Neue E-Privacy-Verordnung: Ein Plätz­chen für Coo­kies

von Tim Wybitul und Dr. Lukas Ströbel

18.01.2017

Die neue E-Privacy-Verordnung soll den Schutz persönlicher Daten bei "klassischer" elektronischer Kommunikation regeln, etwa beim Telefonieren oder Texten. Lukas Ströbel und Tim Wybitul zur Verordnung und dem besonderen Cookie-Problem.

<page>E-Privacy-Verordnung zur EU-weiten Vereinheitlichung</page>

Ab Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Im gleichen Zug soll die neue E-Privacy-Verordnung die bisher geltende E-Privacy-Richtlinie (RL 2002/58/EG) und die sogenannte Cookie-Richtlinie (RL 2009/136/EG) ablösen. Diese zwei Richtlinien regeln den Schutz personenbezogener Daten bei der "klassischen" elektronischen Kommunikation wie beispielsweise dem Telefonieren, Mailen oder Texten per Telefon, Smartphone oder PC.

Im Sommer 2016 führte die EU-Kommission eine öffentliche Konsultation zu ihren Plänen für eine neue E-Privacy-Verordnung durch, schon im November 2016 gelangte ein erster Entwurf der Kommission an die Öffentlichkeit. Am 10. Januar diesen Jahres hat die EU-Kommission nun den ersten offiziellen Entwurf der neuen E-Privacy-Verordnung veröffentlicht.

Nach der Neuregelung des europäischen Datenschutzrechts soll die E-Privacy-Verordnung nun den Persönlichkeitsschutz bei der elektronischen Kommunikation an die Standards der DSGVO angleichen. Die EU-Kommission möchte damit bei der Verarbeitung von Kommunikationsdaten neue Möglichkeiten eröffnen, gleichzeitig aber die Sicherheit entsprechender Datenverarbeitungen erhöhen und damit das Vertrauen der Bürger in den digitalen Binnenmarkt stärken.

Eine Verordnung nicht ohne Grund

Die Notwendigkeit einer solchen Neuregelung ist unbestritten: Durch das Internet ist die IT-gestützte Kommunikation zwischen Bürgern der einzelnen EU-Staaten enorm angestiegen. Trotzdem bestehen aktuell in den einzelnen Mitgliedsstaaten sehr unterschiedliche Regelungen, etwa zum Einsatz von Cookies, also Programmen, die von der Website auf dem Computer des Nutzers installiert werden und dessen Verhalten im Internet erfassen. Während in Deutschland aufgrund des derzeit noch geltenden Telemediengesetzes im Moment der Einsatz von Cookies auch ohne aktive Zustimmung der Nutzer erlaubt ist (Opt-out-Regelung), fordern viele andere Mitgliedstaaten vor dem Einsatz von Cookies umfassende Informationen der Nutzer und eine aktive Einverständniserklärung (Opt-in-Regelung).

Um hier eine nötige Vereinheitlichung zu erreichen, sieht der Vorschlag der Union eine Neuregelung in Form einer EU-Verordnung vor. Diese wirkt dann in der gesamten EU unmittelbar und verbindlich. Anders als bei einer Richtlinie müssen die Mitgliedsstaaten die Neuregelung nicht erst in nationales Recht umsetzen. Stark abweichende Interpretationen der Regelung in den einzelnen Mitgliedsstaaten, wie dies bei der bisherigen Richtlinie der Fall war, werden so verhindert. 

Jedoch enthält der Entwurf einige Öffnungsklauseln, manche Regelungsbereiche können entsprechend weiterhin von den Mitgliedsstaaten geregelt werden.  Beispielsweise lässt die EU den Mitgliedsstaaten bei der Festlegung von Bußgeldvorschriften einige Freiheiten (Art. 23 Abs. 4, 24 E-Privacy-Verordnung).

Besonders Auffällig an der Neuregelung ist der deutlich erweiterte sachliche Anwendungsbereich der E-Privacy-Verordnung. Die Verordnung betrifft nicht mehr nur klassische Telekommunikationsanbieter, sondern auch so genannte Over-The-Top-Dienste ("OTT"), wie zum Beispiel WhatsApp, Skype oder Facebook.

<page>Neue Regeln für Cookies, Direktmarketing und Werbeblocker-Nutzung</page>

2/3: Cookies werden streng geregelt, Adblock-Ausschluss erlaubt

Neben dieser überfälligen Anpassung an die Realitäten des digitalen Zeitalters beinhaltet der vorgestellte Entwurf der EU-Kommission besonders bemerkenswerte Neuerungen: 

• Die Verordnung stellt klar, dass Cookies, die keine Auswirkungen auf die Privatsphäre haben, ohne Einwilligung oder Information des Nutzers gesetzt werden dürfen. Das betrifft beispielsweise solche, die eine Website ausschließlich dafür nutzt, ihre Besucheranzahl zu erfassen. Der Einsatz von für den Nutzer relevanteren Cookies bedarf hingegen künftig der ausdrücklichen Zustimmung durch den Nutzer. Dieser soll die Zustimmung oder Ablehnung künftig durch Voreinstellungen im Web-Browser in allgemeiner Form erteilen können. So müssen sämtliche Browser künftig alle eine "Do-Not-Track"-Einstellung anbieten. Anders als es der im November an die Öffentlichkeit geratene Entwurf noch vorsah muss diese Option nicht bereits als Voreinstellung bei der Installation vorhanden sein.

• Direktmarketing per E-Mails soll künftig nur nach einer vorherigen Einwilligung erlaubt sein. Jedoch scheut sich die Kommission hier vor einer konsequenten Umsetzung der Regel und schafft einige Ausnahmen. Beispielsweise soll Direktmarketing bei einer bereits bestehenden Kundenbeziehung weiterhin möglich sein, solange der Verbraucher nicht ausdrücklich widerspricht.

• Für Telefonmarketing gilt im Prinzip nichts anderes, zudem sollen Marketinganrufe künftig durch eine besondere Vorwahl gekennzeichnet sein. Entsprechend darf bei Marketinganrufen die Rufnummer auch nicht unterdrückt werden. Außerdem sollen Verbraucher die Möglichkeit erhalten, sich in eine nationale "Do-not-call"-Liste einzutragen, um sich Marketinganrufen zu entziehen.

• Die EU-Kommission will ausdrücklich erlauben, dass Websites überprüfen, ob User einen Adblocker nutzen, und daraufhin den Zugang zu ihrem Angebot verhindern. Auch wenn derartige "Anti-Adblock-Programme" aktuell von einigen bekannten Website-Betreibern verwendet werden, ist es bislang höchst umstritten, ob diese Praxis mit Art. 5 Abs. 3 E-Privacy-Richtlinie vereinbar ist. Diese Regelung ist im Zusammenhang mit dem in Art. 7 Abs. 4 DSGVO geregelten Koppelungsverbot bei Einwilligungen kritisch zu sehen. Denn faktisch wird die Nutzung der Dienstleistung der Website-Betreiber durch eine Adblocksperre von der Einwilligung in eine andere Datenverarbeitung, nämlich zu Werbezwecken, abhängig gemacht. Ein solches Abhängigkeitsverhältnis führt aber nach der DSGVO gegebenenfalls zur Unwirksamkeit der Einwilligung.

• Die Analyse von Inhalten elektronischer Kommunikation ist künftig meist nicht mehr allein durch die Zustimmung der Nutzer gerechtfertigt. Ist der angebotene Dienst grundsätzlich auch ohne die Analyse der Kommunikationsinhalte möglich, werden sich Anbieter künftig vor der Auswertung von Inhalten mit der zuständigen Aufsichtsbehörde abstimmen müssen. 

• Auch die Bußgelder bei Verstößen werden drastisch erhöht, die Höchstbeträge werden an die der DSGVO angepasst. Somit können Aufsichtsbehörden Bußgelder von bis zu vier Prozent des weltweiten Vorjahresumsatzes verhängen. Dies soll die bisherigen Probleme bei der Durchsetzung der Vorgaben beheben. Ein im vorherigen Entwurf noch vorgesehenes Verbandsklagerecht ist in dem Vorschlag der Kommission dagegen nicht mehr vorhanden.

<page>Unerfahrene User immer noch besonders benachteiligt</page>

3/3: Kein "Privacy by Default" mehr

Der Entwurf der EU-Kommission ist ein dringend nötiger Schritt in die richtige Richtung. Jedoch zeigt der Vorschlag auch einige Schwächen und hat durchaus Nachbesserungsbedarf.

Gerade die im vorherigen Entwurf noch vorhandenen Regelungen zu datenschutzfreundlichen Voreinstellungen ("Privacy by Default") fehlen in dem aktuellen Vorschlag. Die Möglichkeiten, die Privatsphäre durch Einstellungen im Browser oder bei der Installation besser zu schützen, ist zwar zu begrüßen. Wenn diese Vorgaben jedoch nicht bereits vorab eingestellt sind, wenn der Nutzer die Software installiert, werden gerade die unerfahrenen und deshalb besonders schutzwürdigen Verbraucher im Stich gelassen. Damit steht die Verordnung auch im Widerspruch zu Art. 25 Abs. 2 DSGVO, der datenschutzfreundliche Voreinstellungen vorsieht.

Zudem fehlt eine Regelung zur abhörsicheren Verschlüsselung. So fordert beispielsweise Jan Philipp Albrecht, grüner Europaabgeordneter und stellvertretender Vorsitzender des Innen- und Justizausschusses: "In Zeiten der Massenüberwachung durch Geheimdienste müssen die Anbieter von Kommunikationsdiensten alles technisch Mögliche tun, um das Grundrecht auf Vertraulichkeit zu sichern." Es wäre wünschenswert, dass hier einer Überwachung in einem Ausmaß, wie es in den USA beispielsweise praktiziert wird, ein Riegel vorgeschoben wird.

Unnötiger Zeitdruck

Bei dem hier vorgestellten Entwurf handelt es sich um einen Vorschlag der EU-Kommission. Sie stimmt diesen Vorschlag in den kommenden Wochen und Monaten mit dem Europäischen Parlament und dem EU-Rat ab. Spätestens zum 25. Mai 2018 soll die neue Verordnung verabschiedet werden, um passend mit der Datenschutzreform in Kraft zu treten. 

Ob es machbar und wünschenswert ist, die Reform in dieser relativ kurzen Zeit "durchzudrücken", nur um ein symbolisch wertvolles Geltungsdatum zu erlangen, ist fraglich. Zumindest, wenn dies auf Kosten der Umsetzung von Inhalten geht, sollte lieber ein späteres Geltungsdatum in Kauf genommen werden. Eine solche groß angelegte Reform bedarf sowohl auf Seiten der Mitgliedsstaaten als auch auf Seiten der betroffenen Unternehmen einer ausreichenden Vorlaufzeit.

Tim Wybitul ist Partner bei Hogan Lovells und berät Unternehmen umfassend zum Datenschutz. Bundesgerichtshof und Bundesarbeitsgericht zitieren seine Veröffentlichungen in mehreren Entscheidungen. 

Dr. Lukas Ströbel ist Associate bei Hogan Lovells. Sein Schwerpunkt liegt im Datenschutz- und im Arbeitsrecht.