Wann mit einem Inkrafttreten der ePrivacy-VO gerechnet werden kann, ist immer noch unklar. Aktuell wurde unter der rumänischen Ratspräsidentschaft Ende Februar 2019 ein neuer Entwurf veröffentlicht. An den bisherigen Entwürfen wurde immer wieder Kritik laut und insbesondere die Werbebranche wartet nervös aktuelle Entwicklungen ab, da u.a. auch die Datenverarbeitung zu Werbezwecken (insbesondere durch Cookies) in der ePrivacy-VO reguliert werden soll. Wie ist der Stand in Bezug auf den rechtmäßigen Einsatz von Cookies nun nach dem neuen Entwurf? Welche wichtigen Änderungen gibt es noch? Wir geben Ihnen ein Update!
News bezüglich Cookies und Targeting
Bisher gilt in Deutschland noch, dass auf die Verwendung von Cookies mit einem Banner hingewiesen werden kann (sog. Opt-Out-Lösung). Im bisherigen Gesetzgebungsprozess der ePrivacy-VO ist deutlich geworden, dass der EU-Gesetzgeber dies strenger handhaben möchte und wird dabei von Verbraucherschützern unterstützt. In diese Entwicklung reiht sich aktuell auch ein Schlussantrag eines EuGH-Generalanwalts ein, der darin die Auffassung vertritt, Opt-In sei bereits nach jetziger Rechtslage in manchen Fällen verpflichtend.
Für die Werbebranche ist insbesondere der Einsatz sog. Tracking-Cookies relevant. Diese werden genutzt, um Onlinekampagnen zielgruppengenau durchführen zu können (Targeting). In den bisherigen Entwürfen hat der Gesetzgeber festgelegt, dass der Einsatz der meisten Tracking-Cookies nur mit einer widerrufbaren Einwilligung erlaubt ist. Wie sieht es im Entwurf vom Februar 2019 aus? Inhaltlich hat sich wenig geändert, die Regelungen haben sich hauptsächlich nur an andere Stellen verschoben.
Einer Kleinigkeit sollte jedoch Aufmerksamkeit geschenkt werden: In Erwägungsgrund 20, der explizit Tracking-Cookies erwähnt, wurde ein „und“ zu einem „oder“. Danach kann auf das Endgerät des Endnutzers nur zugegriffen werden, wenn eine Einwilligung erteilt wurde oder spezifische Zwecke und Transparenz es erfordern. Die Anforderungen für einen Cookieeinsatz wurden also gesenkt. Es bleibt abzuwarten, wie diese Entwicklung weitergehen wird – weicht der Gesetzgeber von seiner restriktiven Beurteilung des Cookieeinsatzes in Zukunft noch mehr ab?
Außerdem wird ebenfalls nach Erwägungsgrund 20 der Einsatz von Do-not-track-http-Headern möglich gemacht, indem der Verantwortliche einen Dritten beauftragen kann, die entsprechenden Einwilligungen zum Cookie-Tracking einzuholen.
Apropos Einwilligung: im Entwurf von Februar 2019 wurde zum Glück die Zeitvorgabe der Erinnerungspflicht zum Widerruf der Einwilligung von sechs auf zwölf Monate verlängert. Damit wird der Einwilligungsmüdigkeit der betroffenen Personen vorgebeugt. Diese können von den häufigen Erinnerungen genervt werden und die Einwilligung dann schnell, ohne zu überlegen, erteilen. Dadurch setzen sie sich jedoch nicht damit auseinander, was diese Einwilligung für ihre Daten bedeutet und so wird der Zweck einer Einwilligung unterlaufen. Das Problem geht auch der neue Erwägungsgrund 20a an, nachdem eine einzige Einwilligung auch übergreifend für verschiedene Angebote eines Anbieters und verschiedene Zwecke erteilt werden kann.
Die sonstigen Neuigkeiten im Überblick
Erstens werden Unternehmer begrüßen, dass Art. 29 des neuen Entwurfs eine zweijährige Implementierungsphase zwischen Inkrafttreten und Anwendbarkeit der ePrivacy-VO statuiert. Das bedeutet konkret, dass man nach Inkrafttreten zwei Jahre Zeit hat Vorkehrungen zu treffen, um den Anforderungen der ePrivacy-VO gerecht zu werden.
Zweitens stellt eine weitere Änderung im Vergleich zu den vorherigen Entwürfen ein neuer Zulässigkeitstatbestand dar, der Software-Updates betrifft. Danach sind Software-Updates, die nicht vom Endnutzer eines Geräts vorgenommen werden, erlaubt, wenn sie ausschließlich Sicherheitsmängel beheben sollen. Hier stellt sich jedoch das Problem, dass es eigentlich in der Praxis überhaupt keine reinen Sicherheitsupdates gibt, da sie auch Mängel in der Software beheben sollen. Das bedeutet, dass letztendlich in der Realität doch immer eine Einwilligung des Endnutzers in das Update vorliegen muss, damit es durchgeführt werden kann. Außerdem ist nach wie vor auch in diesem Entwurf unklar, wer überhaupt der „Endnutzer“ sein soll – immer nur das Individuum oder kann auch ein Unternehmen als juristische Person als Endnutzer gelten?
Drittens sollten auch die Änderungen in Bezug auf die Industrie 4.0 von Interesse sein. Dass die ePrivacy-VO grundsätzlich auf M2M Kommunikation und IoT-Services Anwendung findet, legt nicht erst der aktuelle Entwurf fest. Dieser stellt jedoch klar, dass die Verarbeitung von Daten in diesem Rahmen möglich ist, wenn der Endnutzer des entsprechenden Geräts seine Einwilligung erteilt hat. Im Gegenzug wird jedoch betont, dass Datensicherheit im Bereich der Industrie 4.0 stets gewährleistet sein muss.
Viertens hat sich der Rat nochmals mit den zuständigen Aufsichtsbehörden auseinandergesetzt. Der Entwurf regelt nun, dass bei allen Fragen, die die Erhebung von personenbezogenen Daten betreffen, die Aufsichtsbehörden nach der DSGVO zuständig sind. Für nicht personenbezogene Daten werden neue Aufsichtsbehörden eingerichtet. Werden sowohl personenbezogene als auch nicht personenbezogene Daten verarbeitet, sieht der aktuelle Entwurf eine Kooperation der Aufsichtsbehörden vor.
Fazit: Man kann sich nie sicher sein…
Große Veränderungen und Neuigkeiten in Bezug auf Cookies liefert der neue Entwurf der ePrivacy-VO nicht. Guckt man jedoch genauer hin, sind Tendenzen in Richtung einer werbefreundlicheren Fassung der ePrivacy-VO erkennbar. Es bleibt abzuwarten, wie sich der Gesetzgeber im endgültigen Entwurf dann insbesondere in Bezug auf Cookies entscheiden wird.
Zwar kam es auch zu anderen Änderungen, doch auch die sind wenig überraschend und es ist unklar, ob sie im nächsten Entwurf noch Bestand haben werden. Einen Punkt, der trotz Klärungsbedarf gar nicht angesprochen wurde, ist das Verhältnis der ePrivacy-VO zur DSGVO. Der Anwendungsbereich der ePrivacy-VO müsste deutlich definiert werden, um zu klären, welche Datenverarbeitung wann in den Bereich der ePrivacy-VO und wann in den Bereich der DSGVO fällt.