Schutz digitaler Daten

Die ePrivacy-VO soll die Datenschutz-Richtlinie 2002/58/EG (sogenannte ePrivacy-Richtlinie) ersetzen und speziell den Datenschutz in Bezug auf öffentlich zugängliche elektronische Kommunikationsdienste ­regeln (Art. 2 ePrivacy-VO-Entwurf), der durch die Datenschutz-Grundverordnung (DS-GVO) nicht geregelt wird (siehe Art. 95 DS-GVO). Der vollständige Titel der «Verordnung lautet Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Auf­hebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation)».
Bisher regelt die EU-Datenschutzrichtlinie 2002/58/EG den Datenschutz im Bereich der elektronischen Kommunikation. Die Vorgaben dieser Richtlinie sind im Wesentlichen in den Datenschutzbestimmungen des Telekommunikationsgesetzes (§§ 91 ff. TKG) umgesetzt. Die Richtlinie enthielt auch Regelungen zu sogenannten Cookies und zur Direktwerbung mit elektronischen Kommunikationsdiensten. Diese Vorgaben der Richtlinie 2002/58/EG wirken sich auch in § 7 Gesetz gegen den unlauteren Wettbewerb (UWG), der die Zulässigkeit von Direktwerbung regelt, sowie in den Datenschutzbestimmungen des Telemediengesetzes (§§ 11 ff. TMG) aus. Der Vollständigkeit halber ist anzumerken, dass in Bezug auf Cookies auch immer wieder von der sogenannten Cookie-Richtlinie zu hören ist. Dabei handelt es sich aber nicht um eine eigenständige EU-Richtlinie, sondern nur um eine Richtlinie zur Änderung der bereits zuvor angesprochenen Richtlinie 2002/58/EG. Das ist verwirrend. Verständlicher wird es, wenn man berücksichtigt, dass in Bezug auf elektronische Kommunikation in Deutschland eine Dreiteilung in Form von BDSG, TMG und TKG besteht. In anderen EU-Mitgliedstaaten gibt es hingegen nur eine Zweiteilung – nämlich allgemeines Datenschutzrecht sowie kommunikationsspezifisches Datenschutzrecht. Durch die ePrivacy-VO wird dann die Dreiteilung auch in Deutschland aufgehoben. Aufgrund des Anwendungsvorrangs der DS-GVO beziehungsweise der ePrivacy-VO wird es nur noch diese beiden Gesetze geben. Denn EU-Verordnungen haben Anwendungsvorrang vor nationalen deutschen Regelungen – also vor den Datenschutzbestimmungen des BDSG, TMG und TKG. Das bedeutet: Es bedarf keines deutschen Gesetzes zur Umsetzung der ePrivacy-VO, sondern deren Wortlaut gilt in Deutschland unmittelbar. Kollidierende deutsche Regelungen kommen nicht zur Anwendung, sondern nur die der beiden Datenschutz-Verordnungen.

Ab wann gilt die ePrivacy-VO?

Der vorgesehene Zeitplan beinhaltet ein zeitnahes Inkrafttreten, damit die ePrivacy-VO ab dem 25. Mai 2018 anzuwenden ist. Sie soll zeitgleich mit der DS-GVO in Kraft ­treten. Zu beachten ist allerdings, dass nur das Inkrafttreten der DS-GVO zum 25. Mai 2018 sicher ist. Bei der ePrivacy-VO kommt es noch darauf an, ob das Gesetzgebungsverfahren tatsächlich rechtzeitig abgeschlossen ist. Das ist – Stand heute – stark zu bezweifeln.
Sollte die ePrivacy-VO nicht am 25. Mai 2018 in Kraft treten, wird es kompliziert. Das BDSG und die Datenschutzbestimmungen des TMG werden durch die DS-GVO weitgehend verdrängt. Beim TMG ist umstritten, ob eine einzelne Regelung, die auf der Richtlinie 2002/58/EG beruht, aus Gründen der Transparenz weiter gilt. Die Datenschutzbestimmungen des TKG gelten weiter, soweit sie auf der voranstehenden Richtlinie beruhen; sie sind vom Anwendungsvorrang der DS-GVO ausgenommen (Art. 95 DS-GVO).

Vorrang vor der DS-GVO

Die ePrivacy-VO und die DS-GVO sind beide EU-Verordnungen und gelten unmittelbar in jedem EU-Mitgliedstaat. Insoweit besteht kein Vorrang der einen vor der anderen Regelung. Inhaltlich sind die Regelungen aber unterschiedlich, sodass sie voneinander abzugrenzen sind. Auch in der Praxis wird dieser Unterschied relevant sein. Denn der ePrivacy-VO-Entwurf sieht anders als die DS-GVO (siehe Art. 6 Abs. 1 lit. f DS-GVO) bislang keine Zulässigkeit aufgrund einer Interessenabwägung vor. Die ePrivacy-VO soll – im Unterschied zur DS-GVO – nicht nur natürliche Personen, sondern auch juristische Personen schützen, da diese zusätzlich den freien Verkehr elektronischer Kommunikationsdaten schützt und gleiche Wettbewerbsbedingungen für alle Marktteilnehmer gewährleisten soll. Der Vorrang der ePrivacy-VO ergibt sich durch die Spezialität, da das speziellere Gesetz grundsätzlich gegenüber dem allgemeineren ­vorgeht.

Anwendungsbereich

Die wichtigste Aussage zum Anwendungsbereich ist in Art. 2 Abs. 1 ePrivacy-VO-Entwurf enthalten: „Diese Verordnung gilt für die Verarbeitung elektronischer Kommunikations­daten, die in Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste erfolgt, und für Informationen in Bezug auf die Endeinrichtungen der Endnutzer.“
Daraus ergibt sich, dass die ePrivacy-VO den Datenschutz im Bereich der elektronischen Kommunikation regeln soll –sowie das, was derzeit unter dem Stichwort „Cookies“ diskutiert wird. Eine wichtige Einschränkung des Anwendungsbereichs erfolgt neben weiteren Ausnahmen in Art. 2 ePrivacy-VO: Die Verordnung gilt nicht für „elektronische Kommunikationsdienste, die nicht öffentlich zugänglich sind“ (Art. 2 Abs. 2 lit. c ePrivacy-VO). Das Merkmal „öffentlich zugänglich“ wird seit dem TKG 1996 und den nachfolgenden EU-Richtlinien zur Regulierung von Kommunikationsdiensten und -netzen unterschiedlich ausgelegt und ist in seiner ­Bedeutung stark umstritten.

Spezielles Datenschutzrecht

Die ePrivacy-VO wird im Kern den Datenschutz für öffentlich zugängliche Kommunikationsdienste regeln. Das erfolgt bisher durch die Richtlinie 2002/58/EG, die nun durch die ePrivacy-VO abgelöst werden soll und deren Umsetzung in den Datenschutzbestimmungen des Telekommunikationsgesetzes (§§ 91 ff. TKG) erfolgte. Erfasst wird die klassische ­Telekommunikation, aber auch Freemail- und Messaging-Dienste oder „über das Internet erbrachte“ Kommunikationsdienste. Hiervon erfasst sein können auch Kommunikationsdienste, die in einem Unternehmensverbund von einer Gesellschaft für eine andere erbracht werden. Heftig und kontrovers diskutiert wird bereits, ob die gestattete oder geduldete Privatnutzung durch Mitarbeiter zur Anwendung der ePrivacy-VO führt. Nach dem Merkmal Öffentlichkeit in seiner aktuellen Auslegung dürfte das zu verneinen sein. Hierfür spricht bereits Erwägungsgrund 13 der e-Privacy-VO; jedoch wurde und wird weiterhin das Merkmal „öffentlich zugänglich“ in anderen EU-Normen zur elektronischen Kommunikation kontrovers diskutiert – gegebenenfalls auch mit Auswirkungen auf die Datenschutzregeln. Die ePrivacy-VO verdrängt aufgrund ihrer unmittelbaren ­Geltung sowie ihres Anwendungsvorrangs die Datenschutzbestimmungen des TKG. Der Schutz von Kommunikationsdaten bei öffentlich zugänglichen Kommunikationsdiensten soll durch die ePrivacy-VO erfolgen. Die Vertraulichkeit der Kommunikation wird durch Art. 5 ePrivacy-VO-Entwurf ­sichergestellt. Danach darf die Vertraulichkeit nur eingeschränkt werden, soweit das durch die ePrivacy-VO zugelassen wird. Die erlaubten Verarbeitungen von Kommunikationsdaten werden in Art. 6 ePrivacy-VO-Entwurf geregelt. Kommunikationsdaten in diesem Sinne sind sowohl die elektronischen Kommunikationsinhalte (vgl. Art. 6 Abs. 3 Privacy-VO-Entwurf) als auch die elektronischen Kommunikationsmetadaten (vgl. Art. 6 Abs. 2 ePrivacy-VO-Entwurf). Deren Speicherung und Löschung regelt Art. 7 ePrivacy-VO-Entwurf. Die Anforderungen an eine Einwilligung ­bestimmen sich grundsätzlich nach der DS-GVO (siehe Verweis in Art. 9e Privacy-VO-Entwurf). Art. 15 ePrivacy-VO-Entwurf regelt die Anzeige der Rufnummer sowie deren Verwendung in öffentlich zugänglichen Verzeichnissen. Die Pflicht zur Information bei erkannten Sicherheitsrisiken enthält Art. 17 ePrivacy-VO-Entwurf.

Regelungen zu Cookies

Am meisten Aufmerksamkeit erfährt derzeit jedoch Art. 8 des ePrivacy-VO-Entwurfs. Er enthält unter der Überschrift „Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen“ die ­Regelung zu sogenannten Cookies:
„Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer sie erfolgt aus folgenden Gründen.“
Neben der Einwilligung sind die Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz, die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft ­sowie die Messung des Webpublikums genannt, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Infor­mations­gesellschaft diese Messung durchführt. Die Erhebung von Informationen, die von Endeinrichtungen ausgesendet werden, damit diese sich mit anderen Geräten oder mit Netzanlagen verbinden können, wird durch Art. 8 Abs. 2 des ePrivacy-VO-Entwurfs grundsätzlich untersagt. Sie ist allein unter den ebenfalls in Art. 8 Abs. 2 ePrivacy-VO-Entwurf genannten Voraussetzungen gestattet. Art. 9 und 10 des ePrivacy-VO-Entwurfs ergänzen die Regelung zu Cookies durch spezielle Regelungen zur Einwilligung. Diese Regelungen haben bereits aus allen Richtungen heftige ­Kritik erfahren. Das letzte Wort zum Datenschutz beim Einsatz von Cookies ist daher sicherlich noch nicht gesprochen.

Regelungen zur Direktwerbung

Fast unbemerkt geblieben ist bisher die Neuregelung der ­Direktwerbung durch Art. 16 ePrivacy-VO-Entwurf. Unter der Überschrift „Unerbetene Kommunikation“ wird die Direktwerbung gegenüber Endnutzern über elektronische Kommunikationsdienste geregelt. Neben E-Mail-Werbung sind alle Kommunikationsdienste, wie etwa Telefonwerbung, erfasst. Das ist nicht überraschend. Auch die Richtlinie 2002/58/EG regelte das. Die Umsetzung erfolgte in Deutschland in § 7 UWG. Die ePrivacy-Verordnung wird daher nicht nur Datenschutzregelungen verdrängen, sondern auch solche des UWG. Dementsprechend ist die für E-Mail-Werbung in Art. 16 Abs. 2 ePrivacy-VO-Entwurf enthaltene spezielle Opt-out-Regelung nicht vollkommen neu. Sie ist mit der Opt-out-Regelung in § 7 Abs. 3 UWG vergleichbar, die durch Art. 13 der Richtlinie 2002/58/EG eingefügt wurde. Hier ergeben sich durch den ePrivacy-VO-Entwurf praxisnahe Erleichterungen. Art. 16 Abs. 3 ePrivacy-VO-Entwurf sieht spezielle Anforderungen für Anrufe von Direktwerbern vor: Es muss „eine Rufnummer angegeben werden, unter der sie erreichbar sind, oder ein besonderer Code/eine Vorwahl, der/die kenntlich macht, dass es sich um einen Werbeanruf handelt“. Hier drohen Verschärfungen gegenüber der aktuellen Rechtslage. Für Direktwerbung mittels elektronischer Kommunikationsdienste wird in Art. 16 Abs. 6 ePrivacy-VO-Entwurf eine weitere formale Anforderung geschaffen: die Pflicht zur Information des Endnutzers über den Werbecharakter der Nachricht sowie die Identität der juristischen oder natürlichen Person, in deren Namen die Nachricht übermittelt wird. Zudem besteht die Pflicht zur Bereitstellung von weiteren Informationen, damit die Empfänger in einfacher Weise ihr Recht ausüben können, die Einwilligung in den weiteren Empfang von Werbenachrichten zu widerrufen. Für den Bereich Werbung bringt die ePrivacy-VO daher insgesamt erhebliche Neuerungen. Denn die Cookie-Nutzung und die Rahmen­bedingungen für Direktwerbung werden neu geregelt.

Durchsetzung und Sanktionen

Die Aufsicht, die Durchsetzung der Vorgaben sowie die Sanktionen werden durch die Art. 18 – 24 ePrivacy-VO-Entwurf gestaltet. Durch Verweis auf die DS-GVO gelten zukünftig Bußgelder von bis zu zehn beziehungsweise 20 Millionen Euro oder im Fall eines Unternehmens von bis zu zwei beziehungsweise vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Diese Bußgelder gelten insbesondere auch für die Cookie-Thematik und die Direktwerbung.

Zusammenfassung

Die ePrivacy-VO hat ihren Schwerpunkt zwar in den Regelungen, die wir in Deutschland bisher aus dem TKG beziehungsweise TMG kennen, und damit vermeintlich in der „klassischen Telekommunikation“. Die ePrivacy-VO macht aber deutlich, dass die Regelungen nicht hierauf beschränkt sind. Darüber hinaus regelt sie weitere Bereiche wie Cookies und Direktwerbung, denen nicht nur wegen der neuen inhalt­lichen Ausgestaltung, sondern vor allem auch wegen der möglichen Höhe der Buß­gelder Aufmerksamkeit geschenkt werden sollte.