Geschrieben am 31.01.2017 von:
Sabine Pernikas
Rechtsanwältin | Fachanwältin für IT-Recht
zum Profil
Kontaktiere mich:
+49 (0) 6232 – 100119 0
E-Mail senden
Am 10.01.2017 hat die EU-Kommission einen ersten offiziellen Entwurf zur neuen E-Privacy-Richtlinie veröffentlicht. Aus diesem geht hervor, dass insbesondere der Anwendungsbereich der bisher schon gültigen Vorschriften deutlich erweitert und auch auf sogenannte Over-The-Top-Dienste ausgeweitet werden soll. Die Kommission plant, die E-Privacy-Verordnung bis spätestens zum 25.05.2018 zu verabschieden und auf den Weg zu bringen. Sie will so zeitgleich mit dem Wirksamwerden der DS-GVO ein deutliches Zeichen setzen.
DS-GVO wird ergänzt
Am 25.05.2018 wird die bereits in Kraft getretene Datenschutzgrundverordnung (DS-GVO) gültig. Sie soll für ein europaweit einheitliches Datenschutzniveau sorgen und Betroffene nachhaltig in ihrem Recht auf informationelle Selbstbestimmung stärken. Da die DS-GVO in einigen Bereichen nur allgemeine Regelungen trifft, müssen teilweise noch Konkretisierungen erfolgen – so insbesondere im Bereich der digitalen Kommunikation. Die EU-Kommission plant daher schon seit längerem, die bisherige E-Privacy-Richtlinie (RL 2002/58/EG) und die Cookie-Richtlinie (RL 2009/136/EG) durch eine neue E-Privacy-Verordnung abzulösen.
Abgesehen davon, dass die aktuellen Vorschriften ohnehin an den neuen Stand der Technik angepasst werden müssen, bietet eine Verordnung den Vorteil, dass sie im Gegensatz zu einer Richtlinie unmittelbar Anwendung findet. Das bedeutet, dass sie nicht erst der Umsetzung durch die nationalen Gesetzgeber bedarf. Bisher gibt es in Europa teilweise sehr unterschiedliche Vorschriften zur IT-gestützten Kommunikation. Bereits im Sommer 2016 fanden öffentliche Sitzungen der EU-Kommission zur geplanten E-Privacy-Verordnung statt. Im November 2016 gelangte dann ein inoffizieller Entwurf nach außen. Am 10.01.2017 wurde nun endlich der erste offizielle Entwurf zur neuen Verordnung veröffentlicht.
Erweiterter Anwendungsbereich
Die auffälligste Neuregelung betrifft den Anwendungsbereich der Verordnung. Von dieser sind in Zukunft nicht nur klassische Telekommunikationsanbieter wie z.B. Mobilfunkanbieter erfasst, sondern auch sogenannte Over-The-Top-Dienste. Das sind Dienste wie WhatsApp, Facebook oder Skype, die ausschließlich internetbasiert sind. Weiterhin ändern sich die Vorschriften zur Verwendung von Cookies. Während hierfür bisher in manchen Ländern eine ausdrückliche Zustimmung der Nutzer (Opt-In) notwendig ist, müssen diese in Deutschland nur ausdrücklich widersprechen (Opt-Out).
Der Entwurf zur Verordnung sieht nun vor, dass Cookies ohne Auswirkung auf die Privatsphäre zukünftig auch ohne die Zustimmung der Nutzer eingesetzt werden dürfen. Hierunter fallen z.B. Cookies zur Dokumentation der Webseitenbesuche oder zur Optimierung der Webseite. Für die Nutzung von z.B. Trackingtools soll hingegen in Zukunft eine ausdrückliche Zustimmung erforderlich sein, welche dann bereits im Browser in allgemeiner Form erteilt werden kann. Die Hersteller von Browsern werden also ebenso in die Pflicht genommen und müssen sogar eine „Do-Not-Track“- Einstellung anbieten.
Im Bereich Werbung soll es neue Regelungen geben, die im Wesentlichen der Rechtslage in Deutschland entsprechen. Werbung per E-Mail soll europaweit nur noch mit ausdrücklicher Zustimmung des Empfängers zulässig sein. Hiervon soll es eine Ausnahme ähnlich der aus § 7 Abs. 3 UWG geben. Bei Werbung per Telefon müssen die Anrufe künftig durch eine bestimmte Vorwahl gekennzeichnet sein. Die Nummer darf also nicht mehr unterdrückt werden.
Anti-Ad-Blocker zulässig
Außerdem sieht der Entwurf vor, dass die Benutzung von Anti-Ad-Blocker-Software in Zukunft erlaubt sein soll. Webseitenbetreiber dürfen also prüfen, ob ein Nutzer Ad-Blocker-Software verwendet und ihn dann vom Zugang zur Webseite ausschließen. Es ist umstritten, ob diese Regelung mit dem Koppelungsverbot aus Art. 7 Abs. 4 DSGVO vereinbar ist. Nach dieser Regelung ist es nämlich unzulässig, die Nutzung einer Dienstleistung von der Zustimmung in eine Datenverarbeitung abhängig zu machen.
Entgegen der bisherigen Annahmen sieht der Entwurf keine Regelungen zu datenschutzfreundlichen Voreinstellungen vor (sogenanntes „Privacy by Default“). Zwar muss es Nutzern möglich sein, die Datenschutzeinstellungen im Browser oder bei der Installation von Apps zu ändern, sie müssen aber nicht von Anfang an benutzerfreundlich sein. Dies steht in Widerspruch zu Art. 25 Abs. 2 DS-GVO, wonach datenschutzfreundliche Voreinstellungen vorgeschrieben sind. Die Regelungen der DS-GVO hierzu erscheinen auch sinnvoll, da technisch unerfahrene oder unbegabte Nutzer die Möglichkeiten zur nachträglichen Änderung der Voreinstellungen wohl nicht nutzen werden und dadurch benachteiligt sind.