Folge 21: E-Privacy-VO: Inhalte, Konsequenzen, Kritik

Geschrieben von Frank Stiegler am 15.05.2018.

Nach längerer Pause meldet sich das Duo Legale aus dem neuen Studio Legal zurück:

Volker und Frank sprechen in dieser Episode über die kommende E-Privacy-VO (genauer: Entwurf 1 der EU-Kommission, da die E-Privacy-VO zum Zeitpunkt der Podcast-Veröffentlichung noch nicht vom EU-Rat verabschiedet wurde), konkret darüber,

was die EPV inhaltlich will,
wie die EPV zur DSGVO passt und was mit betroffenen nationalen Gesetzen passieren wird, wenn die EPV angewendet wird, und
was an der EPV kritisiert wird.

05:30: Was ist die E-Privacy-VO?

Hier besprechen wir vor allem die "Achtung des Privatlebens" in Abgrenzung zu "Datenschutz".

06:06: Entstehungsgeschichte der E-Privacy-VO

von der E-Privacy-RL über die Konsultation der EU-Kommission zum Änderungsbedarf und Entwurf 1 vom Januar 2017 bis zum voraussichtlichen Inkrafttreten der E-Privacy-VO:

Grobe Übersicht:

vor 2016: alle unzufrieden mit der EPRL (2002/58/EG) („Cookie-Banner nerven!“)
11.04.2016: Start der öffentlichen Konsultation zur Überarbeitung der EPRL
10.01.2017: EU-Komm. veröffentlicht ersten Entwurf der EPV.
26.10.2017: EU-Parlament beschließt den Entwurf.
bis Ende 2018: Trilog-Verhandlungen
Inkrafttreten: frühestens im Herbst 2019 (wegen einjähriger Übergangsfrist)

09:50: Natur der E-Privacy-VO

Als EU-Verordnung ist die E-Privacy-VO direkt/unmittelbar anwendbar. Sie sieht sich selbst als sektorspezifische Spezialregelung zur DSGVO. Aus dem E-Privacy-VO-Entwurf der EU-Kommission vom 10.01.2017:

„Dieser Vorschlag stellt eine Lex specialis zur DS-GVO dar und wird diese im Hinblick auf elektronische Kommunikationsdaten, die als personenbezogene Daten einzustufen sind, präzisieren und ergänzen.“

Zu den Zielen der E-Privacy-VO (Erwägungsgrund 42):

„[…] Gewährleistung […] gleichwertigen Datenschutzniveaus für natürliche und juristische Personen und […] freien Verkehr elektronischer Kommunikationsdaten […]“

Eine klare Abweichung von der DSGVO ist also das Ziel der “Freiheit des Verkehrs elektronischer Kommunikationsdaten”.

12:30: Was normiert die E-Privacy-VO?

Wir konzentrieren uns auf für Online-Marketing relevante Regelungen, beleuchten die Artt. 5 bis 8 und 16 der E-Privacy-VO.

Aus Art. 5 ("Vertraulichkeit elektronischer Kommunikationsaten"):

"Elektronische Kommunikationsdaten sind vertraulich. Eingriffe in elektronische Kommunikationsdaten wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens oder Überwachens oder Verarbeitens elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer sind untersagt, sofern sie nicht durch diese Verordnung erlaubt werden."

13:47: Wann ist die Verarbeitung nach der E-Privacy-VO erlaubt?

Wir sprechen über die Differenzierung von "Kommunikationsdaten" in Kommunikationsinhalte und Kommunikationsmetadaten. Hierzu aus Art. 4 Abs. 3 der VO:

"b) „elektronische Kommunikationsinhalte“: Inhalte, die mittels elektronischer Kommunikationsdienste übermittelt werden, z. B. Textnachrichten, Sprache, Videos, Bilder und Ton;

c) „elektronische Kommunikationsmetadaten“: Daten, die in einem elektronischen Kommunikationsnetz zu Zwecken der Übermittlung, der Verbreitung oder des Austauschs elektronischer Kommunikationsinhalte verarbeitet werden; dazu zählen die zur Verfolgung und Identifizierung des Ausgangs- und Zielpunkts einer Kommunikation verwendeten Daten, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste erzeugten Daten über den Standort des Geräts sowie Datum, Uhrzeit, Dauer und Art der Kommunikation;"

Für Kommunikationsinhalte sind Verarbeitungen nach Art. 6 Abs. 2 nur erlaubt,

"zur Einhaltung verbindlicher Dienstqualitätsanforderungen nötig*,
zur Rechnungstellung, Erkennung/Beendung betrügerischer/missbräuchlicher Nutzung nötig, oder
der Nutzer seine Einwilligung gegeben hat."

Für Kommunikationsmetadaten sind Verarbeitungen nach Art. 6 Abs. 3 nur erlaubt, wenn

"der Nutzer seine Einwilligung gegeben hat oder
[wenn alle Nutzer eingewilligt haben,
der intendierte Zweck mit anonymisierten Informationen nicht erreicht werden kann und
der Dienstanbieter vorher die Aufsichtsbehörde konsultiert hat]."

18:34: Handhabung von Cookies nach Art. 8

Grob gesagt wird hier das Tracking über Cookies geregelt. Aus Art. 8 Abs. 1:

"Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen […], auch über deren Software und Hardware, ist untersagt, außer […]:
• sie ist nötig,
• der Nutzer hat eingewilligt oder
• sie ist für die Messung des Webpublikums nötig, [und] der Betreiber des Dienstes misst selbst."

21:00: Wann müssen Daten gelöscht werden?

Grob gesagt: wenn sie nicht mehr benötigt werden.

21:55: Vorschrift zur Direktwerbung in Art. 16 der E-Privacy-VO

Der kommende Art. 16 der VO liest sich sehr ähnlich wie der bisherige § 7 UWG:

"Abs. 1: Natürliche oder juristische Personen können Direktwerbung über elektronische Kommunikationsdienste an Endnutzer richten, die natürliche Personen sind und hierzu ihre Einwilligung gegeben haben.

Abs. 2.: Hat eine natürliche oder juristische Person von ihren Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung im Einklang mit der Verordnung (EU) 2016/679 deren elektronische Kontaktangaben für E-Mail erhalten, darf sie diese zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen nur dann verwenden, wenn die Kunden klar und deutlich die Möglichkeit haben, einer solchen Nutzung kostenlos und auf einfache Weise zu widersprechen. Das Widerspruchsrecht wird bei Erlangung der Angaben und bei jedem Versand einer Nachricht eingeräumt."

Wir sprechen auch darüber, welchen Unterschied es macht, das § 7 UWG eine Wettbewerbsvorschrift, Art. 16 E-Privacy-VO dagegen eine Datenschutzvorschrift ist.

25:00: Höhe der Bußgelder nach der E-Privacy-VO

Außerdem sprechen wir darüber, wie hoch der Erwartungswert eines Bußgeldes im Vergleich zu wettbewerbsrechtlichen Abmahnungen ist.

27:30 Gemeinsamkeiten mit der DSGVO

Gegenstand: "irgendwie auch Datenschutz"
Bußgeldmaximalhöhen
zuständige Aufsichtsbehörden

29:10 Unterschiede zur DSGVO

Dieser Teil ist der dogmatischste dieser Folge.

Der folgende Screenshot von Twitter zeigt anschaulich, wie auch geschätzte Juristenkollegen über offenbar klare Begriffe aneinander vorbeireden können.

Offensichtlichste Unterschiede:

E-Privacy ist auch anwendbar für juristische Personen;
sie soll auch für IoT-Kommunikation gelten, die nicht unbedingt personenbezogen sein muss;
sie ist aber nicht anwendbar für geschlossene Gruppen.

33:00 Probleme der und Kritikpunkte an der E-Privacy-VO

33:15: Unterschiedliche Ansätze: Endgerät statt natürliche Person

35:55: Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO auch in der E-Privacy-VO?

Artikel von Prof. Dr. Härting vom 06.11.2017 in CR online: "ePrivacy - Das große Missverständnis"

37:53: Welche Konsequenzen hat die Interessenabwägung für die Praxis?

40:10: Der Allheilcharakter der Einwilligung ist schwierig

45:15 Welches Recht gilt ab dem 25.05.2018?

Wir sprechen über das Verhältnis nationaler Datenschutzvorschriften, sortiert nach den drei Möglichkeiten:

Kollision der nationalen Vorschrit mit der DSGVO;
Wiederholung der DSGVO;
nationale Präzisierung eines in der DSGVO geregelten Spielraums.

49:02 Fazit

Angesprochene Ressourcen:

Ingo Dachwitz' Vortrag auf dem 34C3 am 29.12.2017 zur E-Privacy-VO auf YouTube

Ingo Dachwitz' Vortrag auf dem 34C3 am 29.12.2017 zur E-Privacy-VO auf media.ccc.de

OSI-Modell auf Wikipedia

Wir sprechen über die zukünftig wohl zentrale Rolle der Datenschutzeinstellungen im Browser und die Frage, wem man anvertrauen soll, diese zentralen Einstellungen verwalten zu dürfen.