2022: Neuigkeiten zur ePrivacy-VO?

17. Feb. 2022 Anica Karlic

Die ePrivacy-VO lässt bereits mehrere Jahre auf sich warten. Der erste Kommissionsentwurf ist vier Jahre her. Der jüngste Ratsentwurf unterscheidet sich von vorhergehenden Entwürfen ua in Bezug auf Anwendungsbereich, Paywalls, Privacy-by-Design-Vorgaben und Vorratsdatenspeicherung.

Die geplante ePrivacy-Verordnung (ePrivacy-VO) soll die Nutzung elektronischer Kommunikationsdienste innerhalb der Europäischen Union regeln und die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG)^[1] ersetzen. Die EU-Kommission legte am 10.1.2017 den ersten Entwurf der ePrivacy-Verordnung^[2] vor (im Folgenden ePrivacy-Kom-E), welcher ursprünglich gemeinsam mit der Datenschutz-Grundverordnung^[3] (DS-GVO) ab 25.5.2018 gelten sollte. Nunmehr ist dieser erste Vorschlag vier Jahre her und es stellt sich die Frage, ob 2022 eine Einigung zu erwarten ist.

Aktueller Stand

Am 10.2.2021 hat sich der Rat der EU auf ein Verhandlungsmandat^[4] zur ePrivacy-VO geeinigt (im Folgenden ePrivacy-VO-Ratsmandat), sodass die Trilog-Verhandlungen zwischen Rat, EU-Parlament und EU-Kommission beginnen können. Das ePrivacy-Ratsmandat unterscheidet sich in einigen Punkten wesentlich zum ersten Kommissionsvorschlag sowie zum Verhandlungsmandat des EU-Parlaments^[5] vom 20.10.2017 (ePrivacy-VO-Parlamentsmandat). Ausgewählte Unterschiede werden nachstehend skizziert.

Überblick über die Änderungen

Anwendungsbereich

Sachlicher Anwendungsbereich

Nach Art 2 Abs 1 lit a ePrivacy-VO-Ratsmandat erfasst der sachliche Anwendungsbereich: „The processing of electronic communications content and of electronic communications metadata carried out in connection with the provision and the use of electronic communications services.”^[6] Im Unterschied zu früheren Vorschlägen wurde der Zusatz “and electronic communications metadata“ hinzugefügt, wobei dieser im Hinblick auf die Legaldefinition des Begriffs electronic communications data in Art 4 Abs 3 lit a ePrivacy-VO-Ratsmandat^[7] obsolet ist.

Art 2 Abs 1 lit a ePrivacy-VO-Parlamentsmandat erfasst Kommunikationsdaten bei Verwendung von kostenlosen Diensten.^[8] Dieser Abschnitt wurde im aktuellsten Verhandlungsmandat (ePrivacy-VO-Ratsmandat) entfernt. Nunmehr bleibt unklar, ob kostenlose Kommunikationsdienste vom Anwendungsbereich erfasst sind. Das umfasst auch Dienste, bei denen der Dienstnutzer an den Dienstanbieter Daten übermittelt, aber keine Geldzahlung leistet – die eigenen Daten sind hier das Zahlungsmittel.

Räumlicher Anwendungsbereich

Die Formulierung in Art 3 Abs 1 lit a ePrivacy-VO-Ratsmandat wurde an Art 3 Abs 2 DS-GVO angepasst. Nunmehr wird für den räumlichen Anwendungsbereich auf den tatsächlichen Aufenthalt der Person („end-users“) abgestellt.^[9] Die Einschränkung des räumlichen Anwendungsbereiches auf die Union und den Endnutzer ist eine durchwegs positive Änderung.

Cookies

Art 8 Abs 1 lit a ePrivacy-VO-Parlamentsmandat erfasste ein Verbot sog Cookie-Walls.^[10]Eine Cookie-Wall versagt dem Nutzer den Zugang zu einem Dienst, wenn dieser nicht in die Verarbeitung seiner personenbezogenen Daten einwilligt bzw wenn er nicht in die zur Bereitstellung dieses Dienstes oder dieses Funktionselements nicht erforderliche Nutzung von Verarbeitungs- oder Speicherkapazitäten seiner Endeinrichtung einwilligt. Dies wurde in das aktuelle Verhandlungsmandat nicht aufgenommen, was seitens der Webseitenbetreiber als erfreuliche Änderung anzusehen ist.

Folgerichtig ermöglicht Erwägungsgrund 20aaa^[11] zur ePrivacy-VO-Ratsmandat Cookie-Paywalls zu implementieren, was für einen praxisnahen Entwurf spricht. Für die Implementierung einer Cookie-Paywall muss der Nutzer allerdings eine echte Wahlmöglichkeit haben den Dienst auch ohne den Einsatz von Cookies zu beziehen. Um etwaigen Machtasymmetrien zwischen Anbietern und Nutzern auszugleichen, müssen am Markt Alternativen zum Dienst zur Verfügung stehen.

Lockerung des Privacy-by-Design-Grundsatzes

Art 17 ePrivacy-Kom-E sieht vor, dass bei einem besonderen Risiko, welches die Sicherheit von Netzen und elektronischen Kommunikationsdiensten beeinträchtigen könnte, der Betreiber eines elektronischen Kommunikationsdienstes „die Endnutzer über dieses Risiko und – wenn das Risiko außerhalb des Anwendungsbereichs der vom Dienstanbieter zu treffenden Maßnahmen liegt – über mögliche Abhilfen, einschließlich voraussichtlich entstehender Kosten“ informiert.^[12] Eine weitere Konkretisierung bot Art 17 Abs 1 lit a ePrivacy-VO-Parlamentsmandat, welcher die Betreiber von elektronischen Kommunikationsdiensten zur Sicherstellung der Vertraulichkeit und Integrität der Kommunikation durch Ende-zu-Ende-Verschlüsselung verpflichtete.^[13] Der Privacy-by-Design-Grundsatz wird durch den Entfall des Art 17 aufgeweicht.

Vorratsdatenspeicherung

Die Art 6 Abs 1 lit d und Art 7 Abs 4 ePrivacy-VO-Ratsmandat gerieten in Kritik, da sie das Einführen der Vorratsdatenspeicherung sowohl auf nationaler als auch auf EU-Ebene ermöglichen.

Art 6 Abs 1 lit d ePrivacy-VO-Ratsmandat sieht vor, dass Netzbetreiber Kommunikationsdaten verarbeiten dürfen, wenn:^[14]

„it is necessary for compliance with a legal obligation to which the provider is subject laid down by Union or Member State law, which respects the essence of the fundamental rights and freedom and is a necessary and proportionate measure in a democratic society to safeguard the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the safeguarding against and the prevention of threats to public security.”

Darüber hinaus ergänzt Art 7 Abs 4 ePrivacy-VO-Ratsmandat:^[15]

„Union or Member state law may provide that the electronic communications metadata is retained, including under any retention measure that respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society, in order to safeguard the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the safeguarding against and the prevention of threats to public security, for a limited period. The duration of the retention may be extended if threats to public security of the Union or of a Member State persists."

Im Unterschied zu Art 7 Abs 4, erfasst Art 6 Abs 1 lit d ePrivacy-VO-Ratsmandat auch Inhaltsdaten (keine Beschränkung auf Metadaten).

Der EuGH hat in seinem Urteil vom 06.10.2020 die Grenzen einer zulässigen Vorratsdatenspeicherung aufgezeigt: Eine „als real und aktuell oder vorhersehbar einzustufende ernste Bedrohung für die nationale Sicherheit“ ist erforderlich.^[16] Eine allgemeine Vorratsdatenspeicherung zu präventiven Zwecken ist grundrechtswidrig.^[17] Der EuGH fordert ua, dass Vorschriften zur Vorratsdatenspeicherung klare und präzise Regeln sicherstellen.^[18] Speicherung von Verkehrs- und Standortdaten ist insoweit zulässig, als sie für die Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit erforderlich ist.^[19] Die beiden Regelungen des ePrivacy-VO-Ratsmandat sind unzureichend an die EuGH-Rechtsprechung angepasst.

Ausblick

Die Fortschritte im Gesetzgebungsprozess sind erfreulich, nichtsdestotrotz ist es noch ein langer Weg bis die ePrivacy-VO Rechtswirklichkeit wird. Zunächst sind die Trilog-Verhandlungen abzuwarten, wobei wohl weitere Überarbeitungen sowie inhaltliche Ausarbeitungen zu erwarten sind. Es ist fraglich, ob das Gesetzgebungsverfahren die raschen technischen Entwicklungen einfangen kann.

[1] RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, L 201/37.

[2] Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation), COM (2017) 10 final.

[3] VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, L 119/1.

[4] Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EG (Regulation on Privacy and Electronic Communications), 6087/21.

[5] Bericht über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation), A8-0324/2017.

[6] Proposal Regulation on Privacy and Electronic Communications 6087/21, 42.

[7] Proposal Regulation on Privacy and Electronic Communications 6087/21, 47.

[8] Bericht zur Verordnung über Privatsphäre und elektronische Kommunikation A8-0324/2017, 45 f.

[9] Proposal Regulation on Privacy and Electronic Communications 6087/21, 44 f.

[10] Bericht zur Verordnung über Privatsphäre und elektronische Kommunikation A8-0324/2017, 62.

[11] Proposal on Privacy and Electronic Communications 6087/21, 25.

[12] Vorschlag zur Verordnung über Privatsphäre und elektronische Kommunikation COM (2017) 10 final, 36