Entwurf für ePrivacy-Verordnung: Wer ist betroffen?

Fachbeitrag

Der Entwurf für eine neue ePrivacy-Verordnung hat gestern Abend seinen Weg ins Netz gefunden. Die Verordnung soll die ePrivacy-Richtlinie ablösen und darauf basierendes nationales Recht überlagern. Ein erster Blick in den Entwurf offenbart im Wesentlichen zeitgemäße Regelungen. Wer wird von den neuen Regelungen am meisten betroffen sein?

Aktuelle Regelung

Die sog. ePrivacy-Richtlinie (2002/58/EG) regelte bislang die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. 2009 wurde sie durch die sog. Cookie-Richtlinie abgeändert (2009/136/EG). Diese wurde unterschiedlich enthusiastisch in das nationale Recht der Mitgliedsstaaten transformiert. Damit soll jetzt Schluss sein. Als Verordnung wäre der neue Entwurf unmittelbar (also ohne dass ein nationales Gesetz notwendig wäre, das die Regelungen „übersetzt“) in allen Mitgliedsstaaten anwendbar.

Beweggründe für die neue Regelung

Die Verordnung reagiert auf die Entwicklungen des 21 Jahrhunderts. Herkömmliche Kommunikationskanäle (Telefonate, SMS) befinden sich auf dem Rückzug und die an ihre Stelle tretenden, neuen Dienste (wie Skype, Gmail, WhatsApp oder Facebook) werden häufig nicht von den bisherigen Telekommunikationsgesetzen erfasst.

Außerdem soll sie zur Einheitlichkeit der Regelungen, insbesondere im Hinblick auf die EU-Datenschutz-Grundverordnung beitragen.

„…, in order to maintain consistency with the general data protection rules (GDPR), it is nessessary to review the current sector-specific rules on ePrivacy and adopt measures required to bring the two instruments in line.”

Wer ist von den Veränderungen betroffen?

Over-the-Top Dienste

Am meisten Stirnrunzeln dürfte der Entwurf bei sog. Over-the-Top Diensten auslösen. Gemeint sind Anbieter, die internetbasiert Kommunikationsdienstleistungen erbringen ohne eindeutig Diensteanbieter im Sinne des Telekommunikationsgesetzes zu sein.

In Deutschland hat das VG Köln zwar mit Urteil vom 11. November 2015 (Az. 21 K 450/15) Gmail als einen solchen Dienst angesehen. Das Urteil ist aber nicht rechtskräftig. Der weitere Prozessverlauf wird allenfalls hierzulande zu einer einheitlichen Sichtweise führen.

Die Anbieter solcher Dienste müssen bei Verabschiedung des Entwurfs die Rechtmäßigkeit ihrer Geschäftsmodelle an den neuen Regelungen messen.

Internet of Things

Auch das Internet of Things soll durch die neue Verordnung reguliert werden. Darauf wird explizit in Erwägungsgrund 14 hingewiesen.

„…Therefore the principle confidentiality enshrined in the Regulation also applies to the transmission of machine-to-machine communications“

Für die Erhebung von Daten die von Endgeräten ausgesendet werden hält die Verordnung in Art. 8 Abs. 2 eine Regelung bereit, die eine Datenübertragung dem Grundsatz nach verbietet. Ausnahmen von dem Verbot sind dort abschließend geregelt.

Browser-Anbieter

Nicht unbedingt erfreut werden auch Anbieter von Internet-Browsern und vergleichbaren Anwendungen sein. Diese müssen nach dem Entwurf das Prinzip „Privacy by design“ umsetzen, also in den Voreinstellungen Datenschutz gewährleiten. Konkret heißt es in Art. 10:

„1. The settings of all the components of the terminal equipment placed on the market shall be configured to, by default, prevent third parties from storing information, processing information already stored in the terminal equipment and preventing the use by third parties oft he equipment’s processing capabilities.

2. Software placed on the market permitting electronic communications, including the retrieval and presentation of information on the internet, shall be configured to by default prevent third parties from storing information on the terminal equipment of an end-user or processing information already stored on that equipment.“

Website Betreiber

Auch die Betreiber von Websites müssen sich bei der Verabschiedung des Entwurfs mit den neuen Regelungen auseinandersetzen.

Art. 8 Abs. 1 verbietet etwa den Einsatz von Cookies grundsätzlich. Eine Erlaubnis stellt gemäß Art. 8 Abs. 1 (b) etwa die vorige Einwilligung des Endnutzers dar. Ob diese dann noch im Opt-out-Verfahren eingeholt werden können, wie es das OLG Frankfurt vor kurzem noch bejahte, ist fraglich. Der Streit, wie eine Einwilligung zu Cookies rechtswirksam einzuholen ist, dürfte uns noch eine Weile erhalten bleiben.

Marketing

Im Bereich E-Mail-Marketing gibt es hingegen keine großen Neuerungen. Dies gilt zumindest dann, wenn Sie die Regelungen der EU-Datenschutz-Grundverordnung bereits umgesetzt haben. Bei den Einwilligungen wird auf die Datenschutz-Grundverordnung Bezug genommen. Die Privilegierung für E-Mail-Werbung an Bestandskunden wird beibehalten, siehe Art. 16.

Ausblick

Wir werden die Entwicklungen im Auge behalten. Dies sollten auch die betroffenen Gruppen tun, denn bei Verstößen gegen die ePrivacy-Richtlinie ist, dem Entwurf nach, Kapitel 8 der DSGVO einschlägig. Dieses regelt Rechtsbehelfe, Haftung und Sanktionen. Bußgelder können daher deutlich höher ausfallen, als es bisher der Fall war.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.