E-Privacy-Verordnung

Die „E-Privacy-Verordnung“, oder auch förmlich „Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation“ soll europaweit datenschutzrechtliche Grundvorgaben im Bereich der elektronischen Kommunikation geben und ergänzt die Datenschutzgrundverordnung ab dem 25. Mai 2018.

Mit der Verordnung soll erreicht werden, dass einige unsinnige Regelungen wie speziell die „Cookie-Banner“ abgeschafft werden, aber in Teilen die Verarbeitung personenbezogener Daten über elektronische Kommunikation auch strenger wird. Dabei wird ein ausdrücklicher Anspruch auf Schadensersatz geschaffen.

e-Privacy-Verordnung und frühere Datenschutz-Richtlinie

Insoweit gilt: Aktuell gilt noch die Richtlinie 2002/58/EG vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), auch „Cookie-Richtlinie“ oder „E-Privacy-Richtlinie“. Diese wird noch nicht durch die Datenschutzgrundverordnung tangiert und geht dieser grundsätzlich auch vor, wobei die hier getroffenen Regelungen durch nationale Gesetze umgesetzt wurden.

Grundsätzliche Regelungen der e-Privacy-Verordnung (ePV)

Die e-Privacy-Verordnung kommt mit gerade einmal 29 Artikeln recht schlank daher, sollte aber nicht unterschätzt werden, da sie spürbare ergänzende  datenschutzrechtliche Vorgaben für „Elektronische Kommunikation“ bereit hält und damit nicht nur die Datenschutzgrundverordnung sondern auch das Telemediengesetz inhaltlich ergänzt. Gemäß Artikel 3 gilt Sie insoweit ausdrücklich sowohl für die Verarbeitung personenbezogener Daten wie auch hinsichtlich des Schutzes von Informationen in Bezug auf die Endeinrichtungen der Endnutzer.

Zulässigkeit der Verarbeitung von Daten nach der ePV

Die Zulässigkeit der Verarbeitung von Daten richtet sich nach der Art der verarbeiteten Daten und den Artikeln 3, 6 ePV , die sich wie Folgt darstellen:

  • Kommunikationsdaten: Oberbegriff für Kommunikationsinhalte und Kommunikationsmetadaten, umfassend zulässig bei Gewährleistung der Sicherheit und notwendiger Verarbeitung zum Angebot des Dienstes
  • Kommunikationsinhalte: die Inhalte, die mittels elektronischer Kommunikationsdienste übermittelt werden, wie Textnachrichten, Sprache, Videos, Bilder und Ton – zulässig bei Einwilligung der betroffenen Nutzer
  • Kommunikationsmetadaten: Daten, die in einem elektronischen Kommunikationsnetz zu Zwecken der Übermittlung, der Verbreitung oder des Austauschs elektronischer Kommunikationsinhalte verarbeitet werden; dazu zählen die zur Verfolgung und Identifizierung des Ausgangs- und Zielpunkts einer Kommunikation verwendeten Daten, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste erzeugten Daten über den Standort des Geräts sowie Datum, Uhrzeit, Dauer und Art der Kommunikation – zulässig bei eingeholter Einwilligung, zur Abrechnung und Verhinderung von Straftaten die gegen den Anbieter gerichtet sind wie Betrug

Löschung von Kommunikationsdaten

Die Löschung von erhobenen Daten ist im Kern so gestaltet, dass neben eine Löschung wahlweise die vollständige Anonymisierung tritt, dies dann, wenn der jeweilige Zweck erreicht wurde oder sobald die Daten für die Übermittlung einer Kommunikation nicht mehr benötigt werden.

Zugriff auf Daten im Endgerät des Nutzers

Spannendes Kernelement der e-Privacy-Verordnung ist die Frage, wie etwa damit umzugehen ist, wenn Daten im Endgerät des Nutzers gespeichert werden, beispielsweise Cookies als Standardproblem. Geregelt wird dies in der e-Privacy-Verordnung unter Artikel 8 mit dem Titel „Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen“, wo ein grundsätzliches Verbot normiert ist dahingehend, dass erst einmal jegliche nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen untersagt ist. Allerdings gibt es sodann Ausnahmen, die eine Zulässigkeit vorsehen, so insbesondere:

  • Einwilligung des Nutzers,
  • Speicherung ist für den alleinigen Zweck der Durchführung eines
  • elektronischen Kommunikationsvorgangs notwendig,
    Speicherung ist notwendig für die in eigener Verantwortung durchgeführte Analyse des Besuchsverhaltens.

Einwilligung nach der e-Privacy-Verordnung

Die e-Privacy-Verordnung sieht vor, dass erst einmal die Grundsätze der Datenschutzgrundverordnung zur Anwendung gelangen, dies aber mit folgenden Modifikationen:

  • Es ist eine Einwilligung auch durch Voreinstellungen in einer SOftware möglich, etwa durch eine Vorabauswahl im Browser, und
  • auf die Möglichkeit des Widerrufs muss zwingend alle 6 Monate bei fortdauernder Nutzung hingewiesen werden.

Gerade letzteres dürfte zu praktischen Änderungen führen, sinnvoll dürfte es sein, etwa Cookies mit einem Ablaufdatum von 6 Monaten zu versehen, damit dann erneut das datenschutzrechtliche Prozedere durchlaufen werden muss.

Vorgaben der e-Privacy-Verordnung für Software

Spannend ist Artikel 10 der Verordnung, demzufolge publizierte Software – hierunter werden auch Apps zu fassen sein – zwingend die Möglichkeit vorsehen muss, dass der Nutzer sperrt, dass Dritte Informationen auf seinem Endgerät speichern. Dies kann etwa schon dann eingreifen, wenn man in seiner App einen internen Browser bereits hält über den dann möglicherweise Cookies gesetzt werden. Jedenfalls aber muss Software vorab eine Datenschutzerklärung zwingend beinhalten und Anzeigen.

IT-Sicherheit

Die e-Privacy-Verordnung bietet eine gewisse Redundanz im Hinblick darauf, dass bereits in anderen Regelungen vorgesehene Vorgaben zumindest allgemein wiederholt werden, was schnell störend ist. SO sieht Artikel 17 vor, dass bei Sicherheitsproblemen die Endnutzer zu informieren sind – eine Vorgabe die sich bereits aus der DSGVO sowie der NIS-Richtlinie (in Deutschland damit BDSG, TMG und BSIG) ergibt.

Unerbetene Kommunikation

Ebenfalls nicht neu ist die in Artikel 16 vorgesehene Vorgabe, dass unmittelbare elektronische Kommunikation zu Werbezwecken unzulässig ist sofern keine Einwilligung vorliegt. Im Kern dürfte die Regelung im Einklang mit §7 UWG stehen, dessen Vorgaben samt Rechtsprechung weiterhin zu beaachten sind.

Haftung und Schadensersatz nach der e-Privacy-Verordnung

Der letzte Aspekt ist besonders hervorzuheben: Im Artikel 22 wird eine „Haftung und Recht auf Schadenersatz“ normiert:

Jeder Endnutzer elektronischer Kommunikationsdienste, dem wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Rechtsverletzer, es sei denn der Rechtsverletzer weist im Einklang mit Artikel 82 der Verordnung (EU) 2016/679 nach, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Es dürfte dogmatisch interessant sein, ob dies eine originäre Anspruchsgrundlage darstellt oder etwa in Verbindung mit §823 Abs.2 BGB zu einem Schadensersatz die Anspruchsgrundlage darstellt, jeweils dann wiederum in Verbindung mit der einschlägigen Vorgabe der e-Privacy-Verordnung. Am Ende aber steht fest: Es besteht jedenfalls eine Anspruchsgrundlage für Schadensersatz – sofern ein Schaden nachweisbar ist – etwa wenn auf Sicherheitsprobleme nicht hingewiesen wurde oder wenn Dritte durch unsichere Kommunikation oder unzulässige Speicherung von Daten im Endgerät des Nutzers Zugriff auf Daten des Nutzers erhalten. Durch die vielzähligen Bezugnahmen bzw. Wiederholungen bestehender Regelungen, wie etwa zur unzulässigen elektronischen Kommunikation, bieten sich damit zahlreiche Anspruchsgrundlagen. Während etwa der Bundesgerichtshof bisher der Auffassung ist, dass ein nach unzulässigem Werbeanruf zu Stande gekommener Vertrag gerade nicht zum Schadensersatz berechtigt, mag diese Rechtsprechung nach der e-Privacy-Verordnung durchaus zu überdenken sein, die sich auch auf derartige Kommunikation bezieht.

Auswirkungen der e-Privacy-Verordnung

Die Auswirkungen sind mannigfaltig, aus meiner Sicht aber keineswegs überfordernd sondern durchaus mit einigen Handgriffen – zumindest in den Standard-Szenarien – in den Griff zu bekommen. Es gab und gibt zahlreiche Kritik an dieser Verordnung, ich selber sehe sie als ersten Schritt der in den nächsten Jahren diversen Überarbeitungen ausgesetzt sein wird. Wirklich spannend ist für mich die nunmehr ausdrückliche Schaffung eines Anspruchs auf Schadensersatz, der bisher zwar natürlich auch bestanden hat, aber mit Diskussionen im Detail verbunden war.  Darüber hinaus dürfte man die wesentlichen Vorgaben der e-Privacy-Verordnung als Marktverhaltensregelung im Sinne des UWG einstufen können, so dass hier die wettbewerbsrechtliche Kontrolle durch Verbände und Mitbewerber im Raum steht.

Nicht vergessen werden sollte auch, dass die Verordnung massive Bussgelder bis in den 8stelligen Bereich vorsieht, was gerade angesichts der teilweise sehr allgemeinen gehaltenen sprachlichen Fassung und der ergänzenden Regelungen durch das Telemediengesetz sehr spannend werden dürfte. Ergänzend wird von mir auf

Diese Seite wird fortlaufend aktualisiert.

Zugehörige Downloads

  • pdf CELEX32002L0058deTXT
    Richtlinie 2002/58/EG DES vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation
    Dateigröße: 166 KB
  • pdf CELEX52017PC0010DETXT
    Entwurf der e_Privacy-Verordnung (Stand Mai 2017)
    Dateigröße: 331 KB