Geplante ePrivacy-Verordnung: Inkrafttreten bis auf Weiteres verzögert

Seit Beginn dieses Jahres wird in der Europäischen Union über Inhalt und Ausgestaltung der sogenannten ePrivacy-Verordnung diskutiert, die als Ergänzungswerk zur EU-Datenschutzgrundverordnung (DSGVO) essentielle Fragen zum Umgang mit personenbezogenen Daten bei der internetbasierten Kommunikation regeln, hierbei ein hohes Verbraucherschutzniveau etablieren und insbesondere strengere Maßstäbe für den Einsatz von Cookies aufstellen sollte. Aufgrund des erforderlichen Zusammenwirkens von EU und Mitgliedsstaaten und Schwierigkeiten bei der Findung gremiuminterner Verhandlungspositionen wird sich das ursprünglich für Mai 2018 geplante Inkrafttreten der Verordnung in ihrer finalen Fassung nun aber bis auf Weiteres verzögern.

I. Anwendungsbereich und Regelungsinhalt der ePrivacy-Verordnung

Die europäische ePrivacy-Verordnung ist als Ergänzungsakt und Spezialgesetz der zum 27.04.2016 erlassenen Datenschutzgrundverordnung für Bereiche der internetbasierten Kommunikation konzipiert und soll so spezifische Maßstäbe und Regeln für den Umgang mit personenbezogenen Daten für bestimmte Nutzungsbereiche des Internets wie den Mailverkehr, das Instant-Messaging, den Webseiten-Zugang und die Internettelefonie aufstellen. Als Verpflichtete werden hierbei die Anbieter dieser Dienste adressiert.

Als Verordnung wird das Konvolut der ePrivacy-Vorschriften nach ihrem Inkrafttreten ins sämtlichen EU-Mitgliedsstaaten unmittelbare rechtliche Anwendbarkeit für sich beanspruchen, ohne dass es individueller nationaler Umsetzungsgesetze bedürfte. In diesem Sinne soll die Verordnung die europäische ePrivacy-Richtlinie (auch „Cookie-Richtlinie“) 2002/58/EG vollständig ersetzen, um einerseits einen auf fortgeschrittene technische Datenverarbeitungsstandards zugeschnittenen Schutz der Privatsphäre des Einzelnen zu gewährleisten und um andererseits auf Umsetzungsfehler einzelner Mitgliedsstaaten zu reagieren, welche die Richtlinienbestimmung inkorrekt oder unzulänglich in nationalem Recht kodifiziert hatten.

Die wohl maßgeblichste und auch für den Online-Handel bedeutsamste Änderung wird die ePrivacy-Verordnung in Hinblick auf den zulässigen Einsatz von Cookies mit sich bringen, indem sie die datenschutzrechtlichen Anforderungen an rechtmäßiges Cookie-Tracking deutlich verschärft. Während derzeit in Deutschland noch die Bannerlösung dergestalt gilt, dass bei einem ausbleibenden Widerspruch des Nutzers gegen den Cookie-Einsatz auf einen Hinweis in Bannerform hin von dessen konkludenter Einwilligung in die Verwendung ausgegangen wird, wird die ePrivacy-Verordnung nach derzeitiger Fassung in Art. 8 das grundsätzliche Erfordernis einer ausdrücklichen, vor Beginn des Trackings einzuholenden Nutzereinwilligung etablieren. Ausnahmen von dieser Einwilligungslösung werden künftig nur noch unter strengen Voraussetzungen möglich sein.

Wahrscheinlich ist, dass die Verordnung ihrem Anwendungsbereich entsprechend die deutschen Regelungen der §§ 11 ff. des Telemediengesetzes (TMG) sowie den § 7 des UWG in Bezug auf Mail-Werbung verdrängen wird.

II. Verzögerungen durch Trilog-Schwierigkeiten

Bevor die ePrivacy-Verordnung in ihrer finalen Fassung im Amtsblatt der Europäischen Union verkündet und nach Ablauf einer Übergangsfrist in sämtlichen Mitgliedsstaaten in Kraft treten kann, ist nach dem europäischen Gesetzgebungsverfahren die Konsolidierung zwischen EU-Kommision, EU-Parlament und dem Ministerrat, bestehend aus Vertreten der 28 Mitgliedsstaaten erforderlich. Hierfür müssen sich die Organe wiederum intern auf eine gemeinsame Verhandlungsposition einigen, nach welcher der ursprüngliche Gesetzesentwurf modifiziert werden soll.

Der ambitionierte Plan, die ePrivacy-Verordnung zusammen mit der Datenschutzgrundverordnung zum 25.05.2018 in Kraft treten zu lassen, schien angesichts eines bereits im Januar dieses Jahres von der Kommission vorgelegten Entwurfs zunächst zwar noch realisierbar. Allerdings benötigte in der Folgezeit bereits das EU-Parlament für die Ausarbeitung einer Verhandlungsposition deutlich länger als vorgesehen und beschloss eine positionsanknüpfende abgeänderte Version mit 318 Für- und 280 Wider-Stimmen erst Ende Oktober.

Der nun mit der Einbringung seiner Position befasste Ministerrat wird ein Ergebnis bis zum Ende dieses Jahres nicht mehr erzielen und nach Auskunft des Bundeswirtschaftsministeriums somit wohl nicht vor dem Frühjahr 2018 eine abschließende Einigung herbeiführen können.

Unter Berücksichtigung der sich hieran erst noch anschließenden finalen Konsolidierungsverhandlungen und einer nunmehr vom Europaparlament angeregten Übergangsfrist von einem Jahr ist mit einem Inkrafttreten einer finalen, rechtsgültigen Fassung der ePrivacy-Verordnung nicht vor Mitte 2019 zu rechnen.

Über aktuelle Entwicklung im Gesetzgebungsverfahren zur ePrivacy-Verordnung wird die IT-Recht Kanzlei zeitnah berichten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.