e-Privacy

(Stand 30.03.2020 / Entwurf der ePrivacy-VO vom 21.02.2020)

Wesentliche Inhalte der ePrivacy-Verordnung

Die ePrivacy-Verordnung (ePrivacy-VO) regelt die Nutzung elektronischer Kommunikationsdienste innerhalb der Europäischen Union und soll die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) ersetzen. Die ePrivacy-VO richtet sich vor allem an Unternehmen der Digitalwirtschaft und macht ihnen weitere Vorgaben im Zusammenhang mit der Verarbeitung personenbezogener Daten.

CMS stellt Ihnen auf dieser Seite die wichtigsten Informationen zur ePrivacy-Verordnung und zum Stand des Gesetzgebungsverfahrens vor. Wir erläutern dabei vor allem die Anwendungsbereiche der ePrivacy-VO und gehen auf das vielfach diskutierte Thema Tracking ein.

ePrivacy-Verordnung – aktueller Stand und Zeithorizont

Ursprünglich sollte vom 25. Mai 2018 an zusammen mit der Datenschutz-Grundverordnung (DSGVO) auch die ePrivacy-VO gelten. Doch anders als bei der DSGVO konnten sich die EU-Staaten im Falle der ePrivacy-VO bis heute noch auf keinen gemeinsamen Gesetzentwurf einigen.

Am 10. Januar 2017 legte die EU-Kommission den ersten Entwurf der ePrivacy-VO vor; am 26. Oktober 2017 verabschiedete das EU-Parlament einen geänderten Entwurf und stimmte für die Verhandlungen mit der Kommission und dem Rat der Europäischen Union (sogenannte Trilog-Verhandlungen). Am 5. Dezember 2017 veröffentlichte die damalige estnische EU-Ratspräsidentschaft eine eigene Entwurfsfassung. Ihr folgten Entwürfe der bulgarischen, österreichischen, rumänischen, finnischen und kroatischen Ratspräsidentschaft.

Bisher gelang es jedoch keinem dieser Länder, eine Einigung der EU-Mitgliedstaaten im Rat herbeizuführen. Zuletzt fiel der finnische Kompromissvorschlag vom 4. Oktober 2019 am 22. November 2019 im Ausschuss der ständigen Vertreter mit 14 Gegenstimmen durch. Ein verlässlicher Textentwurf des Rates steht damit bis heute nicht zur Verfügung. In der Folge lassen auch die Trilog-Verhandlungen, die schon in der zweiten Hälfte des Jahres 2018 hätten beginnen sollen, weiterhin auf sich warten. Nach dem Wechsel der EU-Ratspräsidentschaft zum 1. Januar 2020 obliegt es nunmehr der kroatischen Ratspräsidentschaft, die Mitgliedstaaten von ihrem Vorschlag vom 21. Februar 2020 zu überzeugen.

Schätzungen zufolge ist angesichts des Scheiterns des jüngsten Entwurfes nicht mit einem Inkrafttreten der ePrivacy-VO vor 2023 zu rechnen. Unter Berücksichtigung einer Übergangszeit von 24 Monaten ergäbe sich damit ein Geltungsbeginn etwaiger Neuregelungen nicht vor 2025. 

Aufgrund der festgefahrenen Verhandlungen im Ausschuss der ständigen Vertreter erscheint gegenwärtig jedoch auch eine Rücknahme des gesamten Gesetzesvorschlages durch die Europäische Kommission denkbar. Verlässlich lässt sich zum gegenwärtigen Zeitpunkt damit lediglich statuieren, dass es auf eine Vielzahl datenschutzrechtlicher Fragestellungen im Bereich elektronischer Kommunikation in naher Zukunft wohl keine gesetzliche Antwort geben wird.

ePrivacy-Verordnung - Zeitliche Übersicht

2020

• Entwurf der kroatischen Ratspräsidentschaft, 21. Februar 2020

2019

• 4. Entwurf der finnischen Ratspräsidentschaft, 4. Oktober 2019
• 3. Entwurf der finnischen Ratspräsidentschaft, 18. September 2019
• 2. Entwurf der finnischen Ratspräsidentschaft, 26. Juli 2019
• Entwurf der finnischen Ratspräsidentschaft, 12. Juli 2019
• Fortschrittsbericht der rumänischen Ratspräsidentschaft, 20. Mai 2019
• Textvorschlag der rumänischen Ratspräsidentschaft, 22. Februar 2019

2018

• Entwurf der österreichischen Ratspräsidentschaft, 19. Oktober 2018
• Entwurf der bulgarischen Ratspräsidentschaft, 22. März 2018

2017

• Entwurf des EU-Parlaments (Entschließungsantrag A8-0324 / 2017), 26. Oktober 2017
• Entwurf der EU-Kommission, 10. Januar 2017 (deutsche Version)

Bußgeldrahmen der ePrivacy-VO Stand heute

Wie heute bereits bei Missachtung der DSGVO drohen Unternehmen künftig bei Verstößen gegen die ePrivacy-VO erhebliche Bußgelder.

In ihrem Entwurf bezieht sich die ePrivacy-VO bei Regelungen über Rechtsbehelfe, Haftung und Sanktionen im Wesentlichen auf die Vorschriften der DSGVO. So verweist auch die Regelung zu den Bußgeldvorschriften (Artikel 23 des Entwurfs) auf die DSGVO (Artikel 83).

Abhängig von der Art des Verstoßes kann die Höhe der Bußgelder bis zu 20.000.000 Euro bzw. 4 Prozent des weltweiten Jahresumsatzes im Konzern (je nachdem, welcher Betrag höher ist) betragen (Artikel 23 Absatz 3 des Entwurfs).

Datenverarbeitung bei Interessenabwägung gerechtfertigt?

Die DSGVO enthält eine Rechtsgrundlage, die eine Verarbeitung personenbezogener Daten gestützt auf berechtigte Interessen des Verantwortlichen ermöglicht (Artikel 6 Absatz 1 Satz 1 Buchstabe f). Derzeit wird im Ausschuss der ständigen Vertreter darum gerungen, inwieweit eine vergleichbare Vorschrift auch in die ePrivacy-Verordnung aufgenommen wird. Sollte sich der Rat dagegen entscheiden, wird sich die Frage, wie hier die Anwendungsbereiche der DSGVO und der ePrivacy-VO voneinander abzugrenzen sind, in besonderem Maße stellen. Denn nur wenn die DSGVO anwendbar ist, ist auch eine Legitimation über Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO möglich.