Die ePrivacy-Verordnung: Stand der Gesetzgebung und Ausblick
Die Umsetzung der seit Mai 2018 geltenden EU-Datenschutz-Grundverordnung (EU-DSGVO) hat zu erheblichen Aufwänden bei Unternehmen geführt. Im Windschatten der Verordnung befindet sich aktuell das zweite große Regelungswerk im Bereich des Datenschutzes im europäischen Gesetzgebungsverfahren: die sogenannte ePrivacy-Verordnung (ePrivacy-VO), die die Richtlinie 2002/58/EG (ePrivacy-RL) ablösen wird. Nach Art. 29 Abs. 2 des ursprünglichen Kommissionsentwurfs sollte die ePrivacy-VO eigentlich zeitgleich mit der EU-DSGVO anwendbar werden – dies ist jedoch nicht geschehen. Die derzeitige Rechtslage stellt Unternehmen vor erhebliche Schwierigkeiten, da unklar ist, wann mit welchen Regelungsinhalten zu rechnen ist.
Stand des Gesetzgebungsverfahrens
Die ePrivacy-VO ist derzeit Gegenstand intensiver Diskussionen im Rat. Schon die EU-DSGVO hatte in den Jahren vor ihrem Inkrafttreten ein langwieriger rechtspolitischer Diskurs in Brüssel begleitet, dieser hat sich nun anlässlich der ePrivacy-VO noch einmal intensiviert. Die ePrivacy-VO gilt bei vielen – je nach Fassung – als existenzielle Bedrohung für das jährlich weltweit hunderte Milliarden Euro umsetzende Onlinewerbegeschäft: Die Regelungen zur Einwilligung und der Einsatz von Trackingtechnologien, insbesondere Third-Party-Cookies, sind essenziell für nutzer- und verhaltensbasierte Werbung. Daneben soll die ePrivacy-VO weitere Vorgaben zur Direktwerbung, zu bereitzustellenden Informationen sowie zu Konfigurationsmöglichkeiten enthalten, die dem Endnutzer zur Verfügung stehen müssen. Die Erörterungen im Rat dauern an; zuletzt überraschte der Ratsentwurf vom 10. Juli 2018 damit, dass die Vorschrift zu Privatsphäreeinstellungen (Art. 10 des Kommissionsentwurfs) ersatzlos gestrichen wurde.
Auswirkungen nach Inkrafttreten der ePrivacy-VO
Ab dem Zeitpunkt der Anwendbarkeit der ePrivacy-VO wird diese unmittelbar gelten, ohne dass es einer nationalen Umsetzung bedarf. Sie verdrängt neben der ePrivacy-RL auch widersprechende nationale Vorschriften, insbesondere jene, die auf der ePrivacy-RL beruhen. Das Verhältnis der EU-DSGVO zum besonderen kommunikationsrechtlichen Datenschutz ändert sich dabei nicht, da die ePrivacy-RL bzw. die ePrivacy-VO als Spezialregelungen die EU-DSGVO verdrängen.
Rechtslage bis zum Geltungsbeginn
Kompliziert gestaltet sich auch der Zeitraum bis zum Geltungsbeginn der ePrivacy-VO. Art. 95 EU-DSGVO legt fest, dass bestimmten Diensteanbietern keine zusätzlichen, über die ePrivacy-VO hinausgehenden Pflichten durch die EU-DSGVO auferlegt werden. Dies bedeutet, dass alle nationalen Regelungen, die auf die aktuelle ePrivacy-RL zurückgehen und die die gleiche Zielsetzung verfolgen, nach dem Willen des Gesetzgebers weiter anwendbar bleiben. Die Sperrwirkung der ePrivacy-RL in Bezug auf die EU-DSGVO gilt jedoch nur, solange beide Regelwerke dasselbe Ziel verfolgen. In diesem Fall normiert die EU-DSGVO keine weiteren Pflichten. Auf Bereiche, für die keine spezielleren Vorschriften in der ePrivacy-RL festgelegt sind, sind die allgemeinen Vorschriften der EU-DSGVO anwendbar.
In der Regel gelten also nationale telekommunikations- und telemedienrechtliche Datenschutzvorschriften und die EU-DSGVO komplementär. So kann sich beispielsweise die Rechtmäßigkeit der Verarbeitung von Standortdaten nach nationalen Vorschriften richten, während sich die Betroffenenrechte aus der EU-DSGVO ergeben. Bedeutung hat dies vor allem für Telekommunikationsdienstleistungen und den Einsatz von Cookies; hier stellt sich immer wieder die Frage, ob und für welche Arten von Cookies eine Einwilligung des Nutzers erforderlich ist. Sogenannte Session-Cookies – etwa zur Speicherung eines Warenkorbs – sind eher unproblematisch und können aufgrund überwiegender Interessen gerechtfertigt werden. Bei Cookies zum Zwecke des Nutzertrackings oder personalisierter Werbung wird dagegen überwiegend die Meinung vertreten, dass für diese eine Einwilligung des Nutzers erforderlich sei.
Verstöße gegen die EU-DSGVO durch Unternehmen können mit Bußgeldern in Höhe von bis zu vier Prozent des weltweit erzielten Jahresumsatzes geahndet werden. Auch bei Verstößen gegen die auf der ePrivacy-RL beruhenden Normen drohen möglicherweise bereits jetzt erhöhte Bußgelder, da die ePrivacy-RL hinsichtlich der Sanktionierung auf die Richtlinie 95/46/EG verweist, die von der EU-DSGVO abgelöst wurde. Demgegenüber weist die kommende ePrivacy-VO zwar einen eigenen Bußgeldkatalog auf, dieser soll jedoch im Hinblick auf die Bußgeldhöhe der EU-DSGVO entsprechen.
Zweites Datenschutz-Anpassungs- und -Umsetzungsgesetz
Der deutsche Gesetzgeber plant aktuell, durch den Gesetzesentwurf des zweiten Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU (2. DSAnpUG-EU) Klarheit in dieses komplexe Regelungsgeflecht von nationalen Datenschutzvorschriften und der EU-DSGVO zu bringen. Das 2. DSAnpUG-EU soll die datenschutzrechtlichen Vorschriften der bestehenden Fachgesetze an die Maßgaben der EU-DSGVO anpassen und – wo es möglich und aus Sicht des Gesetzgebers angezeigt ist – im Bereich der Öffnungsklauseln spezifisch deutsche Regelungsansätze umsetzen. Der aktuelle Entwurf des 2. DSAnpUG-EU sieht allerdings keine Reform der datenschutzrechtlichen Normen des Telekommunikationsgesetzes (TKG) oder des Telemediengesetzes (TMG) vor. Damit scheinen die mit der Umsetzung der ePrivacy-RL verbundenen Ungewissheiten bis zur Geltung der ePrivacy-VO weiterhin bestehen zu bleiben.
Fazit und Ausblick
Gemeinhin wird nicht erwartet, dass unter der österreichischen Ratspräsidentschaft eine Einigung im Rat erzielt werden kann. Kommt es schließlich zu einer Einigung, würde sich der Trilog anschließen. Ausgehend davon, dass zwischen Trilogbeginn und Verabschiedung ähnlich viel Zeit vergehen wird wie vor der Verabschiedung der EU-DSGVO, ist ein Inkrafttreten vor 2020 unwahrscheinlich. Da zudem sowohl die Stellungnahme des EU-Parlaments als auch der Entwurf der Ratsstellungnahme eine Übergangsfrist von einem Jahr vorsehen, kann mit einem Geltungsbeginn der ePrivacy-VO aller Voraussicht nach im Jahr 2021 gerechnet werden.
Das Nebeneinander von Vorschriften bzw. die Regelungen zum Vorrang bei allgemeinen und bereichsspezifischen, nationalen und europäischen Datenschutzvorschriften führen zu einer erheblichen Rechtsunsicherheit auf Seiten der Unternehmen – insbesondere wenn es um den Einsatz von Cookies geht. Es bleibt jeweils zu evaluieren, inwieweit nationale Regelungen auf die aktuelle ePrivacy-RL zurückgehen, diese Vorschriften die gleiche Zielsetzung wie die EU-DSGVO verfolgen und daher nach dem Willen des Gesetzgebers weiter anwendbar bleiben.