ePrivacy Verordnung

ePrivacy-Verordnung würde Ökonomie des Internets aus den Angeln heben

Die Verordnung über die Privatsphäre und elektronische Kommunikation (ePrivacy-VO)  soll im Einklang mit der EU-DSGVO die „Cookie“-Richtlinie ablösen.  Dr. Sibylle Gierschmann (Duke University) und Dr. Stefan Hanloser (ProSiebenSat.1 Group) erklären in diesem Gastbeitrag die ePrivacy-Verordnung und erläutern, warum der aktuelle Entwurf (ePrivacy-VO-E) die Ökonomie des Internets aus den Angeln heben würde.

Diskutieren Sie die ePrivacy & die EU-DSGVO
mit Datenschutzverantwortlichen beim Datenschutzkongress 2017 (#DSK17)!

Aktuelle Standpunkte zur ePrivacy-Verordnung

Die EU Kommission hat am 10. Januar 2017 den Entwurf für eine Verordnung über die Privatsphäre und elektronische Kommunikation (ePrivacy-VO-E) vorgelegt. Sie soll die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG (ePrivacy-RL; teilweise auch „Cookie“-Richtlinie genannt) ablösen und zwar möglichst im Einklang mit der EU-Datenschutz-Grundverordnung (DSGVO) zum 25. Mai 2018.

Im Rahmen der Verhandlungen zur EU Datenschutz-Grundverordnung (EU-DSGVO) wurde die ePrivacy-RL bewusst ausgespart. Art. 95 DSGVO regelt lediglich, dass die EU-DSGVO insoweit keine zusätzlichen Pflichten auferlegen soll und ErwGr 173 fordert dazu auf, möglichst bald eine Kohärenz der ePrivacy-RL mit der DSGVO zu gewährleisten.

Der nun vorliegende Entwurf geht weit über eine solche Anpassung hinaus. Dabei betrifft der ePrivacy-VO-E nicht nur Betreiber elektronischer Kommunikationsnetze, sondern die gesamte digitale Wirtschaft.

Die Regelungen einer ePrivacy-VO würden dabei den Regelungen der DSGVO als Spezialregulierung vorgehen. Zunächst dehnt der ePrivacy-VO-E den Anwendungsbereich auch auf neue Internetdienste aus, die nicht zur klassischen Telekommunikation zählen , aber eine vergleichbare interpersonelle Kommunikation ermöglichen, z.B. VoIP-Telefonie, Instant-Messaging, webgestützte E-Mail-Dienste.

Im Mittelpunkt steht dann aber neben dem Schutz der Vertraulichkeit der Kommunikation ein erweiterter Endgeräteschutz beim Endnutzer. Letzteres betrifft sämtliche Verfahren, welche auf Informationen im Endgerät des Nutzers zugreifen. Dementsprechend sind die meisten Website-Betreiber von dem ePrivacy-VO-E betroffen, welche z.B. Reichweiten- oder Nutzungsanalysen ihrer Websites fahren oder Online-Marketing betreiben.

Betroffen sind aber auch alle sonstigen Geschäftsmodelle im Bereich der Telemedien, welche bisher basierend auf § 15 Abs. 3 Telemediengesetz auf der Basis von pseudonymisierter Nutzerprofilen gearbeitet haben. Der ePrivacy-VO-E geht insoweit von einem grundsätzlichen Einwilligungserfordernis aus, wobei den Browser-Herstellern eine Art Gateway-Funktion beim Einholen der Einwilligung zukommen soll.

In Bezug auf die Vertraulichkeit der Kommunikation soll nunmehr auch bereits die Verarbeitung von Daten der machine-to-machine Kommunikation einem Verbot mit Erlaubnisvorbehalt unterliegen. Dies wird viele Geschäftsmodelle der Industrie 4.0 („Internet of Things“) vor neue Herausforderungen stellen.

Der ePrivacy-VO-E würde zudem die Ökonomie des Internets aus den Angeln heben. Werbefinanzierte Online-Dienste, und damit die Mehrzahl des Online-Contents, würden entweder verschwinden oder müssten zu zahlungspflichtigen Abonnementsdiensten umgewandelt werden (Flucht hinter die Zahlschranke). Der Grund liegt auf der Hand: Der Nutzer soll künftig beim Browser-Download zwingend entscheiden, ob 3rd Party Cookies auf seinem Endgerät gespeichert werden können. Lehnt ein Nutzer aber 3rd Party Cookies auf technischer Browser-Ebene ab, verpufft ein späterer Cookie Consent des Nutzers für eine attraktive und vertrauenswürdige Webseite – allein die technischen Browser-Einstellungen entscheiden, ob Cookies auf dem Endgerät des Nutzers tatsächlich gespeichert werden können oder nicht. Der Nutzer kann nach dem Kommissionswillen nicht selbstbestimmt entscheiden, bei bestimmten attraktiven und vertrauenswürdigen Webseiten 3rd Party Cookies zu akzeptieren (keine Privacy by Choice). Damit wird eine zielgruppengenaue Werbung auf der Basis von 3rd Party Cookies unmöglich; werbefinanzierte Online-Inhalte werden obsolet.

Der ePrivacy-VO-E enthält zudem einige „Präzisierungen“ zur DSGVO, die stark klärungsbedürftig sind. Beispielsweise werden neue Vorgaben für die – in der DSGVO eigentlich abschließend geregelte – Einwilligung aufgestellt. Ferner werden Vorgaben der DSGVO teilweise auf juristische Personen ausgedehnt. Die Abgrenzung zwischen dem ePrivacy-VO-E und der DSGVO ist insgesamt unklar, zumal die ePrivacy-VO-E einerseits nicht auf den Personenbezug von Informationen abstellt, andererseits aber eine „Anonymisierung“ von Daten verlangt. Es überrascht daher nicht, dass viele Industrie-Verbände bereits davon warnen, dass der ePrivacy-VO-E im Rahmen der DSGVO mühsam verhandelte Konzepte nunmehr wieder in Frage stellt. Schon die Umsetzung der DSGVO bis 25. Mai 2018 stellt eine große Herausforderung für die Wirtschaft dar. Eine nachträgliche Spezialregulierung mit weiteren Anforderungen und erneuten Anpassungen wäre ein heftiger Dämpfer auf dem Weg der Umsetzung der DSGVO.

Dr. Sibylle Gierschmann, LL.M.Dr. Sibylle Gierschmann, LL.M. (Duke University) ist sowohl in Deutschland als auch in den USA (New York) als Rechtsanwältin zugelassen. Sie ist Partnerin der Sozietät Taylor Wessing und leitet dort die Industry Group „Technology, Media and Communications“. Sie berät internationale Unternehmen zu technologierelevanten Fragestellungen, insbesondere zum Datenschutzrecht. Das JUVE Handbuch für Wirtschaftskanzleien listet sie seit Jahren als „Führenden Namen“ im Datenschutzrecht. Dr. Gierschmann ist in diversen industrierelevanten Verbänden tätig (u.a. Bitkom, DGRI e.V.). Darüber hinaus veröffentlicht sie regelmäßig zu Themen aus ihrer Praxis, u.a. ist sie Mit-Herausgeberin des Systematischen Praxiskommentars zum Datenschutzrecht (Bundesanzeiger-Verlag). Sie ist ferner Dozentin an der an der LMU und Universität der Bundeswehr München.

Dr. Stefan HanloserDr Stefan Hanloser ist Vice President Data Protection Law bei der ProSiebenSat.1 Group, einem der größten unabhängigen Medienhäuser in Europa, das täglich 42 Millionen TV-Haushalte in Deutschland, Österreich und der Schweiz erreicht.  Aus der Konzernzentrale in München heraus verantwortet Herr Hanloser die gruppenweite datenschutzrechtliche Rechtsberatung und die Datenschutz-Governance der ProSiebenSat.1-Gruppe.  Vor seiner Tätigkeit bei ProSiebenSat.1 war Herr Hanloser als Global Corporate Privacy Officer bei der Allianz Asset Management AG, der Finanzdienstleistungsholding der Allianz-Gruppe, tätig.  Herr Hanloser hat seine berufliche Laufbahn als Rechtsanwalt mit dem Schwerpunkt IT-Recht bei zwei internationalen Kanzleien in München, New York und Washington, D.C., begonnen.