Die ePrivacy-Verordnung sollte ursprünglich bereits 2018 gemeinsam mit der EU-Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Nachdem ein Entwurf für die ePrivacy-Verordnung im November 2019 abgelehnt wurde, arbeitet die deutsche Regierung im Rahmen ihrer EU-Ratspräsidentschaft nun an einem neuen Vorschlag.
Update November 2020: Das Tauziehen um die ePrivacy-Verordnung geht weiter. Unter der Federführung der deutschen Ratspräsidentschaft ist am 4. November 2020 ein erneuter Entwurf vorgelegt worden. Der Entwurf sieht unter anderem zahlreiche Verschärfungen im Zuge der Rechtsgrundlage des berechtigten Interesses vor. Sollte der Entwurf in dieser Form angenommen werden, was derzeit als unwahrscheinlich gilt, wird es verantwortliche Datenverarbeiter künftig nicht mehr möglich sein, das Erheben von Endnutzer-Daten, darunter Verbindungs- und Standortdaten, Zugriffe auf Nutzer-Endgeräte und das Setzen von Cookies, auf ein überwiegend berechtigtes Interesse zu stützen.
Warum die ePrivacy-Verordnung bisher scheiterte
Die Ablehnung des Entwurfs der finnischen Ratspräsidentschaft in November 2019 wurde als bedeutender Rückschlag für den Datenschutz gesehen. Insbesondere im Hinblick auf Themen wie die Nutzung von Cookies und Nutzer-Tracking für zielgerichtete automatische Werbung soll die ePrivacy-Verordnung (vollständiger Name: Verordnung des Europäischen Parlaments und Rates bezüglich des Respektes der Privatsphäre und des Schutzes personenbezogener Daten in elektronischer Kommunikation die die Richtlinie 2002/58/EC widerruft (Richtlinie über Privatsphäre und Elektronische Kommunikation)) ergänzend zur DSGVO wirken.
Der Vorschlag wurde von einer großen Mehrheit der Vertreter der Mitgliedstaaten (darunter auch Deutschland) abgelehnt. Dabei ging manchen Staaten selbst der abgeschwächte Vorschlag der Finnen noch zu weit, andere Saaten wünschten sich jedoch stärkeren Schutz für Vertraulichkeit in der Online-Kommunikation.
Die Herausforderungen für die kommende ePrivacy-Verordnung
Deutschland hat im Juli 2020 die EU-Ratspräsidentschaft übernommen und plant nun einen Neustart bei der umstrittenen und auf Eis liegenden ePrivacy-Verordnung. Demnach sollen dafür zeitnah erste Vorschläge auf dem Tisch liegen und für September strebe man eine Einigung im Rat an.
Im Kern geht es darum, einen Kompromiss zwischen dem Datenschutz der Nutzer und den wirtschaftlichen Interessen zu finden. Dementsprechende Konfliktpunkte wie Nutzer-Tracking werden dabei im Fokus stehen. Besonderer Streitpunkt sind die Daten, die für zielgerichtete Werbung erhoben werden, also zum Beispiel ob man für das Setzen von Cookies die aktive Zustimmung des Nutzers braucht oder nicht. Die aktuelle Rechtslage ist hier wegen des Fehlens eines modernen und EU-weiten Ansatzes sehr unklar.
Etwas Licht ins Dunkel brachten bereits das Urteil des Europäischen Gerichtshof (EuGH) in der Sache Planet 49 zum Einsatz von Cookies sowie das Urteil des Bundesgerichtshofs (BGH). Auch die deutschen Datenschutzbehörden haben dargelegt, wie ihrer Auffassung nach ein DSGVO-konformes Nutzertracking gestaltet werden könnte. Dies sind aber nur die Ansichten der deutschen Behörden. Inwiefern diese richtig oder falsch sind, kann nur gerichtlich geklärt werden.
Die Rechtslage bleibt also weiterhin unklar und klare Handlungsempfehlungen können derzeit nicht gegeben werden. Auch sogenannte „Consent-Manager“ werden nicht immer eine optimale Lösung darstellen, da diese trotz richtiger Konfiguration, aufgrund mangelnder Transparenz wohl zumindest angreifbar, wenn nicht sogar unwirksam sein dürften.
Es bleibt spannend, ob sich Deutschland mit seinem Entwurf für die ePrivacy-Verordnung eher für einen strengeren Datenschutz oder wirtschaftliche Interessen aussprechen wird. In ersterem Falle könnte es für Websitebetreiber noch schwieriger werden, da Analysetools und Cookies eine wichtige Rolle bei zielgerichteter Werbung spielen.
Da allerdings auch bei der ePrivacy-Verordnung eine einjährige Übergangszeit vorgesehen ist, müssen Unternehmen und Websitebetreiber nicht mit einer plötzlichen Umsetzung des Entwurfs rechnen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!