Initiative der Bundesregierung für einheitliche Regeln in der EU gescheitert Endgültiges Aus für die E-Privacy-Verordnung?

Autor / Redakteur: Lisa Pytel / Sarah Gandorfer

Es gibt weiterhin keinen Konsens bei den E-Privacy-Richtlinien. Was die Verordnung regeln soll, was am deutschen Entwurf umstritten war, weshalb er gescheitert ist und wie es nun weitergeht, erläutert Rechtsanwältin Lisa Pytel.

Firmen zum Thema

Der bisherige Verfahrensgang und das Scheitern des deutschen Entwurfs zeigen, dass die E-Privacy-Verordnung umstritten ist.
Der bisherige Verfahrensgang und das Scheitern des deutschen Entwurfs zeigen, dass die E-Privacy-Verordnung umstritten ist.
(Bild: Andreas Berheide - stock.adobe.com)

Seit Januar 2017 diskutiert und entwerfen die verschiedenen Organe der Europäischen Union eine neue E-Privacy-Verordnung. Auch der neuste Entwurf der Bundesregierung, der Anfang November 2020 dem EU-Ministerrat vorgelegt wurde, hat sich, wie auch die vorherigen Entwürfe, nicht als konsensfähig erwiesen. Somit hat das lange Ringen um eine Neuregelung vorerst kein Ende.

Ziel der Verordnung und ihre Neuregelungen

Ziel der Verordnung ist eine Ergänzung der Datenschutzgrundverordnung (DSGVO) im digitalen Bereich. Die E-Privacy-Verordnung wird in ihrem Anwendungsbereich den Regelungen der DSGVO vorgehen und wird insoweit lex specialis zur DSGVO sein. Dabei ist der Anwendungsbereich der E-Privacy-Verordnung aber gerade nicht beschränkt auf die Verarbeitung personenbezogener Daten, sondern regelt die Verarbeitung jeglicher „Daten“ und Informationen im Zusammenhang mit der Nutzung von elektronischen Kommunikationsdiensten. Die Verordnung trifft besondere Regelungen für die Nutzung von Daten, die bei Besuchen von Webseiten anfallen, aber auch im Rahmen von Telekommunikation allgemein sowie bei der Nutzung von E-Mailadressen für Werbezwecke.

Dabei soll die Verordnung, neben den bisherigen Kommunikationskanälen, auch die neuen Over-The-Top Kommunikationsdienste („OTT“-Kommunikationsdienste sind zum Beispiel Skype oder WhatsApp) regeln. Ebenso auf ihre Anbieter, das „Internet der Dinge“ und die Kommunikation von Maschine zu Maschine eingehen. OTT-Kommunikationsdienste fielen bisher – so die Rechtsprechung des EuGH zu Gmail – nicht unter die E-Privacy-Richtlinie.

Nach den bisherigen Entwürfen soll ausdrücklich die elektronische Kommunikation von Endnutzern und die Integrität gespeicherter Informationen auf Endgeräten geschützt werden.

Letztlich sollen sich Verbraucher*innen besser gegen Cookies und andere Tracking-Mechanismen und somit gegen das Nachverfolgen ihrer Internetaktivitäten wehren können. Zusätzlich sollen die Regelungen der E-Privacy-Verordnung über mögliche Bußgelder, die von den Aufsichtsbehörden erlassen werden können, durchgesetzt werden. Die bisherigen Entwürfe verweisen hierzu auf die Regelungen der DSGVO.

Was bisher gilt

Bisher gilt die E-Privacy-Richtlinie aus dem Jahr 2002. Richtlinien müssen, im Gegensatz zu Verordnungen, erst durch die Mitgliedstaaten umgesetzt werden. Der deutsche Gesetzgeber hat dies vor allem im Telemediengesetz (TMG), Gesetz gegen den unlauteren Wettbewerb (UWG) und Telekommunikationsgesetz (TKG) getan. Ergänzend hat die EU die sogenannte Cookie-Richtlinie im Jahr 2009 erlassen. Diese unterscheidet zwischen technisch notwendigen und nicht notwendigen Cookies und regelt die Voraussetzungen, unter denen diese eingesetzt werden können.

Die E-Privacy-Verordnung soll nun dazu beitragen, dass die aufgrund der Richtlinie erlassenen mitgliedstaatlichen Gesetze vereinheitlicht werden und so beim Surfen im Internet EU-weit das gleiche Datenschutz- bzw. Verbraucherschutzniveau gilt.

Bisheriger „Verfahrensgang“

Der erste Entwurf zur E-Privacy-Verordnung stammte von der EU-Kommission und wurde im Januar 2017 veröffentlicht. Geplant war, dass die E-Privacy Verordnung zeitgleich mit der DSGVO zur Anwendung kommt. Die DSGVO findet nun bereits seit Mai 2018 Anwendung, während die E-Privacy-Verordnung weiterhin nicht konsensfähig ist.

Dem Entwurf der Kommission folgte ein Entwurf des EU-Parlaments im Oktober 2017. Diesen folgten wiederum Neu-Entwürfen der verschiedenen Ratspräsidentschaften (beispielsweise Bulgarien im März 2018 und Österreich im Oktober 2018). Die letzten Entwürfe (vor dem Entwurf der Bundesregierung im November 2020) kamen von der finnischen Ratspräsidentschaft. Dieses „Karussell der Nationen“ kommt dadurch zustande, dass die Ratspräsidentschaft jeweils nur für sechs Monate von einem Mitgliedstaat geführt wird. Jedes Jahr führen also zwei verschiedene EU-Mitgliedstaaten den Vorsitz im Rat.

Umstrittene Regelungen

Der bisherige Verfahrensgang und nun das Scheitern des deutschen Entwurfs zeigen, dass die E-Privacy-Verordnung und ihre Inhalte höchst umstritten sind. So möchten einige Staaten den Verbraucherschutz besonders hervorheben und das Setzen von Cookies deutlich erschweren, während andere Staaten und Interessengruppen dies als Eingriff in ihre Berufsfreiheit werten und davon ausgehen, dass eine strikte E-Privacy-Verordnung, Geschäftsmodelle zerstören könnte.

Bereits der zweite Entwurf, der durch das EU-Parlament im Oktober 2017 eingeführt wurde, sah als Grundeinstellung für Browser die sogenannte „Do-Not-Track-Einstellung“ vor. Dies sollte Ausdruck des datenschutzrechtlichen Grundprinzips der „data privacy by design and default“ sein, also Datenschutz durch Gestaltung und die Wahl bestimmter Voreinstellungen. Verbraucher sollten also sich nicht erst aktiv entscheiden müssen, ob sie sich grundsätzlich gegen das Tracking wehren möchten, sondern durch die Voreinstellung sollte es grundsätzlich nicht möglich sein, Nutzer zu tracken. Dies sollte erst nach deren ausdrücklicher Zustimmung, also der Anpassung der Einstellung, machbar sein.

Dieser Entwurf erntete harsche Kritik aus der Wirtschaft, da viele Unternehmen, die digital gestützte Geschäftsmodelle verfolgen, sowie Verlage und die Werbebranche, die ihre Existenz hierdurch bedroht sahen. Im Gegensatz zum „Offline-Einzelhandel“ lebt der Online-Handel vor allem davon, dass er seine Nutzer beziehungsweise deren Gewohnheiten durch geschicktes Tracking beobachten und so für sich nutzen kann. Auch Verlage, die heutzutage vor allem von der Werbung leben, wären hiervon stark betroffen.

Die danach folgenden Entwürfe der unterschiedlichen Mitgliedstaaten wurden immer wieder kritisiert, weil sie entweder zu wirtschaftsliberal oder zu verbraucherfreundlich gestaltet waren.

War der deutsche Entwurf wirtschaftsfeindlich?

Die deutsche Ratspräsidentschaft hat sich zum Ziel gesetzt, einen kompromissfähigen Entwurf beizusteuern, der von beiden Seiten – Wirtschaft und Verbrauchern – akzeptiert werden würde. Letztlich ist dieses Ziel nicht gelungen. Tendenziell schien auch dieser Entwurf für die Abstimmenden zu wirtschaftsfeindlich, wobei Verbraucherverbände den Entwurf teilweise als „noch tragbar“ bezeichneten.

Besonders umstritten, und gleichzeitig verbraucherfreundlich, war im deutschen Entwurf die Streichung der Möglichkeit, Werbung auf berechtigte Interessen zu stützen. Grundsätzlich bedarf es für die Verarbeitung von personenbezogenen Daten einer Erlaubnis. Diese konnte laut den Vorentwürfen beispielsweise die Einwilligung sein oder auch die berechtigten Interessen der Unternehmen. Da es sich bei den berechtigten Interessen um einen auslegungsbedürftigen Rechtsbegriff handelt, ist häufig umstritten, ob eine Verarbeitung noch auf dieser Basis zulässig ist oder nicht doch eine Einwilligung notwendig ist. Die Nutzung von Daten für die Werbung bräuchte danach grundsätzlich die Einwilligung des jeweiligen Nutzers.

Der Entwurf sah allerdings eine Ausnahme für Presseverlage vor. Danach konnte man, unter anderem als Presseverlag, eine Publikumsmessung auch ohne Einwilligung vornehmen. Zur Finanzierung ihrer Angebote sind diese häufig auf Werbung angewiesen. Der deutsche Entwurf war für Presseverlage daher recht großzügig.

Ebenso sah der deutsche Entwurf vor, dass elektronische Kommunikationsmetadaten für statistische oder wissenschaftliche Zwecke ohne Einwilligung verarbeitet werden konnten. Nicht enthalten war allerdings eine Regelung bzw. Pflicht von Kommunikationsdiensteanbietern, die Inhalte der Nutzer (zumindest grob) zu scannen und illegale Inhalte wie die Darstellung von Kindesmissbrauch herauszufiltern. Die Kommission hingegen hätte gerne eine solche Regelung, mit der die Anbieter, wie zum Beispiel Facebook, Gmail, gmx oder andere Kommunikationsanbieter, zur Kontrolle der Inhalte gezwungen werden. Dieser Wunsch geht zurück auf die Initiative zum besseren Schutz von Kindern vor Missbrauch.

Ausblick und was gilt ohne die E-Privacy-Verordnung?

Den nächsten Entwurf wird höchstwahrscheinlich die nun folgende portugiesische Ratspräsidentschaft beisteuern. Ob dieser Entwurf Anklang finden wird, bleibt abzuwarten und ist aufgrund des immer noch sehr zerstrittenen Meinungsfeldes eher nicht zu erwarten.

Der deutsche Gesetzgeber hat bereits im Sommer 2020 angekündigt, im Alleingang ein neues Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) zu erlassen. Dieses soll eine neue Umsetzung der E-Privacy-Richtlinie in deutsches Recht darstellen. Der deutsche Gesetzgeber könnte – soweit die bisherige Richtlinie diesen Spielraum zulässt – die Regelungen aus dem eigenen Entwurf zur E-Privacy-Verordnung auf nationaler Ebene umsetzen.

Bis die E-Privacy-Verordnung oder ein deutscher Ersatz erlassen und zur Anwendung kommen, findet weiterhin die E-Privacy-Richtlinie Anwendung und somit die jeweils nationalen Umsetzungen dieser Richtlinie. In Deutschland bleiben daher zunächst die spezifischen Regelungen im TMG, UWG und TKG anwendbar. Unternehmen sollten sich darauf einstellen, dass dies noch für eine Weile so bleibt. An dieser Stelle kann man Jan Philipp Albrecht zitieren, der im EU-Parlament maßgeblich an der Verfassung der DSGVO mitwirkte und am 20.November 2020 zum erneuten Scheitern des E-Privacy-Verordnungsentwurfs Folgendes per Twitter mitteilte: „I told you from the beginning: The ePrivacy regulation is dead, long live the ePrivacy directive applied alongside with the GDPR.“

Lisa Pytel
Lisa Pytel ist Rechtsanwältin bei der Wirtschaftskanzlei CMS in Deutschland. Sie berät im IT-Recht mit Schwerpunkt auf dem Datenschutzrecht. Sie berät Unternehmen zu allen Fragestellungen im E-Business sowie zu internationalen Datentransfers und Fragen zur konzerninternen sowie -externen Gestaltung des Datenaustauschs.

(ID:47089539)