Anfang diesen Jahres legte die Europäische Kommission ihren Vorschlag für eine Novelle der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG (sog. E-Privacy-Richtlinie) vor.
Aus der ehemaligen Richtlinie soll nun eine Verordnung werden. Mit den vorgeschlagenen Maßnahmen sollen die geltenden Regeln zum Schutz der Privatsphäre in der Kommunikationmodernisiert und an die 2018 zur Anwendung kommende Datenschutzgrundverordnung (DSGVO) angepasst werden, um Kohärenz zu schaffen.
Neben den rechtlichen Vorgaben für den Einsatz von Cookies sowie für Offline-Tracking ist für den Handel der Themenbereich zu „unerbetenen Marketing-Mitteilungen“ von Bedeutung (obwohl sich das Gesetz in erste Linie an Telekommunikationsunternehmen (i.w.S.) richtet).
Nun hat die zuständige Berichterstatterin aus dem EP-Ausschuss für bürgerliche Freiheiten, Justiz und Inneres, Marju Lauristin (S&D, Estland) ihren Berichtsentwurf vorgelegt.
Zu den wichtigsten Punkten:
- Cookies Art. 8 As. 1): Die Berichterstaterin bestätigt den Ansatz der Kommission, dass grundsätzlich die Einwilligung die Grundlage für die Speicherung von Informationen via Cookies legen soll. Eine Anpassung an die DSGVO, die auch in den legitimen Interessen des Datenverarbeiters eine Grundlage für die Verarbeitung sieht, findet hier bisher nicht statt. Allerdings gibt es etwas Bewegung bei den Ausnahmen: So soll eine Einwilligung nicht notwendig sein, wenn Cookies z.B. zur Reichweitenmessung genutzt werden und zwar auch wenn diese von Drittparteien, wie einem externen Dienstleister, eingesetzt werden. Zudem soll eine weitere Ausnahme von der Einwilligung im Beschäftigtenverhältnis eingeführt werden, allerdings nur wenn die Datenerhebung absolut notwendig ist für das Funktionieren des vom Arbeitgeber zur Verfügung gestellten Equipments. Schließlich soll Nutzern der Zugang zu einer Webseite oder App (egal ob gratis oder kostenpflichtig) nicht verwehrt werden dürfen, allein aus dem Grund, dass keine Einwilligung gegeben wurde. Damit müssen u.U. alternative Versionen von Webseiten geschaffen werden – für diejenigen Nutzer, die ihre Einwilligung zur Datenverarbeitung nicht geben.
- Offline-Tracking (Art. 8 Abs. 2): Die Erhebung von Daten, die von Endgeräten ausgesendet und über WLAN oder Bluethooth gesammelt werden (Tracking), soll nun ebenfalls eingeschränkt werden. Für den Handel sind solche Informationen zunehmen von großer Bedeutung, da sie (statistische) Daten über Kundenströme im Geschäft liefern können. Der Kommissionsvorschlag sah vor, dass die Erhebung dieser Daten erlaubt ist, solange Kunden über einen Aushang ausreichend informiert werden. Die Berichterstatterin fordert nun, dass auch für diese Datenerhebung eine Einwilligung vorliegen muss oder dass die Daten sofort anonymisiert werden. Auch sollen diese Daten nur noch rein für „statistische Zwecke“ erhoben werden können und den Nutzern müssen effektive Opt-Out-Möglichkeiten zur Verfügung stehen. Begründet wird diese Verschärfung in Erwägungsgrund 20, welcher nun darlegt, dass bei der Erhebung von Informationen von Endgeräten sehr sensible Nutzerdaten gesammelt werden, inklusive Informationen über das Verhalten, psychologische Merkmale, emotionale Zustände sowie politische und soziale Präferenzen.
- Browsereinstellung für Cookies (Art. 10): Die Kommission hatte vorgeschlagen, dass ein Nutzer nicht mehr jedes Mal beim Besuch einer Website auf ein Banner klicken muss, sondern in den Einstellungen seines Internetbrowsers (oder einer App) selbst ein Schutzniveau für die Nutzung von Cookies auswählen und so seine Einwilligung geben kann. Die Berichterstatterin erweitert den Vorschlag nun dahingehend, dass das Schutzniveau bei der Installation des Browsers durch den Verbraucher nicht originär gewählt werden soll, sondern die datenschutzfreundlichste, restriktivste Einstellung für die Verwendung von Cookies (= keine Verwendung von third party Cookies) automatisch voreingestellt ist („do not track by default“). Die Einstellungen können dann während und nach der Installation jederzeit geändert werden.
- Direktmarketing (Art. 16): Der Vorschlag untersagt sog. „unerbetene elektronische Kommunikation“ (sprich Werbung in Form von E-Mails, SMS, Telefonanrufen – und nun auch im Videoformat) gänzlich, sofern der Nutzer nicht zuvor zugestimmt hat (Opt-In). Allerdings gibt es eine Abweichung vom grundsätzlichen Opt-In: Für Direktmarketing von ähnlichen Produkten, z.B. via E-Mail, ist ein Opt-Out möglich, sofern bereits ein Kundenverhältnis besteht
- Strafen (Art. 23): Die Möglichkeit zu enormen Strafzahlungen von bis zu vier Prozent des weltweiten Umsatzes, welche die DSGVO bei Verstößen ermöglicht, soll auch für Verstöße gegen die ePrivacy-Verordnung gelten – und zwar nach dem Willen der Berichterstatterin nun auch bei Verstößen gegen Artikel 8 (Cookies und WLAN-Tracking).
- Ein Verbandsklagerecht, das die Kommission noch kurz vor Veröffentlichung aus ihrem Entwurf gestrichen hatte, wird nun von der Berichterstatterin ebenfalls vorgeschlagen (Änderungsanträge 125 & 126).
Bewertung: Die Berichterstatterin fordert ein deutliches höheres Regulierungsniveau als die Kommission und dementsprechend einen strikteren Schutz der Privatsphäre – insbesondere in dem sie das ohnehin schon dominierende Element der Einwilligung als Grundlage für die Datenverarbeitung weiter stärkt. Dies schlägt sich in so gut wie allen für den Handel relevanten Artikeln nieder und könnte die Verarbeitung von persönlichen Daten sowie darauf basierende Geschäftsmodelle erheblich beeinträchtigen. Allerdings markiert die Berichterstatterin hiermit voraussichtlich eine Maximalposition, die sich im weiteren Verlauf des Verfahrens im Parlament nicht realisieren lassen wird. Wir werden weiterhin darauf hinweisen, dass die kürzlich beschlossene Datenschutzgrundverordnung bereits ein flächendeckend hohes Datenschutzniveau garantiert und abweichende Regeln zu neuer Rechtsunsicherheiten führen werden (siehe HDE-Position im Anhang).
Nächste Schritte: Der Berichtsentwurf wird nun im Ausschuss weiter diskutiert und abgeändert werden. Die Frist für Änderungsanträge läuft noch bis zum 5. Juli 2017. Hier werden wir uns mit konkreten Verbesserungsvorschlägen einbringen. Die Abstimmung über die finale Position des Parlaments wird nicht vor dem Spätherbst 2017 stattfinden. Der Ministerrat hat sich ebenfalls noch nicht auf eine gemeinsame Position geeinigt. Die neue ePrivacy-Verordnung soll allerdings nach wie vor im Mai 2018 zusammen mit der Datenschutzgrundverordnung in Kraft treten.