Christina Etteldorf

EU-Rat: Update zur ePrivacy-Verordnung


Die finnische Ratspräsidentschaft hat am 4.10.2019 einen aktualisierten Entwurf zur geplanten Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der RL 2002/58/EG (ePrivacy-VO) veröffentlicht, der u.a. Präzisierungen zum Anwendungsbereich, in Bezug auf das Verhältnis der ePrivacy-Verordnung zur DS-GVO sowie zur Auftragsverarbeitung enthält. Gestrichen bleibt dabei nach wie vor die von der EU-Kommission vorgeschlagene und vom Europäischen Parlament noch verschärfte neue Cookie-Regelung.

Der Vorschlag der EU-Kommission für eine ePrivacy-VO erfolgte im Januar 2017. Diese hätte nach dem erklärten Willen der Kommission zeitgleich mit der DS-GVO am 25.5.2018 in Kraft treten sollen. Während das EU-Parlament seine Position bereits im Oktober 2017 abgestimmt hatte, konnten sich die EU-Mitgliedstaaten innerhalb des EU-Rats bislang noch nicht auf einen gemeinsamen Vorschlag einigen. Insgesamt sollen die neuen Regeln der ePrivacy-VO, die i.Ü. nicht mehr nur klassische TK-Anbieter, sondern auch sog. Over-the-top(OTT)-Dienste erfassen sollen, u.a. Vorgaben zum Geräteschutz und für Einwilligungen innerhalb der elektronischen Kommunikation enthalten, insb. in Bezug auf Werbung und Cookies. Besonders große Aufmerksamkeit hat dabei Art. 10 erfahren, der nach dem Kommissionsvorschlag vorsieht, dass eine Software sicherstellen können muss, dass Drittanbieter Informationen weder im Endgerät speichern noch auslesen können. Das EU-Parlament hat den Regelungsvorschlag insoweit noch verschärft, als es sicherstellen will, dass in den Verkehr gebrachte Software bereits eine entsprechende Voreinstellung enthalten muss. Praktisch würde das z.B. bedeuten, dass Internetbrowser generell in den Werkeinstellungen das Setzen von Cookies durch Dritte blockieren müssten, sofern der Nutzer dies nicht aktiv in den Einstellungen seines Browsers – worauf er bei Installation allerdings hinzuweisen ist – erlaubt.

 

Der nunmehr veröffentlichte Entwurfsstand des EU-Rats enthält u.a. eine Klarstellung, dass die ePrivacy-VO dem Endnutzer keine Belastungen auferlegt und nur für elektronische Kommunikationsdienste gilt, die öffentlich zugänglich sind. In Erwägungsgrund 20 wurde ein neuer Text hinzugefügt, um das Verhältnis zur DS-GVO bei der Verarbeitung von Daten, die von den Endgeräten gesammelt wurden, zu regeln: Die DS-GVO gelte, nachdem die Daten vom Endgerät des Nutzers erfasst wurden und soweit es sich um personenbezogene Daten handelt. Art. 6b lit. d über die Verarbeitung von Daten zum Schutz lebenswichtiger Interessen wurde geändert, um Bedenken auszuräumen, dass es in einigen Notfallsituationen möglicherweise nicht möglich ist, auf ein Tätigwerden einer Behörde zu warten. Außerdem nennt Art. 6c lit. e nach dem Entwurfsvorschlag die Pseudonymisierung als Beispiel für geeignete Sicherheitsvorkehrungen. Ebenso ist in Art. 8 Abs. 1 eine Klarstellung erfolgt, dass Auftragsverarbeiter auch mehrere Drittanbieter sein können.

 

Insgesamt gestrichen bleibt nach wie vor Art. 10, sodass es nach dem derzeitigen Entwurfsvorschlag des EU-Rats bei der aktuellen Rechtslage bleiben würde, die eine (nach dem neuesten EuGH-Urteil v. 1.10.2019 – C-673/17 zwingend „aktive“) Einwilligung beim Setzen von Cookies fordert, ohne dabei Softwareanbieter gesondert in die Verantwortung zu nehmen (MMR veröffentlicht die Entscheidung m. Anm. Moos/Rothkegel in Ausgabe 11/2019). Art. 10 wurde bereits im Juli 2018 vom EU-Rat auf Grund von Bedenken hinsichtlich der Belastung von Browsern und Apps, unter Wettbewerbsaspekten und wegen des Zusammenhangs mit Geldbußen aus seinen Positionierungsentwürfen gestrichen.

 

Der Entwurfstext soll nun Gegenstand weiterer Gespräche der zuständigen Ratsarbeitsgruppe (WP TELE) sein, die zu einem Gemeinsamen Standpunkt der Mitgliedsstaaten führen sollen.

Ass. iur Christina Etteldorf ist wissenschaftliche Mitarbeiterin am Institut für Europäisches Medienrecht e.V. (EMR), Saarbrücken/Brüssel.