Home / Insight / e-Privacy / Anwendungsbereiche der e-Privacy-VO

Anwendungsbereiche der e-Privacy-VO

Erfassung von OTT-Diensten und M2M-Kommunikation durch die ePrivacy-VO

Der sachliche Anwendungsbereich der ePrivacy-Verordnung ist denkbar weit gefasst. Geregelt werden soll nicht nur die Verarbeitung von Kommunikationsdaten, die bei der Bereitstellung und Nutzung öffentlich zugänglicher elektronischer Kommunikationsdienste anfallen (Artikel 2 Absatz 1 lit. a). Sie soll zudem anzuwenden sein auf:

  • Informationen zu/auf Endgeräten von Nutzern (wie beispielsweise Cookies),
  • die Bereitstellung öffentlich zugänglicher Verzeichnisse der Nutzer elektronischer Kommunikation und
  • die Übermittlung von Direktwerbung an Endnutzer mittels elektronischer Kommunikation.

Die ePrivacy-VO soll nicht nur klassische Telekommunikationsdienste wie etwa Internetzugangsdienste, Festnetz- und Mobilfunk-Telefoniedienste oder SMS-Dienste erfassen. Auch so genannte „Over-The-Top-Dienste der Kategorie 1“ (OTT-I-Dienste) wie beispielsweise die Messenger- und VoIP-Dienste WhatsApp, Skype und Threema, E-Mail-Dienste wie Gmail und Posteo sowie schließlich auch „Machine-to-Machine-Übertragungsdienste“ (M2M-Kommunikationsdienste) sollen in den Anwendungsbereich der ePrivacy-VO fallen.

Dass die Verordnung auf all diese Dienste anwendbar ist, ergibt sich aus der neuen Definition elektronischer Kommunikationsdienste. Diese hat in ihrer überarbeiteten Fassung bereits Einzug in den Europäischen Kodex für elektronische Kommunikation (EECC) gehalten. Nach der neuen Definition unterscheidet die ePrivacy-VO vier Kategorien elektronischer Kommunikationsdienste:

  • Internetzugangsdienste,
  • nummernbasierte interpersonelle Kommunikationsdienste,
  • nummernunabhängige interpersonelle Kommunikationsdienste und
  • Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen.

Durch die Aufnahme interpersoneller Kommunikationsdienste soll klargestellt werden, dass OTT-I-Dienste in den Anwendungsbereich der ePrivacy-Verordnung fallen.

Unter dem gegenwärtigen Rechtsrahmen war lange Zeit umstritten, ob reine OTT-I-Dienste in den Anwendungsbereich des Europäischen Telekommunikationsrechts fallen. Mit der Entscheidung des EuGH vom 13. Juni 2019 (Az. C-193/18 – Gmail) wurde dies höchstrichterlich weitgehend geklärt: Folgt man der Argumentation des EuGH, stellen reine OTT-I-Dienste keine unter den gegenwärtig anwendbaren Rechtsrahmen fallende Kommunikationsdienste dar (siehe hierzu den Blog-Beitrag vom 20. Juni 2019). Dies wird sich mit Umsetzung des EECC und Inkrafttreten der ePrivacy-VO ändern. Es wird dann ein regulatorisches Level-Playing-Field bestehen, das sowohl klassische wie auch moderne (Over-The-Top-)Kommunikationsdienste erfasst.

Ebenfalls in den Anwendungsbereich der ePrivacy-VO fallen sollen Messenger, die als untergeordnete Zusatzfunktion in einen anderen Dienst integriert sind (siehe Artikel 4 Ziffer 2 des Entwurfs der finnischen Ratspräsidentschaft vom 4. Oktober 2019). So dürfte künftig beispielsweise auch der Messenger von Facebook in den Anwendungsbereich der ePrivacy-VO fallen.

Streitpunkt M2M-Kommunikation

Die explizite Einbeziehung von M2M-Kommunikation war im Laufe des bisherigen Gesetzgebungsverfahrens immer wieder Streitpunkt zwischen den beteiligten Akteuren. Während der Kommissionsentwurf noch klarstellte, dass M2M-Kommunikation in den Anwendungsbereich der ePrivacy-Verordnung fallen soll, strich das Europäische Parlament die Ausführungen dazu vollständig aus seinem Entwurf heraus. 

Im Entwurf der ePrivacy-VO (Stand 4. Oktober 2019) ist bei der M2M-Kommunikation eine Differenzierung vorgesehen: Übertragungsdienste, die für die Bereitstellung von M2M-Diensten genutzt werden, sind von der ePrivacy-Verordnung erfasst. Dienste der M2M-Kommunikation, die auf der Applikationsebene angesiedelt sind, sollen dagegen grundsätzlich nicht in den Anwendungsbereich der ePrivacy-VO fallen.

Geltung der ePrivacy-VO für Anbieter von Diensten in der EU

Für die ePrivacy-Verordnung gilt wie auch für die DSGVO das sogenannte Marktortprinzip (Artikel 3). Das ist vor allem relevant für Unternehmen, die über keine Niederlassung in der EU verfügen. Die ePrivacy-VO findet nach dem Marktortprinzip auf jedes Unternehmen Anwendung, das in der EU elektronische Kommunikationsdienste anbietet. Das wäre entsprechend der DSGVO-Auslegung der Fall, wenn sich ein Angebot offensichtlich beabsichtigt an Nutzer in der EU richtet. Nicht im Sinn des Marktortprinzips ausreichend ist die bloße Zugänglichkeit einer Website oder Kontaktmöglichkeit. Unternehmen, die nicht in der Union niedergelassen sind, müssen einen schriftlichen Vertreter in der Union benennen, wenn nicht die in den Anwendungsbereich der Verordnung fallenden Tätigkeiten nur gelegentlich stattfinden und eine Gefährdung der Rechte der Nutzer unwahrscheinlich ist.

Legt man das Marktortprinzip streng aus, hat dies zur Folge, dass die ePrivacy-VO schon dann anwendbar ist, wenn der Diensteanbieter auch bloß das Verhalten von Personen in der EU beobachtet. Davon erfasst sind insbesondere Web-Tracking-Technologien wie beispielsweise Cookies oder Social Media Plug-Ins.

Der aktuelle Entwurf der finnischen Ratspräsidentschaft bestätigt das Marktortprinzip.