Das Datenschutzrecht befindet sich in einer Umbruchphase, die mit der Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) keineswegs beendet ist. Auf den Verhandlungstischen in Brüssel liegt vielmehr bereits seit Längerem ein weiteres Großprojekt: Die ePrivacy-Verordnung betreffend die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation. Einen thematischen Überblick und eine Einschätzung zu voraussichtlichen Anpassungserfordernissen für die Digitalwirtschaft soll eine dreiteilige Blogserie bieten. Hierbei wird zunächst der Zweck der ePrivacy-Verordnung dargestellt, bevor sodann der aktuelle Stand der Verhandlungen, die besonders umstrittenen Regelungsgegenstände der Verordnung und deren konkrete Auswirkungen auf die Praxis erörtert werden.
ePrivacy-Verordnung – Was ist das?
Das Inkrafttreten der ePrivacy-Verordnung war ursprünglich zeitgleich zur DSGVO vorgesehen, denn die ePrivacy-Verordnung soll die DSGVO ergänzen und zudem in bestimmten Bereichen vertiefen. Hierzu soll die ePrivacy-Verordnung innerhalb ihres Anwendungsbereiches den allgemeineren Vorschriften vorgehen. Zu solchen allgemeineren Vorschriften gehören neben entsprechend allgemeinen Regelungen der DSGVO (so etwa betreffend die Einwilligung, Artikel 6 und 7 DSGVO) vor allem auch die folgenden Datenschutzbestimmungen:
die auf der ePrivacy-Richtlinie basierenden nationalen Vorschriften des TKG (insbesondere die §§ 91 ff. TKG)
die auf der ePrivacy-Richtlinie basierenden Vorschriften des TMG (insbesondere die §§ 11 ff. TMG).
Ausweislich des Entwurfstextes gilt der aktuelle Stand der ePrivacy-Verordnung für die Verarbeitung elektronischer Kommunikationsdaten, die in Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste erfolgt.
Der erste Entwurf und Änderungen
Seitdem das EU-Parlament zu Beginn des Jahres 2017 einen ersten Entwurf der ePrivacy-Verordnung veröffentlicht hat, wurde ihr Entwurfsinhalt in der Folge bis zum aktuellen Stand häufig überarbeitet. Bei der letzten Novellierung im Juli 2018 hat die EU-Ratsarbeitsgruppe den umstrittenen Artikel 10 des Verordnungs-Entwurfs gänzlich gestrichen. Diese Norm regelte die bereitzustellenden Informationen und Einstellungsmöglichkeiten zur Privatsphäre. Kritisiert wurden in der Diskussion vor allem:
die aus der Vorschrift folgenden Belastungen für Applikationen und Browser unter Einschluss von befürchteten Wettbewerbsnachteilen
nachteilige Auswirkungen auf Endnutzer
Zudem wurde der fehlende Mehrwert der Norm betont. Ergänzt wurde im Zuge dieser Überarbeitung Erwägungsgrund 20, der sich mit den Endeinrichtungen der Endnutzer und dem Privatsphärenschutz für Endnutzer beschäftigt. Konkret erfolgte eine Neuformulierung mit Blick auf die Zulässigkeit der Verwehrung des Webseitenzugriffs, wenn und soweit keine nutzerseitige Einwilligung für bestimmte Zwecke vorliegt.
Die Streichung von Artikel 10 des Entwurfs fand eine breite Zustimmung in der Digitalwirtschaft. Demgegenüber haben Verbraucherschützer vorgebracht, dass die Vorgaben des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen der DSGVO auch auf Browserhersteller und andere Hersteller von Kommunikationssoftware erweitert werden müssten, um vor allem Kinder, ältere Menschen oder Personen mit niedrigem Bildungsstand besonders zu schützen.
Aktueller Stand der ePVO
Bis Mitte August 2018 hatten die Mitgliedstaaten die Möglichkeit zur Stellungnahme, bevor sodann im September 2018 die nächste Sitzung der EU-Ratsarbeitsgruppe stattfand. Mit einem Verhandlungsende wird vor diesem Hintergrund erst im Jahr 2019 gerechnet. Die ePrivacy-Verordnung könnte in der Folge frühestens Mitte 2019 in Kraft treten. Nach der Vorstellung des EU-Parlaments soll anschließend eine mindestens einjährige Übergangsfrist einsetzen. Deutschland hat insofern sogar eine Übergangsfrist von zwei Jahren (sprich wie bei der DSGVO) vorgeschlagen. Für die Praxis wird demnach ein Zeitfenster eröffnet, sich auf die neuen Anforderungen einzustellen. Hinsichtlich der erforderlichen Umsetzungsmaßnahmen bleibt insbesondere die finale Fassung mit ihren tatsächlichen Auswirkungen abzuwarten. Die Praxis bezüglich der DSGVO zeigt aber, dass gut beraten ist, wer sich frühzeitig mit der Thematik auseinandersetzt.
Artikel veröffentlicht am: 21. November 2018