Obwohl die „Verordnung über Privatsphäre und elektronische Kommunikation“ (E-Privacy Verordnung) voraussichtlich erst im Laufe des Jahres 2020 beschlossen wird, wirft sie bereits jetzt ihre Schatten voraus. In diesem Artikel möchte ich dir einen Überblick geben, was es mit der E-Privacy Verordnung auf sich hat, wie die derzeitige Rechtslage für den Einsatz von Tracking Tools aussieht und wie sich diese unter der EPVO ändern könnte. Am Ende stelle ich kurz dar, warum die neue Verordnung aus meiner Sicht wichtig ist. Aber keine Panik: Ebenso, wie die Welt entgegen aller Vorhersagen mit Geltung der DSGVO am 25.05.2018 nicht untergegangen ist, ist dies auch für die Geltung der E-Privacy Verordnung nicht zu erwarten.
I. Die E-Privacy Verordnung
1. Was ist die E-Privacy Verordnung?
Die E-Privacy Verordnung (EPVO) ist ein derzeit auf europäischer Ebene diskutierter Verordnungsentwurf der Europäischen Kommission, der die bereits seit 2002 in Kraft befindliche E-Privacy Richtlinie (Richtlinie 2002/58/EG, zuletzt geändert durch die Richtlinie 2009/136/EG; E-Privacy RL) ersetzen und an den aktuellen Stand der Technik anpassen soll (z.B. fallen derzeit sogenannte Over the Top Dienste, also IP-basierte Kommunikationsdienste, nicht unter die E-Privacy RL).
Als europäische Verordnung wird die EPVO unmittelbar und direkt in der gesamten Europäischen Union gelten. Anders als noch die E-Privacy Richtlinie wird sie nicht von der Umsetzung in nationales Recht durch die einzelnen Mitgliedsstaaten abhängig sein. Diese Umsetzung der E-Privacy RL in nationales Recht ist in Deutschland, was den für Webseitenbetreiber relevanten datenschutzrechtlichen Teil anbelangt, übrigens nie erfolgt.
2. Welches Ziel hat die E-Privacy Verordnung?
Mit der E-Privacy Verordnung sollen die Vertraulichkeit der Kommunikation sowie die Vertraulichkeit und Integrität der Endgeräte der Nutzer geschützt werden.
Einfacher ausgedrückt: Die Nutzer sollen davor geschützt werden, beim Besuch einer Webseite oder bei Nutzung eines E-Mail- oder Messenger-Dienstes ohne ihr Wissen ausgespäht zu werden.
Anders als durch die DSGVO, werden nicht nur natürliche Personen (Menschen), sondern auch juristische Personen (Unternehmen und Vereine) geschützt. Die E-Privacy Verordnung präzisiert und ergänzt die DSGVO hinsichtlich elektronischer Kommunikationsdaten, die personenbezogene Daten sind.
3. Was regelt die E-Privacy Verordnung?
Die E-Privacy Verordnung regelt nicht nur die Kommunikation mittels (klassischer) Sprachtelefonie, Textnachrichten (SMS) und E-Mail, sondern auch die Kommunikation mittels VoIP-Telefonie, Messenger-Diensten und webgestützter E-Mail Dienste. Sie gilt auch für die zunehmend wichtiger werdende Maschine-zu-Maschine-Kommunikation (Stichwort „Internet der Dinge“).
Ein besonderes Augenmerk richtet die EPVO darauf, wie von den Endgeräten der Nutzer (z.B. von PCs und Smartphones) Informationen gespeichert oder ausgesendet, angefordert oder verarbeitet werden. Denn auf diesen Endgeräten sind praktisch immer sensible personenbezogene Daten gespeichert (z.B. E-Mails und Nachrichten, Bilder, Kontakt- und Standortdaten). Daher sollen User von Endgeräten davor geschützt werden, dass ohne ihr Wissen Tracking Tools zur heimlichen Beobachtung ihrer Aktivitäten eingesetzt werden (z.B. Cookies, Browser Fingerprinting und ähnliche Technologien zur Verfolgung des Nutzerverhaltens).
4. Wann kommt die E-Privacy Verordnung?
Ursprünglich war beabsichtigt, dass die E-Privacy Verordnung zeitgleich mit der DSGVO in Kraft tritt. So hatte die Europäische Kommission ihren Entwurf der EPVO bereits Anfang Januar 2017 veröffentlicht. Da im Gesetzgebungsverfahren jedoch auch das Europäische Parlament und der Rat der Europäischen Union zu beteiligen sind, sind zahlreiche Regelungen der E-Privacy Verordnung derzeit noch in der politischen Diskussion. Aufgrund der Komplexität des Gesetzgebungsverfahrens ist nicht damit zu rechnen, dass die E-Privacy Verordnung noch im Jahr 2019 in Kraft treten wird. Darüber hinaus dürfte es dann wahrscheinlich ähnlich wie bei der DSGVO noch eine Übergangsfrist geben, bis die EPVO tatsächlich gelten wird.
II. Rechtslage für den Einsatz von Tracking Tools
1. Was sind Tracking Tools?
Mit Tracking-Tools soll das Verhalten der Internet-Nutzer nachvollziehbar werden: Wie oft wird eine Webseite von einem konkreten Nutzer aufgerufen oder ein Messenger-Dienst genutzt (wird das Verhalten eines konkreten Nutzers „analysiert“, ist es kein reines Analytics- und Statistik-Tool mehr, sondern ein Tracking-Tool)? Welchen Inhalt haben versendete Nachrichten? Welche Artikel werden in einem Webshop gesucht und bestellt? Bei welchen Social-Media-Accounts ist man eingeloggt? Wird ein verlinkter Artikel angeklickt und gekauft (Affiliate-Marketing)?
Dabei werden die Daten nicht nur beim Besuch der Webseite oder bei der Nutzung des Dienstes gesammelt, sondern oft noch lange darüber hinaus. Denn die auf dem Endgerät gesetzten Cookies, Zähl-Pixel etc. werden meist nicht beim Beenden des Dienstes gelöscht. Sie verbleiben oft über mehrere Monate auf dem Endgerät des Nutzers und senden munter weiter Daten, ohne dass dies dem Nutzer bewusst ist.
Die so ermittelten Daten werden in vielen Fällen nicht nur vom Diensteanbieter selbst gesammelt und verarbeitet, sondern oft auch an Dritte weitergegeben.
Folge ist, dass eine Vielzahl von Nutzerprofilen erstellt werden, ohne dass es dem Nutzer bewusst ist.
2. Wo ist der Einsatz von Tracking Tools derzeit geregelt?
Vorbemerkung: Dieser Teil ist zwangsweise etwas juristisch formuliert. Wer sich nicht für diese Feinheiten interessiert, kann ohne Probleme auch bei 3. weiterlesen.
In Deutschland sind die Anforderungen an elektronische Informations- und Kommunikationsdienste im Telemediengesetz (TMG) geregelt. Das Telemediengesetz trat 2007 in Kraft und wurde zuletzt im September 2017 geändert. Allerdings wurde die 2009 geänderte E-Privacy-RL, die in ihrem Art. 5 Abs. 3 die Speicherung von und den Zugriff auf Informationen, die im Endgerät des Nutzers gespeichert sind, regelt, nicht formell in deutsches Recht umgesetzt. Hintergrund ist, dass die Bundesregierung dies aufgrund der bereits in § 15 Abs. 3 TMG enthaltenen Regelungen nicht für erforderlich hielt. Auch wurden die datenschutzrechtlichen Vorschriften des Telemediengesetzes (Abschnitt 4; §§ 11 ff. TMG), in denen die Pflichten der Diensteanbieter geregelt sind, nicht an die DSGVO angepasst.
Die Folge hiervon ist, dass die Kollisionsnorm des Art. 95 DSGVO, die das Verhältnis zwischen DSGVO und E-Privacy-Richtlinie regelt, nicht anwendbar ist. Da auch eine unmittelbare Anwendung der E-Privacy-RL nicht in Betracht kommt (europäische Richtlinien gelten anders als europäische Verordnungen gerade nicht unmittelbar und direkt), bleibt es beim Anwendungsvorrang der DSGVO.
Das bedeutet, dass seit Geltung der DSGVO, also seit dem 25. Mai 2018, Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Diensteanbieter ausschließlich Art. 6 Abs. 1 DSGVO ist; die entsprechenden Regelungen des Telemediengesetzes sind seitdem nicht mehr anwendbar.
Dies wird sich voraussichtlich erst mit Geltung der E-Privacy-Verordnung ändern: Nach derzeitigem Stand werden die Regelungen der EPVO den entsprechenden Regelungen der DSGVO vorgehen, sofern mit ihnen dasselbe Ziel verfolgt wird.
„*“ zeigt erforderliche Felder an
3. Wie ist die aktuelle Rechtslage für den Einsatz von Tracking Tools?
Derzeitige Rechtsgrundlage für den Einsatz von Tracking-Tools ist Art. 6 Abs. 1 DSGVO. Das bedeutet, dass Tracking-Tools in der Regel nur dann eingesetzt werden dürfen, wenn entweder
- die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt (Art. 6 Abs. 1 Unterabsatz 1 Buchstabe f DSGVO)
oder
- die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat (Art. 6 Abs. 1 Unterabsatz 1 Buchstabe a DSGVO).
>> Einzelheiten zu den berechtigten Interessen des Diensteanbieters
Hat ein Diensteanbieter überwiegende berechtigte Interessen für den Einsatz von Tracking-Tools, bedarf es keiner Einwilligung des Nutzers.
Auf einer Webseite wäre dann zum Beispiel eine Checkbox überflüssig. Der Webseitenbetreiber hätte lediglich in der Datenschutzerklärung über die eingesetzten Tracking-Tools zu informieren.
Die berechtigten Interessen des Diensteanbieters können tatsächlich, wirtschaftlich und ideell sein.
Oft wird es sich natürlich um wirtschaftliche Interessen handeln. Diese können zum Beispiel darin bestehen, in einem Online-Shop den Warenkorb des Kunden zu speichern oder auf einer Webseite Webfonts, Kartendienste und Social-Media-Plugins einzubinden. Aber auch Webanalyse- und Statistik-Tools über Seitenbesucher oder der Einsatz von Werbe-Trackern sind als berechtigte Interessen anzusehen.
Ist die jeweilige Datenverarbeitung zur Wahrung dieser berechtigten Interessen erforderlich, sind diese mit den Interessen oder Grundrechten und Grundfreiheiten des Nutzers abzuwägen. Hierzu zählen der Schutz vor wirtschaftlichen Nachteilen, das Recht auf Achtung des Privatlebens und der Kommunikation gemäß Art. 7 der Grundrechte-Charta der Europäischen Union (GRCh), das Datenschutzgrundrecht gemäß Art. 8 GRCh sowie das Recht auf informationelle Selbstbestimmung.
Bei der Abwägung der jeweiligen Interessen kommt es vor allem auf die Auswirkungen der beabsichtigten Datenverarbeitung und deren Missbrauchsanfälligkeit an. Daneben ist u.a. zu berücksichtigen, welche vernünftigen Erwartungen der Nutzer an den Dienst hat und ob er vernünftigerweise absehen kann, dass die beabsichtigte Datenverarbeitung möglicherweise erfolgen wird.
Ob die berechtigten Interessen des Diensteanbieters (bzw. eines Dritten) oder die Interessen des Nutzers überwiegen, ist im Einzelfall mitunter schwierig zu entscheiden.
Zu beachten ist, dass der Diensteanbieter nachweisen muss, dass seine berechtigten Interessen überwiegen. Gelingt dieser Nachweis im Streitfall nicht, war die Datenerhebung rechtswidrig und der Diensteanbieter muss mit einem Bußgeld rechnen.
Die Interessenabwägung sollte daher für Aufsichtsbehörden nachvollziehbar sein und gut dokumentiert werden.
>> Einzelheiten zur Einwilligung des Nutzers
Kann der Diensteanbieter die Einbindung eines Tracking-Tools nicht auf ein berechtigtes Interesse stützen, bedarf es zwingend der Einwilligung des Nutzers.
Die Voraussetzungen für eine wirksame Einwilligung sind in Art. 7 DSGVO geregelt. Diese sind:
- Verständliche Form;
- klare und einfache Sprache;
- Unterscheidbarkeit von anderen Sachverhalten;
- vorheriger Hinweis auf das jederzeitige Widerrufsrecht;
- Beachtung des Koppelungsverbots (d.h., dass eine Dienstleistung nicht von der Erteilung einer Einwilligung in die Verarbeitung personenbezogener Daten abhängig gemacht werden darf, die mit der Dienstleistung in keinem Zusammenhang steht).
Die Einwilligung kann auch konkludent, also durch schlüssiges Handeln, erteilt werden. Eine ausdrückliche Einwilligung ist aber immer dann erforderlich, wenn besondere Kategorien personenbezogener Daten verarbeitet werden (s. Art. 9 Abs. 2 Buchstabe a DSGVO).
Zu beachten ist ferner, dass eine Einwilligung jederzeit widerrufen werden kann. Daher muss die Datenverarbeitung von dem Zeitpunkt an unterbleiben, zu dem die betroffene Person ihre Einwilligung widerrufen hat.
Derzeit wird die Einwilligung für das Setzen von Cookies und ähnliche Technologien auf Webseiten üblicherweise durch eine sog. „Checkbox“, bei der der Nutzer aktiv ein Häkchen setzen muss (Opt-in), eingeholt.
Sofern nicht nur technisch notwendige Cookies gesetzt werden, ist ein lapidarer Hinweis in einem sog. „Cookie Banner“, der dann lediglich mit dem Klicken auf ein „OK“-Button bestätigt wird, nicht ausreichend.
In jedem Fall sind die Nutzer in der Datenschutzerklärung über die eingesetzten Tracking-Tools zu informieren.
4. Wie ist die voraussichtliche Rechtslage für den Einsatz von Tracking Tools?
Der von der Europäischen Kommission Anfang Januar 2017 veröffentlichte Entwurf der E-Privacy-Verordnung ist derzeit noch in der politischen Diskussion. Zu ihm gibt es u.a. Stellungnahmen des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten, Änderungsanträge des Europäischen Parlaments sowie Diskussionspapiere des Rates der Europäischen Union.
Es ist daher offen, welchen genauen Wortlaut die E-Privacy-Verordnung haben wird.
Angesichts der anhaltenden „Datenskandale“ der letzten Zeit setzen sich aber vor allem Datenschützer verstärkt dafür ein, dass die EPVO nicht hinter dem derzeitigen Schutzniveau der E-Privacy-Richtlinie und der DSGVO zurückbleibt.
So hat sich der Europäische Datenschutzausschuss in einem Papier vom Mai 2018 dafür ausgesprochen, dass die Vertraulichkeit der elektronischen Kommunikation eines besonderen Schutzes bedarf, der über die DSGVO hinausgehen muss. Daher sollen die berechtigten Interessen des Diensteanbieters zukünftig keine Rechtsgrundlage mehr für die Verarbeitung von Inhalts- und Metadaten elektronischer Kommunikation sein.
Sollte sich diese Ansicht durchsetzen, dürften Tracking Tools nur noch nach einer vorherigen Einwilligung des Nutzers (z.B. mittels einer Checkbox) eingesetzt werden.
III. Warum die E-Privacy Verordnung eine gute Sache ist
Entgegen aller Unkenrufe ist die EPVO eine sinnvolle und längst überfällige Verordnung. Denn die technisch mittlerweile mögliche vollständige Überwachung unseres Nutzerverhaltens sollte nicht einfach so hingenommen werden.
Es ist daher gut, wenn Webseitenbetreiber und Diensteanbieter im Vorfeld klar und transparent darüber informieren müssen, welche Daten beim Besuch einer Webseite oder bei Nutzung eines Dienstes erhoben und an wen sie zu welchen Zwecken weitergegeben werden. Nur so können Webseitenbesucher und Nutzer entscheiden, ob ihnen der Besuch der Seite oder die Nutzung des Dienstes die Preisgabe ihrer Daten wirklich wert ist.
Dennoch musst du jetzt als Webseitenbetreiber nicht den Kopf in den Sand stecken. Als Sofortmaßnahme solltest du am besten prüfen, ob du alle auf deiner Webseite eingebundenen Dienste auf ein berechtigtes Interesse oder eine Einwilligung der Nutzer stützen kannst. Falls nicht, solltest du die fehlenden Einwilligungen der Nutzer einholen. Daneben solltest du vor allem deine Tracking-Aktivitäten transparent in der Datenschutzerklärung darlegen.
Sobald der endgültige Text der E-Privacy Verordnung bekannt ist, solltest du vor allem prüfen, ob und ggf. ab wann du zusätzliche Einwilligungen einholen musst. Damit du das und alles sonst noch Erforderliche in aller Ruhe umsetzen kannst, lohnt es sich, bei der E-Privacy Verordnung am Ball zu bleiben.
Beitragsbild: Scott Webb [Pexels]
Danke für diesen Artikel über die ePV! Ich hoffe, dass es bei dieser Gesetzgebung kein so krasses schwarz weiß Denken gibt. Datenschutz ist gut, das wissen wir alle und wollen gute Datenschutzgesetze. Aber auch hier werden die kleinen sich zu digitalisierenden Unternehmen beschossen und die großen Winden sich raus. Das wird hoffentlich nicht passieren. Man muss an die Unternehmen ran, die auch wirklich kritische Daten verarbeiten und die muss man auch so ansprechen in solchen Gesetzen. Es macht unser alltägliches Leben sicherlich nicht sicherer oder besser, wenn wir Malermeister Hubert Finkelbei verbieten Verhaltensdaten an Google zu senden. Vielleicht bin ich an dieser Stelle eine Unke, aber Unken sind auch tolle Tiere:)
Danke für den Artikel,
euer Malte
Danke Malte für deinen ehrlichen Input, da ist natürlich etwas dran. Wir sind auf jeden Fall gespannt, wie sich das Ganze entwickeln wird.
LG aus Münster 🙂
Leefke