Am 10.2.2021 haben sich die EU-Staaten nach jahrelangen Verhandlungen nun doch noch auf eine gemeinsame Basis zur ePrivacy-VO geeinigt. Medial wurde der aktuelle Entwurf jedoch bereits massiv kritisiert. Die DORDA Datenschutzexperten nehmen das als Anlass, Ihnen einen sachlichen Überblick über die wichtigsten Erkenntnisse zu geben:

Hintergrund

Vor über vier (!) Jahren hat die EU-Kommission den ersten Vorschlag für die ePrivacy-VO dem EU Rat zur ersten Lesung vorgelegt, um diese geplant gemeinsam mit der DSGVO auf den Weg zu bringen. Bis vor wenigen Tagen wurde jedoch keine gemeinsame Linie, insbesondere zu den praxisrelevanten Punkten rund um Cookies & Co, gefunden. Nach mehreren Ratspräsidentschaften und gescheiterten Anläufen ist es nun aber durch die Kombination der verschiedenen Vorschläge gelungen, eine Mehrheit für einen Entwurf zu erzielen. Was lange währt, wird endlich gut. Oder? Ein Blick in die Berichterstattung der letzten Tage zeigt statt Begeisterung überwiegend harsche Kritik:

(Un)berechtigte Kritik?

Vor allem Daten- und Verbraucherschützer sehen in dem vorgelegten Entwurf einen Rückschlag für das durch die DSGVO etablierte hohe Datenschutzniveau. Insbesondere wird die geplante Wiedereinführung einer Vorratsdatenspeicherung und Schaffung einer Überwachungsmöglichkeit für Plattformen kritisiert. Auch die explizite Erlaubnis der – von der österreichischen Datenschutzbehörde bereits mehrfach als zulässig beurteilten – "Pay or OK" Cookie-Pay-Walls stößt auf vehemente Ablehnung. Zusammengefasst wird der aktuellen Version unterstellt, eine exzessive Nutzung von Userdaten ohne Einwilligung zu erlauben und die in der DSGVO verankerten Garantien zu untergraben.

Die dabei kritisierten Passagen wurden bei ihrer Beurteilung jedoch vielfach aus dem Kontext gerissen: So wird oftmals nur auf Erwägungsgründe oder Auszüge von Artikeln Bezug genommen. Bei Gesamtschau zeigt sich aber, dass der aktuelle Entwurf nicht nur die längst gelebte Praxis, sondern insbesondere auch die Entscheidungen der letzten Jahre und Guidelines der Datenschutzbehörden abbildet:

Pragmatischer, ausgewogener Zugang

So schafft der Entwurf keineswegs eine vorbehaltslose Möglichkeit zur Vorratsdatenspeicherung. Vielmehr wird konkretisiert, dass eine Datenspeicherung eine angemessene Maßnahme zur Verteidigung der öffentlichen Sicherheit darstellen kann, sofern dies notwendig und verhältnismäßig erfolgt. Das entspricht de facto der kürzlich veröffentlichten Entscheidung des EuGH, die der Vorratsdatenspeicherung entgegen dem medialen O-Ton keine vorbehaltslose Abfuhr erteilt hat (DORDA berichtete EuGH Entscheidung zur Vorratsdatenspeicherung | DORDA).

Auch untergräbt der Entwurf weder die datenschutzrechtliche Einwilligung noch die allgemeinen Grundsätze der DSGVO: Die Verordnung etabliert im Gegenteil erforderliche Voraussetzungen, um elektronische Kommunikationsdaten (Kommunikationsinhalte und -metadaten) und in Endeinrichtungen der Endnutzer gespeicherte Informationen (ua mit Einsatz von Cookies) rechtskonform zu verarbeiten und weitergeben zu können. Dabei wird auch sachgerecht zwischen Meta- und Inhaltsdaten unterschieden. Für letztere gelten weitaus strenge Regelungen und ist die Verarbeitung nur zum Zweck der Zurverfügungstellung des Service mit Einwilligung des Users möglich. Zusätzlich muss der Provider eine Datenschutzfolgenabschätzung durchführen. Bei Metadaten und in Endeinrichtungen der Endnutzer gespeicherte Informationen soll die Verarbeitung unter anderem zulässig sein, wenn die Informationen (i) für die Aufrechterhaltung und Wiederherstellung der Sicherheit oder (ii) für die Zurverfügungstellung des Dienstes/Services erforderlich sind. Dazu werden im ErwG 21aa beispielhaft journalistische Dienste erwähnt, die sich gänzlich oder teilweise über Werbeschaltung finanzieren. Für Cookie-Informationen wurde zudem eine zusätzliche Rechtsgrundlage der Reichweitenmessung eingeführt. Dies jedoch unter der Voraussetzung, dass die Daten nicht für die Erstellung eines Profils des Nutzers verwendet werden. Damit bietet die ePrivacy VO durchaus praxisnahe weitere Rechtsgrundlagen für Datenverarbeitungen. Zudem wird eines der dringlichsten Themen im Datenschutz europaweit einheitlich geregelt. Greifen die neuen Rechtsgrundlagen nicht, ist weiterhin eine Einwilligung der betroffenen Nutzer möglich bzw erforderlich.

Nicht nachvollziehbar ist auch der wiederholte Vorwurf, dass der Zweckbindungsgrundsatz der DSGVO ad absurdum geführt würde: Die aktuelle Regelung im Entwurf sieht vielmehr in Einklang mit Art 6 Abs 4 DSGVO vor, dass Daten unter bestimmten Voraussetzungen auch zu anderen Zwecken weiterverarbeitet werden dürfen, als sie erhoben wurden. Weiterhin ausgeschlossen bleiben Verarbeitungen, die auch schon ursprünglich auf einer Einwilligung basieren – wie bisher ist eine Zweckänderung in diesen Fällen nur mit Einwilligung möglich.

Ausdrücklich begrüßenswert ist auch die in ErwG 20aaaa festgehaltene Möglichkeit, Cookie-Pay-Walls zu implementieren. Auch in dem Fall spiegelt der Entwurf die praxisnahe Rechtsprechung wieder: Damit Cookie-Pay-Walls implementiert werden dürfen, muss der User eine echte Wahlmöglichkeit haben, den Dienst auch ohne den Einsatz von Cookies zu beziehen. Andererseits müssen ihm aber auch am Markt Alternativen zu dem Dienst zur Verfügung stehen. Somit werden etwaige Machtgefälle zwischen monopolistischen Anbietern und auf den spezifischen Dienst angewiesene User ausgeglichen.

Fazit und Ausblick

Aufgrund der Fülle an Rechtsunsicherheiten und der fehlenden Harmonisierung im Bereich der elektronischen Kommunikation sind die praxisnahen und vereinheitlichenden Regelungen des Entwurfs der ePrivacy-VO zu begrüßen. Damit wird ein sinnvoller Rechtsrahmen für den Einsatz von Cookies und die Verarbeitung von elektronischen Kommunikationsdaten geschaffen.

Trotz des Fortschrittes im Gesetzgebungsprozess ist es noch ein langer Weg, bis die ePrivacy-VO Rechtwirklichkeit wird. Der nächste wichtige Meilenstein ist nun die Trilogverhandlung zwischen dem Parlament, der Kommission und dem Europarat. Da die Positionen von Parlament und Ministerrat jedoch erfahrungsgemäß weit auseinanderliegen, sind noch weitere Überarbeitungen der ePrivacy-VO und inhaltliche Wendungen zu erwarten.

Aber auch bis dahin wird es rund um Spam und Cookies nicht langweilig: So ist in Österreich gerade das neue Telekommunikationsgesetz 2020 – in Umsetzung der EECC-Bestimmungen – auf dem Weg. Dieses regelt weiterhin ebenfalls Teilbereiche der ePrivacy-VO, nämlich Spam (sprachlich adaptiert) & Cookies (unverändert). Aber auch auf technischer Seite gibt es keinen Stillstand: Googles aktueller Vorstoß "Federated Learning of Cohorts" als (stärker anonymisierte) Alternative zur Cookie-Setzung ist bereits auf der Überholspur. Damit sollen zukünftig Cookies ersetzt werden können. Es bleibt offen, was früher kommt: Die finale Fassung der ePrivacy-VO oder die technische Revolution, die die Regelungen ad absurdem führen kann. So oder so, die DORDA-Datenschutzexperten werden Sie wie gewohnt auf dem Laufenden halten.