Entwurf einer E-Privacy-Verordnung

Am 10. Januar 2017 hat die EU-Kommission ihren offiziellen Entwurf für über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG  (Verordnung über Privatsphäre und elektronische Kommunikation)  vorgelegt. Zeitgleich mit der zum 25. Mai 2018 wirksam werdenden EU-Datenschutzgrundverordnung (DS-GVO) soll die E-Privacy Verordnung die bisher geltende e-Privacy-Richtlinie und die ergänzende Cookie-Richtlinie aus dem Jahr 2009 ersetzen. Dies war auch dringend erforderlich, da die Richtlinie zwangsläufig nicht mit der technischen Entwicklung standhalten konnte.

Die neue Privacy-Verordnung soll die EU-Datenschutz-Grundverordnung dort ergänzen, wo sie nicht hinreicht. Dies betrifft insbesondere die sogenannten Over-the-Top-Dienste (OTT). Die Kommission führt als Beispiele Kommunikationsdienste wie WhatsApp, Facebook, Messenger, Skype, Gmail, iMessage oder Viber, aber auch die Maschine zu Maschine Kommunikation im “Internet der Dinge” an.

Die Kommission erhöht in Artikel 6 Abs. 3 die Voraussetzungen für eine Analyse von Inhalten elektronischer Kommunikation wie etwa Mail- oder Messaging-Nachrichten, weil sie hier grundsätzlich ein hohes Risiko von Grundrechtsverletzungen sieht. So sollen Dienste wie Googles GMail dafür künftig vorab die Datenschutz-Aufsichtsbehörden entsprechend Artikel 63 der DS-GVO konsultieren – noch ehe sie hierfür die ausdrückliche Einwilligung der Nutzer einholen. Den Empfehlungen der Behörde müssen die Diensteanbieter dann zwingend folgen.

Art. 6 legt fest, inwieweit eine Verarbeitung elektronischer Kommunikationsdaten erlaubt ist. Grundsätzlich dürfen Unternehmen Kommunikationsdaten von Verbrauchern nur nutzen, wenn der Nutzer ausdrücklich eingewilligt hat (Abs. 3 lit. a) oder die Daten zuvor anonymisiert wurden (Abs. 3 lit. b).

Wie bei allen Einwilligungen kann der Nutzer seine einmal abgegebene Einwilligung nach Artikel 9 Abs. 3 jederzeit widerrufen. An die Widerrufsmöglichkeit muss der Nutzer in regelmäßigen Abständen von 6 Monaten erinnert werden, solange die Verarbeitung andauert.

Unter der Überschrift unerbetene Kommunikation enthält Artikel 16 eine Ausnahmeregelung für Direktwerbung, welche die Verwendung von E-Mail-Kontaktdaten ohne weitere Einwilligung erlaubt, wenn es bereits eine “Kundenbeziehung” zwischen Anbieter und Nutzer gibt. Kunden müssen klar und deutlich die Möglichkeit haben,einer solchen Nutzung kostenlos und auf einfache Weise zu widersprechen. Es läuft also auf eine Opt-Out-Regelung hinaus. Ein Verbraucher muss damit rechnen, dass er nach einem Online-Einkauf möglicherweise mit einer Flut von Newsletters und E-Mailwerbung überschüttet wird.

Die Pflicht der Webseiten-Betreiber ihre Besucher über alle Cookies zu informieren ist nicht mehr erforderlich. Dies betrifft Cookies, die zu Konfigurationszwecken gesetzt werden oder in einem Webshop für das Befüllen von Warenkörben genutzt werden. Bei Tracking-Cookies entfällt die Informationspflicht nur dann, wenn der Browser über einen Do-Not-Track-Mechanismus verfügt, der Zustimmung oder Ablehnung übermitteln kann.

Browser müssen so konfigurierbar sein, dass Cookies von der direkt besuchten Website akzeptiert, jedoch Cookies von Drittanbietern blockiert werden können. Damit ist klar, dass die Werbeindustrie Do-Not-Track nicht länger wie bisher ungestraft ignorieren darf. Gleichzeitig werden damit wohl auch die meisten Cookie-Warn-Banner überflüssig.

Etwas verklausuliert und erst beim zweiten Durchlesen wird der Inhalt des letzten Satz von Präambel 21 verständlich. Dort heißt es: „Konfigurationsprüfungen, die Anbieter von Diensten der Informationsgesellschaft vornehmen, um ihren Dienst entsprechend den Einstellungen des Endnutzers bereitstellen zu können, wie auch das bloße Feststellen der Tatsache, dass das Gerät des Endnutzers die vom Endnutzer angeforderten Inhalte nicht empfangen kann, sollten nicht als Zugriff auf ein Gerät oder als Nutzung der Verarbeitungsfunktionen des Geräts betrachtet werden.

Damit versucht die Kommission das Blockieren von Adblock-Nutzer auf Verlags-Webseiten zu rechtfertigen. Diese Regelung dürfte aber dem Kopplungsverbot  in Art. 7 Abs. 4  DS-GVO zu widerlaufen, wonach eine verweigerte Einwilligung nicht zu einer grundsätzlichen Blockade des Webseitenbesuchers führen darf.

Der Sanktionsrahmen der geplanten E-Privacy-Verordnung entspricht konsequenterweise der Datenschutzgrundverordnung und verleiht den Vorgaben entsprechend Nachdruck. Ein Verbandsklagerecht, wie im Vorentwurf noch vorgesehen, gibt es nicht mehr. Das deutsche Verbandsklagerecht wird davon nicht beeinträchtigt.

Der Verordnungsentwurf geht jetzt zur Beratung zum Europäischen Parlament und zum Europäischen Rat.