Die ePrivacy-Verordnung und ihr großer Schatten: Womit müssen Sie rechnen?

Die Europäische Union versucht nun schon seit Jahren einheitliche Regeln im digitalen Binnenmarkt zu schaffen, um so Verbraucher und Rechteinhaber besser zu schützen. Immer noch diskutiert wird in diesem Kontext die ePrivacy-Verordnung. Damit möchte die Europäische Union verbindliche Datenschutzregeln formulieren, die EU-weit gelten. Zusätzlich zu dieser Verordnung gibt es aber bereits die Datenschutz-Grundverordnung (DSGVO) und seit Dezember 2021 ein neues Stammgesetz, das die Regelungen der DSGVO, des Telemediengesetzes und des Telekommunikationsgesetzes zusammenführen soll. Fakt ist: Bisher steht noch nicht fest, wann das Gesetz zur ePrivacy der EU in Kraft treten wird und welche konkreten Vorgaben damit für die Digitalbranche verbunden sein werden.

Die Europäische Union möchte mit der ePrivacy-Verordnung (offiziell: Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC) die Privatsphäre von Bürgern bei der Online-Kommunikation stärken und den Datenschutz innerhalb der EU intensiver regulieren. Grundlegend geht es auch darum, dass man das Vertrauen der Menschen in digitale Kommunikationswege wieder zurückgewinnt. Die aktuell noch nicht in Kraft getretene ePrivacy-Verordnung ist nach der ersten Datenschutzrichtlinie (Richtlinie 95/46/EG) und der ePrivacy-Richtlinie (2002/58/EG) die dritte und vermutlich letzte Maßnahme einer Initiative für verbindliche Regelungen und Vorschriften zum europäischen Datenschutz. Kurzum: Durch die geplante ePrivacy der EU sollen Privatsphäre und Datenschutz zukünftig nicht mehr an Ländergrenzen (zumindest innerhalb der EU) scheitern.

Die EU geht mit dieser Initiative einen Weg, der mehr als notwendig ist: Das Internet kennt bekanntlich keine Grenzen. Aber was genau haben die europäischen Behörden mit der ePrivacy-Regulation vor? Zunächst ist es wichtig festzustellen, dass die ePrivacy-Verordnung mehr Unternehmen betreffen wird als jedes vorangegangene Datenschutzgesetz. Die Vorschläge, die in Kraft treten sollen, richten sich konkret auch an Website-Betreiber und Software-Anbieter, also zum Beispiel an Meta (ehemals Facebook), Google und Zoom – und somit prinzipiell an die komplette Online-Branche.

Eine große Änderung soll es in erster Linie bei der Verwendung von Cookies geben: Das Ablehnen von nicht notwendigen Cookies soll für Website-Besucher einfacher werden und sich beispielsweise über Browsereinstellungen regeln lassen. Website-Betreiber sollen Cookies nur dann setzen dürfen, wenn Nutzer diesen auch konkret zustimmen oder es sich um „technisch notwendige Cookies“ handelt, die die ordnungsgemäße Funktionsweise einer Webseite ermöglichen (z. B. Login-Cookies). Auch bei nicht erfolgter Zustimmung sollen Nutzer künftig alle Inhalte angezeigt bekommen. Statt Opt-out wäre also ein Double-Opt-in-Verfahren notwendig.

Um das zu realisieren, könnten auch die Hersteller von Browsern in die Pflicht genommen werden: Laut dem Entwurf sollen Webbrowser künftig Nutzern die Möglichkeit bieten, Tracking grundsätzlich zu regulieren. Darf jemand Cookies bei mir setzen? Und wenn ja, darf dies nur ein Erstanbieter oder auch Drittanbieter? Gestritten wird unter anderem darüber, wie genau die Voreinstellung aussehen soll – also ob der Nutzer selbst aktiv werden muss, um seine Privatsphäre zu schützen. Die DSGVO zumindest geht von „Privacy by Default“ aus: Datenschutzeinstellungen sollen nach der Installation zunächst so strikt wie möglich sein und erst anschließend durch Nutzer abgeschwächt werden können. Generell sollen Tracking-Dienste nur dann ohne Zustimmung der Nutzer erlaubt sein, wenn sie rein statistischen Auswertungen dienen.

Aufgenommen wurde in den Entwurf zur ePrivacy auch die Maschine-zu-Maschine-Kommunikation. Damit reagiert die EU auf Herausforderungen, die das Internet der Dinge mit sich bringen. Für diese Datenübermittlung soll das gleiche gelten, wie auch für solche, bei der Nutzer direkt involviert sind. Geplant ist, dass Geräte nur dann persönliche Daten übermitteln, wenn die Nutzer dem zugestimmt haben. Dies könnte zum Beispiel GPS-Daten der Smartphones betreffen.

Generell soll gelten, dass Nutzer darüber informiert werden müssen, welche Daten von ihnen man zu welchem Zweck aufnimmt. Deshalb soll eine Zustimmung auch nicht versteckt in den AGBs möglich sein oder an andere Dienste gekoppelt werden. Wenn beim Onlineshopping beispielsweise Benutzerdaten übertragen werden müssen – und das müssen sie immer – ist dies zulässig. Nicht zulässig soll es allerdings sein, diese Daten dann auch noch für Werbezwecke zu verwenden. Hierfür wäre eine neue, spezifische Zustimmung nötig.

Die ePrivacy-Verordnung soll aber nicht nur das Abgreifen persönlicher Daten durch Unternehmen begrenzen. Auch das Eingreifen von staatlicher Seite soll durch ePrivacy stärker reguliert werden. So soll eine Ende-zu-Ende-Verschlüsselung obligatorisch werden: Jede Datenübertragung soll vollständig verschlüsselt stattfinden und auch nicht von Regierungen eingesehen werden können. Die Einrichtung von Backdoors soll ebenfalls verbindlich verboten werden: Hintertüren, die Hersteller einbauen, um Regierungen einen Zugang zu gewähren, wären demnach illegal.

Vom Internet weg bewegt sich ePrivacy, wenn es um Direktmarketing geht: Während sich für das E-Mail-Marketing prinzipiell nichts ändert, soll die Verordnung insbesondere das Telefonmarketing stärker reglementieren: Der Vorschlag lautet, dass Telefonanrufe zu Werbezwecken nur dann erlaubt sind, wenn der Anrufende seine Rufnummer offenbart oder er einen verbindlichen Code verwendet, um zu signalisieren, dass es sich um einen Werbeanruf handelt.

Die ePrivacy-Verordnung ist zum einen dazu da, die veraltete ePrivacy-Richtlinie zu ersetzen und die Datenschutz-Grundverordnung zu flankieren. Die alte Regulierung existiert seit 2002 und wurde 2009 erweitert. Bei einer Richtlinie der Europäischen Gemeinschaft handelt es sich jedoch nicht um unmittelbar wirksames und verbindliches Recht, sondern um Direktiven, die in nationalen Gesetzen umgesetzt werden müssen. Dazu gewährt man den einzelnen Nationen eine längere Frist. Bei einer Verordnung liegt die Sache anders: Bei ihr – wie auch bei der DSGVO – handelt es sich um EU-weites Recht, das verbindlich für alle Staaten und unmittelbar in Kraft tritt. Das Gesetz kann allerdings eine Übergangsfrist gewähren.

Was ist aber mit der DSGVO? An was muss man sich halten? Sobald die ePrivacy-Verordnung ebenfalls in Kraft tritt, lautet die einfache Antwort: an beides! Geplant ist, dass die Regularien zur ePrivacy die DSGVO konkretisieren. Bei der ePV (wie die neue Verordnung auch genannt wird) soll es sich um eine lex specialis handeln. Das bedeutet, dass sie gegenüber der Datenschutz-Grundverordnung – einer lex generalis – Vorrang hat. Die DSGVO ist allgemeiner gehalten und soll durch die ePV in speziellen Punkten mit klareren Regeln deutlicher werden. Die Datenschutz-Grundverordnung ist nämlich nicht ausschließlich für das Internet geschaffen. ePrivacy schützt diesen besonderen Bereich besser.

Zudem wird die ePV sogenannte Öffnungsklauseln beinhalten: Lokale Regelungen sollen also bestimmte Absätze der Verordnung in Umsetzungsdetails beeinflussen können. Punkte, die den europäischen Gesetzen widersprechen, muss der nationale Gesetzgeber allerdings ändern oder anpassen.

Bereits seit April 2016 wird über die ePrivacy-Verordnung diskutiert und man ist noch nicht zu einem verbindlichen Ergebnis gekommen. Im Januar 2017 hatte die EU-Kommission einen ersten Entwurf veröffentlicht. Anschließend haben mehrere Ausschüsse Stellungnahmen zu den Vorschlägen der Kommission abgegeben, was schließlich im Oktober 2017 zu einem eigenen Entwurf des EU-Parlaments geführt hat (zu diesem Zeitpunkt war die DSGVO bereits beschlossen.) Fast einen Monat später veröffentlichte die EU-Ratspräsidentschaft einen Sachstandsbericht, in dem der aktuelle Stand der Dinge zusammengefasst wurde. Und dabei ist es bisher geblieben. Als nächstes muss der EU-Rat über den Entwurf entscheiden.

Ursprünglich war geplant, dass ePrivacy und die DSGVO gleichzeitig in Kraft treten sollen. Von diesem Vorhaben hat man sich längst verabschiedet: Die EU-Mitgliedstaaten können sich seit Jahren nicht auf eine gemeinsame Linie einigen. Doch es gibt auch einen Lichtblick: So konnte sich der EU-Ministerrat im Februar 2021 immerhin auf eine gemeinsame Version verständigen – der Startschuss des sogenannten Trilogs. Das heißt, dass aktuelle Vertreter der drei am EU-Gesetzgebungsprozess beteiligten Organe, also EU-Kommission, Parlament und Ministerrat, miteinander verhandeln.

Da in Deutschland auch bei der ePrivacy-Verordnung eine zweijährige Übergangszeit vorgesehen ist, muss man nicht mit einer plötzlichen Umsetzung eines möglichen, von allen Ländern abgesegneten Entwurfs rechnen. Für 2022 übernimmt nun Frankreich die Ratspräsidentschaft und tritt damit die Nachfolge von Portugal und Deutschland an, die bisher mit ihren Vorschlägen gescheitert waren.

Die Einschnitte durch eine ePrivacy-Verordnung, wie man sie derzeit verhandelt, betreffen (neben den Bürgern, deren Privatsphäre geschützt werden soll) vor allem Betreiber von Internetangeboten und die Onlinemarketing-Branche. Deshalb ist es wenig verwunderlich, dass aus diesen beiden Bereichen die größte Kritik kommt. Vor allem die Werbebranche bemängelt das Vorhaben der EU:

• Mehr Aufwand für Nutzer: Die Branche geht davon aus, dass Nutzer künftig überfordert sein dürften, von der Menge an Zustimmungen, die durch die ePV nötig wären. Man vermutet, dass für jede einzelne Übertragung eine spezifische Zustimmung gegeben werden muss.
   
• Finanzierung von Online-Medien gefährdet: Der größte Kritikpunkt liegt darin, dass man die werbefinanzierten Online-Medien in Gefahr sieht. Derzeit sind einige Blogs, Webauftritte von Zeitungen und andere Medien in ihrem Geschäftsmodell abhängig von Werbeeinblendungen. Nutzer zahlen nicht mit einem Geldwert, sondern durch Werbekonsum. Die Auswahl der Werbeeinblendungen basiert meist auf Daten, die Werbetreibende durch Tracking sammeln. Sollte die ePrivacy-Verordnung in der bisherigen Form in Kraft treten, ist solche Werbung nur noch mit expliziter Zustimmung möglich, die wohl die meisten Nutzer nicht geben dürften. Teile der Onlinemarketing-Branche befürchten, dass damit die freie Verfügbarkeit von Informationen im Internet unterbunden werden könnte.
   
• Keine Kohärenz zum DSVGO: Man sieht Widersprüche zur Datenschutz-Grundverordnung. Die zuständigen Verbände gehen aus diesem Grund davon aus, dass die neue Verordnung nicht, wie von der EU-Kommission vorgesehen, mehr Klarheit beim Datenschutz in der Onlinekommunikation bringt, sondern vielmehr zu Rechtsunsicherheit führt. Man befürchtet, dass Änderungen in Geschäftsmodellen, die jetzt für die DSGVO gemacht wurden, bereits in Kürze wieder geändert werden müssen – ähnliches gilt für das TTDSG. Hierzu verwies das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) in einer Pressemitteilung zum TTDSG darauf, dass dessen neue Datenschutzbestimmungen zu einem späteren Zeitpunkt an die ePrivacy-Verordnung angepasst werden müssen.

Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.