Neue Regeln für Messenger-Dienste, Cookies und im Online-Marketing: Die EU-Kommission hat ihren Entwurf der neuen ePrivacy-Verordnung veröffentlicht. Ab Mai 2018 soll diese zusätzlich zur Datenschutz-Grundverordnung gelten. Kommunikationsdienste, Marketing-Anbieter und Webseiten-Betreiber sollten ihre Compliance darauf ausrichten.

ePrivacy VO

Wirkung der Verordnung
Die aus dem Jahr 2002 stammende „ePrivacy-Richtlinie“, die 2009 durch die sogenannte „Cookie-Richtlinie“ reformiert wurde, musste von den Mitgliedstaaten in nationales Recht umgesetzt werden. In Deutschland fußen z.B. die Regelungen zum E-Mail Marketing des Gesetzes gegen den unlauteren Wettbewerb (UWG) sowie Regelungen zur Datenverarbeitung aus dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) auf diesen Richtlinien.

Mit Inkrafttreten der ePrivacy-Verordnung würden diese Regelungen ersetzt werden. Da Verordnungen in den Mitgliedstaaten unmittelbar gesetzliche Wirkung entfalten, stünde den Mitgliedstaaten kaum noch Spielraum für nationale Abweichungen zu. Allerdings handelt es sich bislang lediglich um einen Entwurf, so dass sich einzelne Regelungen noch ändern können.

Geplant ist, dass die ePrivacy-Verordnung zeitgleich mit der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 in Kraft treten und diese im Bereich der elektronischen Kommunikation ergänzen soll.

Straffere Zügel für WhatsApp, Google Mail & Co.
Bisher erfassen die europäischen Regelungen zu ePrivacy nur die Anbieter klassischer Kommunikationsdienste. Darunter fallen insbesondere Telefonie und SMS. Nicht erfasst waren bislang sogenannte Over-the-top (OTT) Dienste wie Messenger (bspw. WhatsApp), Voice over IP und Video-Telefonie (bspw. Skype) oder Webmail-Dienste (bspw. Google Mail). OTT-Dienste betreiben keine eigenen Netze, sondern übertragen ihre Signale über das offene Internet.

Gegenwärtig ist es nicht geklärt, ob OTT-Dienste in den Anwendungsbereich des TKG fallen. Zwar hat das VG Köln Google Mail als Telekommunikationsdienst eingeordnet, aber das Urteil ist nicht rechtskräftig. Die ePrivacy-Verordnung beendet diese Streitfrage und setzt solche OTT-Dienste den klassischen Telekommunikationsdiensten gleich, was im Ergebnis zu einer strengeren Reglementierung dieser Dienste führen soll. Bei jeder Verarbeitung elektronischer Kommunikationsdaten durch OTT-Dienste sowie der Nutzung von Informationen des Endgerätes des Users wären die Bestimmungen der Verordnung einzuhalten.

Keine Überraschung beim E-Mail Marketing
Das Versenden von elektronischen Werbenachrichten per E-Mail, SMS usw. ist derzeit nach dem deutschen Wettbewerbsrecht nur zulässig, wenn eine ausdrückliche Einwilligung des Nutzers vorliegt (Opt-In). Begrenzte Ausnahmen bestehen im Rahmen bestehender Geschäftsbeziehungen, wenn eigene ähnliche Produkte oder Dienstleistungen beworben werden und dem Beworbenen ein Widerspruchsrecht (Opt-Out) eingeräumt wird. Die Verordnung übernimmt diese Regelungen nahezu unverändert, so dass es für Werbetreibende keine bösen Überraschungen gibt.

Neue Standards für Cookies
Den Einsatz von Cookies wird die Verordnung neu regeln. Aus dem Entwurf lässt sich folgende Grundregel ablesen: Cookies, die zur Erbringung eines Telekommunikations- oder Internetdienstes technisch erforderlich sind oder der Messung des Traffic auf einer Webseite dienen, sind ohne ausdrückliche Einwilligung (Opt-In) zulässig. Es muss nicht einmal mehr auf deren Einsatz hingewiesen werden, so dass Hinweis-Banner nicht mehr notwendig wären (Cookie-Hinweisbanner sind aber eh ein Thema für sich, das wir HIER beleuchtet haben).

In allen anderen Fällen, insbesondere beim Einsatz zum Tracking für Werbezwecke, bedarf es der Einwilligung durch den Nutzer. Dazu wird vermutlich das Opt-Out-Verfahren nicht mehr ausreichen, sondern auf ausdrückliche Einwilligungen (Opt-In) zurückgegriffen werden müssen. Die datenschutzrechtlichen Einstellungen eines Dienstes sollen so nutzerfreundlich wie möglich sein.

Der Entwurf verweist dabei auch auf die Web-Browser, die Privacy-Einstellungen für das Surfen im Internet enthalten sollen, so dass der Nutzer nicht bei jedem Dienst die Einstellungen separat vornehmen muss. Standards wie „Do-Not-Track“ existieren in diesem Bereich bereits. Allerdings müssen die Browser nicht so voreingestellt werden, dass sie das Tracking grundsätzlich ausschließen (sog. „Privacy by Default“). Hier bleibt die ePrivacy-Verordnung auf der Linie der DSGVO, deren Bestimmungen zum Privacy by Default sich ausschließlich an den Datenverarbeiter richten und nicht an Softwareentwickler. Wie wirksam das ist, wird sich zeigen müssen.

Internet-of-Things – Knebel für auskunftsfreudige Geräte
Der Entwurf der ePrivacy-Verordnung enthält auch Regelungen für die elektronische Kommunikation zwischen Maschinen („Internet of Things“, kurz: IoT). Erfasst sind neben Desktops, Laptops, Tablets und Smartphones alle internetfähigen Geräte und Gegenstände wie Smart-TVs, Überwachungskameras, Haushaltsgeräte und auch Fahrzeuge. Die Verarbeitung von Daten, die in internetfähigen Endgeräten gespeichert sind einen Bezug zu diesen haben (egal ob durch Zugriff auf die Speicher oder durch Empfang ausgesendeter Informationen), soll nur unter strengen Voraussetzungen möglich sein. Die neuen Regelungen könnten z.B. Auswirkungen auf den Telematik-Trend der KFZ- und Krankenversicherungen haben, aber auch auf die Erhebung von gerätebezogenen Kennungen wie MAC-Adresse, Werbe-ID usw.

Standortdaten und Bewegungsprofile
Die Verordnung soll nicht für die Erhebung und Auswertung von Standortdaten gelten, sofern diese losgelöst von der Erbringung eines Kommunikationsdienstes verarbeitet werden. Die Erfassung von mobilen Endgeräten, um Bewegungsprofile zu erstellen, wäre damit ohne Einwilligung des Betroffenen zulässig. Einsatzmöglichkeiten sind die Messung von Besucherströmen und Kundenaufkommen in Geschäften, öffentlichen Gebäuden, Verkehrsknotenpunkten etc.

Kontrolle und Sanktion
Die Kontrolle der ePrivacy-Verordnung soll den Datenschutzbehörden übertragen werden. Diese können – wie nach der DSGVO – Bußgelder in Höhe von bis zu 20 Mio. EUR oder bis zu 4 % des weltweit erzielten Vorjahresumsatzes der Unternehmensgruppe verhängen.

Weitere Entwicklung
Welche Regelungen der ePrivacy-Verordnung in Kraft treten werden, steht erst nach Abschluss des Gesetzgebungsverfahrens fest. Angepeilt ist Mai 2018, zeitgleich mit der Anwendung der DSGVO. Daneben muss die Reform des europäischen Telekommunikationsrechts durch einen einheitlichen europäischen Kodex und des Bundesdatenschutzgesetzes (BDSG) sowie des TKG und TMG im Blick behalten werden.

Um nichts zu verpassen, können Sie unseren Newsletter abonnieren, indem Sie oben rechts unter Datenschutz-Update Ihre E-Mail-Adresse eintragen.


Verfasser:
RA Sebastian Herting
Malte Kröger (juristischer Mitarbeiter der Datenschutzkanzlei)