E-Privacy-Verordnung: EU-Rat einigt sich auf eine Regelung für die Nutzung von Kommunikationsdaten und Cookies


Ihr Kontakt

  
Nachdem die EU-Mitgliedstaaten über vier Jahre hinweg keine gemeinsame Position zum Entwurf der E-Privacy-Verordnung finden konnten, erzielten sie im Februar endlich eine Einigung über ein Verhandlungsmandat. Somit ist der Startschuss für die Trilog-Verhandlungen mit dem EU-Parlament und der EU-Kommission gefallen. Mit der aktualisierten Version der E-Privacy-Verordnung soll mitunter festgelegt werden, unter welchen Voraussetzungen Dienstanbieter elektronische Kommunikationsdaten verarbeiten dürfen und in welchen Fällen der Einsatz von Cookies und ähnlichen Technologien künftig zulässig sein soll. Der neue Vorschlag stellt zwar einen weiteren Versuch dar, die stark divergierenden Standpunkte unter einen Hut zu bringen, jedoch dürfte das letzte Wort zur E-Privacy-Verordnung auch damit noch nicht gesprochen sein.

Vorgeschichte zur E-Privacy-Verordnung

Die E-Privacy-Verordnung sollte ursprünglich zusammen mit der DSGVO in Kraft treten und diese ergänzen. Jedoch gelang es den Mitgliedstaaten über vier Jahre nicht, sich zu einigen:

  • Am 10. Januar 2017 legte die EU-Kommission den ersten Entwurf der E-Privacy-Verordnung vor (vgl. MLL-News vom 9.2.2017).
  • Am 26. Oktober 2017 verabschiedete das EU-Parlament einen geänderten Entwurf und stimmte für Verhandlungen mit der Kommission und dem Rat der Europäischen Union (vgl. MLL-News vom 2.12.2017).
  • Darauf folgten weitere Entwurfsfassungen des Rates von der estnischen, bulgarischen, österreichischen, rumänischen, finnischen, kroatischen sowie der deutschen EU-Ratspräsidentschaft. Sämtliche Bemühungen, eine gemeinsame Position zu finden, scheiterten jedoch (vgl. MLL-News vom 19.12.2019).

Erst mit der aktuellen portugiesischen Ratspräsidentschaft konnte eine gemeinsame Verhandlungsgrundlage geschaffen werden. Somit können die sog. Trilog-Verhandlungen mit dem EU-Parlament und der EU-Kommission nun beginnen. Diesen Verhandlungen liegt der Entwurf des EU-Ministerrates vom 10. Februar 2021 zugrunde (zurzeit nur in englischer Sprache verfügbar)

Verhältnis zur DSGVO

Mit Inkrafttreten der E-Privacy-Verordnung würde die bestehende Datenschutzrichtlinie für elektronische Kommunikation aufgehoben. Als besonderes Gesetz (sog. «lex specialis») zur EU-Datenschutz-Grundverordnung (DSGVO) wird sie diese konkretisieren und ergänzen (vgl. zum Verhältnis zwischen der aktuellen E-Privacy-Richtlinie und der DSGVO MLL-News vom 27.4.2019). So gelten im Gegensatz zur DSGVO beispielsweise viele Bestimmungen über Privatsphäre und elektronische Kommunikation sowohl für natürliche als auch juristische Personen

Anwendungsbereich und Benennung eines EU-Vertreters für nicht in der EU niedergelassene Dienstleister

Der sachliche Anwendungsbereich der E-Privacy-Verordnung ist weit gefasst. Neben den klassischen Telekommunikationsdiensten soll die E-Privacy-Verordnung insbesondere auch für Machine-to-Machine- (M2M), Voice-over-IP- (VoIP) und Internet-of-Things- (IoT) Dienste gelten. Konkret erfasst die Verordnung:

  • die Verarbeitung von elektronischen Kommunikationsinhalten und elektronischen Komminikationsmetadaten, die bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste anfallen,
  • Informationen zu und auf Endgeräten von Nutzern,
  • die Bereitstellung öffentlich zugänglicher Verzeichnisse der Nutzer elektronischer Kommunikationsdienste sowie
  • das Übermitteln von Direktwerbung an Endnutzer mittels elektronischer Kommunikation.
      

Der räumliche Anwendungsbereich ist, ähnlich wie in der DSGVO, ebenfalls weit gefasst. Von der E-Privacy-Verordnung erfasst sind insbesondere sämtliche Verarbeitungen von elektronischen Kommunikationsdaten von Endnutzern in der EU. Die Vorschriften gelten auch, wenn die Verarbeitung ausserhalb der EU erfolgt oder der Dienstanbieter ausserhalb der EU niedergelassen oder ansässig ist – also z.B. in Schweiz.

Nicht in der Union niedergelassene Verantwortliche müssen innerhalb eines Monats nach Aufnahme ihrer Tätigkeit schriftlich einen Vertreter in der Union benennen und dies der zuständigen Aufsichtsbehörde mitteilen. Eine Ausnahme von dieser Verpflichtung ist dann vorgesehen, wenn es sich nur um eine gelegentlich ausgeführte Tätigkeit handelt und diese keine Gefahr für die Grundrechte der Endnutzer darstellt.

Aufgrund des weit gefassten räumlichen Anwendungsbereichs ist die E-Privacy-Verordnung insbesondere auch für Schweizer Unternehmen von grosser Bedeutung. Die Vorschriften der E-Privacy-Verordnung sind auch dann auf Schweizer Unternehmen anwendbar, wenn diese nur gelegentliche und nicht gezielte Handlungen vornehmen, die in den sachlichen Anwendungsbereich der Verordnung fallen. Dies ist beispielsweise dann der Fall, wenn Cookies auf Endgeräten von Nutzern in der EU gesetzt oder bearbeitet werden oder Dienste für solche Nutzer bereitgestellt werden. Insofern wird eine Vielzahl von Schweizer Unternehmen ebenfalls vom Anwendungsbereich der E-Privacy-Verordnung erfasst sein. In Vorbereitung auf die E-Privacy-Verordnung lohnt sich somit ein Blick in die wichtigsten Bestimmungen

Vertraulichkeit elektronischer Kommunikationsdaten und Verbot mit Erlaubnisvorbehalt

Die E-Privacy-Verordnung erfasst insbesondere die Verarbeitung von elektronischen Kommunikationsdaten. Dabei handelt es sich:

  • einerseits um elektronische Kommunikationsinhaltsdaten, d.h. Inhalte, die mit Hilfe von elektronischen Kommunikationsdiensten ausgetauscht werden, wie Text, Sprache, Videos, Bilder und Ton, und
  • andererseits um sog. Kommunikationsmetadaten, d.h. Daten, die mit Hilfe von elektronischen Kommunikationsdiensten zum Zwecke der Übertragung, der Verteilung oder des Austauschs elektronischer Kommunikationsinhalte dienen. Zu den Metadaten gehören ferner Daten, die zur Verfolgung und Identifizierung der Quelle und des Ziels einer Kommunikation dienen, Daten über den Standort des Geräts, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste erzeugt werden, sowie Datum, Uhrzeit, Dauer und Art der Kommunikation.
      

Elektronische Kommunikationsdaten müssen vertraulich behandelt werden. Jeder Eingriff in elektronische Kommunikationsdaten wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens oder Überwachens oder Verarbeiten elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer ist untersagt, es sei denn, sie werden an anderer Stelle der E-Privacy-Verordnung in bestimmten Situationen erlaubt.

Mit anderen Worten statuiert der Entwurf der E-Privacy-Verordnung das Prinzip des Verbots mit Erlaubnisvorbehalt. Für viele Unternehmen ist dieser Mechanismus an sich nicht neu, da er z.B. in der DSGVO in gleicher Weise festgehalten ist. Somit ist die Verarbeitung von elektronischen Kommunikationsdaten nur dann erlaubt, wenn die Voraussetzungen eines gesetzlich vorgesehenen Erlaubnistatbestands gegeben sind

Zulässige Verarbeitungen – Einwilligung und Erlaubnistatbestände

Vor diesem Hintergrund ist es somit zentral, für welche Verarbeitungen von elektronischen Kommunikationsdaten ein Erlaubnistatbestand besteht. Die E-Privacy-Verordnung sieht diesbezüglich vor, dass die Verarbeitung von elektronischen Kommunikationsdaten ohne Einwilligung grundsätzlich nur zulässig ist, sofern die Verarbeitung notwendig ist:

  • zur Bereitstellung des Kommunikationsdienstes;
  • zur Sicherstellung oder zur Aufrechterhaltung der Sicherheit des Kommunikationsnetzwerks oder der Dienstleistung;
  • zur Überprüfung oder zum Schutz der Endgeräte vor Schadsoftware oder Viren; oder
  • zur Einhaltung von Verpflichtungen aufgrund des Unionsrechts oder des Rechts der Mitgliedstaaten in Bezug auf die Verfolgung von Straftaten oder zur Abwehr von Gefahren für die öffentliche Sicherheit.
      

Neben diesen Ausnahmen-Tatbeständen dürfte die Einwilligung in der Praxis der zentrale Erlaubnistatbestand sein. Für die Einholung der Einwilligung gelten grundsätzlich die strengen Anforderungen der DSGVO (vgl. MLL-News vom 15.6.2020). Während für die Verarbeitung von Kommunikationsinhaltsdaten letztlich stets die Einwilligung der oder aller End-Nutzer erforderlich ist, bestehen für die Verarbeitung von Metadaten noch weitere Erlaubnistatbestände, wie beispielsweise die Folgenden:

  • Optimierung oder zum Management des Netzwerks;
  • Durchführung der vertraglichen Leistung (z.B. zur Abrechnung oder zur Aufdeckung oder Unterbindung betrügerischer Verwendung);
  • Schutz von lebenswichtigen Interessen der Endnutzer, bspw. zur Überwachung von Epidemien, deren Ausbreitung oder in humanitären Notlagen, sowohl bei Naturkatastrophen als auch bei vom Menschen verursachten Katastrophen; oder
  • Im Zusammenhang mit Metadaten, welche als Standortdaten gelten: Anzeige von Verkehrsbewegungen, um Behörden und Verkehrsunternehmen dabei zu unterstützen, neue Infrastrukturen zu entwickeln, wo sie dringend benötigt werden (mit Zustimmung des Endnutzers), sofern die Metadaten entweder pseudonymisiert, nach Verwendung umgehend anonymisiert oder nicht zur Erstellung eines Nutzerprofils genutzt werden.
      

In bestimmten Fällen dürfen Anbieter elektronischer Kommunikationsnetze und -dienste Metadaten für einen anderen Zweck als den, für den sie erhoben wurden, verarbeiten; dies auch dann, wenn die Verarbeitung nicht auf der Grundlage der Einwilligung des Nutzers oder spezifischen Bestimmungen über Legislativmassnahmen nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erfolgt. Es wird aber vorausgesetzt, dass die Verarbeitung mit dem ursprünglichen Zweck vereinbar («kompatibel») ist.

Trotz Erlaubnistatbestand kann die Verarbeitung in den oben aufgeführten Fällen durch den Kommunikationsdienst nicht uferlos erfolgen. Vielmehr ist die Verarbeitung der Kommunikationsdaten nur solange zulässig, wie dies für die jeweiligen Zwecke zwingend notwendig ist.

Im Übrigen ergibt sich aus den Erwägungsgründen, dass der betroffene Endnutzer stets über Datenverarbeitungen informiert werden und ein Widerspruchsrecht haben muss

Speicherung und Löschung – Ausnahme für «Vorratsdatenspeicherung» von Metadaten

Der Betreiber eines elektronischen Kommunikationsdienstes hat Kommunikationsdaten zu löschen oder zu anonymisieren, wenn sie nicht mehr für den Zweck der Verarbeitung oder für die Bereitstellung eines elektronischen Kommunikationsdienstes benötigt werden. Was für Telefonanbieter schon lange gilt, wird mit der aktualisierten E-Privacy-Verordnung auch auf die Anbieter von Online-Kommunikation wie WhatsApp oder Facebook-Messenger ausgeweitet.

Eine Ausnahme von diesem Grundsatz ist für Metadaten dann vorgesehen, wenn die Metadaten zur Rechnungsstellung oder zur Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten sowie zur Vollstreckung von strafrechtlichen Sanktionen gespeichert werden. Weiter ist eine Speicherung der Metadaten zum Schutz vor Bedrohungen für die öffentliche Sicherheit zulässig. Vorausgesetzt ist, dass die Grundrechte und Grundfreiheiten der betroffenen Personen geachtet werden, und dass es sich bei der Speicherung um eine verhältnismässige Massnahme handelt.

Mit der umstrittenen Ausnahme-Klausel soll den Mitgliedstaaten letztlich die Möglichkeit geboten werden, eine «Vorratsdatenspeicherung» vorzusehen. Die Regelung ist politisch besonders brisant und rechtlich kontrovers, hat doch der Europäische Gerichtshof die generelle und unterschiedslose Vorratsdatenspeicherung für unzulässig erklärt (vgl. MLL-News vom 9.1.2017)

Einsatz von Cookies und «Cookie-Walls»

Im Entwurf der E-Privacy-Verordnung gilt auch für den Einsatz von Cookies und ähnlichen Technologien im Grundsatz eine Pflicht zur Einholung einer Einwilligung. Nach dem aktuellen Entwurf soll eine «Cookie-Wall» als Alternative zu einer Bezahlschranke zulässig bleiben. Vorausgesetzt ist, dass dem Endnutzer eine echte Wahl gelassen wird, Cookies oder ähnliche Kennungen zu akzeptieren. Der Zugang zu einer Website darf von einer Einwilligung zur Verwendung von Cookies für zusätzliche Zwecke abhängig gemacht werden. Dies unter der Voraussetzung, dass der Nutzer zwischen dem Angebot, für welches er einwilligen müsste, und einem gleichwertigen Angebot des gleichen Anbieters wählen kann, dass nicht an seine Einwilligung gebunden ist.

Weiter soll der Nutzer seine erteilte Einwilligung nicht immer wieder aufs Neue bestätigen müssen. So sollen die Endnutzer ihre Einwilligung in die Verwendung bestimmter Arten von Cookies erteilen können, indem sie einen oder mehrere Anbieter in ihren Browser-Einstellungen in eine Positivliste aufnehmen. Den Softwareanbietern obliegt es, den Benutzern jederzeit die Erstellung und Änderung von Positivlisten in ihren Browsern sowie den Widerruf ihrer Einwilligung zu erleichtern.

Eine Ausnahme vom Erfordernis der Einwilligung ist vorgesehen, wenn der Einsatz der Cookies einzig der Messung der Besucherzahlen («audience measuring») dient. Unter den Voraussetzungen der DSGVO für Co-Controller oder Auftragsverarbeitungsverhältnisse können hierbei auch Dritte («Third Parties») involviert werden. Ferner ist keine Einwilligung erforderlich, wenn Cookies zur Bereitstellung eines Kommunikationsdienstes oder eines vom Nutzer gewünschten Dienstes unbedingt erforderlich sind. Eine Einwilligung soll dann nicht erforderlich sein, wenn Speicherkapazitäten von Endgeräten genutzt werden, um Sicherheitslücken zu beheben und entsprechende Software-Updates einzuspielen. Jedoch wird vorausgesetzt, dass der Nutzer vorher über diese Praxis informiert wird

Unerwünschtes Direktmarketing

Der Begriff Direktmarketing umfasst jede Art von Werbung, die über öffentlich zugängliche elektronische Kommunikationskanäle direkt an einen identifizierbaren Nutzer gesendet wird. Dazu gehören beispielsweise Mittel wie automatisierte Anrufe, Instant-Messanging-Apps, E-Mails, SMS, MMS, Bluetooth und Fax.

Die Zustimmung des Endnutzers ist grundsätzlich vor dem Versenden von Marketingnachrichten einzuholen. Ein Versenden von Direktmarketingnachrichten – ohne die vorherige Zustimmung des Endnutzers – ist nur unter den folgenden Voraussetzungen zulässig:

  • Das Unternehmen muss bereits über die Kontaktdaten des Endbenutzers aus einer bestehenden Kundenbeziehung verfügen und
  • der Zweck der Kommunikation muss darin bestehen, ein eigenes ähnliches Produkt oder eine eigene ähnliche Dienstleistung anzubieten.
      

Auch wenn ein Endnutzer die Zustimmung für die Direktmarketing-Kommunikation erteilt, muss diese in einem einfachen Prozess und ohne anfallende Kosten widerrufen werden können. Sobald ein Widerruf erfolgt, d.h. die Zustimmung des Endnutzers zurückgezogen wurde, muss die Direktmarketing-Kommunikation unverzüglich eingestellt werden. Ausserdem sind Telefonanrufe zu Werbezwecken nur dann erlaubt, wenn der Anrufende seine Rufnummer offenbart oder einen verbindlichen Code verwendet, um zu signalisieren, dass es sich um einen Werbeanruf handelt.

Schliesslich müssen die Endnutzer auch über folgende Punkte transparent informiert werden:

  • Das Recht, der Marketing-Kommunikation zu widersprechen;
  • Das Recht, eine früher erteilte Zustimmung zu widerrufen;
  • Die Absicht des Unternehmens, die persönlichen Daten für Marketingzwecke zu verwenden.    

Hohe Bussgelder bei Verstössen

Bezüglich der angedrohten Sanktionen verweist die E-Privacy-Verordnung auf die DSGVO. Damit bestehen die gleichen empfindlichen Bussen auch bei Verletzungen der E-Privacy-Verordnung, d.h. Bussen in Höhe von bis zu 4% des weltweiten Umsatzes bzw. bis zu 20 Millionen Euro, davon abhängig, welcher Betrag höher ist

Inkrafttreten der E-Privacy-Verordnung

Die Verordnung würde 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft treten und 24 Monate später zur Anwendung gelangen. Somit bestünde eine Übergangfrist für die Umsetzung der Anforderungen der E-Privacy-Verordnung von 2 Jahren

Fazit und Ausblick

Die aktualisierte E-Privacy-Verordnung ist nach wie vor umstritten. Insbesondere wird vorgebracht, dass durch den aus Sicht der Datenschützer «milden» Entwurf der Datenschutz verwässert werde, weil die bisher geplanten strengeren Regelungen gelockert wurden. Zudem werde das allgemeine Datenschutzniveau durch den vorliegenden Entwurf herabgesetzt. Weiter wird kritisiert, dass die E-Privacy-Verordnung in der aktuellen Fassung wesentliche Nachteile für den Verbraucher bei der Nutzung von Online-Diensten nach sich ziehen würde.

Angesichts einiger noch zu klärenden Streitpunkte werden die anstehenden Trilog-Verhandlungen vermutlich nicht so schnell voranschreiten, wie die portugiesische Ratspräsidentschaft das Thema E-Privacy zuletzt vorangetrieben hatte. Insofern scheint das letzte Wort zur E-Privacy-Verordnung noch nicht gesprochen zu sein. Es bleibt somit abzuwarten, was aus den Trilog-Verhandlungen hervorgeht, da der Rat und das Europäische Parlament den endgültigen Inhalt der Verordnung noch auszuhandeln haben.

Weitere Informationen:


Artikel teilen



Highlights

MLL Meyerlustenberger Lachenal Froriep

MLL ist eine der führende Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug , Lausanne, London und Madrid. Wir sind auf die Vertretung und Beratung von Mandanten an der Schnittstelle von High-Tech-, IP-reichen und regulierten Industrien spezialisiert.

MLL Meyerlustenberger Lachenal Froriep

Newsletter

MLL-News 03/21 mit Beiträgen zum VDSG-Entwurf, Datentransfers, XBorder u.v.m.!

Zugang MLL-News 03/21

Jetzt anmelden!

Events

Im Moment haben wir keine weiteren Events geplant.

 

 

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information