Bei der ePrivacy-Verordnung wird ein ganz neuer Anlauf gestartet

Ursprünglich sollte die E-Privacy-Verordnung zusammen mit der DSGVO im Frühjahr 2018 in Kraft treten. Doch Zwistigkeiten um die Ausgestaltung der Regelungen, die insbesondere die Verwendung von Cookies bzw. das Nutzertracking auf Websites reglementieren sollen, verhinderten eine Einigung. Nach dem Scheitern eines Kompromissvorschlags bleibt die Zukunft der Verordnung ungewiss.

Zu den wesentlichen Zielen der E-Privacy-Verordnung gehörte die Stärkung der Privatsphäre von Internet-Nutzern. Dazu sollte etwa

  • striktere Vorgaben zum Nutzertracking auf Webseiten durch Cookies oder ähnliche Maßnahmen gemacht werden,
  • um das Erstellen von Nutzerprofilen durch Website-übergreifende Datensammlungen zu verhindern.

Zudem wollte man Nutzer von Internet-Kommunikationsdiensten wie Skype oder WhatsApp besser schützen, indem die Nutzung der hier anfallenden Metadaten strenger reglementiert werden sollte.

Die Rechtsprechung macht deutlich, dass das Cookie-Tracking zu regeln ist

Auf einen Vorschlag zur E-Privacy-Verordnung, die zugleich auch die aus dem Jahr 2002 stammende E-Privacy-Richtlinie ablösen soll, hatte sich die E-Kommission nach langen Verhandlungen geeinigt, ein Jahr später sprach sich das EU-Parlament für einen stärkeren Datenschutz aus und wollte beispielsweise das Tracking generell nur nach expliziter Zustimmung durch die Anwender nach dem Opt-in-Prinzip erlauben. Genau das hat der EuGH kürzlich auch in einem Urteil vertreten EuGH zu Datenschutzpflichten bei der Verwendung von Cookies.

Doch der Entwurf zur Verordnung steckt fest, weil der EU-Rat zerstritten ist

Mittlerweile steckt der Entwurf allerdings in der neben Kommission und Parlament dritten EU-Instanz, dem Rat der Mitgliedsstaaten, fest, wo sich die Differenzen zwischen den Staaten nun letztlich als unüberbrückbar herausstellten. Zwar hatte es vor einigen Wochen noch einen letzten Kompromissvorschlag der finnischen Ratspräsidentschaft gegeben, doch auch dieser wurde nun zurückgewiesen und auf der jüngsten Ausschusssitzung der europäischen Justizminister traten die Differenzen nochmals in aller Deutlichkeit zutage.

Innovationsfreundliche Lösungen gefordert

Mehrere Staaten sperren sich vehement gegen die geplanten Regelungen zur Einschränkung des Trackings und fordern weitreichende Ausnahmereglungen, insbesondere etwa für Presseverlage, deren Geschäftsmodell ansonsten in Gefahr gerate. 

Und obwohl der jüngste Kompromissvorschlag bereits ein Tracking auf Nachrichtenseiten oder auch eine Vorratsdatenspeicherung weiterhin möglich machen wollte, wollten sich Staaten wie Polen oder Deutschland damit nicht zufriedengeben und gaben zu bedenken, dass zu starke Einschränkungen Innovationen in der digitalen Wirtschaft behindern könnten. Auch die Vertreter aus Belgien, Österreich, Tschechien und Portugal kritisierten die die bisherigen Entwürfe mit ähnlichen Argumenten.

Zudem wurde von mehreren Staaten gefordert, dass man zunächst einmal die im nächsten Jahr anstehende Evaluierung der DSGVO abwarten solle, um auf dieser Grundlage die Anforderungen an eine E-Privacy-Verordnung neu zu formulieren. Einige Teilnehmer der Sitzung stellten sogar die Notwendigkeit einer neuen E-Privacy-Verordnung generell in Frage.

Neue EU-Digitalkommissar Breton plant neuen Entwurf für die E-Privacy-Verordnung

Angesichts der Uneinigkeit der EU-Staaten in diesem Punkt, kündigte der neue EU-Digitalkommissar Thierry Breton an, dass man bei der EU-Kommission einen neuen Entwurf für die E-Privacy-Verordnung ausarbeiten werde, die auf der Basis des jüngsten Kompromissvorschlags aufbauen soll.

Angesichts der starken Widerstände in der Mehrzahl der Mitgliedsstaaten und auch weil der neue Kommissar eine Vergangenheit in einem großen französischen Technologie-Konzern hat, gehe einige Beobachter davon aus, dass diese Überarbeitung tendenziell wohl eher wirtschaftsfreundlich ausfallen dürfte und von der eigentlich angestrebten Stärkung der Privatsphäre somit nicht sehr viel übrigbleiben dürfte.

Neuer Durchlauf auf dem Weg zu Privacy wird einige Jahre ohne Rechtssicherheit dauern

Da mit dem neuen Ratsentwurf der gesamte Entscheidungsprozess noch einmal von vorn beginnt, wird es aber ohnehin noch mehrere Jahre dauern, bis eine solche Verordnung tatsächlich einmal in Kraft treten kann.

Unbefriedigend ist diese erneute Verzögerung auch schon deshalb, weil nun im Hinblick auf umstrittene Fragen, etwa im Hinblick auf die Einholung der Einwilligung der Besucher von Websites zur Verarbeitung ihrer Daten oder die Einbindung von Social-Plug-Ins wie etwa dem Like-Button von Facebook weiterhin keine wirkliche Rechtssicherheit herrschen wird.

Denn hierfür gelten zunächst weiterhin die Vorgaben der DSGVO, die in diesen Bereichen jedoch durchaus noch Lücken hat, da man diese Fragen umfassend eben in der E-Privacy-Verordnung regeln wollte.

Anmerkung: Was sind Cookies?

Als Cookies werden kurze Textdateien bezeichnet, die von den Webservern auf die Rechner oder auch Smartphones der Internetsurfer übertragen und dort gespeichert werden. Sie dienen primär zur Identifikation der Seitenbesucher oder enthalten Informationen über die Aktivitäten des Nutzers auf den Webseiten.

So lassen sich z.B. die virtuellen Warenkörbe in Online-Shops hierüber realisieren oder einmal vorgenommene Einstellungen der Nutzer speichern. In sehr vielen Fällen werden Cookies aber auch Website-übergreifend, etwa von Werbenetzwerken gesetzt, um hierüber das Surfverhalten der Nutzer nachvollziehen zu können.

Weitere News zum Thema:

Datenschutzbehörden verabschieden einheitliches Bußgeldkonzept

Datenschutzbehörde beanstandet bei 40 Unternehmen Einsatz von Marketing-Tool

Hintergrund: Bußgelder bei unzureichenden Tracking- bzw. Cookie-Bannern angekündigt

Unternehmen, die die Besucher ihrer Websites nur unzureichend über Tracking-Maßnahmen wie Cookies informieren bzw. keine ausreichenden Einwilligungen bei den Nutzern zu diesen Maßnahmen einholen, könnten demnächst von Bußgeldern durch die Datenschutzbehörden betroffen werden.

Eine Ankündigung zur Aussendung erster Bußgeldbescheide aufgrund derartiger Verstöße machte etwa das Bayerische Landesamt für Datenschutz, das bereits Anfang des Jahres zahlreiche Unternehmens-Websites geprüft und beanstandet hatte.

In Spanien verhängte die dortige Datenschutzaufsicht wegen eines solchen unzureichenden Cookie-Banners kürzlich ein Bußgeld in Höhe von 30.000 EUR gegen eine Billig-Fluglinie.

EuGH-Urteil zu Cookies & Co.

Nach einem kürzlich ergangenen Urteil des Europäischen Gerichtshofs (C-673/17) müssen Website-Besucher, deren Daten durch Cookies bzw. Tracking-Tools wie Google Analytics oder Google AdWords erfasst werden, dem Setzen solcher technisch nicht notwendigen Cookies explizit zustimmen. Eine bereits voreingestellte Zustimmung, etwa durch eine bereits angeklickte Option, die die Website-Besucher durch Anklicken einer OK-Schaltfläche übernehmen können, genügt diesen Anforderungen dagegen nicht.

Schlagworte zum Thema:  EU-Richtlinie, Datenschutz