Ein neuer Entwurf des Rats der Europäischen Union für die ePrivacy-Verordnung lässt die „Leitplanken“ der Verordnung ein Stück klarer werden.
Der erste Entwurf für eine neue ePrivacy-Verordnung im Januar dieses Jahres ließ nicht nur interessierte Kreise aufhorchen, sondern wirkte wie ein Tsunami innerhalb der Medien- und Online-Branche. Die Stellungnahmen reichten vom „Ende des Internets“ bis zum Lob für einen datenschutzsensitiven Ansatz.
Tatsächlich kann die Bedeutung der ePrivacy-Verordnung nicht hoch genug geschätzt werden. Für sämtliche Unternehmen wird sich mit der Einführung der ePrivacy-Verordnung der regulatorische Rahmen maßgeblich ändern. Sie ist neben der Datenschutzgrundverordnung als der „Game Changer“ anzusehen.
Der erste Entwurf einer neuen ePrivacy-Verordnung
Der im Januar dieses Jahres veröffentlichte Entwurf wurde, wie bereits ausgeführt, kontrovers aufgenommen. Die wesentlichen Konfliktfelder betrafen dabei einerseits die unklare Erfassung der Maschine-zu-Maschine-Kommunikation in Erwägungsgrund 12 des Entwurfes sowie die neuen Vorschriften hinsichtlich des Trackings von Internetnutzern und im Direktmarketing.
So sollten nach dem bisherigen Entwurf die Vorgaben hinsichtlich der Verwendung von Cookies erheblich geändert werden, so dass eine Sammlung und Verwendung von Daten fast nur durch eine Einwilligung möglich wäre. Dabei sollte auch die Verantwortung hinsichtlich der zulässigen Trackings von Internetznutzern von dem jeweiligen Website-Anbieter auch auf den Anbieter der Zugangssoftware verlagert werden, der seine Nutzer über Möglichkeiten der Einschränkung der Verfolgbarkeit informieren sollte. Weiterhin wurden Regelungen hinsichtlich der Regulierung von Over-the-Top-Anbietern und auch einer Verwendung von Metadaten kontrovers diskutiert.
Bereits aus einer kurzen Aufzählung dieser Konfliktpunkte wird offensichtlich, dass der Entwurf für eine ePrivacy-Verordnung das Potential zur erheblichen Änderung der bestehenden Infrastruktur des Internets beinhalten könnte.
Änderungsempfehlungen der EU-Ausschüsse
Im Rahmen des weiteren Gesetzgebungsverfahrens erfolgten verschiedene Änderungsempfehlungen der EU-Ausschüsse. Dabei widersprachen sich insbesondere die Auffassungen des federführenden Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE) und des Rechtsausschusses (JURI).
Insbesondere der Rechtsausschuss äußerte eine erhebliche Kritik an dem Entwurf, so wurde die zu starke Fokussierung auf das Rechtsinstrumentarium der Einwilligung kritisiert und vor diesem Hintergrund weitere Möglichkeiten zur Nutzung von Daten ohne eine solche Einwilligung gefordert. Demgegenüber hielt der LIBE-Ausschuss im Wesentlichen an der Struktur der vorgeschlagenen ePrivacy-Verordnung fest und forderte noch weitergehende Verschärfungen hinsichtlich des Trackings von Internetnutzern.
Vor der geplanten Abstimmung im LIBE-Ausschuss ist nunmehr ein neuer Entwurf der ePrivacy-Verordnung bekannt geworden.
Neuer Entwurf einer ePrivacy-Verordnung vom 08. September 2017
Im Nachgang zu der vorgenannten Abstimmung am 11. Oktober 2017 ist damit zu rechnen, dass zeitnah der Trilog zwischen der Europäischen Kommission, dem Rat der Europäischen Union und dem Europäischen Parlament zur Abstimmung des finalen Textes beginnen wird. Offiziell ist immer noch geplant, dass die neue ePrivacy-Verordnung zeitgleich mit der Datenschutzgrundverordnung zum 25. Mai 2018 in Kraft treten soll.
Vor dem Hintergrund dieses engen Zeitplanes ist es aufschlussreich, den Entwurf des Rates der Europäischen Union einer ersten Sichtung zu unterziehen, um weitere Tendenzen des Gesetzgebungsprozesses abzulesen. Aufgrund des Zeitplanes des Verfahrens stellt der Entwurf folgerichtig bereits in seiner Einleitung klar, dass zum jetzigen Zeitpunkt die Beratungen noch nicht abgeschlossen sind und noch mit weiteren Änderungsvorschlägen der einzelnen Ausschüsse zu rechnen sei.
Es lassen sich jedoch grundlegende Richtungsentscheidungen ablesen. So ist an der Struktur und insbesondere der rechtlichen Fokussierung auf das Instrument der Einwilligung keine Änderung erfolgt. Diese Kritikpunkte bleiben also im Wesentlichen bestehen.
Konkret inhaltlich ist zumindest beachtlich, dass in Art. 5 Abs. 2 des Entwurfes für eine ePrivacy-Verordnung vom 08. September 2017 eine Klarstellung hinsichtlich des Anwendungsbereiches für die Maschine-zu-Maschine-Kommunikation aufgenommen wurde. Diesbezüglich hat sich offensichtlich die Erkenntnis durchgesetzt, dass eine Regulierung von Daten ohne Bezug zu einem menschlichen Nutzer zu erheblichen Problemen im Rahmen der Infrastruktur der Industrie 4.0 führen würde. Dabei liest sich die bisher enthaltene Formulierung jedoch eher wie eine „Leitplanke“.
In dem Entwurf ist auch enthalten, dass der Nutzer von Endgeräten in regelmäßigen Intervallen – der Vorschlag umfasst nunmehr zwölf Monate – daran erinnert werden muss, dass er seine Einwilligung zur Datenverarbeitung im Sinne der ePrivacy-Verordnung jederzeit widerrufen kann. Da die Verantwortung für diese Erinnerung und Einholung bei dem jeweiligen Software-Unternehmen liegt, welches einen Zugang zum Internet ermöglicht bzw. in der neuen Formulierung den Abruf und die Präsentation von Informationen aus dem Internet erlaubt, wird dies zu einem weiteren Aufwand im Rahmen der Software-Erstellung führen.
Weitere interessante Änderungen finden sich in den Artikeln 8 und 10 des Entwurfes der ePrivacy-Verordnung vom 08. September 2017. Einerseits hinsichtlich des Zugriffs auf Informationen bzw. Speicherung von Informationen auf dem jeweiligen Endgerät und andererseits hinsichtlich der Privacy-Settings des jeweiligen Gerätes oder der Software.
Die Änderungen in Art. 8 des Entwurfes einer ePrivacy-Verordnung vom 08. September 2017 betreffen insbesondere die Benutzung von Cookies und anderen Tracking-Maßnahmen. Eine dort enthaltene Ergänzung verweist darauf, dass diese Maßnahmen nicht nur von dem jeweiligen Verantwortlichen durchgeführt werden können, sondern dieser auch Dritte beauftragen kann, solange die Anforderungen des Art. 28 DSGVO, also an Auftragsverarbeiter, erfüllt sind. Diese Regelung zielt wohl darauf ab, Maßnahmen wie z. B. Google Analytics und andere Analyse-Tools nicht in der Nutzung einzuschränken.
In Art. 10 des Entwurfes der ePrivacy-Verordnung vom 08. September 2017 wird klargestellt, dass für den Nutzer eine Möglichkeit bestehen muss, die Privatsphäre-Einstellungen so zu konfigurieren, dass keine Partei außer ihm selbst Informationen oder Daten auf dem Gerät des Endnutzers speichern darf und dies durch einfache Einstellungen für jeden Nutzer nachvollziehbar erlaubt wird. Auch dies wird Anbieter von Software nach der Umsetzung stellenweise zum Umdenken zwingen.
Weitere Entwicklung des Gesetzgebungsverfahrens unbedingt beobachten
Unabhängig von den Änderungen im Detail bleibt festzuhalten, dass die ePrivacy-Verordnung viele am Markt tätige Unternehmen betreffen wird und einen nicht unerheblichen Einfluss auf die aktuelle Gestaltung, zumindest des werbefinanzierten Internets, haben wird. Es ist daher dringend anzuraten, das Gesetzgebungsverfahren weiter zu verfolgen und sich rechtzeitig auf Änderungen einzustellen, da unter Umständen nur eine kurze Umsetzungsfrist bestehen wird.
Der nächste Schritt ist getan (Update nach der Abstimmung)
Nachdem die Verhandlungen im LIBE-Ausschuss bereits abgebrochen waren, kam es doch noch zu einer Einigung. Mit knapper Mehrheit wurde ein Kompromiss beschlossen, der – vorbehaltlich einer weiteren Diskussion im Plenum – die Grundlage für den nunmehr beginnenden Trilog darstellen wird. Dabei ist der Wortlaut des finalen Textes der Verordnung in der Fassung des Ausschusses bisher nicht veröffentlicht. Jedoch wurde wohl im Wesentlichen der restriktive Ansatz, der als Grundlage für die Verarbeitung die Einwilligung des jeweiligen Nutzers vorsieht, beibehalten.
Das Ergebnis der Abstimmung ist, vor dem Hintergrund des bisherigen Verlaufes, kaum überraschend. Es ist jedoch zu erwarten, dass der Text der Verordnung nunmehr intensiv im Trilog-Verfahren diskutiert wird. Dieses Verfahren muss in den nächsten Monaten mit Nachdruck seitens der beteiligten Institutionen verfolgt werden, da diese ePrivacy-Verordnung weiterhin geplant zum Mai 2018 in Kraft treten soll. Für Unternehmen besteht weiterhin die Unsicherheit, aber die Anzeichen einer restriktiven ePrivacy-Verordnung verdichten sich