Entwurf der ePrivacy-Verordnung veröffentlicht: Eine kursorische Analyse

Entwurf der ePrivacy-Verordnung veröffentlicht: Eine kursorische Analyse

Nachdem schon im Dezember letzten Jahres der Entwurf zur Überarbeitung der sogenannten ePrivacy-Richtlinie (Datenschutzrichtlinie für elektronische Kommunikation, RL 2002/58/EG ergänzt durch die sogenannte Cookie-Richtlinie, RL 2009/136/EG) geleakt wurde, hat nun die EU-Kommission offiziell den Entwurf einer neuen ePrivacy-Verordnung vorgelegt (Verordnung 2017/0003/COD). In diesem Beitrag stellen wir die wesentlichen Neuerungen im Vergleich zur gegenwärtigen Rechtslage kursorisch vor. Da es sich bislang lediglich um einen Entwurf handelt, können sich einzelne Regelungen jedoch noch ändern.

Umsetzung der ePrivacy-Verordnung: Ergänzung für die DSGVO

Die Regelungen der ePrivacy-Richtlinie wurden im deutschen Recht durch Vorschriften sowohl im Gesetz gegen unlauteren Wettbewerb (allen voran zur Zulässigkeit von E-Mail-Marketing) als auch zur Regelung der Datenverarbeitung bei der Erbringung von Telekommunikations- beziehungsweise Telemediendiensten im Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) in nationales Recht umgesetzt.

Nach Vorstellung der EU-Kommission soll die ePrivacy-Verordnung diese Regelungen ersetzen und ab Mai 2018 gemeinsam mit der Datenschutz-Grundverordnung (DSGVO) zur Anwendung gelangen. Die Neuregelung wird die Vorschriften der DSGVO im Bereich der elektronischen Kommunikation ergänzen und spezifizieren.

Wichtige Unterscheidung: Verordnung, keine Richtlinie

Wie der Name bereits vermuten lässt, handelt es sich bei der Neuregelung um eine Verordnung und eben keine Richtlinie mehr. Dies bedeutet, dass die darin niedergelegten Vorschriften (wie auch bereits die DSGVO) in den Mitgliedstaaten unmittelbare Anwendung finden werden, ohne dass es entsprechender, nationaler Umsetzungsregelungen bedarf.

Die auf der ePrivacy-Richtlinie beruhenden Vorschriften im deutschen Recht (siehe oben) werden demgemäß von der Neuregelung ersetzt werden und entsprechend aufgehoben werden müssen.

Direktmarketing mittels elektronischer Post

Keine wesentlichen Änderungen wird die Verordnung im Bereich des Direktmarketings mittels elektronischer Post, wie etwa E-Mail, SMS und so weiter mit sich bringen. Es bleibt dabei, dass der Adressat grundsätzlich einwilligen muss und nur ausnahmsweise, nämlich im Rahmen einer bestehenden Geschäftsbeziehung ähnliche Produkte oder Dienstleistungen auch ohne Einwilligung beworben werden dürfen, vorausgesetzt dass dem Adressaten ein Widerspruchsrecht eingeräumt wird.

In den Mitgliedstaaten ist bislang uneinheitlich geregelt, ob das strenge Einwilligungserfordernis ebenfalls im Business-to-Business Bereich Anwendung findet, etwa wenn einem Mitarbeiter eines Unternehmens in dieser Kapazität Werbung an seine geschäftliche E-Mail-Adresse zugesandt wird. Der Verordnungstext legt eine solche Differenzierung jedoch nicht nahe. Insofern ist davon auszugehen, dass die strengen Vorschriften ebenfalls zwischen Unternehmern zu beachten sein werden, so wie dies in Deutschland gegenwärtig auch der Fall ist.

Over-the-top (OTT) Dienste: Neue Regelung

Erklärtes Ziel der Verordnung ist es, zukünftig auch sogenannte OTT-Dienste in den Anwendungsbereich einzubeziehen. Hierzu zählen etwa:

  • Webmail-Dienste,
  • Instant-Messaging-Dienste wie WhatsApp
  • oder auch Video-Telefonie-Dienste wie Skype.

Im Unterschied zu klassischen TK-Diensten, betreiben OTT-Dienste weder eigene Netze, noch erbringen sie Internetzugangsdienste. Vielmehr setzen OTT-Dienste auf der Signalübertragung von TK-Diensten auf und erbringen ihre Leistungen so über das „offene Internet“.

Auf gegenwärtiger Rechtslage ist weitestgehend ungeklärt, ob die Regelungen des TKG auf OTT-Dienste Anwendung finden. Dies prangern insbesondere die klassischen TK-Dienstleister an, da sie denen im Telekommunikationsrecht vorgesehen Zugangs- sowie Entgeltregulierungen sowie strengen Verbraucher- und Datenschutzvorschriften (insbesondere dem Fernmeldegeheimnis) unterworfen sind und sich daher gegenüber OTT-Diensten benachteiligt fühlen.

Die ePrivacy-Verordnung setzt solche OTT-Dienste den klassischen TK-Diensten nunmehr gleich. Demzufolge werden Anbieter von OTT-Diensten zukünftig mit strengerer Reglementierung und Regulierung rechnen müssen.

Cookies, Internet of Things und Beacons: Erhebung von gerätebezogenen Daten

Der Verordnungsentwurf enthält zudem strenge Vorschriften hinsichtlich der Verarbeitung von Informationen, die in „Endeinrichtungen“ gespeichert sind oder sich auf diese beziehen. Weiter wird reguliert, wann auf die Rechen- und Speicherkapazität solcher Endeinrichtungen zugegriffen werden darf. Ferner wird auch die Erhebung von Information umfasst, die von solchen Geräten ausgesendet werden.

Erfasste Endgeräte:

  • Gemäß der Richtlinie über den Wettbewerb auf dem Markt für Telekommunikationsendeinrichtungen (RL 2008/63/EG) handelt es sich bei „Endeinrichtungen“ um „[…] direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtungen zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über Draht, optische Faser oder elektromagnetisch hergestellt werden;“
  • Diese Definition ist denkbar weit. So sind insoweit zum einen PCs, Smartphones, Tablets und so weiter umfasst. Darüber hinaus finden die Vorschriften jedoch auch auf sämtliche andere internetfähige Gegenstände, wie etwa Fahrzeuge und Haushaltsgeräte Anwendung.

Erfasste Informationen:

  • Ebenfalls im Hinblick auf die umfassten Geräteinformationen und technischen Verfahren zu deren Erhebung ist der Anwendungsbereich der Verordnung äußerst weit abgesteckt. So gehen die Regelungen deutlich über das bloße Setzen von Cookies sowie Auslesen darin gespeicherter Daten hinaus.
  • Zum einen erfasst dies etwa Telemetriedaten aus Fahrzeugen oder vergleichbare Analysedaten aus anderweitigen elektronischen Geräten. Umfasst ist zum anderen auch die Erhebung von Gerätekennungen wie MAC-Adressen und sonstigen IDs. Dies ist besonders hervorzuheben, da sich aus dem vor kurzem ergangenen Urteil des EuGH zum möglichen Personenbezug von IP-Adressen (Rs. C-582/14 – Breyer / BRD) recht eindeutig ableiten lässt, dass solche Angaben isoliert keinen Personenbezug aufweisen und in Konsequenz datenschutzrechtlichen Limitierungen nicht unterliegen.

Zulässige Verarbeitungsszenarien:

  • Der Verordnungsentwurf schränkt die Verarbeitung solcher Angaben erheblich ein. So ist eine Erhebung nur dann zulässig, sofern dies zur Erbringung eines Telekommunikations- oder Internetdienstes erforderlich ist, oder der Betroffene ausdrücklich (Opt-in) eingewilligt hat. Die bloße Messung von Web-Traffic ist nach gegenwärtigem Entwurfsstand ohne Einwilligung zulässig. Soweit es sich um die Erhebung von Informationen handelt, die eine Endeinrichtung von sich aus aussendet – so wie etwa bei der Erhebung von MAC-Adressen mittels Beacon-Technologie – soll auch eine entsprechende, nach Vorstellung des Verordnungsgebers jedoch äußerst umfangreiche Belehrung der Nutzer über die Erhebung genügen.
  • Demgegenüber stellt Erwägungsgrund 17 des Verordnungsentwurfs klar, dass Standortdaten, die nicht im Zusammenhang mit der Erbringung eines Kommunikationsdienstes verarbeitet werden, nicht unter die strengen Regelungen fallen sollen. Als Einsatzszenario nennt der Entwurf dabei die Erfassung von Endgeräten und Erstellung entsprechender Bewegungsprofile, beispielsweise um Verkehrsaufkommen zu messen. Eine Begrenzung auf den öffentlichen Bereich ist den Ausführungen jedoch nicht zu entnehmen. Demgemäß wird die Erfassung der Bewegungen von Kunden in Ladenlokalen oder beispielsweise Flughafenbesuchern zur Optimierung des Besucherstroms ebenfalls darunter zu fassen sein.

Ausblick: Die ePrivacy-Verordnung als mögliche Innovationsbremse?

Es bleibt abzuwarten, wie sich der Entwurf im Laufe der Abstimmung im Parlament und im Rat noch verändern wird. In ihrer gegenwärtigen Fassung ist die Verordnung äußerst auf den Schutz der Privatsphäre der Nutzer ausgerichtet. Dies wird von Seite der Wirtschaft zurecht bemängelt. So steht zu befürchten, dass in zu vielen Verarbeitungsszenarien eine Einwilligung der Nutzer zwingend einzuholen sein wird. Insofern ist zu beachten, dass eine zu strenge Reglementierung die Entwicklung neuer Geschäftsmodelle erschwert.

Tobias Rothkegel
Geposted von Tobias Rothkegel

Tobias Rothkegel ist Rechtsanwalt in unserem Büro in Hamburg. Der Schwerpunkt seiner Tätigkeit liegt im IT- und Datenschutzrecht. Hierbei berät er sowohl führende Unternehmen als auch Start-ups im Digital-Business-Sektor.

Kommentieren

Pflichtfelder sind markiert*