Zahlreichen Berichten zufolge soll der Vorschlag für die neue e-Privacy-Verordnung gescheitert sein. Die EU-Kommission wolle bereits einen komplett neuen Vorschlag ausarbeiten. Zutreffend ist zwar, dass sich die zuständigen Justizminister im EU-Rat nach wie vor nicht auf eine gemeinsame Position einigen konnten. Diese wäre erforderlich, um Verhandlungen mit dem EU-Parlament und der EU-Kommission aufnehmen zu können. Deshalb von einem „Tod“ des Verordnungs-Entwurfs zu sprechen, ist jedoch verfrüht. Vielmehr sind nach wie vor sämtliche Optionen auf dem Tisch. Thierry Breton, als (neu) zuständiges Mitglied der EU-Kommission, betonte, er werde mit allen Beteiligten das Gespräch suchen, um herauszufinden, ob die Differenzen tatsächlich unüberwindbar seien. Er werde dabei alle Optionen in Betracht ziehen, auch die Ausarbeitung eines neuen Verordnungs-Entwurfs. Vorerst solle aber weiter auf der Basis der vorliegenden Entwürfe auf einen raschen Kompromissvorschlag hingearbeitet werden.

Erster Entwurf der e-Privacy-Verordnung bereits vor rund drei Jahren vorgestellt

Der Startschuss für die Neuregelung des Datenschutzes bei der elektronischen Kommunikation wurde am 10. Januar 2017 gelegt. An diesem Tag veröffentlichte die EU-Kommission ihren Verordnungs-Entwurf, der namentlich die bestehenden Vorschriften für den Einsatz von Cookies ersetzen soll (vgl. dazu MLL-News vom 9.2.2017). Der Entwurf sah weiterhin einen Opt-In-Grundsatz vor und enthielt Geldbussen von bis zu 20 Mio. EUR oder 4% des gesamten weltweiten Jahresumsatzes eines Unternehmens.

Im Oktober 2017 verabschiedete EU-Parlament seinen Standpunkt zum Entwurf. Dieser brachte in mehreren Punkten eine Verschärfung (vgl. MLL-News vom 2.12.2017). So werden darin bspw. „Cookie-Walls“ explizit verboten, sodass die Koppelung des Zugriffs auf eine Website an die Einwilligung in den Einsatz von technisch nicht notwendigen Cookies stets unzulässig wäre. Des Weiteren sollen auch nach Ansicht des EU-Parlaments die Browser-Anbieter zur Einhaltung des Prinzips Privacy by Default verpflichtet werden. Nach dem Entwurf des EU-Parlaments müsste die Ablehnung von Third-Party-Cookies ferner als Standard/Default-Einstellung vorgesehen werden.

Darüber hinaus ist in den Entwürfen auch für andere Nutzungen von elektronischen Kommunikationsdaten ein Verbotsgrundsatz vorgesehen. Betroffen von den Entwürfen sind insofern namentlich auch das Offline-Tracking oder das Internet of Things. Vor diesem Hintergrund sorgten die Vorschläge für viel Kritik und waren stark umstritten.

Stillstand im EU-Rat – nach wie vor keine gemeinsame Position

Im EU-Rat wurde in der Folge versucht, den Kritikpunkten Rechnung zu tragen. Über mehrere EU-Ratspräsidentschaften hinaus sind jedoch sämtliche Bemühungen, eine gemeinsame Position zu finden, gescheitert. Der finnische Rats-Vorsitz, der Ende 2019 von Kroatien abgelöst wird, schlug in den vergangenen Monate zahlreiche neue Entwürfe vor (vgl. zuletzt den Entwurf vom 8. November 2019). Darin waren auch liberalere Regelungen enthalten, welche bspw. dem Anliegen hätten Rechnung tragen sollen, dass gewisse Online-Dienste auf eine Werbefinanzierung und den Einsatz von Cookies und ähnlichen Tracking-Technologien angewiesen sind.

In einer Sitzung vom 22. November 2019 des vorberatenden Ausschusses der Ständigen Vertreter der Mitgliedstaaten (AStV; „Coreper“) konnte einmal mehr kein gemeinsamer Standpunkt gefunden werden, berichtete eine Pressesprecherin des finnischen Ratsvorsitzes auf Twitter. Der Kompromissvorschlag, der den zuständigen Justizministern im EU-Rat mit Blick auf die Festlegung einer „allgemeinen Ausrichtung“ hätte vorgelegt werden sollen, fand insofern keine ausreichende Unterstützung im AStV. Aus diesem Grund wurde unter der Verantwortung des Vorsitzes ein Fortschrittsbericht zuhanden der Justizminister erstellt, der an der Tagung vom 3. Dezember 2019 zur Kenntnis genommen wurde. In der Folge verkündeten zahlreiche Medien und Websites das Scheitern des Rechtssetzungs-Projekts (vgl. z.B. heise.de). Es bestehe nicht einmal ein kleinster gemeinsamer Nenner. Zahlreiche Staaten, darunter Deutschland, sahen im Entwurf eine Gefahr für die Innovationen in der datengetriebenen Wirtschaft. Ausgehend davon wolle Thierry Breton, als (neu) zuständiges Mitglied der EU-Kommission, einen komplett neuen Verordnungsentwurf ausarbeiten.

Wie weiter? Nach wie vor alle Optionen auf dem Tisch

Ein Blick in die anschliessende Pressekonferenz zeigt jedoch ein anderes, weniger radikales Bild. Darin bekräftigt Breton, dass nach wie vor sämtliche Optionen auf dem Tisch seien. Von einem Scheitern der Vorlage kann insofern (noch) nicht gesprochen werden. Vielmehr will Breton mit allen Beteiligten das Gespräch suchen, um herauszufinden, ob die Differenzen tatsächlich unüberwindbar sind. Er werde dabei alle Optionen in Betracht ziehen, auch die Ausarbeitung eines neuen Verordnungs-Entwurfs. Vorerst solle aber weiter auf der Basis der vorliegenden Entwürfe auf einen raschen Kompromissvorschlag hingearbeitet werden. Die zukünftige Regelung für den Datenschutz in der elektronischen Kommunikation ist insofern nach wie vor unklar.

Bis auf Weiteres sind demnach beim Einsatz von Cookies und anderen Tracking-Technologien nach wie vor die geltenden Regelungen der EU-DSGVO sowie die nationalen Umsetzungserlasse der e-Privacy-Richtlinie zu beachten (vgl. hierzu z.B. MLL-News vom 10.9.2019). Hierbei bekräftigte nicht zuletzt ein Grundsatz-Urteil des Europäischen Gerichtshofs (EuGH) im Fall „Planet49“, dass bereits jetzt ein strenger Opt-In-Grundsatz gilt (vgl. MLL-News vom 25.10.2019). Mit anderen Worten dürfen Werbe-Cookies nur nach einer aktiven Einwilligung der Nutzer eingesetzt werden. Dass aber auch nach diesem Urteil weiterhin nationale Unterschiede bestehen, veranschaulicht unter anderem die unklare Rechtslage in Deutschland sowie die Bussgeld-Entscheidung der spanischen Datenschutzbehörde in Sachen „Vueling“. Mit diesen Unterschieden werden sich alle Beteiligten auch weiterhin auseinandersetzen müssen.

Weitere Informationen: