Am 5. Januar 2021 veröffentlichte der Rat unter dem portugiesischen Vorsitz einen neuen Entwurf der ePrivacy-Verordnung (der 14. Entwurf, um genau zu sein). Die Europäische Kommission nahm im Januar 2017 einen ersten Entwurf der ePrivacy-Verordnung an. Der Verordnungsentwurf wird seitdem im Rat erörtert. Der Entwurf erfolgt mit Blick auf die nächste Tagung der für den Entwurf der ePrivacy-Verordnung zuständigen Arbeitsgruppe.

Rückblick

Die ePrivacy-Verordnung hat eine bereits lange Entstehungs-, wenn nicht gar Leidensgeschichte: Am 12. Juli 2002 trat die Datenschutzrichtlinie für elektronische Kommunikation, 2002/58/EG in Kraft. Mit Inkrafttreten der DSGVO im Mai 2016 und deren Anwendung zwei Jahre später, ist der EU-Gesetzgeber verpflichtet, diesen Text anzupassen und in Übereinstimmung mit der DSGVO zu bringen. Gleich dem Modell der DSGVO soll auch dieses Regelwerk nicht mehr in nationales Recht umgewandelt werden müssen, sondern als Verordnung direkt für alle EU-Mitgliedstaaten anwendbar sein.

Das Ziel der ePrivacy-Richtlinie bzw. neu dann der ePrivacy-Verordnung besteht darin, die Privatsphäre der Endnutzer, die Vertraulichkeit ihrer Kommunikation und die Integrität ihrer Geräte zu schützen. Sie regelt die Anforderungen und Beschränkungen für öffentlich zugängliche Anbieter elektronischer Kommunikationsdienste («Dienstleister»), die Daten von natürlichen und juristischen Personen, die sich in der EU befinden «Endnutzer» verarbeiten oder darauf zugreifen. Seit der revidierten Fassung der Richtlinie im Jahr 2009, ist das wohl bekannteste Anwendungsbeispiel der ePrivacy-Regelungen jene über die Cookies: Die Speicherung von Cookies auf den Geräten der Endnutzer verlangt dies transparent darzustellen, praxisgemäss durch sog. Cookiebanner. Diese Pflicht wurde in verschiedenen Ländern der Mitgliedstaaten unterschiedlich umgesetzt, selbstredend immer unter Anwendung des nationalen Datenschutzrechts.

Mit der Verordnung sollen diese Anforderungen und Beschränkungen einheitlich in allen EU-Mitgliedstaaten gelten. Die EU-Mitgliedstaaten sind jedoch auch weiterhin in einem gewissen Masse befugt, den Anwendungsbereich dieser Anforderungen und Beschränkungen auf nationaler Ebene einzuschränken, wenn dies eine «notwendige, angemessene und verhältnismässige Massnahme in einer demokratischen Gesellschaft zur Wahrung eines oder mehrerer allgemeiner öffentlicher Interessen» ist.

Der 14. Entwurf der ePrivacy-Richtlinie im Detail

Der neuste Entwurf folgt weitgehend der Struktur, die von der vorangegangenen Rats-Präsidentschaft angenommen wurde und gliedert sich in die folgenden sieben Kapitel (E. 28-48):

• Kapitel 1 legt den materiellen, subjektiven und territorialen Anwendungsbereich des Verordnungsentwurfs fest (einschliesslich der Verpflichtung, einen Vertreter für Nicht-EU-Dienstleister zu ernennen), und definiert die in der Verordnung verwendeten Begriffe;
• Kapitel 2 enthält Anforderungen und Beschränkungen für den Zugriff auf Daten auf Geräten der Endnutzer(z.B. durch Cookies und Pixel) sowie zusätzliche Anforderungen und Beschränkungen für die Verarbeitung (1) elektronischer Kommunikationsinhalte, (2) Metadaten elektronischer Kommunikation, (3) Daten, die sich auf die Geräte der Endbenutzer beziehen (einschliesslich Software und Hardware); Kapitel 2 schränkt auch die Verwendung der Verarbeitungs- und Speicherfunktionen der Endbenutzergeräte ein;
• Kapitel 3 enthält Anforderungen und Beschränkungen für (1) nummernbasierte interpersonelle Kommunikationsdienste(z.B. öffentliche Telefoniedienste und Skype), einschließlich des Anbietens öffentlich zugänglicher Verzeichnisse und (2) Direktmarketing-Kommunikation(z.B. E-Mails und andere E-Nachrichten);
• In Kapitel 4 werden die für die Durchsetzung der Verordnung zuständigen Behörden und ihre Befugnisse aufgeführt;
• Kapitel 5 beschreibt Rechtsbehelfe, Haftung und Strafen;
• Kapitel 6 enthält Bestimmungen zu Delegtationsmöglichkeiten und Durchführungsrechten; und
• Kapitel 7 enthält die Schlussbestimmungen, insbesondere die Verkürzung der Übergangsfrist von 24 auf neu vorgeschlagen 12 Monate.

Inhaltlich hat sich portugiesische Ratsvorsitzende, gleich wie die vorangegangenen Ratspräsidentschaften, das Ziel vorgenommen, den Text redaktionell zu vereinfachen und ihn weiter an die DSGVO anzugleichen sowie die lex specialis-Beziehung der ePrivacy-Verordnung zur DSGVO widerzuspiegeln.

Zu den bemerkenswertesten Änderungsanträgen des portugiesischen Ratsvorsitzes gehören (Änderungen der einzelnen Artikel ab S. 57 ff.):

1. Erweiterung des territorialen Anwendungsbereichs des Verordnungsentwurfs, so dass er auch für die Verarbeitung personenbezogener Daten durch einen nicht in der EU niedergelassenen, aber niedergelassenen für die Verarbeitung Verantwortlichen gilt. Ziel sei es, den räumlichen Anwendungsbereich der ePrivacy-Verordnung vollständig an Artikel 3 Absatz 3 DSGVO anzugleichen (E. 30 und S. 60 ff.).
2. Hinzufügen der Definition von «Standortdaten» zum Verordnungsentwurf (E. 14 und S. 65).
3. Wiedereinführung von Bestimmungen, die die Verarbeitung elektronischer Kommunikationsdaten (einschliesslich Metadaten) für Zwecke erlauben, die mit dem/den ursprünglichen Zweck(en), für den die Daten erhoben wurden, vereinbar sind. Diese Bestimmung war vom kroatischen Ratsvorsitz (Januar bis Juni 2020) gestrichen worden (E. 8 und 17 ff. sowie insb. S. 58 ff.).
4. Einfügung des DSGVO-Verarbeitungsstandards für die «Vertragserfüllung» in die ePrivacy-Verordnung. Die frühere Fassung des Verordnungsentwurfs ermächtigte Dienstleister, elektronische Kommunikationsdaten ohne Einwilligung zu verarbeiten, um die Übermittlung der Kommunikation zu erreichen. Der portugiesische Entwurf ermächtigt Dienstleister, elektronische Kommunikationsdaten (und Metadaten) zum Zwecke der «Bereitstellung eines elektronischen Kommunikationsdienstes» zu verarbeiten. Nach Ansicht des portugiesischen Vorsitzes enthielt die frühere Fassung eine zu restriktive rechtmässige Grundlage, die nicht vollständig mit der DSGVO-Rechtsgrundlage übereinstimmte, welche die Datenverarbeitung für die Ausführung eines Vertrags nach Art. 6 Absatz 1 Buchstabe b DSGVO erlaube (E. 32 und 34 sowie S. 70 ff.).
5. Verpflichtung von Dienstleistern, anonymisierte statistische elektronische Kommunikationsdaten mit Dritten zu teilen, um eine Datenschutz-Folgenabschätzung durchzuführen und die Endnutzer über die geplanten Verarbeitungsvorgänge zu informieren. In der früheren Fassung des Entwurfs der ePrivacy-Verordnung enthielt keine Beschränkungen für die gemeinsame Nutzung anonymisierter statistischer elektronischer Kommunikationsdaten (E. 35 und S. 72 ff.).
6. Ermächtigen von Dienstleistern, auf Daten auf den Geräten der Endbenutzer zuzugreifen, wenn dies für die Ausführung eines Vertrags erforderlich ist. In der früheren Fassung des Verordnungsentwurfs wurden die Diensteanbieter ermächtigt, nur dann auf Daten auf den Geräten der Endnutzer zuzugreifen, wenn dies für die Vertragserfüllung technisch erforderlich ist. Das Wort «technisch» wurde gelöscht (E. 40 und S. 79). Das bedeutet die Möglichkeit Daten, wie von Cookies, auf dem Endgerät zu speichern, sofern dies zur Durchführung des Vertrags erforderlich ist, jedoch keine weitergehende «technische» Erforderlichkeit.

Ähnlich wie die ePrivacy-Richtlinie wird die ePrivacy-Verordnung Bestimmungen enthalten, die neben denen in der DSGVO für die Verarbeitung personenbezogener Daten gelten, die von Dienstleistern erhoben werden. Dies erklärt die Notwendigkeit, einige Bestimmungen der ePrivacy-Verordnung an die DSGVO anzugleichen. Die ePrivacy-Regeln sind jedoch umfassender als die der DSGVO, da sie nicht nur für die Verarbeitung personenbezogener Daten gelten, sondern sie gelten auch für die Verarbeitung elektronischer Kommunikationsdaten (und anderer Daten, die von den Geräten des Endnutzers erfasst werden), unabhängig davon, ob es sich um personenbezogene oder nicht personenbezogene Daten handelt. Dies hat die Schwierigkeit der Aufgabe des Rates erhöht, einerseits dafür zu sorgen, dass die ePrivacy-Verordnung mit der DSGVO im Einklang steht, andererseits sicherzustellen, dass (einige) der Bestimmungen für sich allein stehen und von der DSGVO unabhängig sind.

Dieser schwierige Spagat zeigte sich in früheren Entwürfen der ePrivacy-Verordnung und die zahlreichen Entwürfe: Die früheren Ratspräsidentschaften haben mal mehr mal weniger versucht, die ePrivacy-Richtlinie an die DSGVO anzugleichen. Sie konnten jedoch die anderen Mitgliedstaaten nicht von ihrer Ansicht überzeugen.

Wie es weiter geht

Ob der neuste Entwurf unter portugiesischer Feder die ePrivacy-Verordnung einen Schritt weiterbringt, ist noch nicht absehbar. Wir werden die Entwicklungen im EU-Rat weiterhin beobachten.

Olivier Heuberger