10. Dezember 2021
Autoren: Thanos Rammos und Max Harttrumpf
Während das Jahr zu Ende allmählich geht, zeichnet sich für 2022 ein deutlicher Trend im Datenschutz ab: Es dürfte das Jahr von ePrivacy werden. Der Online-Bereich ist bisher nicht einheitlich geregelt. Die Datenschutz-Grundverordnung hat insoweit eine Lücke gelassen. Diese sollte die sog. ePrivacy-Verordnung schließen. Sie ist sehr lange diskutiert worden. Nun steht ein Entwurf, der aber final verhandelt werden muss. Daneben hat es viele Urteile und Entwicklungen zu Cookies & Co. gegeben. Es besteht immer noch große Unsicherheit. Ein neues Gesetz in Deutschland macht es nicht einfacher.
Aufsichtsbehörden prüfen inzwischen Cookie Banner regelmäßig. Auch Verbraucherschützer sind nicht untätig und mahnen scheinbar reihenweise Unternehmen wegen Cookie Bannern ab. Ob sie überhaupt dazu legitimiert wird, muss der Europäische Gerichtshof („EuGH“, C-319/20) 2022 entscheiden. Der Bundesgerichtshof („BGH“, App-Zentrum“ - I ZR 186/17) hat ihm diese Frage vorgelegt. Der EuGH muss also prüfen, ob Verbraucherschutzverbände befugt sind, Verstöße gegen das Datenschutzrecht zu verfolgen oder die Datenschutz-Grundverordnung abschließend die Aufsicht durch die Datenschutzbehörden regelt. Am 2. Dezember 2021 hat der Generalanwalt des EuGH dazu Stellung genommen. Er kommt zum Ergebnis, dass Verbraucherschützer aktiv werden können. Wenn der EuGH ihm folgt, dürfte es eine noch größere Abmahnwelle in Bezug auf sog. Tracking-Tools geben. Am 1. Dezember 2021 ist zudem das neue Telekommunikations-Telemedien-Datenschutzgesetz („TTDSG“) in Kraft getreten. Es soll unter anderem Webseiten-Betreiber zur Einhaltung neuer Vorschriften verpflichten und Besucher:innen mehr Kontrolle über die von ihnen erhobenen personenbezogenen Daten geben. In jedem Fall birgt es neue Bußgeldrisiken. Wird es das Ende der Cookie-Banner bedeuten?
Wird 2022 auch die ePrivacy-Verordnung verabschiedet, sodass zukünftig EU-weit eine klarere Linie bestehen könnte? Seit Veröffentlichung des ersten Entwurfs der ePrivacy-Verordnung im Januar 2017 ist inzwischen viel Zeit vergangen. Ursprünglich war ein gemeinsames Inkrafttreten mit der DSGVO geplant. Während Letztere seit Mai 2018 gilt, waren die Verhandlungen über die ePrivacy-Verordnung bisher zäh. Zuletzt gab es Fortschritte: Der EU-Ministerrat hatte sich am 10. Februar 2021 auf eine Version verständigt. Damit begann der sog. Trilog, die informelle Verhandlung zwischen Vertretern der drei am EU-Gesetzgebungsprozess beteiligten Organe: EU-Kommission, Parlament und Ministerrat.
Der Entwurf der ePrivacy-Verordnung soll Datenschutz im Online-Kontext neu regeln. Die wesentlichen Punkte:
Anwendungsbereich und Verhältnis zur DSGVO
In sachlicher Hinsicht soll die ePrivacy-Verordnung die Verarbeitung elektronischer Kommunikationsdaten, die bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste anfallen, regeln. Elektronische Kommunikationsdienste umfassen Internetzugangsdienste, interpersonelle Kommunikationsdienste sowie Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen. Auch M2M, VoIP und das IoT unterfallen somit grundsätzlich der ePrivacy-Verordnung.
Daneben enthält die ePrivacy-Verordnung auch Vorschriften betreffend
Die ePrivacy-Verordnung hat als Spezialgesetz gegenüber der DSGVO Vorrang. Deren Bestimmungen ergänzen und präzisieren die DSGVO durch spezifischere Vorschriften.
Der ePrivacy-Verordnung liegt das Prinzip der Vertraulichkeit elektronischer Kommunikationsdaten zugrunde: Jede Einflussnahme (das Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens, Überwachens und Verarbeitens) auf Kommunikationsdaten durch eine andere Person als den Endnutzer ist verboten, sofern keine der in der ePrivacy-Verordnung vorgesehenen Ausnahmen greift (sog. Verbot mit Erlaubnisvorbehalt).
Als zentraler Erlaubnistatbestand dürfte sich die Einwilligung erweisen. Dafür wird im Wesentlichen auf die Regelungen der DSGVO verwiesen. Darüber hinaus sind allgemeine Erlaubnistatbestände für die Verarbeitung elektronischer Kommunikationsdaten enthalten (Art. 6):
Zwei Regelungen, die in den Trilog-Verhandlungen für Diskussionsstoff sorgen dürften:
Vor Veröffentlichung des Ratsentwurfs hatte sich bereits der BfDI gegenüber dem BMWi für die Streichung beider Regelungen ausgesprochen. Die Vorschriften wurden jedoch wieder in den Verordnungstext eingefügt und vom Rat angenommen.
Die Regelungen zu Cookies sind bisher einer der großen Reibungspunkte gewesen. Es wurde lange diskutiert, wie – neben der Einwilligung – eine taugliche Rechtsgrundlage aussehen könne. Aus den Erwägungsgründen ergibt sich, dass auch sog. Cookie-Walls zulässig sind, sofern der Nutzer eine echte Wahlmöglichkeit hat, also auf Grundlage klarer, präziser und benutzerfreundlicher Informationen über die Zwecke von Cookies oder ähnlichen Technologien zwischen verschiedenen Diensten wählen kann. Als alternative Dienste kommen beispielsweise eine kostenpflichtige, cookiefreie Version desselben Anbieters oder ein vergleichbarer, cookiefreier Dienst eines anderen Anbieters in Betracht.
Cookie-Einwilligungen können auch mithilfe von Browsereinstellungen (z.B. mittels einer konfigurierbaren Positivliste für einen oder mehrere Anbieter) erteilt werden. Eine direkt erklärte Einwilligung des Endnutzers geht nach dem aktuellen Entwurf einer Einwilligung mittels Browsereinstellungen jedoch stets vor.
Darüber hinaus können sog. First-Party-Cookies, die zur Reichweitenmessung erforderlich sind, vom Anbieter (bzw. von dessen Auftragsverarbeiter oder einem gemeinsamen Verantwortlichen) eingesetzt werden, ohne dass es einer Einwilligung der Endnutzer bedarf.
Die Verwendung elektronischer Kommunikationsdienste zum Zwecke des Direktmarketings ist grundsätzlich verboten, sofern die Endnutzer nicht zuvor eingewilligt haben. Eine Ausnahme greift jedoch dann, wenn der Anbieter aufgrund einer bestehenden Kundenbeziehung und in DSGVO-konformer Weise über Kontaktdaten des Endnutzers verfügt. In diesem Fall darf der Nutzer in Bezug auf ähnliche Produkte oder Dienste kontaktiert werden, wenn ihm zuvor klar und deutlich die Möglichkeit gegeben worden ist, einer solcher Verwendung kostenlos und auf einfache Weise zu widersprechen. Die Regelungen entsprechen also im Wesentlichen dem Gedanken und den aktuellen Vorgaben der deutschen Rechtsprechung zur Opt-Out-Regelung im Wettbewerbsrecht (§ 7 Abs. 3 UWG).
Im Einklang mit den Regelungen zur Aufsicht in der DSGVO sollen die Mitgliedsstaaten vorsehen, dass unabhängige öffentliche Behörden (welche die Voraussetzungen der Art. 51-54 DSG-VO erfüllen) für die Überwachung der Anwendung der ePrivacy-Verordnung zuständig sind.
Allerdings kann die Überwachung der Vorschriften zu den Kontrollrechten der Endnutzer sowohl auf die vorgenannten Aufsichtsbehörden als auch auf andere Aufsichtsbehörden mit entsprechender Fachkenntnis übertragen werden. Dies widerspricht der Empfehlung des EDSA, wo-nach allein Datenschutzaufsichtsbehörden für Durchsetzung der ePrivacy-Verordnung zuständig sein sollten.
Entgegen der Regelungen zur Aufsicht in der DSGVO enthält der Entwurf der ePrivacy-Verordnung keinen mit dem One-Stop-Shop-Prinzip vergleichbaren Mechanismus. Unternehmen könnten also mit Maßnahmen durch Aufsichtsbehörden verschiedener Mitgliedsstaaten konfrontiert werden.
In Deutschland gilt seit dem 1. Dezember 2021 das TTDSG gelten. Es enthält u.a. Vorschriften, die der harmonisierenden Umsetzung der ePrivacy-Richtlinie aus dem Jahr 2002 dienen (Details hier). Damit holt der deutsche Gesetzgeber nach, was viele bereits gefordert hatten. Sobald die unmittelbar geltende ePrivacy-Verordnung kommt, werden auch die Vorschriften des TTDSG obsolet, weil es die alte ePrivacy-Richtlinie umgesetzt hat. In Bezug auf Cookies würde beispielsweise die Regelung zum „Schutz der Privatsphäre bei Endeinrichtungen“ (§ 25 TTDSG) durch die o.g. Vorschriften der ePrivacy-Verordnung (Art. 8) verdrängt werden.
Der aktuelle Entwurf der ePrivacy-Verordnung wird in den Trilog-Verhandlungen voraussichtlich für eine Menge Diskussionsstoff sorgen. Insbesondere beschränkt sich die bereits angesprochene Kritik des EDSA nicht auf die Möglichkeiten zur Weiterverarbeitung zu kompatiblen Zwecken und zur Vorratsdatenspeicherung. Vielmehr moniert der EDSA auch, dass Cookie-Walls nicht mit den im Einwilligungskontext anzuwendenden Vorschriften der DSGVO vereinbar seien. Die Ausnahme für Cookies zur Reichweitenmessung sei zu weit gefasst. Eine Fragmentierung der Durchsetzung und Anwendung der Verordnung sei aufgrund fehlender Vorschriften bzgl. des Verfahrens für die Zusammenarbeit und Kohärenz zu befürchten.
Angesichts der diversen potenziellen Streitpunkte sind eher zähe Trilog-Verhandlungen zu erwarten. Mit einem Inkrafttreten der ePrivacy-Verordnung vor 2023 kann also nicht ohne Weiteres gerechnet werden. Das würde also eine Geltung ab 2025 bedeuten, da auf Grundlage des aktuellen Entwurfs eine Übergangsfrist von 24 Monaten gilt.
Für deutsche Unternehmen bedeutet dies, dass die richtlinienumsetzenden Vorschriften des TTDSG daher vorerst relevant sind. Dennoch sollten Unternehmen in Sachen ePrivacy-Verordnung auf dem Laufenden bleiben. Nach Inkrafttreten der Verordnung müssen zeitnah Umsetzungsmaßnahmen ergriffen werden, weil es häufig um die Software- bzw. Produktentwicklung gehen wird. Das Risiko im Falle einer unzulänglichen Umsetzung ist immens. Wie bei der DSGVO drohen Geldbußen von bis zu 20 Millionen EUR oder im Falle eines Unternehmens von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
Co-Autor
Max Harttrumpf
Wissenschaftlicher Mitarbeiter, Technology Media & Telecoms
Das Ende der Cookie-Banner?
Das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDG) - erläutert von Mona Wrobel
Jetzt lesen