EU-Parlament verabschiedet E-Privacy-Verordnung

Ergänzung zur EU-Datenschutzgrundverordnung

Am 26. Oktober 2017 hat das EU-Parlament den Entwurf für die E-Privacy-Verordnung verabschiedet und dabei im Vergleich zum Verordnungsentwurf der EU-Kommission (siehe hierzu MLL-News vom 9. Februar 2017) gar noch Verschärfungen vorgenommen.

Die neue E-Privacy-Verordnung ist als Ergänzung zur bereits beschlossenen EU-Datenschutzgrundverordnung (DSGVO; Verordnung (EU) 2016/679) konzipiert und sollte idealerweise am 25. Mai 2018 – dem Stichtag für die Anwendung der DSGVO in der gesamten EU – in Kraft treten. Dies dürfte jedoch zeitlich kaum mehr machbar sein.

Als Ergänzung zur DSGVO ist die E-Privacy-Verordnung in der öffentlichen Wahrnehmung beinahe untergegangen. Dies zu Unrecht. Die E-Privacy-Verordnung regelt verschiedene Themengebiete, welche für die digitale Wirtschaft besonders wichtig sind. Sollte die E-Privacy-Verordnung in der Fassung des EU-Parlamentes in Rechtskraft treten, wird die Verordnung insbesondere auf die digitale Werbewirtschaft erhebliche Auswirkungen haben.

Der Entwurf für die E-Privacy-Verordnung geht als Ergänzung zur DSGVO weit über die Regelung von Cookies hinaus. Geregelt soll der Schutz der Privatsphäre bei elektronischer Kommunikation im Allgemeinen werden, quasi als lex specialis zur DSGVO, welche Datenbearbeitungen generell regeln will. Im Gegensatz zur DSGVO werden durch die E-Privacy-Verordnung auch Kommunikationsdaten erfasst, welche gemäss DSGVO nicht als personenbezogene Daten gelten bzw. bei denen die rechtliche Qualifikation umstritten ist. So war z.B. bis anhin umstritten, ob IP-Adressen oder insbesondere auch die MAC-Adressen von mobilen Endgeräten als personenbezogene Daten gelten. Für die Anwendung der E-Privacy-Verordnung ist diese Frage nicht mehr relevant.

Technologie-Neutralität

Für einen maximalen Schutz der Privatsphäre wird der Terminus „elektronische Kommunikation“ sehr weit ausgelegt. Das EU-Parlament will, dass die Verordnung technologie-neutral ausgestaltet und interpretiert wird.

„This Regulation aims at ensuring an effective and equal protection of end-users when using functionally equivalent services, so as to ensure the protection of confidentiality, irrespective of the technological medium chosen. Electronic communications services encompass not only internet access services and services consisting wholly or partly in the conveyance of signals but also interpersonal communications services, which may or may not be number-based, such as for example, Voice over IP, messaging services and web-based e-mail services.“

Des Weiteren gelten die Bestimmungen der E-Privacy-Verordnung auch für die Kommunikation zwischen Maschine und Maschine, was insbesondere im Bereich von „Internet of Things“ von Bedeutung ist. Werden in diesem Zusammenhang Daten über das Nutzerverhalten oder im Zusammenhang mit dem Nutzerverhalten erhoben, gilt für die Verwendung dieser Daten für kommerzielle Zwecke die E-Privacy-Verordnung.

Verbot mit Einwilligungsvorbehalt für Cookies

Die DSGVO lässt in gewissen Konstellationen die Bearbeitung von personenbezogenen Daten für Werbezwecke auch ohne Zustimmung der betroffenen Personen zu („berechtigtes Interesse“). Direktmarketing und auch Online-Marketing können unter Umständen ein berechtigtes Interesse darstellen.

Der vom EU-Parlament verabschiedete Entwurf für die E-Privacy-Verordnung schränkt nunmehr die Nutzung von Kommunikationsdaten für Werbezwecke erheblich ein.

Dies hat damit zu tun, dass der Einsatz von Tracking-Cookies (siehe hierzu die Ausführungen in MLL-News vom 9. Februar 2017), welche für das digitale Marketing besonders wichtig sind, nur noch zulässig ist, wenn die betroffene Person aktiv und informiert zustimmt. Es wird damit ein Verbot mit Einwilligungsvorbehalt implementiert. Anders als bei der DSGVO genügt ein berechtigtes Interesse nicht.

Für die Zustimmung sollen die strengen Vorschriften der DSGVO gelten. Die Zustimmung muss daher ausreichend informiert und vor allem aktiv erfolgen. Die Nutzung einer Webseite nach erfolgter Information über den Einsatz von Cookies gilt nicht als aktive Zustimmung. Die aktive Zustimmung führt dazu, dass Webseiten, welche keine generelle Pflicht zur Registrierung kennen, erheblich belastet werden. Aufgrund der fehlenden Registrierung wird das Einholen der Zustimmung erschwert. Die Anforderung, dass die Zustimmung informiert erfolgen muss, führt zudem bei verschiedenen digitalen Werbemethoden zu weiteren Erschwernissen. Die Erfüllung der Transparenzanforderungen ist z.B. gerade beim Affiliate Marketing relativ schwierig und aufwändig.

Die bisher verwendeten Cookie-Banner werden nicht mehr genügen, da der Nutzer durch diese keine echte Wahl bezüglich der Abgabe der Einwilligung hat. Das EU-Parlament hält explizit fest, dass Cookie-Walls bzw. Cookie-Banners nicht mehr erwünscht sind.

Das EU-Parlament will vielmehr, dass die Information bzw. die Einholung der Zustimmung nutzer-freundlich geschieht. Die Nutzer seien heute teilweise überladen mit Zustimmungsersuchen. Die Anbieter sollten daher nutzer-freundliche Technologien verwenden, z.B. nutzer-freundliche Einstellungen. Die vom Nutzer gewählten Einstellungen sollen nicht nur für den Diensteanbieter, sondern auch für jegliche Drittparteien – z.B. Anbieter von Third-Party-Cookies – absolut verbindlich sein.

Das Einwilligungserfordernis gilt jedoch nicht für Cookies, die für die Bereitstellung eines vom Nutzer gewünschten Dienstes erforderlich sind. Angesprochen sind z.B. Session-Cookies für die Bereitstellung einer Warenkorbfunktion. Darüber hinaus statuiert der Entwurf auch eine Ausnahme für Cookies, die für die „Messung des Webpublikums“ nötig sind.

Eine Verschärfung im Vergleich zum Entwurf der EU-Kommission stellt das explizite Verbot von sog. Tracking-Walls dar. Webseitenbetreiber (oder Anbieter anderer Kommunikationsdienste) dürfen Nutzer nicht aussperren, wenn diese dem Tracking oder der Bearbeitung von Kommunikationsdiensten nicht zustimmen bzw. eine Zustimmung nachträglich widerrufen.

Zusammenfassend ist festzuhalten, dass durch das Einwilligungserfordernis und auch die zwingende Möglichkeit des jederzeitigen Widerrufs viele Nutzer auf eine Einwilligung verzichten werden. Dies dürfte dazu führen, dass viel weniger Daten für die werbemässige Nutzung zur Verfügung stehen dürften. Verstärkt wird dies dadurch, dass bei den Browsern Privacy by Default umgesetzt werden muss, d.h. die Nutzer vermehrt bereits bei der Browser-Einstellung auf die Ablehnung von Tracking-Cookies, insbesondere Third-Party- Cookies optieren werden.

Zustimmungserfordernis nicht auf Webseiten-Tracking beschränkt

Das strenge Zustimmungserfordernis gilt nicht nur für die Nutzung von Kommunikationsdaten, die über Webseiten erhoben werden. Die Verordnung sieht vor, dass auch bei anderen Kommunikationsdiensten die Bearbeitung und Auswertung für Werbezwecke bzw. jegliche kommerzielle Zwecke nur mit Einwilligung der Nutzer zulässig sein soll. Diese Ausweitung betrifft damit Kommunikationsdienste wie Whatsapp, Facebook Messenger, etc.

Betroffen sind zudem auch neuere Tracking-Methoden z.B. der Einsatz von Beacons, welche mittels Bluetooth-Signalen, Kommunikationsdaten von mobilen Endgeräten erheben und analysieren. Dasselbe gilt für die Erfassung und Auswertung von WLAN-Signalen. Insbesondere die Daten für die Ortung eines Endgerätes, welche sich aus solchen Signalen ergeben oder mittels solcher Signale erfasst werden, sowie Daten zur Identifikation eines Endgerätes gelten gemäss EU-Parlament als Kommunikationsdaten und unterliegen der Verordnung.

Verboten soll, ohne entsprechende Zustimmung, insbesondere die Erstellung von individuellen Bewegungsprofilen durch solche Tracking-Methoden sein. Dadurch werden neuere Methoden erschwert, welche in letzter Zeit durch die Werbewirtschaft vermehrt getestet wurden. Eine Ausnahme vom Zustimmungserfordernis soll lediglich dann vorliegen, wenn die Daten unmittelbar anonymisiert und nur für statistische Zwecke über einen begrenzten Zeitraum und eine begrenzte geographische Reichweite verwendet werden. Zudem muss in jedem Fall eine effektive Ablehnungsmöglichkeit zur Verfügung gestellt werden. In diesem Punkt hat das EU-Parlament die Verordnung im Vergleich zum Entwurf der EU-Kommission verschärft. Das Verbot mit Einwilligungsvorbehalt für das sog. Offline-Tracking war lange Zeit umstritten.

Das EU-Parlament gibt allerdings zu bedenken, dass dieses Offline-Tracking durchaus auch sinnvoll sein kann. Angesprochen werden z.B. sog. Heatmaps, welche die Bewegungsdaten von Personen oder Fahrzeugen aufzeichnen. Allerdings müssen diese Daten gemäss EU-Parlament unverzüglich anonymisiert werden.

Weitere Ausnahmen vom Einwilligungserfordernis betreffend die Bearbeitung von Kommunikationsdaten, insbesondere von Metadaten, sind vorgesehen, wenn dies für die Durchführung des Kommunikationsdienstes erforderlich ist, z.B. für die Berechnung der Gebühren und die Rechnungsstellung.

Privacy by Default: Datenschutzfreundliche Browser-Grundeinstellungen

Das EU-Parlament will die Hersteller bzw. Anbieter von Internet-Browsern zur Einhaltung des Prinzips Privacy by Default verpflichten (siehe hierzu die detaillierten Ausführungen in MLL-News vom 9. Februar 2017). Dasselbe gilt auch für Betriebssysteme von mobilen Endgeräten. Nach dem Willen des EU-Parlamentes müssen datenschutz-freundliche Einstellungen als Default-Option angeboten werden. Die Anbieter müssen die Nutzer bei der Installation über diese Einstellungen informieren und ihnen die Möglichkeit geben, die Einstellungen einfach zu verändern.

Hier liegt inhaltlich ebenfalls eine leichte Verschärfung gegenüber dem Entwurf der EU-Kommission vor. Der Entwurf des EU-Parlamentes verlangt nämlich im Vergleich zur EU-Kommission explizit, dass die Ablehnung von Third Party-Cookies als Default-Option angeboten werden muss. Auch andere Cookie-Optionen müssen als Standard angeboten werden:

„Users should be offered, by default, a set of privacy setting options, ranging from higher (for example, ‘never accept tracker and cookies’) to lower (for example, ‘always accept trackers and cookies’) and intermediate (for example, ‘reject all trackers and cookies that are not strictly necessary to provide a service explicitly requested by the user’ or ‘reject all cross-domain tracking’). These options may also be more fine-grained. Privacy settings should also include options to allow the user to decide for example, whether Flash, JavaScript or similar software can be executed, if a website can collect geolocation data from the user, or if it can access specific hardware such as a webcam or microphone.“

Diese Vorgaben sind zwar immer noch nicht allzu detailliert, es wird jedoch deutlicher als im Entwurf der EU-Kommission, was verlangt wird. Mit dem Hinweis, dass die Optionen auch „more fine-grained“ sein können, gibt das EU-Parlament zu verstehen, dass es sich bei den vorangehenden Privacy-Optionen um einen Minimalstandard handelt.

Recht auf Verschlüsselung – Verbot von Backdoors

Die Anbieter von Kommunikationsdiensten sollen dazu verpflichtet werden, die Kommunikation der Nutzer vor unbefugtem Zugriff nach dem aktuellsten Stand der Technik zu sichern, falls notwendig, insbesondere zu verschlüsseln.

Verschlüsselte Kommunikationsdaten sollen einzig durch die Nutzer entschlüsselt werden dürfen. Den EU-Mitgliedsstaaten soll es gemäss Verordnung verboten werden, Gesetze zu erlassen, mit denen sie Anbieter von Kommunikationsdiensten dazu verpflichten, den Schutz der Kommunikation zu schwächen, z.B. sog. Backdoors zur leichteren Entschlüsselung einzubauen. Auch dies stellt eine Verschärfung zum Entwurf der EU-Kommission dar.

Die Verordnung soll regeln, wann zur Strafverfolgung oder aus Gründen der nationalen Sicherheit in den Schutz der Kommunikationsdaten eingegriffen werden darf. Der Verordnungsentwurf sieht für solche Eingriffe unter anderem sehr weitreichende Dokumentations- und Transparenzpflichten vor.

E-Mail-Marketing: Opt-In als Grundsatz

Nebst Telefonmarketing befasst sich die E-Privacy-Verordnung auch mit dem E-Mail-Marketing.

Nach der E-Privacy-Verordnung ist für den Versand von Werbe-E-Mails eine Zustimmung erforderlich. Zudem muss der Versender seine Identität bekannt machen und darf nicht hierüber täuschen.

Eine Ausnahme vom Zustimmungserfordernis ist vorgesehen, wenn zwischen dem Empfänger und dem werbenden Unternehmen eine Geschäftsbeziehung besteht und für eigene Produkte oder Dienstleistungen des werbetreibenden Unternehmens geworben wird.

Das sog. Empfehlungsmarketing für Dritte wäre damit nur noch mit Zustimmung zulässig. Eine Zustimmung ist auch erforderlich, wenn Daten an Dritte weitergegeben werden, damit diese Werbe-E-Mails für eigene Produkte und Dienstleistungen verschicken können. Die Drittunternehmen können sich nicht darauf berufen, dass das weitergebende Unternehmen aufgrund einer Geschäftsbeziehung allenfalls auch ohne Zustimmung E-Mails hätte verschicken können.

Die Regelung ist damit im Ergebnis vergleichbar mit der Regelung in Art. 3 Abs. 1 lit. o des schweizerischen UWG.

Einschneidende Sanktionen analog der DSGVO

Besonderes Gewicht erhalten die vorgeschlagenen Regelungen aufgrund der einschneidenden Sanktionen, die im Verordnungsentwurf vorgesehen sind. Die Sanktionen sind ähnlich ausgestaltet wie in der DSGVO und beinhalten namentlich Geldbussen von bis zu 20 Mio. EUR oder 4% des gesamten weltweiten Jahresumsatzes eines Unternehmens.

Relevanz für Schweizer Unternehmen

Ähnlich wie die Regelung in der EU-DSGVO ist auch der räumliche Anwendungsbereich der vorgeschlagenen E-Privacy-Verordnung weit gefasst. Die Vorgaben sind demnach nicht nur von Unternehmen mit Niederlassung in der EU einzuhalten. Vielmehr soll die Verordnung bereits dann gelten, wenn bspw. Cookies auf Endgeräten von Nutzern in der EU gesetzt oder bearbeitet werden oder Dienste für solche Nutzer bereitgestellt werden. Insofern sind die Vorgaben auch für Schweizer Unternehmen von grosser Bedeutung.

Weitere Informationen:

• Entwurf der E-Privacy-Verordnung der EU (Stand 26. Oktober 2017)
• www.heise.de vom 26. Oktober 2017: Scharfe E-Privacy-Verordnung verabschiedet: Mehr Datenschutz, klares Nein zu Hintertüren
• BR-News vom 9. Februar 2017
• Vorentwurf zur neuen E-Privacy-Verordnung der EU vom 10. Januar 2017
• Richtlinie 2009/136/EG („Cookie-Richtlinie“)
• EU-Datenschutz-Grundverordnung (DSGVO; Verordnung (EU) 2016/679)