Die ePrivacy-Ver­ord­nung und ihr großer Schatten: Womit müssen Sie rechnen?

Die Eu­ro­päi­sche Union versucht nun schon seit Jahren ein­heit­li­che Regeln im digitalen Bin­nen­markt zu schaffen, um so Ver­brau­cher und Rech­te­inha­ber besser zu schützen. Immer noch dis­ku­tiert wird in diesem Kontext die ePrivacy-Ver­ord­nung. Damit möchte die Eu­ro­päi­sche Union ver­bind­li­che Da­ten­schutz­re­geln for­mu­lie­ren, die EU-weit gelten. Zu­sätz­lich zu dieser Ver­ord­nung gibt es aber bereits die Da­ten­schutz-Grund­ver­ord­nung (DSGVO) und seit Dezember 2021 ein neues Stamm­ge­setz, das die Re­ge­lun­gen der DSGVO, des Te­le­me­di­en­ge­set­zes und des Te­le­kom­mu­ni­ka­ti­ons­ge­set­zes zu­sam­men­füh­ren soll. Fakt ist: Bisher steht noch nicht fest, wann das Gesetz zur ePrivacy der EU in Kraft treten wird und welche konkreten Vorgaben damit für die Di­gi­tal­bran­che verbunden sein werden.

Die Eu­ro­päi­sche Union möchte mit der ePrivacy-Ver­ord­nung (offiziell: Re­gu­la­ti­on of the European Par­lia­ment and of the Council con­cer­ning the respect for private life and the pro­tec­tion of personal data in elec­tro­nic com­mu­ni­ca­ti­ons and repealing Directive 2002/58/EC) die Pri­vat­sphä­re von Bürgern bei der Online-Kom­mu­ni­ka­ti­on stärken und den Da­ten­schutz innerhalb der EU in­ten­si­ver re­gu­lie­ren. Grund­le­gend geht es auch darum, dass man das Vertrauen der Menschen in digitale Kom­mu­ni­ka­ti­ons­we­ge wieder zu­rück­ge­winnt. Die aktuell noch nicht in Kraft getretene ePrivacy-Ver­ord­nung ist nach der ersten Da­ten­schutz­richt­li­nie (Richt­li­nie 95/46/EG) und der ePrivacy-Richt­li­nie (2002/58/EG) die dritte und ver­mut­lich letzte Maßnahme einer In­itia­ti­ve für ver­bind­li­che Re­ge­lun­gen und Vor­schrif­ten zum eu­ro­päi­schen Da­ten­schutz. Kurzum: Durch die geplante ePrivacy der EU sollen Pri­vat­sphä­re und Da­ten­schutz zukünftig nicht mehr an Län­der­gren­zen (zumindest innerhalb der EU) scheitern.

Die EU geht mit dieser In­itia­ti­ve einen Weg, der mehr als notwendig ist: Das Internet kennt be­kannt­lich keine Grenzen. Aber was genau haben die eu­ro­päi­schen Behörden mit der ePrivacy-Re­gu­la­ti­on vor? Zunächst ist es wichtig fest­zu­stel­len, dass die ePrivacy-Ver­ord­nung mehr Un­ter­neh­men betreffen wird als jedes vor­an­ge­gan­ge­ne Da­ten­schutz­ge­setz. Die Vor­schlä­ge, die in Kraft treten sollen, richten sich konkret auch an Website-Betreiber und Software-Anbieter, also zum Beispiel an Meta (ehemals Facebook), Google und Zoom – und somit prin­zi­pi­ell an die komplette Online-Branche.

Eine große Änderung soll es in erster Linie bei der Ver­wen­dung von Cookies geben: Das Ablehnen von nicht not­wen­di­gen Cookies soll für Website-Besucher einfacher werden und sich bei­spiels­wei­se über Brow­ser­ein­stel­lun­gen regeln lassen. Website-Betreiber sollen Cookies nur dann setzen dürfen, wenn Nutzer diesen auch konkret zustimmen oder es sich um „technisch not­wen­di­ge Cookies“ handelt, die die ord­nungs­ge­mä­ße Funk­ti­ons­wei­se einer Webseite er­mög­li­chen (z. B. Login-Cookies). Auch bei nicht erfolgter Zu­stim­mung sollen Nutzer künftig alle Inhalte angezeigt bekommen. Statt Opt-out wäre also ein Double-Opt-in-Verfahren notwendig.

Um das zu rea­li­sie­ren, könnten auch die Her­stel­ler von Browsern in die Pflicht genommen werden: Laut dem Entwurf sollen Web­brow­ser künftig Nutzern die Mög­lich­keit bieten, Tracking grund­sätz­lich zu re­gu­lie­ren. Darf jemand Cookies bei mir setzen? Und wenn ja, darf dies nur ein Erst­an­bie­ter oder auch Dritt­an­bie­ter? Ge­strit­ten wird unter anderem darüber, wie genau die Vor­ein­stel­lung aussehen soll – also ob der Nutzer selbst aktiv werden muss, um seine Pri­vat­sphä­re zu schützen. Die DSGVO zumindest geht von „Privacy by Default“ aus: Da­ten­schutz­ein­stel­lun­gen sollen nach der In­stal­la­ti­on zunächst so strikt wie möglich sein und erst an­schlie­ßend durch Nutzer ab­ge­schwächt werden können. Generell sollen Tracking-Dienste nur dann ohne Zu­stim­mung der Nutzer erlaubt sein, wenn sie rein sta­tis­ti­schen Aus­wer­tun­gen dienen.

Auf­ge­nom­men wurde in den Entwurf zur ePrivacy auch die Maschine-zu-Maschine-Kom­mu­ni­ka­ti­on. Damit reagiert die EU auf Her­aus­for­de­run­gen, die das Internet der Dinge mit sich bringen. Für diese Da­ten­über­mitt­lung soll das gleiche gelten, wie auch für solche, bei der Nutzer direkt in­vol­viert sind. Geplant ist, dass Geräte nur dann per­sön­li­che Daten über­mit­teln, wenn die Nutzer dem zu­ge­stimmt haben. Dies könnte zum Beispiel GPS-Daten der Smart­phones betreffen.

Generell soll gelten, dass Nutzer darüber in­for­miert werden müssen, welche Daten von ihnen man zu welchem Zweck aufnimmt. Deshalb soll eine Zu­stim­mung auch nicht versteckt in den AGBs möglich sein oder an andere Dienste gekoppelt werden. Wenn beim On­line­shop­ping bei­spiels­wei­se Be­nut­zer­da­ten über­tra­gen werden müssen – und das müssen sie immer – ist dies zulässig. Nicht zulässig soll es al­ler­dings sein, diese Daten dann auch noch für Wer­be­zwe­cke zu verwenden. Hierfür wäre eine neue, spe­zi­fi­sche Zu­stim­mung nötig.

Die ePrivacy-Ver­ord­nung soll aber nicht nur das Abgreifen per­sön­li­cher Daten durch Un­ter­neh­men begrenzen. Auch das Ein­grei­fen von staat­li­cher Seite soll durch ePrivacy stärker reguliert werden. So soll eine Ende-zu-Ende-Ver­schlüs­se­lung ob­li­ga­to­risch werden: Jede Da­ten­über­tra­gung soll voll­stän­dig ver­schlüs­selt statt­fin­den und auch nicht von Re­gie­run­gen ein­ge­se­hen werden können. Die Ein­rich­tung von Backdoors soll ebenfalls ver­bind­lich verboten werden: Hin­ter­tü­ren, die Her­stel­ler einbauen, um Re­gie­run­gen einen Zugang zu gewähren, wären demnach illegal.

Vom Internet weg bewegt sich ePrivacy, wenn es um Di­rekt­mar­ke­ting geht: Während sich für das E-Mail-Marketing prin­zi­pi­ell nichts ändert, soll die Ver­ord­nung ins­be­son­de­re das Te­le­fon­mar­ke­ting stärker re­gle­men­tie­ren: Der Vorschlag lautet, dass Te­le­fon­an­ru­fe zu Wer­be­zwe­cken nur dann erlaubt sind, wenn der Anrufende seine Rufnummer offenbart oder er einen ver­bind­li­chen Code verwendet, um zu si­gna­li­sie­ren, dass es sich um einen Wer­be­an­ruf handelt.

Die ePrivacy-Ver­ord­nung ist zum einen dazu da, die veraltete ePrivacy-Richt­li­nie zu ersetzen und die Da­ten­schutz-Grund­ver­ord­nung zu flan­kie­ren. Die alte Re­gu­lie­rung existiert seit 2002 und wurde 2009 erweitert. Bei einer Richt­li­nie der Eu­ro­päi­schen Ge­mein­schaft handelt es sich jedoch nicht um un­mit­tel­bar wirksames und ver­bind­li­ches Recht, sondern um Di­rek­ti­ven, die in na­tio­na­len Gesetzen umgesetzt werden müssen. Dazu gewährt man den einzelnen Nationen eine längere Frist. Bei einer Ver­ord­nung liegt die Sache anders: Bei ihr – wie auch bei der DSGVO – handelt es sich um EU-weites Recht, das ver­bind­lich für alle Staaten und un­mit­tel­bar in Kraft tritt. Das Gesetz kann al­ler­dings eine Über­gangs­frist gewähren.

Was ist aber mit der DSGVO? An was muss man sich halten? Sobald die ePrivacy-Ver­ord­nung ebenfalls in Kraft tritt, lautet die einfache Antwort: an beides! Geplant ist, dass die Re­gu­la­ri­en zur ePrivacy die DSGVO kon­kre­ti­sie­ren. Bei der ePV (wie die neue Ver­ord­nung auch genannt wird) soll es sich um eine lex specialis handeln. Das bedeutet, dass sie gegenüber der Da­ten­schutz-Grund­ver­ord­nung – einer lex generalis – Vorrang hat. Die DSGVO ist all­ge­mei­ner gehalten und soll durch die ePV in spe­zi­el­len Punkten mit klareren Regeln deut­li­cher werden. Die Da­ten­schutz-Grund­ver­ord­nung ist nämlich nicht aus­schließ­lich für das Internet ge­schaf­fen. ePrivacy schützt diesen be­son­de­ren Bereich besser.

Zudem wird die ePV so­ge­nann­te Öff­nungs­klau­seln be­inhal­ten: Lokale Re­ge­lun­gen sollen also bestimmte Absätze der Ver­ord­nung in Um­set­zungs­de­tails be­ein­flus­sen können. Punkte, die den eu­ro­päi­schen Gesetzen wi­der­spre­chen, muss der nationale Ge­setz­ge­ber al­ler­dings ändern oder anpassen.

Bereits seit April 2016 wird über die ePrivacy-Ver­ord­nung dis­ku­tiert und man ist noch nicht zu einem ver­bind­li­chen Ergebnis gekommen. Im Januar 2017 hatte die EU-Kom­mis­si­on einen ersten Entwurf ver­öf­fent­licht. An­schlie­ßend haben mehrere Aus­schüs­se Stel­lung­nah­men zu den Vor­schlä­gen der Kom­mis­si­on abgegeben, was schließ­lich im Oktober 2017 zu einem eigenen Entwurf des EU-Par­la­ments geführt hat (zu diesem Zeitpunkt war die DSGVO bereits be­schlos­sen.) Fast einen Monat später ver­öf­fent­lich­te die EU-Rats­prä­si­dent­schaft einen Sach­stands­be­richt, in dem der aktuelle Stand der Dinge zu­sam­men­ge­fasst wurde. Und dabei ist es bisher geblieben. Als nächstes muss der EU-Rat über den Entwurf ent­schei­den.

Ur­sprüng­lich war geplant, dass ePrivacy und die DSGVO gleich­zei­tig in Kraft treten sollen. Von diesem Vorhaben hat man sich längst ver­ab­schie­det: Die EU-Mit­glied­staa­ten können sich seit Jahren nicht auf eine ge­mein­sa­me Linie einigen. Doch es gibt auch einen Licht­blick: So konnte sich der EU-Mi­nis­ter­rat im Februar 2021 immerhin auf eine ge­mein­sa­me Version ver­stän­di­gen – der Start­schuss des so­ge­nann­ten Trilogs. Das heißt, dass aktuelle Vertreter der drei am EU-Ge­setz­ge­bungs­pro­zess be­tei­lig­ten Organe, also EU-Kom­mis­si­on, Parlament und Mi­nis­ter­rat, mit­ein­an­der ver­han­deln.

Da in Deutsch­land auch bei der ePrivacy-Ver­ord­nung eine zwei­jäh­ri­ge Über­gangs­zeit vor­ge­se­hen ist, muss man nicht mit einer plötz­li­chen Umsetzung eines möglichen, von allen Ländern ab­ge­seg­ne­ten Entwurfs rechnen. Für 2022 übernimmt nun Frank­reich die Rats­prä­si­dent­schaft und tritt damit die Nachfolge von Portugal und Deutsch­land an, die bisher mit ihren Vor­schlä­gen ge­schei­tert waren.

Die Ein­schnit­te durch eine ePrivacy-Ver­ord­nung, wie man sie derzeit ver­han­delt, betreffen (neben den Bürgern, deren Pri­vat­sphä­re geschützt werden soll) vor allem Betreiber von In­ter­net­an­ge­bo­ten und die On­line­mar­ke­ting-Branche. Deshalb ist es wenig ver­wun­der­lich, dass aus diesen beiden Bereichen die größte Kritik kommt. Vor allem die Wer­be­bran­che bemängelt das Vorhaben der EU:

• Mehr Aufwand für Nutzer: Die Branche geht davon aus, dass Nutzer künftig über­for­dert sein dürften, von der Menge an Zu­stim­mun­gen, die durch die ePV nötig wären. Man vermutet, dass für jede einzelne Über­tra­gung eine spe­zi­fi­sche Zu­stim­mung gegeben werden muss.
   
• Fi­nan­zie­rung von Online-Medien gefährdet: Der größte Kri­tik­punkt liegt darin, dass man die wer­be­fi­nan­zier­ten Online-Medien in Gefahr sieht. Derzeit sind einige Blogs, Web­auf­trit­te von Zeitungen und andere Medien in ihrem Ge­schäfts­mo­dell abhängig von Wer­be­ein­blen­dun­gen. Nutzer zahlen nicht mit einem Geldwert, sondern durch Wer­be­kon­sum. Die Auswahl der Wer­be­ein­blen­dun­gen basiert meist auf Daten, die Wer­be­trei­ben­de durch Tracking sammeln. Sollte die ePrivacy-Ver­ord­nung in der bis­he­ri­gen Form in Kraft treten, ist solche Werbung nur noch mit ex­pli­zi­ter Zu­stim­mung möglich, die wohl die meisten Nutzer nicht geben dürften. Teile der On­line­mar­ke­ting-Branche be­fürch­ten, dass damit die freie Ver­füg­bar­keit von In­for­ma­tio­nen im Internet un­ter­bun­den werden könnte.
   
• Keine Kohärenz zum DSVGO: Man sieht Wi­der­sprü­che zur Da­ten­schutz-Grund­ver­ord­nung. Die zu­stän­di­gen Verbände gehen aus diesem Grund davon aus, dass die neue Ver­ord­nung nicht, wie von der EU-Kom­mis­si­on vor­ge­se­hen, mehr Klarheit beim Da­ten­schutz in der On­line­kom­mu­ni­ka­ti­on bringt, sondern vielmehr zu Rechts­un­si­cher­heit führt. Man be­fürch­tet, dass Än­de­run­gen in Ge­schäfts­mo­del­len, die jetzt für die DSGVO gemacht wurden, bereits in Kürze wieder geändert werden müssen – ähnliches gilt für das TTDSG. Hierzu verwies das Bun­des­mi­nis­te­ri­um für Wirt­schaft und Kli­ma­schutz (BMWK) in einer Pres­se­mit­tei­lung zum TTDSG darauf, dass dessen neue Da­ten­schutz­be­stim­mun­gen zu einem späteren Zeitpunkt an die ePrivacy-Ver­ord­nung angepasst werden müssen.

Bitte beachten Sie den recht­li­chen Hinweis zu diesem Artikel.