ePrivacy-VO Februar 2019 – Neuigkeiten in Bezug auf Cookies?

Wann mit einem Inkrafttreten der ePrivacy-VO gerechnet werden kann, ist immer noch unklar. Aktuell wurde unter der rumänischen Ratspräsidentschaft Ende Februar 2019 ein neuer Entwurf veröffentlicht. An den bisherigen Entwürfen wurde immer wieder Kritik laut und insbesondere die Werbebranche wartet nervös aktuelle Entwicklungen ab, da u.a. auch die Datenverarbeitung zu Werbezwecken (insbesondere durch Cookies) in der ePrivacy-VO reguliert werden soll. Wie ist der Stand in Bezug auf den rechtmäßigen Einsatz von Cookies nun nach dem neuen Entwurf? Welche wichtigen Änderungen gibt es noch? Wir geben Ihnen ein Update!

News bezüglich Cookies und Targeting

Bisher gilt in Deutschland noch, dass auf die Verwendung von Cookies mit einem Banner hingewiesen werden kann (sog. Opt-Out-Lösung). Im bisherigen Gesetzgebungsprozess der ePrivacy-VO ist deutlich geworden, dass der EU-Gesetzgeber dies strenger handhaben möchte und wird dabei von Verbraucherschützern unterstützt. In diese Entwicklung reiht sich aktuell auch ein Schlussantrag eines EuGH-Generalanwalts ein, der darin die Auffassung vertritt, Opt-In sei bereits nach jetziger Rechtslage in manchen Fällen verpflichtend.
Für die Werbebranche ist insbesondere der Einsatz sog. Tracking-Cookies relevant. Diese werden genutzt, um Onlinekampagnen zielgruppengenau durchführen zu können (Targeting). In den bisherigen Entwürfen hat der Gesetzgeber festgelegt, dass der Einsatz der meisten Tracking-Cookies nur mit einer widerrufbaren Einwilligung erlaubt ist. Wie sieht es im Entwurf vom Februar 2019 aus? Inhaltlich hat sich wenig geändert, die Regelungen haben sich hauptsächlich nur an andere Stellen verschoben.
Einer Kleinigkeit sollte jedoch Aufmerksamkeit geschenkt werden: In Erwägungsgrund 20, der explizit Tracking-Cookies erwähnt, wurde ein „und“ zu einem „oder“. Danach kann auf das Endgerät des Endnutzers nur zugegriffen werden, wenn eine Einwilligung erteilt wurde oder spezifische Zwecke und Transparenz es erfordern. Die Anforderungen für einen Cookieeinsatz wurden also gesenkt. Es bleibt abzuwarten, wie diese Entwicklung weitergehen wird – weicht der Gesetzgeber von seiner restriktiven Beurteilung des Cookieeinsatzes in Zukunft noch mehr ab?
Außerdem wird ebenfalls nach Erwägungsgrund 20 der Einsatz von Do-not-track-http-Headern möglich gemacht, indem der Verantwortliche einen Dritten beauftragen kann, die entsprechenden Einwilligungen zum Cookie-Tracking einzuholen.
Apropos Einwilligung: im Entwurf von Februar 2019 wurde zum Glück die Zeitvorgabe der Erinnerungspflicht zum Widerruf der Einwilligung von sechs auf zwölf Monate verlängert. Damit wird der Einwilligungsmüdigkeit der betroffenen Personen vorgebeugt. Diese können von den häufigen Erinnerungen genervt werden und die Einwilligung dann schnell, ohne zu überlegen, erteilen. Dadurch setzen sie sich jedoch nicht damit auseinander, was diese Einwilligung für ihre Daten bedeutet und so wird der Zweck einer Einwilligung unterlaufen. Das Problem geht auch der neue Erwägungsgrund 20a an, nachdem eine einzige Einwilligung auch übergreifend für verschiedene Angebote eines Anbieters und verschiedene Zwecke erteilt werden kann.

Die sonstigen Neuigkeiten im Überblick

Erstens werden Unternehmer begrüßen, dass Art. 29 des neuen Entwurfs eine zweijährige Implementierungsphase zwischen Inkrafttreten und Anwendbarkeit der ePrivacy-VO statuiert. Das bedeutet konkret, dass man nach Inkrafttreten zwei Jahre Zeit hat Vorkehrungen zu treffen, um den Anforderungen der ePrivacy-VO gerecht zu werden.
Zweitens stellt eine weitere Änderung im Vergleich zu den vorherigen Entwürfen ein neuer Zulässigkeitstatbestand dar, der Software-Updates betrifft. Danach sind Software-Updates, die nicht vom Endnutzer eines Geräts vorgenommen werden, erlaubt, wenn sie ausschließlich Sicherheitsmängel beheben sollen. Hier stellt sich jedoch das Problem, dass es eigentlich in der Praxis überhaupt keine reinen Sicherheitsupdates gibt, da sie auch Mängel in der Software beheben sollen. Das bedeutet, dass letztendlich in der Realität doch immer eine Einwilligung des Endnutzers in das Update vorliegen muss, damit es durchgeführt werden kann. Außerdem ist nach wie vor auch in diesem Entwurf unklar, wer überhaupt der „Endnutzer“ sein soll – immer nur das Individuum oder kann auch ein Unternehmen als juristische Person als Endnutzer gelten?
Drittens sollten auch die Änderungen in Bezug auf die Industrie 4.0 von Interesse sein. Dass die ePrivacy-VO grundsätzlich auf M2M Kommunikation und IoT-Services Anwendung findet, legt nicht erst der aktuelle Entwurf fest. Dieser stellt jedoch klar, dass die Verarbeitung von Daten in diesem Rahmen möglich ist, wenn der Endnutzer des entsprechenden Geräts seine Einwilligung erteilt hat. Im Gegenzug wird jedoch betont, dass Datensicherheit im Bereich der Industrie 4.0 stets gewährleistet sein muss.
Viertens hat sich der Rat nochmals mit den zuständigen Aufsichtsbehörden auseinandergesetzt. Der Entwurf regelt nun, dass bei allen Fragen, die die Erhebung von personenbezogenen Daten betreffen, die Aufsichtsbehörden nach der DSGVO zuständig sind. Für nicht personenbezogene Daten werden neue Aufsichtsbehörden eingerichtet. Werden sowohl personenbezogene als auch nicht personenbezogene Daten verarbeitet, sieht der aktuelle Entwurf eine Kooperation der Aufsichtsbehörden vor.

Fazit: Man kann sich nie sicher sein…

Große Veränderungen und Neuigkeiten in Bezug auf Cookies liefert der neue Entwurf der ePrivacy-VO nicht. Guckt man jedoch genauer hin, sind Tendenzen in Richtung einer werbefreundlicheren Fassung der ePrivacy-VO erkennbar. Es bleibt abzuwarten, wie sich der Gesetzgeber im endgültigen Entwurf dann insbesondere in Bezug auf Cookies entscheiden wird.
Zwar kam es auch zu anderen Änderungen, doch auch die sind wenig überraschend und es ist unklar, ob sie im nächsten Entwurf noch Bestand haben werden. Einen Punkt, der trotz Klärungsbedarf gar nicht angesprochen wurde, ist das Verhältnis der ePrivacy-VO zur DSGVO. Der Anwendungsbereich der ePrivacy-VO müsste deutlich definiert werden, um zu klären, welche Datenverarbeitung wann in den Bereich der ePrivacy-VO und wann in den Bereich der DSGVO fällt.

ePrivacy-Verordnung & Marketing: Ein „Zuviel“ an Datenschutz?

Die ePrivacy-Verordnung soll insbesondere die Privatsphäre innerhalb des elektronischen Datenverkehrs schützen und dient damit dem Datenschutz in Fällen elektronischer Kommunikation. Allerdings wird der ursprünglich geplante Zeitpunkt des Inkrafttretens der ePrivacy-Verordnung nicht erreicht werden, sondern vermutlich erst im Jahr 2019 liegen.
Die ePrivacy-Verordnung diente ursprünglich auch dem Ziel einen Ausgleich zwischen dem Schutz der Privatsphäre und Unternehmensinteressen zu schaffen. Fragt man Vertreter der Werbebranche, so wird schnell deutlich, dass die Interessen von Online-Werbenden aus ihrer Sicht in der ePrivacy-Verordnung kaum bis gar nicht verwirklicht wurden, insbesondere wegen einer nicht zufriedenstellenden Regelung zur Cookie-Nutzung.

Wie ist die Cookie-Nutzung bisher geregelt?

Bisher gilt in Deutschland für die Verwendung von Cookies die sog. Opt-Out-Lösung, das heißt Unternehmen, die auf ihren Websites Cookies verwenden wollen, müssen Nutzer über die Verwendung von Cookies informieren und diesen die Möglichkeit geben, der Nutzung von Cookies zu widersprechen (§ 15 Abs. 3 S. 1, 2 TMG). Dies geschieht bisher in der Regel durch sog. „Cookie-Banner“, die beim Aufrufen entsprechender Websites eingeblendet werden. Die unabhängigen Datenschutzbehörden von Bund und Ländern verlangen jedoch seit Anwendung der Datenschutzgrundverordnung am 25.05.2018 für bestimmte sog. „Tracking-Mechanismen“ eine echte (informierte) Einwilligung. Die Praxis des Opt-Out ist damit in Zukunft nicht in allen Fällen risikofrei umsetzbar.
Erforderlich ist allerdings auch in diesem Fall, dass die Daten pseudonymisiert erhoben werden. Das heißt vor allem, dass die erhobenen Daten nicht dazu führen dürfen, dass die Identität des Nutzers bekannt wird. Insbesondere dürfen die Daten nicht mit anderen Daten über den Nutzer zusammengeführt werden, da hierdurch das Risiko der Identifizierbarkeit steigt. Vielmehr werden die Nutzer zu Nutzergruppen (etwa „30-jährige Hobby-Läufer“) zusammengefasst, um Werbung interessengerecht gestalten zu können. Unternehmen, die Werbezwecke verfolgen, bezeichnen diese Regelung überwiegend als ausreichend.

Was bedeutet die ePrivacy-Verordnung für die Cookie-Nutzung?

Nach den bisherigen Entwürfen zur ePrivacy-Verordnung dürfen Cookies auch bei Pseudonymisierung der Daten nur noch mit Einwilligung erhoben werden. Im neuesten Entwurf der ePrivacy-Verordnung vom Rat der Europäischen Union vom 13.04.2018 ist ein Verbot mit Erlaubnisvorbehalt für das Direktmarketing enthalten. Im Falle der Nutzung von Cookies für Zwecke des Direktmarketings ist eine Einwilligung der Nutzer einzuholen. Es besteht damit keine Unterscheidung mehr zwischen pseudonymisierter und personenbezogener Datenerhebung in Form des Trackings. Die ePrivacy-Verordnung geht nach ihren aktuellen Entwürfen jedoch noch einen Schritt weiter. Mit ihr wird ein verschärftes Koppelungsverbot eingeführt, wonach die Nutzung der Website nicht mehr von der Einwilligung zur Datenerhebung (z.B. durch Cookies) abhängig gemacht werden kann. Nur, wenn die Datenerhebung zur Website-Nutzung unbedingt erforderlich ist, was beispielsweise bei der Warenkorbfunktion beim Online-Shopping erfüllt sein dürfte, ist eine solche Koppelung zulässig. Darüber hinaus ist die Datenerhebung bei Websitenutzung nur noch zu wissenschaftlichen Zwecken zulässig.

Unter keine der beiden Ausnahmen fällt die Datenerhebung zu Werbezwecken. Konsequenz dieses Koppelungsverbotes ist, dass die Dienstleistung der Website (z.B. das Nachrichtenportal) einmal mit Einwilligung (und ohne Datenerhebung) und einmal ohne Einwilligung angeboten werden müssen, damit es auch ohne Einwilligung eine Möglichkeit zur Nutzung der Website gibt und das Koppelungsverbot nicht verletzt ist.

Das bisherige Geschäftsmodell kostenfreier Web-Dienste, wie Nachrichtenportale, bestand häufig darin, den Betrieb der Websites durch Werbung zu finanzieren. Diesem Geschäftsmodell könnte durch die ePrivacy-Verordnung jedoch die Grundlage entzogen werden. Denn eines der beiden Webangebote muss im Wesentlichen ohne die Messung von Zugriffsdaten auskommen. Unter Umständen darf nicht einmal die Zahl der Website-Besuche gezählt werden. Ob auch die Reichweitenmessung vollständig verboten sein soll, befindet sich aktuell in der Diskussion. Der aktuelle Entwurf vom 13.04.2018 des Rates der Europäischen Union scheint die Reichweitenmessung zuzulassen, solange aus dieser keine Rückschlüsse auf die Identität der Nutzer gezogen werden können.  An der Platzierung von Werbung auf einem solchen Web-Angebot haben Werbetreibende jedoch kein Interesse, da Online-Werbung gerade von der Messung zur Ermittlung verbesserter Angebote lebt. Sein Angebot lässt sich für den Website-Betreiber dann zwar unter Umständen dadurch finanzieren, dass er hierfür ein kostenpflichtiges Abo einführt, für Werbetreibende besteht dann jedoch keine Möglichkeit mehr, die entgangenen Einnahmen auszugleichen. Lediglich das einwilligungsbasierte Web-Angebot darf derart ausgestaltet sein, dass Zugriffsdaten weiterhin digital gemessen werden. Es soll Nutzern damit freistehen, welches Web-Angebot sie nutzen, ob sie also mit Geld oder mit Ihren Daten bezahlen wollen.

Zudem befürchten Anbieter der Medien- und Digitalwirtschaft, dass US-Big-Player wie Amazon oder Facebook durch technische Ausgestaltung des Logins die „Notwendigkeit der Datenerhebung zur Website-Nutzung“ konstruieren und damit das Koppelungsverbot umgehen könnten. Den übrigen, kleineren, Anbietern würde dadurch ein erheblicher Wettbewerbsnachteil entstehen, Werbende hätten darüber hinaus weniger Auswahl, wo Werbung am besten platziert werden soll.

Die unabhängigen Datenschutzbehörden des Bundes und der Länder erklärten am 26. April 2018, dass gemäß der DSGVO auch für den Einsatz von „Tracking-Mechanismen“, wie z.B. Cookies, eine vorherige informierte Einwilligung erforderlich sei (https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf). Die Anforderungen an eine Einwilligung nach der ePrivacy-Richtlinie (deren Überarbeitung in der ePrivacy Verordnung münden soll,) müssten den Anforderungen an eine Einwilligung nach der DSGVO entsprechen. Daher sei die Einwilligung auch im Falle der Cookie-Nutzung insgesamt im Einklang mit dem europäischen Datenschutzrecht und der Datenschutzpraxis vieler Mitgliedstaaten. Dagegen sieht die Interessenvertretung der Betriebsdatenschutzbeauftragten die Cookie-Nutzung für Zwecke der Direktwerbung als „berechtigtes Interesse“ nach der DSGVO an und sieht die Cookie-Nutzung dann als zulässig an, wenn das Interesse an Direktwerbung das Interesse der Nutzer am Schutz ihrer Privatsphäre überwiegt. Bei Pseudonymisierung der Daten und transparenter Darstellung der Interessenabwägung sei ein solches Überwiegen der Unternehmensinteressen anzunehmen. Eine Einwilligung für die Nutzung von Cookies wäre dann nicht erforderlich. Es bleibt abzuwarten, wie andere Aufsichtsbehörden in Europa und die Gerichte die Cookie-Nutzung im Einzelnen nach der DSGVO bewerten werden.

Fazit: Was sollten Werbetreibende jetzt beachten?

Werbetreibende sollten zunächst unbedingt beachten, dass sich die ePrivacy-Verordnung bisher nur im Entwurfsstadium befindet und noch eingehender Beratung unterzogen wird. Allerdings geben die bisherigen Entwürfe einen deutlichen Einblick in die, in Zukunft schwieriger werdende Platzierung von Online-Werbung. Werbende sind daher einerseits aufgefordert, sich etwa durch Verbände am öffentlichen Diskurs zur ePrivacy-Verordnung zu beteiligen und zudem gleichzeitig ihre Geschäftsmodelle an den erkennbaren Leitlinien der ePrivacy-Verordnung auszurichten.

Werbung im Einklang mit der ePrivacy-Verordnung: Ist das noch möglich?

Nachdem am 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO) Anwendung gefunden hat, beschäftigen sich Datenschützer und Betroffene nun mit dem nächsten großen Regelwerk: der ePrivacy-Verordnung. Diese soll die DSGVO ergänzen und sich mit den Kommunikationsdaten im Internet beschäftigen. Ursprünglich sollte die ePrivacy-Verordnung im gleichen Atemzug wie die DSGVO Anwendung finden, allerdings verzögert sich dieses Vorhaben. Grund dafür ist das Zögern des Europäischen Rates, der anders als die Kommission und das Parlament den Entwurf noch nicht abgesegnet hat.
Im Großen und Ganzen sollen keine Nutzerdaten mehr gespeichert oder analysiert werden, sofern im Vorfeld keine explizite Einwilligung des Nutzers erfolgt ist.
Doch damit trifft das Regelwerk Branchen, wie beispielsweise die Werbeindustrie, welche mit diesen Daten tagtäglich arbeitet. Es wird gar von einem „digitalen Untergang“ gesprochen, welcher den gesamten Industriezweig zusammenbrechen lassen soll. Doch was steckt dahinter? ‚
Die Angst und Bedenken vieler Berufstätigen die in der Werbeindustrie arbeiten wachsen stetig weiter, zu groß scheint der vermeintliche Super-GAU auszufallen. Deshalb fordern viele europäische Organisationen und Vereinigungen eine Veränderung des Entwurfes, damit möglichst kein wirtschaftlicher Schaden entsteht. Denn: während früher Medien und Verlage ihr Geld mit Anzeigenwerbung in herkömmlichen Zeitungen & Zeitschriften verdienten, müssen sie in Zeiten von zunehmender Digitalisierung ihre Einnahmen durch Bannerwerbung im Internet regeln. Eine Möglichkeit, die es bald schon nicht mehr geben könnte. Die Rede ist von 150.000 Arbeitsplätzen, die gefährdet sein sollen.

Was ist nach ePrivacy-Verordnung noch erlaubt?

Es stellt sich also nun die Frage, welche Art von Werbung im Internet überhaupt noch zulässig ist und wie sich das die Werbeindustrie zu Nutzen machen kann. Bislang wurde personalisierte Werbung mithilfe des Browserverlaufs des Benutzers betrieben. Dabei wurde während eines Webseitenbesuchs „getrackt“, was geklickt und gekauft wird. Die gesammelten Daten wurden in der Folge in einer ID zusammengefasst und in einem Datenpaket, dem sogenannten Cookie, gespeichert. Wenn der Nutzer ein paar Tage später wieder auf die Webseite kommt, kann sie diese Informationen abrufen, etwa welche Produkte er angesehen hat. Für Werbetreibende eine lohnende Herangehensweise, da sie so leicht an Nutzerdaten herkamen.
Datenschützer hingegen warnen vor einem Missbrauch dieser Cookes, da „Third-Party-Tracker“, also Dritte, über mehrere Webseiten nachvollziehen können, auf welchen Internetseiten man unterwegs war oder welchen E-Mail-Provider man benutzt.
Ab genau diesem Punkt hakt sich die ePrivacy-Verordnung ein, welche diese Art der Cookie-Nutzung unterbinden will. Demnach dürfen die gesammelten Daten nur genutzt werden, wenn der jeweilige Nutzer dem zugestimmt hat. Eine Webseite darf ebenfalls nicht die Bedingung stellen, dass Nutzer die Inhalte nicht einsehen dürfen, wenn sie das Tracking verbieten. Somit müssen solche Seiten für alle erreichbar sein. Durch Einstellungen im Internetbrowser soll es möglich sein, allen Websites standardmäßig zu verbieten, Tracker einzusetzen. Demnach wäre das Geschäft mit personalisierter Werbung nur noch möglich, wenn die Nutzer dem aktiv zustimmen.
Allerdings sollten Werbetätige nicht in Panik verfallen, da diese Regelungen letztendlich alle betreffen, daher sollte sich jeder darauf einstellen. So zum Beispiel mit dafür ausgelegten Opt-In oder Opt-Out-Lösungen, welche jedes Unternehmen implementieren kann.

Blick nach Brüssel

Wie unschwer zu erkennen ist, werden in naher Zukunft zahlreiche neue Regelungen und Gesetze gelten. Verlage und Medien kämpfen aber nach wie vor für Änderungen an der ePrivacy-Verordnung, aber die Frage ob und wann das passieren wird, ist eine gänzlich andere. Bis dahin schauen alle Betroffenen gespannt nach Brüssel, wo der aktuelle Entwurf der ePrivacy-Verordnung derzeit eingehend geprüft wird.

Nähere Informationen finden Sie unter: goo.gl/X1hwLC

Die neue ePrivacy-Verordnung – Ein Update

In den zuständigen EU-Institutionen wird seit Anfang des Jahres mit Verve an den Inhalten der Verordnung über die Privatsphäre und elektronische Kommunikation (ePrivacy-VO) gearbeitet. Ursprünglich war geplant, dass die ePrivacy-VO zeitgleich mit der DSGVO ab dem 25. Mai 2018 gelten soll. Dieses Ziel wird jedoch mehr und mehr als unrealistisch bewertet.

Erstmals sind jetzt Papiere aller am Gesetzgebungsprozess beteiligten Einrichtungen öffentlich, die als Diskussionsgrundlage für die weiteren internen Verhandlungen dienen werden. Daraus lassen sich Tendenzen für die zukünftigen Regelungen ableiten, die im Folgenden dargestellt werden sollen.

Grundlagen

Die ePrivacy-VO soll die sog. ePrivacy-Richtlinie 2002/58/EG ablösen. Mit ihr regelte die EG den Schutz personenbezogener Daten im Bereich der elektronischen Kommunikation, insbesondere im Internet. Betroffen sind zudem auch die Regelungen der sog. Cookie-Richtlinie 2009/136/EG. Da es sich dabei um Richtlinien handelt, war eine Umsetzung in nationales Recht erforderlich. Dem kam der deutsche Gesetzgeber vor allem mit dem Erlass von Vorschriften des TMG und TKG nach. Den Anforderungen der Cookie-Richtlinie entsprach das deutsche Recht dennoch nicht (insb. die Opt-Out-Lösung).

Die ePrivacy-VO dagegen ist eine Verordnung und damit, wie die DSGVO, unmittelbar anwendbar und mit Anwendungsvorrang vor nationalem Recht ausgestattet.

Der bisherige Gesetzgebungsprozess

Nachdem ein Entwurf der Kommission bereits im Dezember 2016 geleakt war (und auf heftige Kritik gestoßen ist), veröffentlichte die Kommission im Januar 2017 eine überarbeitete und in weiten Teilen geänderte Fassung. Auch diese war Gegenstand von Kritik, insbesondere des Europäischen Datenschutzbeauftragten. Dieser erste Entwurf der Kommission dient nun als Ausgangspunkt der Gegenentwürfe des Parlaments und des Rats.

Der federführende LIBE-Ausschuss des Europäischen Parlaments veröffentlichte seinen ersten Regelungsvorschlag am 20. Juni 2017. Der Ausschuss sah darin über 130 Änderungen gegenüber dem ursprünglichen Entwurf der Kommission vor. Zu dem Papier des Ausschusses sind mehrere hundert Änderungsanträge eingegangen. Die für die ePrivacy-VO zuständige Berichterstatterin muss die Änderungsanträge bei der Erstellung eines finalen Entwurfs zur Beschlussfassung im Ausschuss und anschließend im Parlament berücksichtigen. Es ist daher damit zu rechnen, dass der Parlamentsentwurf noch erheblichen Änderungen unterliegen wird.

Am 08. September 2017 hat nun auch der Präsident des Rats der europäischen Union ein Konzept einer ePrivacy-Verordnung veröffentlicht. Dieses dient als Diskussionsgrundlage für die Arbeitsgruppe für Telekommunikation.

Wenn sich Rat und Parlament jeweils auf eine Fassung geeinigt haben, werden die Trilog-Verhandlungen mit der Kommission beginnen. Erst in den Trilog-Verhandlungen wird die wahrscheinlich endgültige Fassung gefunden werden.

Der Inhalt des Entwurfs des Rats

Der nunmehr vom Präsidenten des Rates veröffentlichte Entwurf macht Hoffnung auf eine praktikablere Handhabung der Bestimmungen der ePrivacy-VO. Der Vorschlag enthält unter anderem folgende Änderungsvorschläge zum Kommissionspapier:

  1. Die Vorschriften zur Einwilligung werden vereinfacht. Anstelle eines konkreten Verweises auf Art. 4 Abs. 11 und Art. 7 DSGVO referenziert der Entwurf pauschal die Vorschriften zur Einwilligung in der DSGVO. Dadurch werden ePrivacy-VO und DSGVO angeglichen und besondere Regelungen, etwa zum Widerruf der Einwilligung, in der ePrivacy-VO erledigen sich. Zudem finden sich die Regelungen zur Einwilligung nun am Anfang (im Allgemeinen Teil) der ePrivacy-VO in Art. 4a, weil sie für die ganze Verordnung gelten sollen.
  2. Maschine-zu-Maschine Kommunikation soll nur dann vom Anwendungsbereich der Verordnung erfasst sein, wenn sie Bezug zum Endnutzer hat, Art. 5 Abs. 2. Hier sind Änderungen und Konkretisierungen zu erwarten. Der diesbezüglich ursprünglich sehr weite Anwendungsbereich war auf erhebliche Kritik gestoßen.
  3. Die Anforderungen an die Nutzung von Cookies und vergleichbaren Technologien, Art. 8, werden etwas verringert. Grundsätzlich ist auch nach dem Ratsentwurf die Einwilligung erforderlich. Der Kommissionsentwurf sieht hierzu eine Ausnahme vor, nach der die Nutzung zur Messung des Webpublikums und Nutzungsanalyse möglich sein soll, sofern der Diensteanbieter die Messung selbst durchführt oder die Messung durch einen Dritten unter Beachtung der Anforderungen des Artikel 28 DSGVO durchführen lässt, der Dritte also Auftragsverarbeiter ist. Die Regelung zielt also darauf ab, klare Verantwortlichkeiten bei der Einbindung von Analyse- und Trackingdiensten zu etablieren.
  4. Software, die eine elektronische Kommunikation erlaubt (z.B. Browser oder Apps) muss die Möglichkeit bieten zu verhindern, dass Dritte Informationen in der Endeinrichtung eines Endnutzers (z.B. Cookies) speichern oder bereits gespeicherte Informationen verarbeiten (Art. 10). Nutzer können sich nach der Fassung des Rates bei der Installation oder ersten Nutzung der Software für eine der Einstellungsmöglichkeiten entscheiden. Die Änderung der Einstellung soll zu jedem Zeitpunkt einfach möglich sein.
  5. Regelungen betreffend das Direktmarketing (Art. 16) entsprechen im Wesentlichen dem Entwurf der Kommission. Der Ratsentwurf korrigiert die Begrifflichkeit und weitet die Regelungen generell auf werbliche Mitteilungen aus, während zuvor teilweise nur E-Mails im Entwurf erwähnt wurden. Es soll also auch hier auf die Einwilligung des Endnutzers bzw. auf die rechtmäßige Erlangung der Kontaktdaten des Endnutzers ankommen, wenn der Endnutzer zum Zeitpunkt der Erhebung bereits eine Widerspruchsmöglichkeit hat. Die Bestandskundenausnahme gem. § 7 Abs. 3 UWG bliebe somit weiterhin erhalten.
  6. Der Ratsvorschlag enthält zudem die Möglichkeit einer Verbandsbeschwerde und -klagemöglichkeit. Er verweist insoweit auf Art. 80 DSGVO.

Fazit

Die potentiellen Änderungen durch die ePrivacy-VO sind für Diensteanbieter, App-Betreiber, Entwickler, Marketing-Abteilungen und Agenturen nach wie vor gravierend und verlangen eine sorgfältige Evaluation der eigenen Prozesse und geplanten Projekte sowie eine genaue Beobachtung des weiteren Verlaufs des Gesetzgebungsprozesses.

Den ersten Entwurf der Kommission können Sie unter folgendem Link abrufen:

http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52017PC0010&from=DE

Die Kritik des Europäischen Datenschutzbeauftragten finden Sie hier:

http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52017XX0720(01)

Den Entwurf des LIBE-Ausschusses sowie die weiteren Änderungsanträge und Stellungnahmen nationaler Gesetzgeber finden Sie unter:

http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?lang=&reference=2017/0003(COD)#tab-0

Den Entwurf der im Moment im Rat bzw. in der Arbeitsgruppe für Telekommunikation diskutiert wird können Sie hier abrufen:

http://data.consilium.europa.eu/doc/document/ST-11995-2017-INIT/en/pdf