Bereits 2017 legte die EU-Kommission den ersten Entwurf für die ePrivacy-Verordnung vor. Die Trilog-Verhandlungen wurden inzwischen beschlossen, doch der EU-Ministerrat konnte sich bislang auf keine gemeinsame Position für die Verhandlungen festlegen.
Alle seitdem im Rat diskutierten Versionen scheiterten. So erging es auch dem industriefreundlicheren Vorschlag der kroatischen Ratspräsidentschaft im vergangenen Jahr, wonach es Unternehmen erlaubt sein sollte, Metadaten zu verarbeiten und Informationen von elektronischen Geräten der Nutzer ohne ihre Einwilligung zu sammeln, sofern es aufgrund berechtigter Interessen notwendig sei. Auch der darauffolgende, datenschutzfreundlichere Kompromissvorschlag der deutschen Ratspräsidentschaft fand keinen Anklang.
Doch der aktuellen portugiesischen Ratspräsidentschaft scheint nun gelungen zu sein, was alle vorherigen Ratspräsidentschaften nicht schafften: Der EU-Ministerrat einigte sich am 10. Februar 2021 auf eine Version, die Grundlage seiner Position in den jetzt folgenden Trilog-Verhandlungen werden soll.
Die wichtigsten Änderungen im Vergleich zum Ausgangsentwurf der Verordnung sind:
- Ausdehnung des territorialen Anwendungsbereichs (Art. 3)
Die ePrivacy-Verordnung soll die Verarbeitung elektronischer Kommunikationsdaten von Nutzern in der EU regeln. Sie soll in Anlehnung an Art. 3 Abs. 3 DSGVO auch auf nicht in der Union niedergelassene Verantwortliche Anwendung finden, wenn diese sich an einem Ort befinden, der nach Völkerrecht dem Recht eines Mitgliedsstaats unterliegt.
- Verarbeitung von Daten ohne Einwilligung der Nutzer (Art. 6, 6 c, 8)
Diensteanbieter sollen elektronische Kommunikationsdaten ohne Einwilligung der Nutzer auch für den Zweck der Bereitstellung eines elektronischen Kommunikationsdienstes statt nur zur Übertragung der Kommunikation verarbeiten dürfen, so wie eine Datenverarbeitung zur Erfüllung eines Vertrags nach Art. 6 Abs. 1 S. 1 b) DSGVO zulässig sein kann.
Außerdem ist vorgesehen, dass die Datenverarbeitung u. a. zur Aufdeckung bzw. Vermeidung von Sicherheitsrisiken erfolgen darf. Unter bestimmten Umständen sollen dann auch Software-Updates auf den Endgeräten des Nutzers durchgeführt werden können.
Ein berechtigtes Interesse als Rechtsgrundlage für die Datenverarbeitung sieht der Entwurf der ePrivacy-Verordnung des EU-Ministerrats dagegen nicht vor. Er führt allerdings eine sowohl von der kroatischen als auch von der deutschen Ratspräsidentschaft gestrichene Bestimmung in Art. 6 c wieder ein. Danach soll die Verarbeitung elektronischer Metadaten auch zu anderen als den ursprünglichen Zwecken zulässig sein, wenn diese mit dem ursprünglichen Zweck der Datenerhebung vereinbar sind. Voraussetzung dafür ist u. a., dass die personenbezogenen Daten nicht verwendet werden, um die Eigenschaften eines Nutzers zu bestimmen oder ein Profil über ihn zu erstellen. Entgegen dem Vorschlag der portugiesischen Ratspräsidentschaft ist jedoch keine vorherige Datenschutz-Folgenabschätzung erforderlich. Dass der betroffene Nutzer über diese Datenverarbeitung informiert werden und ein Widerspruchsrecht haben soll, ergibt sich nur noch aus ErwGr. 17 aa.
- Zulässigkeit von Cookie-Walls (ErwGr. 20 aaaa)
Nutzer müssen die freie Wahl der Zulassung von nicht erforderlichen Cookies haben. Nicht unzulässig eingeschränkt wird diese Freiheit dadurch, dass der Zugang zu einer Website von der Einwilligung zum Einsatz von Cookies für weitere Zwecke abhängig gemacht wird. Das gilt jedoch nur, wenn der Nutzer zwischen diesem Angebot und einem gleichwertigen Angebot des gleichen Anbieters wählen kann, das nicht mit der Einwilligung zur Nutzung von zusätzlichen Cookies einhergeht, aber z. B. kostenpflichtig ist.
- Whitelisting (ErwGr. 20 a, Art. 4 a)
Die Regelung in Art. 10, die „Do not track“-Mechanismen etablieren sollte, indem sie von Browser-Anbietern fordert, Nutzern das Blockieren der Speicherung von Informationen durch Dritte auf ihrem Endgerät zu ermöglichen, hat der EU-Ministerrat gestrichen. Stattdessen wird in ErwGr. 20 a zum Ermöglichen des sog. Whitelistings angeregt. Um zu vermeiden, dass Nutzer immer wieder in die Verwendung von Cookies einwilligen müssen, sollen sie ihre Einwilligung in die Verwendung bestimmter Arten von Cookies erteilen können, indem sie einen oder mehrere Anbieter in ihren Browser-Einstellungen in eine Whitelist aufnehmen. Die Softwareanbieter werden dazu angehalten, den Benutzern jederzeit die Erstellung und Änderung von Whitelists in ihrem Browser sowie den Widerruf ihrer Einwilligung zu erleichtern. Einwilligungen des Nutzers, die dieser auf Anfrage des Dienstes direkt erteilt hat, sollen solchen Softwareeinstellungen aber immer vorgehen und daher entsprechend berücksichtigt werden.
- Wiedereinführung der Vorratsdatenspeicherung (Art. 7)
Entgegen dem Vorschlag der portugiesischen Ratspräsidentschaft enthält die Version, auf die sich der EU-Ministerrat geeinigt hat, eine Regelung, die die Vorratsdatenspeicherung ermöglicht.
Ein zu geringes Datenschutzniveau?
Von vielen Seiten wurde begrüßt, dass es nun zu der längst überfälligen Einigung innerhalb des EU-Ministerrats gekommen ist und die Trilog-Verhandlungen somit endlich beginnen können.
Kritik hagelte es aber vor allem vom Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) Ulrich Kelber. Er zeigte sich nach dem Beschluss des EU-Ministerrats „fassungslos“. Nicht nur weil diese Version der ePrivacy-Verordnung die Verarbeitung personenbezogener Daten ohne Einwilligung der Nutzer, etwa zu Marketing-Zwecken, ermögliche, sondern auch wegen der Zulässigkeit von Cookie-Walls sowie der Wiedereinführung der Vorratsdatenspeicherung, die in der Vergangenheit schon häufig vor den Gerichten gescheitert sei. Dies stelle statt eines Fortschritts einen Rückschritt im Hinblick auf den Datenschutz dar. Zudem kritisiert er den Verzicht auf wichtige Garantien für Nutzer, wie bspw. das Widerspruchsrecht und das Erfordernis einer Datenschutz-Folgenabschätzung, als schwerwiegenden Grundrechtseingriff. Er appelliert an die übrigen Beteiligten der Trilog-Verhandlungen, sich für eine Anhebung des Datenschutzniveaus einzusetzen.
Auch unabhängig von diesem Appell dürfte es zu intensiven Diskussionen in den nun folgenden Trilog-Verhandlungen zwischen dem EU-Ministerrat, der EU-Kommission und dem Europäischen Parlament kommen. Denn während sich das Parlament deutlich für den „Do not track“-Standard ausspricht und auf ein konsequentes Einwilligungserfordernis drängt, nimmt der Rat eine gegenteilige Position ein und fordert mehr Ausnahmen. Kommt es zu einer Einigung, würde nach Verabschiedung die entsprechende Fassung 20 Tage nach der Veröffentlichung im Europäischen Amtsblatt in Kraft treten und nach derzeitigem Stand nach wiederum 24 Monaten nach ihrem Inkrafttreten Anwendung finden. Ggf. geht jetzt doch alles schneller als gedacht und es bleibt nicht mehr viel Zeit zur Umsetzung der sich aus der neuen ePrivacy-Verordnung ergebenden Vorgaben.
Dieser Artikel ist Teil des CMS Informationsservice zur ePrivacy-Verordnung, den Sie hier abonnieren können.
_840x420.jpg?v=3)
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.