausreichend Zeit zur Erfüllung der neuen Regelung zu geben, hält Deutschland eine Übergangsfrist von 2 Jahren für notwendig.

UPDATE 14.06.2018

Aktueller Textentwurf ePrivacy-Verordnung vom 12.06.2018

Am heutigen Tage findet die EU-Ratsarbeitsgruppen-Sitzung statt, auf welcher der aktuelle Entwurf für die geplante ePrivacy-Verordnung diskutiert wird. Grundlage des Textes war das Treffen der EU-Minister am 08. Juni 2018.

UPDATE 01.06.2018

BVDW schreibt zusammen mit 13 führenden Wirtschaftsverbänden ePrivacy-Brief an deutsche Ministerien

Kurz vor der Abstimmung der beteiligten Ministerien BMI, BMWi und BMJV am 01.Juni 2018 und dem Ratsarbeitstreffen der WP TELE am 08.Juni 2018 haben sich auf Initiative des BVDW 14 führende Wirtschaftsverbände noch einmal deutlich gegen eine vorschnelle und unbedachte Festlegung der deutschen Regierung in Sachen ePrivacy-Verordnung ausgesprochen. In dem Schreiben vom 01. Juni wird noch einmal auf die immer noch bestehenden Inkongruenzen zur gerade erst anwendbaren DSGVO verwiesen ebenso wie auf die, den Technik- und Marktgegebenheiten nicht gerecht werdenden Regelungen über den Endgerätezugriff und die inkompatiblen technischen Absicherungen der rigiden Vorgaben.

Derzeit laufen die Diskussionen der Mitgliedstaaten. Am 08.Juni 2018 findet hier das nächste Treffen der beteiligten Mitgliedsstaaten statt. Trilogverhandlungen dürfen aber erst aufgenommen werden, wenn ein solides, ausgewogenes und umfassendes Gesamtkonzept vorliegt. Dies ist nach derzeitigem Stand nach Ansicht des BVDW und der den Brief tragenden Verbände aber nicht der Fall. Die derzeitigen Entwürfe kombinieren den Schutz der Vertraulichkeit in der elektronischen Kommunikation mit datenschutzrechtlichen Regelungen im Bereich der Dienste der Kommunikationsgesellschaft. Anstatt die Regelungen der DSGVO sinnstiftend zu ergänzen, werden die gerade erst etablierten grundlegenden Wertungen und Abwägungserfordernisse des EU-Datenschutzrahmens aufgegeben und entwertet. Unternehmen stehen mit den gerade erst anwendbaren, neuen Datenschutzregeln bereits vor erheblichen, oftmals noch nicht vollständig absehbaren Herausforderungen – auch wegen der unklaren und teilweise überaus restriktiv ausfallenden Ankündigungen der Aufsichtsbehörden. Eine zusätzliche, mit dem EU-Datenschutzrecht inkompatible und den tatsächlichen Marktverhältnissen nicht ausreichend Rechnung tragende Regulierung würde weitergehende Folgen nach sich ziehen. Sie würde die Schaffung eines funktionierenden digitalen Binnenmarktes regelrecht konterkarieren.

Die Regelungen der ePV sollen sowohl für personenbezogene wie für nicht-personenbezogene Daten (z.B. machine-to-machine-Kommunikation) gelten und unterstellt die Datenverarbeitung – bis auf wenige, restriktive Ausnahmen – einem kompletten Einwilligungsregime. Erfasst sein sollen neben natürlichen Personen auch Unternehmen. Die Anwendung beträfe alle Sektoren der Wirtschaft der EU, von digitalen Medien und Services bis hin zu vernetzten Fahrzeugen und intelligenter Fertigung – die im schlimmsten Fall so nicht mehr in der Lage sein werden, ihre Produkte und Dienstleistungen unter Verwendung von Daten anzubieten und zu innovieren. Dies wird auch Auswirkungen auf andere Wirtschaftszweige haben, die sich mit zunehmender Digitalisierung der Wirtschaft immer mehr auf die Nutzung von Daten aus Endgeräten einstellen müssen. Die zahlreichen Diskussionen und Konsultationen zwischen Wirtschaft und Politik zeigen bis heute, dass es zunächst weitergehender Folgenbetrachtung bedarf, bevor Entscheidungen getroffen werden können.

Es sind insbesondere die erst in einigen Monaten ansatzweise erkennbaren Auswirkungen der DSGVO mit zu berücksichtigen. Die DSGVO – nicht jedoch die geplante ePrivacy-Verordnung  - regelt bereits eine Vielzahl der hier ins Auge gefassten Verarbeitungen. Es müssen zudem tiefere und verständigere Betrachtungen der tatsächlichen Marktverhältnisse und der durch die geplanten Regelungen betroffenen Technologieprozesse identifiziert und mitbedacht werden. Die ePrivacy-Verordnung werden wir auch auf unseren BVDW Data-Summit am 5. Juni in Berlin diskutieren (www.data-summit.de ).

UPDATE 31.05.2018

BVDW unterzeichnet Joint Industry Letter an EU-Delegationen zum Überdenken der geplanten ePrivacy-Regeln

Zusammen mit 58 europäischen Wirtschaftsverbänden hat der BVDW in einem Schreiben erneut die beteiligten Minister aufgefordert, die geplanten Regeln für eine neue ePrivacy-Verordnung zu überdenken und mehr Zeit für die Klärung von Grundsatzfragen in diesem Bereich einzuplanen. Dies gilt insbesondere für die nach wie vor ungeklärten Abgrenzungsfragen zu Regelungsbereichen der bereits anwendbaren DSGVO. Unausgereifte Bestimmungen können nicht nur für die gesamte digitale Wirtschaft sondern auch für Endnutzer unerwünschte Konsequenzen für heute funktionierende oder künftige, innovative Angebote haben.

UPDATE 19.05.2018

Bulgarische Ratspräsidentschaft mit neuem Fortschrittsbericht/Positionspapier

Die bulgarische Ratspräsidentschaft hat die Ergebnisse der bisherigen Verhandlungen in einem neuen Fortschrittspapier vom 18.Mai 2018 zusammengefasst und veröffentlicht. In dem Papier widmet sich der Vorsitz den einzelnen Fragen, die seitens der Mitgliedsstaaten zu bestimmten Regelungspunkten aufgeworfen und diskutiert wurden.

So wird mit Blick auf die Kommunikationsdatenverarbeitung in Art. 6 Abs. 1 ePR zwar festgestellt, dass es weitere Klarstellungen zum Begriff der Sicherheit als solcher und zur Anwendung dieses Grundes für die Verarbeitung in den Erwägungsgründen gegeben habe. Trotzdem würden hier weitere Feinabstimmungen erforderlich sein. Bei der Verarbeitung von Kommunikationsmetadaten (Art. 6 Abs. 2,3a ePR) wurden neue gesetzliche Erlaubnisse integriert, um die Bedenken der Mitgliedsstaaten auszuräumen.

Mit Blick auf die – nicht nur seitens des BVDW – kritisierten Regelungen zum Endgerätezugriff und zu verbindlichen Softwareeinstellungen stellt die Ratspräsidentschaft die aktuelle Situation wie folgt dar:

Als Ergebnis der letzten Diskussionen der WP TELE am 16./17.Mai 2018 wurde die allgemeine Struktur von Artikel 8 beibehalten. Hier gab es leider keine weitere Diskussion über die seitens der digitalen Wirtschaft geforderten Erweiterung der Legalausnahmen, die insbesondere eine Einheitlichkeit mit den Datenverarbeitungserlaubnissen der DSGVO herstellen sollen. Die Nutzung der Verarbeitungs- und Speichermöglichkeiten von Endgeräten und die Sammlung von Informationen von Endgeräten der Endnutzer, einschließlich ihrer Soft- und Hardware, ist ,außer in Fällen technischer Erforderlichkeit oder mit Einwilligung weiterhin verboten. Es fehlt nach wie vor an der Festschreibung technischer Verarbeitungsregeln für eine geschützte, dafür aber einwilligungslose Datenkommunikation (z.B. durch Pseudonymisierung und Transparenz) um Endnutzern und Unternehmen gleichermaßen praktikable und datenschutzkonforme Anwendungen zu ermöglichen.

Das Papier erläutert zu Art. 10 richtigerweise, dass aufgrund der neu im Rat eingeführten Änderungen die Endbenutzer bei der Installation oder der ersten Nutzung und bei Änderungen der Datenschutzeinstellungen über die Einstellungen und die Art und Weise, wie sie vom Endbenutzer verwendet werden dürfen, zu informieren ist. Auch, dass diese Bestimmung nicht für Software gilt, die nicht mehr unterstützt wird. Allerdings sind weiterhin starke Zweifel bei den Delegationen vorhanden, ob diese Bestimmungen generell einen Mehrwert haben. Auch der BVDW hat hier mehrfach drauf hingewiesen, dass die gesetzliche Festschreibung von Zugangs-Software als Kontrollinstanz (Gatekeeper) zu einer massiven Einschränkung des Datenflusses führen wird. Ohne zumindest festzulegen, dass anderweitig (z.B. über die Webseite) eingeholte Einwilligungen auch automatisch in den Browser(Software-)Settings umzusetzen sind, werden unanbhängige Seitenbetreiber ansonsten keine Möglichkeit mehr haben, notwendige, technische Drittzugriffe für die Bereitstellung ihrer Inhalte möglich zu machen.

Am Ende werden in Vorbereitung auf das nächste (und wohl letzte) Treffen der WP TELE unter bulgarischem Vorsitz folgende Frage gestellt.

  1. Sind Sie der Ansicht, dass der derzeitige Ansatz, wie er von der Präsidentschaft vorgeschlagen und oben zur zulässigen Verarbeitung von Metadaten (Art. 5 und 6) dargelegt wurde, eine akzeptable Grundlage für weitere Fortschritte darstellt? Welche weiteren Verbesserungen sind möglich?
  2. Halten Sie den Ansatz zum Schutz der Endgeräte und der Privatsphäre (Art. 8 und 10) für eine akzeptable Grundlage, um voranzukommen?
  3. Glauben Sie, dass der jüngste Kompromiss des Vorsitzes ein zukunftssicherer Ansatz ist und das notwendige Gleichgewicht zwischen dem Schutz von Bürgerdaten (oder sensiblen Daten) und der Wettbewerbsfähigkeit der europäischen Industrie bei der Bereitstellung innovativer Dienstleistungen schafft?

Aus Sicht der digitalen Wirtschaft wird man beim derzeitigen Stand des Textes alle Fragen mit einem klaren NEIN beantworten müssen.

UPDATE 05.05.2018

Bulgarische Ratspräsidentschaft veröffentlicht überarbeiteten Textentwurf

In Vorbereitung auf das nächste Treffen des Rates „Verkehr, Telekommunikation und Energie“ (WP TELE) am 16.Mai 2018 hat die bulgarische Ratspräsidentschaft einen weiter überarbeiteten Entwurf der geplanten ePrivacy-Verordnung veröffentlicht.

UPDATE 14.04.2018

Ergebnisse des Treffens der WP TELE vom 28.03.2018 – neuer Textentwurf veröffentlicht

Entwurf Text ePrivacy 13.04.2018

Die bulgarische Ratspräsidentschaft hat einen neuen Textentwurf für die geplante ePrivacy-Verordnung mit Datum vom 13.April 2018 veröffentlicht. Das Dokument ist Ergebnis der WP TELE-Tagung am 28. März 2018, die auf der Grundlage des letzten Textes vom 22.März 2018 geführt wurde. Im Ergebnis wurden vornehmlich die Erwägungsgründe weiter ausgestaltet. So ist in Erwägungsgrund 20 nun die Rede von "Cookies oder ähnlichen Identifikatoren", um klarer zu machen, dass die Regelungen nicht allein Cookie-zentriert sind. Bereits der alte Text hatte Änderungen dahingehend enthalten, dass der Endnutzer der "Speicherung eines Cookies oder einer ähnlichen Vorrichtung" zustimmt, und diese Zustimmung "auch die Zustimmung für die nachfolgenden Cookies im Rahmen eines erneuten Besuchs derselben, vom Endnutzer ursprünglich besuchten Websiten-Domain beinhalten kann". Diese rigide Festlegung auf dieselbe Webseite kann zur Folge haben, dass die Zustimmung für ein bestimmtes Cookie nicht auch auf anderen Domains genutzt werden kann. Am Ende würde ein Nutzer dann auf neuen Domains demselben Cookie immer wieder gesondert zustimmen müssen und entsprechende Banner angezeigt bekommen. Dies würde zu mehr statt zu den versprochenen weniger Bannern führen und die Nutzung verschiedener Webseiten erheblich erschweren.

In Erwägungsgrund 20 wird das zuvor eingeräumte Recht, den Besuch einer Webseite von der Akzeptanz des Setzens legitimer Cookies noch einmal eingeschränkt. Danach sollen solche Cookies nicht erfasst sein (und damit nicht legitim) die nach der Löschung durch den Endnutzer wiederhergestellt werden. Dies soll augenscheinlich auf "Respawning Cookies" oder "Zombie-Cookies" zugeschnitten sein.  Erwägung 21a beschäftigt sich noch einmal mit dem legitimen Zweck. Der Text führt nun weitere Beispiele auf, wann ein Cookie als legitimes und nützliches Werkzeug anzusehen sein kann. Dazu sollen nun auch Website-Design und Werbung zählen können. Bislang war nur von der Messung der Zahl der Endnutzer, die eine Website besuchen die Rede. Cookies sollen wohl nur dann nicht legitim sein, wenn sie zur Bestimmung der Natur eines Nutzers verwendet werden, auch wenn die Bestimmung der Natur eines Nutzers einem anderen legitimen Zweck dient - wie etwa der Werbung. Laut Erwägungsgründen 22-24 besteht hinsichtlich der Browser-Sicherung nur noch die die Verpflichtung, dem Endnutzer die Auswahl aus einer Reihe von Einstellungen zu überlassen. Endnutzer müssen bei der ersten Verwendung und nach jedem Update allein über die Verfügbarkeit von Datenschutzeinstellungen und die Standardeinstellung informiert werden. Damit ist die Verpflichtung zum Ausschluss von Drittaufrufen per default vom Tisch.

Zu den kritischen Artikeln 8 und 10 sind keine wesentlichen Änderungen hinzugekommen. In Artikel 4a ist nun festgelegt, dass sich die Definitionen und Bedingungen für die Einwilligung nach DSGVO richten. Da die ePrivacy-Verordnung aber neben natürlichen auch juristische Personen schützt, soll es dem nationalen Recht obliegen zu definieren, wer befugt ist, eine juristische Person gegenüber anderen Personen zu vertreten. Die Einwilligung kann mit den entsprechenden technischen Einstellungen der Software, wie z.B. einem Browser, erteilt werden. Die seit Anbeginn kritisierten Inkongruenzen zu den Nachweisanforderungen einer DSGVO-konformen Einwilligung sind damit allerdings weiterhin nicht beseitigt.

UPDATE 23.03.2018

Bulgarische Ratspräsidentschaft veröffentlicht neue Vorschläge zur ePrivacy-Verordnung

Die bulgarische EU-Ratspräsidentschaft hat am 22. März 2018 einen neuen Entwurf bezüglich bestimmter Regelungsinhalte für die ePrivacy-Verordnung vorgestellt. Es geht im Wesentlichen um die Art. 8,10,15,16. Das Dokument dient als Grundlage für die Sitzung der Arbeitsgruppe "TELE" am 28.03.2018.

Es steht nach Lage der Dinge nicht zu erwarten, dass es noch innerhalb der ersten Jahreshälfte zu einem gemeinsamen Standpunkt kommen wird. Vielmehr wird dies in die ab Juli laufende österreichische Ratspräsidentschaft fallen.

Der Einstieg in einen Trilog ist demnach nicht vor Ablauf des Jahres 2018 zu erwarten, was die Zeitschiene für das Ende von Verhandlungen weit ins Jahr 2019 strecken lässt. Mit einem Inkrafttreten wäre dann frühestens Mitte/Ende 2019 zu rechnen, wobei für die Anwendung mit Sicherheit eine zumindest 1-jährige Übergangsfrist (Vorschlag EU-Parlament) gelten wird.

Alles in allem sind die Änderungen teils marginal, teils unverständlich bzw. in der Konsequenz nicht hilfreich. Ergänzende Ausführungen in den Erwägungsgründen finden mitunter keine Entsprechung im Text. Als Ergebnis der im Januar 2018 aufgeworfenen Sachfragen (Optionen-Papier vom 11.01.2018) ist hier keine echte Beschäftigung/Beantwortung zu erkennen.

 

Die wesentlichen Änderungen/Erkenntnisse aus dem neuen Text:

  • Nach wie vor striktes Kopplungsverbot – Ausnahme soll nur dort gelten, wo es um notwendige Cookies spezifischer Dienste geht z.B. bei Authentifizierung/Warenkorb etc.(ErwG. 21 a.E.) – keine Verbesserung
  • Nach wie vor zu eng zugeschnittene Legalausnahmen. Betrugsprävention/ Sichtbarkeitsmessungen etc. nicht im Normtext erfasst – keine Verbesserung
  • Nach wie vor keine Berücksichtigung des legitimen Interesses unter Einsatz risikoverringernder Maßnahmen (Pseudonymisierung/Transparenz/Widerrufsrecht) – keine Verbesserung
  • Die Auswahl eines Software-Settings soll nicht mehr Voraussetzung für den Abschluss der Installation/Upgrade sein. – Verbesserung
  • Nach wie vor keine Verpflichtung zur automatischen Berücksichtigung anderweitig generierter Einwilligungen (etwa auf Website-Level) – keine Verbesserung

Im Einzelnen:

 

1. Art. 8

Der neue Text enthält hier wenig Neues. Art. 8 Abs. 1d) erweitert lediglich den Regelungsbereich auf sämtliche Audience-Messungen. Durch Streichung des Begriffs „Web“ soll dies nun auch alle Mobile-Sachverhalte umfassen. Bezüglich des ebenfalls unter die Privilegierung fallenden Auftragsmessdienstleisters nimmt der Text nun direkt Bezug auf die dafür einzuhaltenden Voraussetzungen gemäß Art. 28 DSGVO.

Die Einwilligung für das Setzen eines Cookies soll nun die Mehrfachnutzung über mehrere Seitenaufrufe hinweg ermöglichen (ErwG.20 a.E.). Diese Erläuterung liest sich allerdings so, dass hier verhindert werden soll, mit einer einzigen Cookie-Einwilligung Cookie-Droppings für verschiedene Domains zu legitimieren (global consent). Denn dass eine Einwilligung auch bei mehrfachem Aufruf ein- und derselben Domain weiter Gültigkeit habenmuss, dürfte außer Frage stehen. Hier dürfte es außerdem darum gehen festzuhalten, dass die Zugangssoftware in der Lage sein muss, sich bestimmte Einstellungen zu „merken“ und damit ein so genanntes „Whitelisting“ zu fördern. Die Stellung als Gatekeeper wird dadurch – ohne Berücksichtigung der Marktverhältnisse - endgültig festgeschrieben.

In Erwägungsgrund 21 ist nun folgender Zusatz enthalten: Access to specific website content may still be made conditional on the well-informed acceptance of a cookie or similar device, if it is used for a legitimate purpose.

Was zunächst aussieht wie eine Lockerung des Kopplungsverbots entpuppt sich bei genauem Hinsehen als Schein. Ausnahmen von dem Verbot einer Angebotssperrung, soweit eine Einwilligungen für Cookies nicht erteilt werden wird nach wie vor nur dort gelten, wo es um notwendige Cookies spezifischer Dienste geht z.B. bei Authentifizierung/Warenkorb etc.(ErwG. 21 a.E.). Dies ergibt sich aus der Zusammenschau der Erwägungen zum „berechtigten Zweck“.

Gestützt wird diese Feststellung durch Erwägungsgrund 21a. Unter „nützlichen“ (Web)Messungen werden nach wie vor ausschließlich statistische Zählungen (Anzahl Zugriffe/ Nutzer auf einer Webseite) verstanden. Cookies sollen dann nicht legitim sein, wenn sie zur Bestimmung der „Art des Nutzers“ verwendet werden. Dies bedeutet den Rückfall ins Web 1.0 und das faktische Verbot heutiger Tracking-Services.

In Art. 8 Abs. 1e) wird eine Ausnahmeregelung für Sicherheitsupdates eingeführt, sofern diese Sicherheitsupdates "notwendig" sind und die vom Endnutzer gewählten Datenschutzeinstellungen nicht ändern. Darüber hinaus muss der Benutzer vorab darüber informiert werden, dass das Sicherheitsupdate installiert wird und er die Möglichkeit hat, automatische Updates zu verschieben oder abzuschalten.

Das Gleiche gilt für WiFi/Bluetooth-Trackings (emmitted signals). In Art. 8 Abs. 2b) wird klargestellt, dass auch hier allein eine statistische Zählung erlaubt sein soll.

 

2. Art. 10

In Art. 10 Abs. 1 wird klarstellend noch einmal das Konzept des Verordnungsentwurfs deutlich. Es soll "jeder anderen Partei als dem Endnutzer" unmöglich sein, Informationen auf dem Gerät eines Nutzers zu speichern und/oder darauf zuzugreifen, soweit keine Einwilligung oder Rechtsgrundlage vorliegt. "Dritte" sind hier also nach technischem Verständnis nicht nur echte 3rd-party-Dineste sondern auch alle 1st-party-Dienste mit ihren eigenen Cookies.

Eine Verbesserung ist lediglich in der Streichung der Anforderung zu sehen, dass der Nutzer eine Entscheidung treffen muss, bevor er mit der Installation oder der Nutzung der Software fortfahren kann. Hier ist stattdessen nur erforderlich, dass der Nutzer regelmäßig an die Datenschutzeinstellungen der Software erinnert wird.

Diese Änderung ist allerdings kaum etwas wert, solange es nach wie vor keine gesetzliche Verpflichtung für die Software gibt, anderweitig eingeholte Einwilligungen automatisch und selbstvollziehend zu berücksichtigen.

 

3. Fazit

Der Text enthält in Summe eher Verschlechterungen als positive Ansätze, wie zuletzt in dem Optionspapier vom 11.01.2018 angeklungen.

UPDATE 11.01.2018

Bulgarische Ratspräsidentschaft mit neuem Sachstandsbericht zur ePrivacy-Verordnung

Am 11.01.2018 hat die neue bulgarische Ratspräsidentschaft ein neues Sachstandspapier zur geplanten ePrivacy-Verordnung veröffentlicht. In dem Papier werden die verschiedenen Diskussionspunkte zu einzelnen Regelungen aufgenommen und die Mitgliedsstaaten um Beantwortung gebeten. Es werden jeweils verschiedene Optionen zur Wahl gestellt, die weitere Diskussionen und Vorschläge ermöglichen sollen. Erfreulicherweise wird erstmals die Frage nach ausgewogenen verarbeitungsregeln im Einklang mit der DSGVO gefragt. Das Prinzip der einwilligungslosen weil pseudonymen Verarbeitung wird aufgegriffen ebenso wie die Frage, ob Webseitenbetreiber ernsthaft Services anbieten müssen, obwohl Nutzer den Nutzungsbedingungen, zu denen die Möglichkeit von Datenverarbeitungen gehören muss, ablehnen (Kopplungsverbot). Der BVDW hat ein eigenes Stellungnahmepapier zu dem Dossier veröffentlicht.

UPDATE 05.12.2017

EU-Rat mit ersten Änderungsvorschlägen zur ePrivacy-Verordnung

Am 05.12.2017 hat der EU-Rat einen ersten Änderungstext zum Vorschlag der EU-Kommission für eine neue ePrivacy-Verordnung veröffentlicht. Der Entwurf enthält unter anderem Neuerungen bei den Definitionen in Art. 4. Die Bedingungen zur Einwilligung finden sich nun in einem neuen Art. 4a wieder. Keine wesentlichen Änderungen enthalten die Art. 8 und 10, welche die für die digitale Wirtschaft negativsten Regelungen enthalten. Insgesamt lässt sich feststellen, dass auch in der Version des Rates die Kritikpunkte hinsichtlich der Vereinbarkeit von rechts- und technikangemessener Reglungen bestehen bleiben. Auch in der nun vorgelegten Form bestimmen rigide und zur Datenschutzgrundverordnung inkohärente Regelungen den Text.

UPDATE 17.11.2017

Fortschrittsbericht des EU-Rats zu ePrivacy-Verordnung

Die noch bis Jahresende unter estnischer Führung stehende Ratspräsidentschaft hat einen neuen Fortschrittsbericht zu den Abstimmungen des EU-Rats zur geplanten ePrivacy-Verordnung veröffentlicht. Anders als die Stimmen im EU-Parlament sehen Vertreter der Mitgliedsstaaten die Einführung restriktiver Einwilligungsmechanismen auf Cookie-Ebene teils kritisch. Insbesondere die – technisch wie rechtlich fragwürdige - Absicherung durch Browser als Gatekeeper in Art. 10 soll weiter diskutiert werden. Auch die Inkohärenz zur im Mai 2018 anwendbaren EU-Datenschutzgrundverordnung spielt eine wichtige Rolle in den Abstimmungen.

UPDATE 19.10.2017

EU-Abstimmung: E-Privacy-Verordnung untergräbt Informationsgesellschaft

Heute hat der Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) des europäischen Parlaments dem umstrittenen Entwurf zur Neuregelung einer E-Privacy-Verordnung abschließend zugestimmt. Der BVDW sieht durch das Abstimmungsergebnis die Informationsgesellschaft gefährdet. Der mit knapper Mehrheit der Fraktionen der Sozialisten, Grünen und Liberalen angenommene Entwurf konterkariere geradezu die von der EU-Kommission ins Leben gerufene digitale Binnenmarktstrategie. „Die EU macht es im Grunde unmöglich, digitale Angebote ohne Barrieren anzubieten und zu finanzieren“, kritisiert BVDW-Vizepräsident Thomas Duhr. mehr

UPDATE 22.09.2017

LIBE-Ausschuss mit Kompromisstext am 11.10.2017 

Derzeit werden im federführenden LIBE-Ausschuss (wie auch in den anderen Ausschüssen JURI, IMCO und ITRE) die über 800 Änderungsanträge zum Entwurfsvorschlag der ePrivacy-Verordnung beraten. Bereits am 11.10.2017 will der Ausschuss unter seiner Berichterstatterin Marju Lauristin über den Entwurf abstimmen. Bereits die Anzahl der Anträge wie auch deren unterschiedliche Inhalte bestätigen die grundsätzliche Kritik, die auch die digitale Wirtschaft an dem Verordnungsentwurf der EU-Kommission geübt hat. Das konsolidierte Dokument mit allen Änderungsanträgen ist hier abrufbar.

Auch der EU-Rat beschäftigt sich in einer Arbeitsgruppe mit dem Verordnungsentwurf. Die Mitgliedstaaten waren aufgefordert, ihre Stellungnahmen bis zum 14.08.2017 dorthin zu übersenden. Die derzeitige estnische Ratspräsidentschaft hat am 08.09.2017 ihre eigene Stellungnahme hierzu veröffentlicht. Deutschland hat – verspätet - eine eigene, inhaltlich leider kaum überzeugende Stellungnahme übersandt. Der von der Kommission vorgesehene Zeitrahmen für das Inkrafttreten der ePrivacy-Verordnung zusammen mit der DSGVO am 25.05.2017 wird vor dem Hintergrund der vielfältigen und teilweise entgegengesetzten Kritiken sowohl in den Parlamentsausschüssen als auch im Rat wohl nicht zu halten sein.

UPDATE 23.06.2017

Änderungsempfehlungen der EU-Ausschüsse (LIBE, JURI, ITRE, IMCO) zur ePrivacy-Verordnung

Zusammenfassung der wesentlichen Inhalte:

LIBE (zum Download)

Einleitung
In ihrer einleitenden Erläuterung schreibt Berichterstatterin Marju Lauristin, dass "das von der Kommission vorgeschlagene Regime ein hohes Schutzniveau nicht in vollem Umfang sicherstellt, im Gegenteil, es würde sogar noch das von der EU-Datenschutzgrundverordnung (EU-DSGVO) vorgesehene absenken. Darum schlägt Lauristin vor, so genannte „Tracking Walls“ vollständig zu verbieten, um die Bedingungen für die Einwilligung des Nutzers in Einklang mit der EU-DSGVO zu bringen. Gemeint ist hier das Kopplungsverbot, ignoriert allerdings die Tatsache, dass die EU-DSGVO solche Mechanismen nicht zwangsläufig verbietet.

Das Papier erwähnt auch die W3C „Tracking Protection Working Group“, die sich mit dem Do-Not-Track-Standard befasst. Hier ist man allerdings der Auffassung, dass dieses System es nicht ermöglicht, "wesentliche Kernprinzipien des EU-Datenschutzgesetzes" abzudecken. Genannt werden hier „privacy by design“ und „privacy by default“, was ergänzt werden müsse. Es wird zu diesem Zwecke vorgeschlagen, DNT-Signale technologieneutral zu gestalten, um verschiedene Arten von technischer Ausrüstung und Software abzudecken. DNT-Signale müssten "standardmäßig ihre Einstellungen in einer Weise so konfigurieren, dass Drittpartien automatisch daran gehindert werden, einen Benutzer ohne ihre Zustimmung zu verfolgen“. Die Optionen hinsichtlich der Funktionalität von Cookies und Verfolgung sollten granularer gestaltet sein.

Änderungsvorschläge in den Erwägungsgründen
Mit Blick auf die von der Verordnung erfasste „machine-to-machine-communication“ soll der Anwendungsbereich nach ergänztem Erwägungsgrund 12 auf diejenige Kommunikation beschränkt sein, die einen Bezug zu einem Nutzer aufweist.

Erwägungsgrund 15 soll endgültig die Spezialität der ePrivacy-Verordnung im Datenschutz festschreiben. Künftig sollen Datenverarbeitungen, die auf gesetzlichen Erlaubnissen der ePrivacy-Verordnung beruhen, für "jede andere Verarbeitung auf Grundlage von Art. 6 EU-DSGVO als verboten angesehen werden, einschließlich der Verarbeitung zu einem anderen Zweck auf Grundlage von Art. 6 (4) EU-DSGVO“. Damit würde die Vorfeldregulierung der ePrivacy-Verordnung anderweitige – ansonsten legale – Datenverarbeitungen künftig unmöglich machen. Dies würde insbesondere Verarbeitungen von Daten betreffen, die ursprünglich von Gerät unter einem berechtigten Interesse gesammelt wurden, einschließlich der Weiterverarbeitung solcher Daten durch Dritte.

Ausdrücklich soll die Verordnung nicht nur auf „Daten in Transit“ sondern auch auf diejenigen Daten anwendbar sein, die in einem Endgerät gespeichert sind.

Anstelle von „Cookies“ soll in Erwägungsgrund 21 nun auf "Tracking-Techniken" verwiesen werden. Solche stellen nämlich grundsätzlich ein legitimes und nützliches Werkzeug dar vorausgesetzt, dass sie unter Beachtung und Einhaltung angemessener Sicherungsmaßnahmen eingesetzt werden.
"Cookie-Walls“ und „Cookie-Banner“ sollen künftig verhindert werden, wo sie den Nutzern nicht helfen, die Kontrolle über ihre persönlichen Daten und die Privatsphäre zu behalten oder über ihre Rechte informiert zu werden.

Diese Einstellungen über den Browser sollten auch "verbindliche Entscheidungen über die Speicherung von Informationen über das Endgerät des Benutzers sowie ein Signal, das vom Browser gesendet wird, enthalten. Die Einstellungsmöglichkeiten in Art. 10 ePV sollen abgestuft sein. Die Software muss zum einen standardmäßig die Möglichkeit anbieten, niemals Tracker zu akzeptieren. Auf der zweiten Stufe sollen alle Tracker und Cookies zurückgewiesen werden, die nicht unbedingt notwendig sind, um einen vom Benutzer explizit angeforderten Dienst zu erbringen" oder alle branchenübergreifenden Verfolgungen zurückgewiesen werden können.  Es soll zusätzlich gesetzlich vorgesehen sein, Optionen anzubieten um zu entscheiden, ob Flash, JavaScript oder andere Software ausgeführt werden können und ob Webseiten Geo-Location-Daten sammeln oder die Webcam oder das Mikrosophon eines Gerätes verwendet werden können.

Einzelne Artikel
Artikel 4 Abs. 3 f) ePV soll so geändert werden, dass die Display-Werbung in die Definition der Direktmarketing-Mitteilungen eingeschlossen würde „“any form of advertising, whether in written, oral or video format, sent served or presented to one of more identified or identifiable end-users.”.

Die Einwilligung in Art. 8 Abs. 1 b) soll nun „spezifisch“ sein und keine Voraussetzung, um einen Service nutzen zu können. Sicherheits- und Security-Updates sollen nach einem neuen Abs. 1 d) a) ePV nur zulässig sein, wo diese keine Änderungen an den zuvor getroffenen Privacy-Einstellungen des Nutzers vornehmen und die Möglichkeit besteht, automatische Updates auszuschalten. Darüber hinaus sollen in einem neuen Abs. 1 d) b) ePV Schutzmaßnahmen gegen Situationen greifen, in denen aufgrund einer Arbeitgeber-Arbeitnehmer-Zustimmung die Zustimmung nicht wirksam sein kann, so dass, wenn der Zugang zu einem Gerät für ein Arbeitsverhältnis erforderlich ist, eine Zustimmung nicht erforderlich ist. Dies vorausgesetzt, dass (1) der Arbeitgeber die Ausrüstung zur Verfügung stellt , (2) der Mitarbeiter der Benutzer des Gerätes ist, (3) die Einwirkung ist für das Funktionieren des Gerätes unbedingt erforderlich.

In einem neuen Art. 8 Abs. 1a ePV ist nunmehr ein Kopplungsverbot vorgesehen.  Es heißt, dass "keinem Benutzer der Zugang zu einem [Online-Dienst] oder einer Funktionalität verweigert werden darf, unabhängig davon, ob dieser Dienst vergütet wird oder nicht, weil er oder sie nicht seine Zustimmung zur Verarbeitung personenbezogener Daten und /oder die Nutzung von Speicherkapazitäten seines Endgeräts, die für die Bereitstellung dieses Dienstes oder der Funktionalität nicht notwendig sind, gegeben hat. Das hinter dieser Regelung stehende Ziel der Verhinderung so genannter Cookie-Walls würde allerdings auch bedeuten, dass Anbieter auch ohne Einwilligung wenigstens Dienste anbieten, die beispielsweise eine geringere Video-Qualität aufweisen oder Funktionen nicht enthalten, die sonst verfügbar sind.

Ausnahmen von Cookies sollen in Art. 8 Abs. 1 c) ePV nur für "streng technische" Notwendigkeiten und nicht nur auf "notwendige" Platzierungen gemacht werden können. Damit wird z.B. der Bereich der Reichweitenmessungen noch stärker als bislang betroffen sein.

Art. 8 Abs. 1 d) wird nun klarstellend erweitert. Webmessungen können nun nichtmehr nur vom Betreiber selbst vorgenommen werden sondern “or on behalf [of the first party], or “by an independent web analytics agency acting in the public interest or for scientific purpose; and further provided that no personal data is made accessible to any other party and that such web audience measurement does not adversely affect the fundamental rights of the user.”  Dieser Änderungsantrag führt einen Balance-Test ein, der dem legitimen Interesse entspricht. Allerdings werden zusätzliche Anforderungen geschaffen, nämlich dass es (1) für einen ganz bestimmten Zweck, d.h. "Web-Publikums-Messung", durchgeführt wird, (2) dass es von ganz bestimmten Personen, dh. einer 1stParty oder einem Beauftragten einer solchen, durchgeführt wird (bzw. eine "unabhängige Stelle, die im öffentlichen Interesse tätig ist"), und (3) dass keine Daten mit anderen Parteien geteilt werden.

Die auch ohne Einwilligung mögliche Verarbeitung von Standortdaten durch wifi Signale / Bluetooth etc. geregelt durch Art. 8 (2) ist nun in einen Opt-in-Ansatz geändert worden es sei denn, die Daten sind anonymisiert und werden angemessen abgegrenzt. Die Verarbeitung soll (1) auf bloße statistische Zählung beschränkt sein, (2) die Verfolgung ist auf das begrenzt, was für das statistische Zählen unbedingt erforderlich ist, (3) die Daten werden unmittelbar nach dem statistischen Zählen gelöscht und (4) ein Widerspruchsrecht wird eingeräumt. Der Anwendungsbereich solcher Messungen dürfte gegen Null tendieren.

Art. 10 ePV wird dahingehend angepasst, dass in einem neuen Abs. 1a  standardmäßig der Ausschluss von Drittpartien voreingestellt sein soll. Gemäß Abs. 1b müssen Nutzer diese Einstellungen für die Privatsphäre bestätigen oder ändern können. Nach Abs. 1 c sollen die Einstellungsoptionen während der Benutzung der Software leicht zugänglich sein und müssen nach Abs. 1d , dem Nutzer die Möglichkeit geben, eine spezifische Zustimmung durch die Einstellungen nach der Installation der Software auszudrücken. Letzteres könnte bedeuten, dass hier die Alikationen die Möglichkeit zur Verfügung stellen müssen den Browser anzufordern, den Nutzer aktiv zu fragen. Das wäre dann aber auch keine Verbesserung der Consent-Wall-Problematik. Das Signal soll verbindlich sein. Hier wird stark auf „Do-Not-Track“ referiert.


JURI (zum Download)

Im Gegensatz dazu lehnt der JURI- Ausschuss unter Vorsitz von Axel Voss den Verordnungs-Vorschlag der EU-Kommission ausdrücklich ab. Nach seiner – vom BVDW geteilten - Ansicht kann die ePrivacy-Verordnung die DSGVO in Bereichen der Vertraulichkeit lediglich ergänzen, nicht aber nicht im Speziellen erweitern. Es wird insbesondere gefordert, von der Konzentration auf die Einwilligung Abstand zu nehmen. Die Einwilligung sei heute nicht mehr das richtige Mittel; Transparenz, Datenhoheit, Opt-out-Lösungen, Widerspruchslösungen, eine neue Datenkategorie (z.B. pseudonymisierter Daten) oder zumindest eine bessere Differenzierung nach anonymisierten, pseudonymisierten und verschlüsselten Daten wäre der bessere Ansatz. Zudem drohe die in der DSGVO gefundene Balance zwischen dem Schutz der Privatsphäre und neuen Technologien wieder zerschlagen zu werden, indem in weiten Bereichen Datenverarbeitungen, die unter der EU-DSGVO zulässig sind, entweder einer noch strengeren Form der Einwilligung unterliegen oder ganz untersagt werden. Dies sei absolut kontraproduktiv.

Im Einzelnen werden folgende Änderungen und neue Ausnahmen vorgeschlagen:
Art. 8 (c): Notwendig für die Zustellung eines Dienstes, einschließlich der Sicherung seiner Integrität, Sicherheit, Verbesserung oder digitale Rechte Verwaltung Zwecke.
Art. 8 (d): Notwendig für die Messung der Nutzung einer Dienstleistung, auch für Abrechnungszwecke.
Art. 8 (d) (a) {neu}: Notwendig für die unternehmensübergreifende Messung von anonymen Identifikatoren.
Art. 8 (d) (b) {neu}: Notwendig für Marketingzwecke, und das zuständige Unternehmen hat zu Beginn der Bearbeitung klare Informationen vorgelegt und ein einfach zu bedienendes Opt-out.
Art. 8 (d) (c) {neu}: Erforderlich für die Ausführung eines Vertrages oder des Verkaufs von Waren oder Dienstleistungen, wenn der Vertrag oder der Verkauf online abgeschlossen ist.
Gelöscht Art. 9 (2) "Zustimmung durch Browser-Einstellungen"
Gelöscht Art. 10 "Browser blockiert" und ersetzt sie mit einem Verweis auf Art. 25 EU-DSGVO zum „privacy-by-design“.

Die Mitglieder des JURI-Ausschusses haben bis zum Ende des Monats Zeit, ihre Änderungsanträge zu diesem Entwurf einer Stellungnahme vorzulegen. Der führende LIBE-Ausschuss nicht an die Stellungnahmen der einzelnen Stellungnahmeausschüsse gebunden.


ITRE (zum Download)

Berichterstatterin Katja Kallas unterstützt grundsätzlich den Vorschlag der EU-Kommission, insbesondere die Notwendigkeit, die Regularien zur ePrivacy an technologische Innovationen und neue Kommunikationsmittel anzupassen. Es wird insbesondere auf das Erfordernis der Technikneutralität hingewiesen.

Ebenso wird hier der Ansicht gefolgt, dass Webseitenaufrufe unter Einbindung von Drittparteien nicht mit dem Erfordernis einer Einwilligung des Nutzers gekoppelt werden dürfen.

Akzeptiert werden nur Cookies, welche absolut notwendig zur Erbringung der Dienste sein sollen. Eine Einwilligung zur Setzung weiterer Cookies soll mit Blick auf ein Cross-Device-Tracking nur wirksam sein, wenn der Nutzer entsprechend informiert wird und ein Widerspruchsrecht erhält. Art. 8 Abs. 1 d) ePV wird noch weiter eingeschränkt. Nun soll der Zugriff auf das Engerät bzw. das Auslesen von Informationen hieraus nur noch möglich sein, um Informationen zur „technischen Qualität“ oder „Effizienz“ zu erhalten. Das Wort „web audience measuring“ wurde gestrichen.

Bei Art. 8 Abs 2 ePV (Drahtlosverbindungen) soll die Kontaktaufnahme mit dem Endgerät künftig nur noch per Einwilligung möglich sein. Der derzeitige Entwurf, wonach es lediglich eines transparenten Hinweises auf Drahtlosverbindungen bedarf, wird abgelehnt, da diese Bestimmung das Risiko von Ängsten unter den Endnutzern steigern soll ohne, dass ihnen eine konkrete und praktische Möglichkeit offen stünde, nicht getracked zu werden. Eine Verarbeitung solcher emittierten Daten soll neben der Einwilligung nur noch für statistische Zwecke und Anonymisierung und Löschung nach Gebrauch gestattet sein.

Der Verweis auf Regelungen zu technischen Schutzmaßnahmen („Pseudonymisierung“) in Art. 8 Abs. 2 S.2 und Abs. 3 ePV wurde dagegen gestrichen – eine Absage an „privacy-by-design“. Unverständlich, aber die Möglichkeit der Mitgliedsstaaten Regeln zu entwickeln, um Informationen durch Symbole anzeigen zu können, wird gestrichen. Dies soll den Harmonisierungsgedanken der Verordnung stärken und nationale Regelungen eindämmen.

In Art. 10 ePV werden weitere – umständliche und kaum praktikable – Einschränkungen vorgenommen. Die Ausschlussmöglichkeit des Zugriffs durch Drittparteien soll sich auf Informationen beziehen, die nicht notwendig ist, um den angefragten Dienst zu erbringen. Insoweit eine Klarstellung mit Blick auf Art. 8 ePV. Zusätzlich soll die Software granulare Einstellungen für jeden Cookie und jeden Zweck und die Information anbieten, inwieweit Informationen mit Drittparteien geteilt werden.

In Art. 10 Abs. 2 ePV ist die bislang vorgesehene Pflicht zur Entscheidung des Nutzers für eine Einstellungsoption richtigerweise gestrichen. Es muss reichen, bei Installation und Update auf die Einstellungsoptionen hinzuweisen.

Ein Augenmerk liegt in Art. 11 Abs. 1 a) ePV auf dem Anreiz zur Verschlüsselung („the use of end-to-end-encryption should be promoted“) und der Forderung, dass Mitgliedsstaaten diese Schutzmaßnahmen umgehen oder ausnutzen können („Member states should not impose any obligation on encryption providers, on providers of electronic communications services or on any other organisations (at any level of the supply chain) that would result in the weakening of the security of their networks and services, such as the creation or facilitation of backdoors).


IMCO (zum Download)

Der Entwurf des IMCO-Ausschusses ist hier abrufbar.

UPDATE 22.05.2017

Bundesrat – Ausschüsse legen ihre Empfehlungen zum Entwurf der ePrivacy-Verordnung vor

Die Bundesrats-Ausschüsse für Agrarpolitik und Verbraucherschutz, für Innere Angelegenheiten , Recht und Wirtschaf haben am 22.05.2017 ihre Empfehlungen (PDF) zu dem Entwurf der EU-Kommission für eine neue ePrivacy-Verordnung vorgelegt. Über die Empfehlungen soll am 02.Juni 2017 erstmals im Bundesrat beraten werden.

Zusammenfassend zeichnen die Ausschüsse ein eher kritisches Bild zum Entwurf und fordern eine grundlegende Überarbeitung des Verordnungsvorschlags. Zwar wird das Ziel der EU-Kommission begrüßt, den allgemeinen Rechtsrahmen der EU-Datenschutzgrundverordnung (EU-DSGVO) zu präzisieren und zu ergänzen. Gleichwohl wird eine grundsätzliche Überprüfung und Nachbesserung des Verordnungsvorschlags auch unter Inkaufnahme von Verzögerungen des Rechtsetzungsverfahrens für für unerlässlich gehalten, um neben Detailmängeln grundsätzliche Defizite bei der Abgrenzung des Rechtsaktes zur Datenschutz-Grundverordnung, dem notwendigen Ausgleich zwischen dem Schutz der elektronischen Kommunikation und Sicherheitsbelangen sowie der Ausgestaltung des Aufsichtsregimes zu beheben.

Mit dieser Einschätzung bestätigen die Ausschüsse die Bedenken, die auch seitens der Digitalen Wirtschaft hervorgebracht wurden. Das Ziel, die neue ePrivacy-Verordnung ohne Übergangsfrist zusammen mit der EU-DSGVO in Kraft treten zu lassen, kann mit Blick auf die bislang ungelösten Abgrenzungs- und Detailfragen unmöglich gehalten werden, ohne zu massiver Rechtsunsicherheit zu führen.

Inhaltich macht der Bericht deutlich, dass werbefinanzierte Angebote einen integralen Bestandteil der Internetwirtschaft darstellen. Der Bundesrat fordert daher, die Vorschrift des Artikels 8 Absatz 1 Buchstabe d des Verordnungsvorschlags auch auf den Einsatz von Third-Party-Cookies auszudehnen. Mit Blick auf die rigiden Cookie-Regelungen befürwortet das Papier ausdrücklich die Prüfung der Einführung ausgleichender Regelungen, wie sie heute in § 15 Abs. 3 Telemediengesetz (TMG) enthalten sind und Akteuren Datenverarbeitungen unter der Nutzung pseudonymisierter Profile bei gleichzeitiger Information und Widerspruchsrecht des Nutzers vorsehen.

UPDATE 13.04.2017

Anhörung zur ePrivacy-Verordnung im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) am 11.04.2017

Die Anhörung befasste sich mit verschiedenen Elementen des neuen Verordnungs-Vorschlags der EU-Kommission, um dem Europäischen Parlament die Ansichten der beteiligten Akteure zu vermitteln. Zu den Angesprochenen gehörten Telekommunikationssektor, neue Kommunikationsdiensteanbieter (OSP, OTT), Verbraucher, NGOs, Professoren und Datenschutzbehörden. Die Veranstaltung sollte dazu beitragen, ein breites und repräsentatives Bild im Hinblick auf die Vorbereitung des Legislativberichts des LIEBE-Ausschusses im EU-Parlament erhalten.

Der BVDW hatte bereits anlässlich einer ersten nationalen Anhörung im Bundesministerium für Wirtschaft und Energie (BMWi) am 16. Februar 2017 seine kritische Stellungnahme zur geplanten Verordnung gefertigt und öffentlich gemacht.

UPDATE 27.02.2017

Die neue ePrivacy-Verordnung-Factsheet

Am 10.Januar 2017 hat die EU-Kommission den Entwurf für eine neue Verordnung des europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) vorgestellt (ePV).

Ziel der Neuregelung ist die Angleichung der bisherigen Bestimmungen zum Persönlichkeitsschutz im Bereich der elektronischen Kommunikation an die Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO). Die EU-Kommission beabsichtigt, die ePV zusammen mit der ab 25.05.2018 geltenden EU-DSGVO einzuführen. Wen die Verordnung betrifft, was geregelt werden soll und wie sie im Kontext der EU-Datenschutzgrundverordnung einzuordnen ist, erläutert BVDW-Justiziar Michael Neuber in einem Factsheet.

UPDATE 15.02.2017

Amtliche deutsche Übersetzung der ePrivacy Verordnung

Mittlerweile ist nun auch die amtliche deutsche Übersetzung des Entwurfstextes zur ePrivacy-Verordnung verfügbar.

Der deutsche Text weicht allerdings teilweise erheblich von den Formulierungen der englischen Originalversion ab. So werden unter dem in Art. 4 Abs. 2 beschriebenen Begriff der interpersonellen Kommunikationsdienste auch solche verstanden „…die eine interpersonelle und interaktive Kommunikation lediglich als untrennbar mit einem anderen Dienst verbundene untergeordnete Nebenfunktion ermöglichen.“, während die englische Version beschreibt „…shall include services which enable interpersonal and interactive communication merely as a minor ancillary feature that is intrinsically linked to another service.“

Es steht zu erwarten, dass hier auch andernorts noch weitreichende Korrekturen notwendig werden.

UPDATE 01.02.2017

Entwurf einer neuen ePrivacy-Verordnung öffentlich

Am 10. 01.2017 hat die EU-Kommission ihren offiziellen Entwurf für neue ePrivacy-Regeln vorgestellt. Wie im Vorfeld bereits vielfach vermutet, kommt der Gesetzesvorschlag statt bislang als Richtlinie nun in Form einer EU-Verordnung daher. Im Gegensatz zu einer Richtlinie bedarf es hier keiner weiteren Umsetzung, sie wäre – nach Inkrafttreten - in jedem EU-Mitgliedsstaat direkt anwendbares Recht.

Die überarbeiteten Regeln dienen vorrangig dem Ziel, die Vertraulichkeit in der elektronischen Kommunikation sicherzustellen. Trotz der nach jahrelangem Ringen nun in Kraft getretenen und ab 25.05.2018 europaweit für analoge und digitale Daten einheitlich geltenden EU-Datenschutzgrundverordnung sollen aber auch weiterhin – nun erheblich verschärfte - Cookie-Vorgaben gelten. Die ePrivacy-Verordnung (ePV) soll hier im Sinne einer Spezialregelung den Umgang mit personenbezogenen Daten auch im Online-Bereich regeln.


Weitreichende Einschränkungen, Art. 8 epV

Wesentlich für die digitale Wirtschaft sind die neuen, in den Art. 8-10 ePV vorgesehenen Vorschriften. Es steht nun mehr als bislang der Geräteschutz im Mittelpunkt. Von engen Ausnahmen abgesehen, sollen die Nutzung von Rechen- und Speicherfähigkeiten eines Endgerätes sowie das Erheben jeglicher Informationen (einschließlich Informationen über die Beschaffenheit von Hard- oder Software) verboten sein. Hierzu soll allein der Besitzer des Gerätes in der Lage sein dürfen. Dies geht weit über das bisherige Anwendungsverständnis hinaus und erfasst damit auch Techniken wie z.B. das technische Fingerprinting, wie sich aus Erwägungsgrund 20 ergibt.

Ausnahmen sollen künftig nur für Erfordernisse der Konnektivität sowie dort erlaubt sein, wo der Online-Anbieter diese Möglichkeiten für die Erbringung seines Dienstes und das statistische Auswerten (web audience measuring) desselben unbedingt benötigt. Ausgeschlossen sind damit jegliche Dienste, die naturgemäß keinen Kontakt zum Endnutzer haben.

Sämtliche andere Methoden zur Ermöglichung von nach Maßstäben der EU-Datenschutzgrundverordnung legalen Datenverarbeitungen oder Evaluierung von Auslieferungsqualitäten (Setzen von Cookies, Messen von Reichweiten, Evaluierung der Auslieferungsqualität etc.) werden nun von der Einwilligung des End-Nutzers abhängig gemacht. Während die EU-Kommission hier eine vermeintliche Verbesserung der Nutzerfreundlichkeit wegen Entfalls der Cookie-Banner heraushebt stellt sich schon die Frage, ob hier nicht das Gegenteil der Fall ist. Mehr dazu bei Art. 10 ePV sowie unserer späteren, detaillierteren Einschätzung.

In Art. 8 Abs. 2 ePV wird das Nutzen von Informationen geregelt, die zwischen kabellos verbunden Endgeräten ausgetauscht werden. Die Nutzung solcher Informationen soll ebenfalls verboten sein es sei denn, es ist notwendig für den Verbindungsaufbau oder geschieht unter Einblendung einer prominenten Information, die über Zweck und Identität aufklärt und ansonsten die Vorgaben eine Informationserteilung gemäß EU-Datenschutzgrundverordnung einhält. Hier stellt sich z.B. bei ad hoc Bluetooth-Verbindungen bereits die Frage der technischen Machbarkeit.


Einwilligungsvorgaben, Art. 9 ePV

In Art. 9 ePV finden sich Vorgaben für die Einwilligung, die sich nach den Grundsätzen der EU-Datenschutzgrundverordnung richten. Mit Blick auf Einwilligungen bezüglich des Setzens von Cookies wird in Absatz 2 klargestellt, dass für eine Erklärung der Einwilligung auch genügt, dass geeignete technische Einstellungen einer Internetverbindungssoftware ausreichen. Damit wird die Verbindung zu den in Art. 10 ePV geregelten technischen Vorgaben hergestellt. Für eine wirksame Einwilligung selbst gelten hingegen die umfangreichen Informationspflichten aus Art. 4 und 7 EU-Datenschutzgrundverordnung,

Darüber hinaus soll es dem Nutzer ermöglicht werden, eine erteilte Einwilligung alle 6 Monate zu widerrufen.


Einwilligung und Technikvorgaben, Art. 10 ePV
Hinzu kommen in den weiteren Abschnitten Vorschriften zur technischen Umsetzung des Nutzungsverbots im Online-Bereich. Die Verbote des Art. 8 epV sollen künftig verbindlich technisch abgebildet sein. Künftig muss eine Software sicherstellen können, dass so genannte Drittanbieter (3rd parties) Informationen weder im Endgerät speichern noch auslesen können. Mit Blick auf den Regelungszweck – Sicherung der Vertraulichkeit in der elektronischen Kommunikation – vielleicht für Software vorstellbar, die elektronische Kommunikation vermittelt. Das Anwendungsszenario erstreckt sich hier aber vor allem aber auf jegliche Software, die Internetverbindungen ermöglicht, namentlich Web-Browser, wie sich aus Erwägungsgründen 23 und 24 ergibt.

Bei Installation muss der Nutzer nun über die Einstellungsmöglichkeiten informiert werden. Der Nutzer muss sich dann – um die Installation abschließen zu können – für eine Einstellung entscheiden. Wie und unter welchen Umständen diese Entscheidung ganz oder für einzelne Webseiten bezogen auf jegliche Art nicht privilegierter Cookies ändern können muss, ist nicht geregelt. Web-Browser müssten dann auch nachgelagerte Informationsfenster steuern oder auf Änderungsoptionen in Abhängigkeit des Funktionierens einer Webseite hinweisen. Ob hier die propagierte Vereinfachung – und darüber hinaus Datenschutzfreundlichkeit – erreicht wird, darf zu recht bezweifelt werden.


Over-the Top-Dienste

Die neuen Regeln sollen auch nicht mehr nur die klassischen Telekommunikationsanbieter sondern auch so genannte „over-the-top-Dienste (OTTs) erfassen. Nach Mitteilung der EU-Kommission und laut der Erwägungsgründe werden darunter all jene Dienste verstanden, die interpersonelle Kommunikation erlauben, wie Voice over IP, instant messaging oder web-based e-mail services. Wesentliches Abgrenzungskriterium soll die Möglichkeit der direkten, interaktiven Kommunikationsmöglichkeit sein. Die Definition wird im European Electronic Communications Code geregelt werden.


Inkrafttreten zusammen mit EU-Datenschutzgrundverordnung

Laut Art. 31 Abs. 2 ePV und nach erklärtem Willen der EU-Kommission, soll die neue Verordnung zeitgleich mit der EU-Datenschutzgrundverordnung am 25.05.2018 in Kraft treten. Ein politisches Ziel, welches den komplexen und für die digitale Wirtschaft hochwichtigen Regelungsfragen kaum gerecht wird. 

Unmittelbar nach Bekanntwerden der ersten Entwurfsfassung hatte der BVDW bereits deutlich vor den Folgen dieser überbordenden Spezialregulierung gewarnt. Die Kernkritikpunkte im Überblick:

  • Kein level playing field zwischen den verschiedenen Anbietern digitaler Angebote im Internet
  • Überschießende Spiezialnormen für den Online-Bereich
  • Fehlende Kohärenz mit EU-DSGVO
  • Uneinheitliche und unklare Begriffsbestimmungen
  • Verbot von 3rd Party-Cookies bedroht Funktionsweise des Internets

UPDATE 5. September 2016

EU-Kommission veröffentlicht Stellungnahmen und Ergebnisse

 

Im Nachgang zum Abschluss der öffentlichen Konsultation der EU-Kommission zur ePrivacy-Richtlinie hat diese eine Übersicht über die eingegangenen Antworten auf den Fragebogen sowie die Stellungnahmen von Bürgern, Verbänden und Wirtschaftsunternehmen zusammengestellt und veröffentlicht.

Contributions received from Citizens
Contributions received from Industry
Contributions received from Civil Society and Consumer and User Associations
Contributions received from public bodies

Ebenso hat die EU-Kommission eine erste Zusammenfassung der Ergebnisse der öffentlichen Befragung erstellt, welche hier abrufbar ist. Ein erster Überarbeitungsentwurf der ePrivacy-Richtlinie wird zum Ende des Jahres 2016 erwartet.

summary report on the public consultation

UPDATE 6. Juli 2016

Öffentliche Konsultationen der EU-Kommission abgeschlossen

Die von der EU-Kommission im Zuge der REFIT-Überprüfungen zur e-Privacy-Richtlinie (Datenschutzrichtlinie für elektronische Kommunikation, ePR) am 11.April eröffnete Konsultation sind am 05.Juli 2016 abgeschlossen worden. Um zu erfahren, wie die zuletzt im Jahre 2009 (Cookie-Regelungen) geänderten Richtlinien-Vorgaben in den Mitgliedsstaaten umgesetzt und wurden und welche Erfahrungen sich daraus ergeben haben, hatte die Kommission einen Fragebogen veröffentlicht, der sich an Bürger, juristische Personen und öffentliche Behörden gleichermaßen richtet. Der BVDW hat in den zurückliegenden Wochen nach zahlreichen Gesprächen und Abstimmungen mit Behörden, Dachverbänden und seinen Mitgliedern seine Kommentare und Stellungnahmen zu den im Fragebogen aufgeworfenen Fragen am 30.06.2016 an die EU-Kommission in Brüssel übersandt.

Der BVDW fordert insbesondere eine sachgerechte und umfassende Überprüfung der Richtlinie mit Blick auf deren telemedienrechtlichen Regelungsansatz. Es ist unbedingt erforderlich, die von der EU-Kommission im Rahmen des REFIT-Programms aufgestellten Kriterien umfassend und praxisgerecht anzuwenden und gleichzeitig auch die von den  Mitgliedsstaaten mitgeteilten Erfahrungen bei der Umsetzung der aktuellen ePR angemessen und kritisch zu berücksichtigen. Dies betrifft vor allen Dingen die überdehnte Auslegung und Anwendung von Art. 5 Abs. 3 ePR auf sämtliche Online-Sachverhalte. Dieses Verständnis war und ist – insbesondere angesichts der nun in Kraft getretenen EU-Datenschutzgrundverordnung (EU-DSGVO) - unvereinbar mit der von der EU-Kommission selbst intendierten Anwendungsreichweite der ePR. Die Überprüfung darf daher nicht dem Zweck dienen, Regelungsbereiche der EU-DSGVO nachträglich neu zu bestimmen.
 
Regelungsgegenstand der ePR ist gemäß Art. 3 ausdrücklich und allein die Sicherstellung der Vertraulichkeit in öffentlichen Kommunikationsnetzwerken und des damit verbundenen Datenverkehrs. Grundlage für die Einführung unter anderem des Art. 5 Abs. 3 ePR waren die vom Europäischen Parlament verabschiedeten und am 25. November 2009 als Richtlinie 2009/136/EG „Rechte der Bürger“ in Kraft getretenen Regelungen zur weiteren Vereinheitlichung und Konkretisierung des europäischen Rechtsrahmens für elektronische Kommunikationsnetze und -dienste.

Nach dem Wunsch des EU-Parlaments sollte unter anderem die Regelung des Art. 5 Abs. 3 ePR die Schaffung von mehr Transparenz und Sicherheit für die Verbraucher allein im Bereich der Telekommunikation ermöglichen. Dennoch wurden und werden diese für einen eng definierten Bereich geschaffenen Vorschriften (namentlich Art. 5 Abs. 3, 13 ePR)  auf den gesamten Online-Bereich und den Datenverkehr über das Internet verstanden und angewandt.
 
Ausnahmen von dem in Art. 3 ePR auf elektronische Kommunikationsdienste beschränkten Anwendungsbereich sind indes nicht vorgesehen. Sachliche Gründe hierfür sind ebenfalls nicht ersichtlich. Vor dem Hintergrund des klaren Überprüfungsauftrags in Erwägungsgrund 173 EU-DSGVO, wonach Kohärenz mit den insoweit einschlägigen Regelungen der Verordnung herzustellen sei, ist zumindest die Klarstellung dringend erforderlich, dass die Vorschriften der Art. 5 Abs. 3 und Artikel 13 ePR nicht auf Dienste d. Informationsgesellschaft anzuwenden sind. Die Ergebnisse der Konsultation werden in die Überarbeitung der Richtlinie fließen. Eine Streichung, zumindest des Art. 5 Abs, 3 ePR wäre hier nach Ansicht des BVDW die beste Lösung.

11. April 2016 - Start der öffentlichen Konsultationen

Evaluierung durch EU-Kommission 2016 - Fragenkatalog

Start der öffentlichen Konsultationen zur ePrivacy-Richtlinie. Die Konsultation soll innerhalb von 12 Wochen am Dienstag, den 5.Juli 2016 abgeschlossen sein.


Da die ePrivacy-Richtlinie nach Auffassung der EU-Kommission die  gerade verabschiedete EU-Datenschutzgrundverordnung in speziellen Teilen weiterführt und begleitende Regelungen enthält. Die Evaluation soll vor allem dazu dienen, ein neben der EU-DSGVO stehenden Rechtsrahmen für Fragen der Privatheit für die Digitale Ära zu schaffen. Folgende Punkte hält die EU-KOMM für in jedem Falle klärungsbedürftig:

  • Konsistenz mit den Regelungen zur EU-DSGVO
  • Überarbeitung des Anwendungsbereiches der ePrivacy-Richtlinie vor dem Hintergrund der neuen Markt und Technikrealitäten
  • Verbesserung von Sicherheit und Vertraulichkeit (Integrität) von Kommunikation
  • Adressierung uneinheitlicher Rechtsdurchsetzung und Rechtsunterschiede in einzelnen Mitgliedsstaaten


Konsultation erfolgt anhand eines umfassenden Fragebogens mit insgesamt 33 Fragen. Sie ist in zwei Teile gegliedert:

  • Abfrage der Wirksamkeit und Geeignetheit der bisherigen Regelungen der Richtlinie bzw. der Umsetzung in den Mitgliedsstaaten
  • Meinungen und Vorschläge hinsichtlich der Überarbeitung


EU-KOMM erwähnt ausdrücklich die Bereiche OBA und Cookies. Es werden allerdings keine anderen Stellungnahmen, als die im Rahmen des Fragebogens akzeptiert. Hier sind pro Fragefeld max. 1500 Zeichen vorgesehen.

Es fragt sich, wie eine solch komplexe Materie auf diese Weise überhaupt verständlich und umfassend behandelt werden soll. Die Art und Weise der direkten Adressierung bestimmter Marktmaßnahmen und die begrenzten Möglichkeiten zur Argumentation im Rahmen des Fragebogens lassen eine stark vorgefasste Richtung der EU-KOMM vermuten.

Ein erster Entwurf der überarbeiteten Richtlinie soll bereits nach der Sommerpause (!) 2016 vorliegen. Anfang 2017 soll dann er Entwurf ins Parlament eingebracht werden. Der Zeitrahmen soll so gehalten werden, dass die neuen Regelungen möglich mit Anwendbarkeit der EU-DSGVO zum 25.05.2018 in Kraft treten können.


2. Hintergrund Cookie-Richtlinie

  • Am 25. November 2009 verabschiedete das Europäische Parlament die als Richtlinie 2009/136/EG „Rechte der Bürger“ in Kraft getretenen Regelungen zur weiteren Vereinheitlichung und Konkretisierung des europäischen Rechtsrahmens für elektronische Kommunikationsnetze- und Dienste.
  • Nach dem Wunsch des EU-Parlaments Schaffung von mehr Transparenz und Sicherheit für die Verbraucher. Neue Datenschutz-Vorgaben hinsichtlich der Voraussetzungen für die Nutzung von auf dem Endgerät eines Nutzers gespeicherten Informationen.
  • Bestimmungen zu Datenschutz wurden 2009 eingeführt. Bilden kein eigenes, neues Regelwerk sondern sahen Änderungen und Anpassungen der Verordnung (EG) Nr. 200/2004 sowie zweier, bereits bestehender Richtlinien, namentlich der Richtlinien 2002/22/EG (Universaldienstrichtlinie) und 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation – ePrivacy-Richtlinie) vor.  Die ePrivacy-Richtlinie ist keine explizit für Telemedien bestimmte Richtlinie sondern betrifft Regelungen zur Vertraulichkeit in der elektronischen Kommunikation, namentlich Telekommunikation, weshalb der deutsche Gesetzgeber die Richtlinie im TKG umgesetzt hat.
  • Eingeführt wurde 2009 u.a. Art.5 Abs.3:
  • Art. 5 Abs. 3 E-Privacy-Richtlinie:
    "(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."
  • Die dort genannten Informationen können dabei in vielfältiger Weise gespeichert und ausgelesen werden. Cookies stellen dabei zwar nur eine mögliche, jedoch die wohl bekannteste Art der Verarbeitungsmöglichkeit dar. Vor allem deshalb hatte sich schnell der Begriff „Cookie-Richtlinie“ eingebürgert.

Bei uns befassen sich diese Gremien mit dem Thema Recht: