ePrivacy

ePrivacy-Verordnung – Entwurf

Photo by Quino Al on Unsplash
Verkehrsampel zeigt rotes Licht.

Achtung: Zum derzeitigen Zeitpunkt ist nicht abzusehen, ob die geplante Verordnung in absehbarer Zeit beschlossen wird und welche konkrete Ausgestaltung sie am Ende des Verfahrens erhalten wird.

 

Entwurf einer EU-Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (ePrivacy-VO)

 

Adressat: Die sich derzeit noch im europäischen Gesetzgebungserfahren befindliche Verordnung über Privatsphäre und elektronische Kommunikation soll die in der europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, in Kraft seit 25. Mai 2018; DSGVO) festgelegten allgemeinen Vorschriften bezüglich elektronischer Kommunikationsdaten ergänzen sowie präzisieren, vgl. Art. 1 Abs. 3 ePrivacy-VO-E. Folge dessen werden die Bestimmungen der ePrivacy-VO ab ihrer Geltung spezieller (das heißt als lex specialis) und damit in ihrem Anwendungsbereich vorrangig zur DSGVO sein. Den im Folgenden erläuterten Entwurf veröffentlichte die Europäische Kommission (kurz: Kommission) am 10. Januar 2017. Gegenstand dieses Verordnungsentwurfs – und damit wohl auch der finalen ePrivacy-VO – ist die Festlegung von Vorschriften zum Schutz von Grundrechten und Grundfreiheiten natürlicher und juristischer Personen bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste (Art. 1 Abs. 1 ePrivacy-VO-E). Regelungsgegenstand sind hierbei insbesondere die Rechte auf Achtung des Privatlebens und der Kommunikation sowie der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Diese Maxime sind im Zusammenhang mit Art. 7 der Charta der Grundrechte der Europäischen Union zu sehen, welcher das Grundrecht aller Menschen auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Kommunikation schützt. Denn namentlich die Achtung der Privatsphäre in der Kommunikation ist ein wesentlicher Aspekt dieses Rechts (Erwägungsgrund 1 ePrivacy-VO-E). Die Vertraulichkeit der zwischen den Beteiligten anlässlich elektronischer Kommunikation ausgetauschter Informationen sowie externer Elemente muss insoweit für alle gegenwärtigen und künftigen Kommunikationsmittel gewährleistet sein. Ausweislich Art. 2 Abs. 1 ePrivacy-VO-E soll die Verordnung sowohl für die Verarbeitung elektronischer Kommunikationsdaten, als auch für Informationen in Bezug auf die Endeinrichtungen der Endnutzer gelten. Ausdrücklich nicht dem sachlichen Anwendungsbereich unterfallen hingegen (unter anderem) all jene Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen sowie elektronische Kommunikationsdienste, die nicht öffentlich zugänglich sind (Art. 2 Abs. 2 lit. a und c ePrivacy-VO-E). Räumlich erfasst werden soll gemäß Art. 3 ePrivacy-VO-E die Bereitstellung elektronischer Kommunikationsdienste für Endnutzer in der Union – und zwar unabhängig davon, ob vom Endnutzer eine Bezahlung verlangt wird. Dem Anwendungsbereich der künftigen Verordnung unterworfen wird ferner die Nutzung dieser Dienste und der Schutz von Informationen in Bezug auf die Endeinrichtungen der Endnutzer in der Union. Nachdem sich die für Kommunikationszwecke genutzten Diente und die technischen Mittel beträchtlich weiterentwickelt haben, namentlich herkömmliche Übermittlungsdiente für Sprachtelefonie, Textnachrichten oder E-Mail von funktional gleichwertigen Online-Diensten (etwa VoIP-Telefonie oder Massaging) abgelöst werden, sind (auch) diese Dienste nunmehr (dringend) regelungsbedürftig (vgl. Erwägungsgrund 11 ePrivacy-VO-E). Überdies werden bei der Übermittlung von Kommunikationsvorgängen zwischen Maschinen zunehmend Signale übertragen, die regelmäßig als elektronischer Kommunikationsdient einzuordnen sind. Mit dem Ziel, den vollständigen Schutz der Rechte auf Privatsphäre und Vertraulichkeit der Kommunikation zu gewährleisten sowie ein vertrauenswürdiges und sicheres Internet der Dinge im digitalen Binnenmarkt zu gewährleisten, soll die ePrivacy-VO ausdrücklich (vgl. Erwägungsgrund 12 ePrivacy-VO-E) auch für die Übermittlung von Maschine-Maschine-Kommunikation gelten. Des Weiteren stellt Erwägungsgrund 13 des Verordnungsentwurfs klar, dass etwa sogenannte Hotspots der Regelungsmaterie unterfallen sollen, nicht aber geschlossene Gruppen von Endnutzern (zum Beispiel Unternehmensnetze), bei denen lediglich Angehörigen der jeweiligen Gruppe Zugang gewährt wird. Zu beachten ist, dass der Vorschlag der Kommission keine besonderen Bestimmungen bzgl. der Vorratsdatenspeicherung enthält, weshalb es den Mitgliedstaaten (weiterhin) freisteht, den nationalen Rahmen hierfür zu schaffen (vgl. Abs. 1.3 der Begründung zum Entwurf der ePrivacy-VO). Nicht erfasst werden überdies die Tätigkeiten der Organe, Einrichtungen und sonstigen Stellen der Europäischen Union.

Resümierend soll die ePrivacy-VO den freien Verkehr elektronischer Kommunikationsdaten und elektronischer Kommunikationsdienste in der Union gewährleisten (Art. 1 Abs. 2 ePrivacy-VO-E). Selbiger darf aus Gründen der Achtung des Privatlebens und der Kommunikation natürlicher sowie juristischer Personen und des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder beschränkt noch untersagt werden (Art. 1 Abs. 2 ePrivacy-VO-E).

Wenngleich sich die Grundsätze und relevantesten Bestimmungen der Richtlinie 2002/58/EG vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) zwar im Allgemeinen bewährt haben, so bedarf es angesichts der fortschreitenden Technik einer gesetzlichen Anpassung (vgl. Erwägungsgrund 6 ePrivacy-VO-E). Nachdem es sich bei der vorliegenden Neuregelung um eine europäische Verordnung handelt, gilt sie ab ihrem Inkrafttreten in sämtlichen europäischen Mitgliedstaaten verbindlich und unmittelbar, mithin gewährleistet sie grenzüberschreitend ein einheitliches Schutzniveau. Ein nationaler Umsetzungsakt ist demgemäß (anders als bei europäischen Richtlinien) nicht erforderlich. Hierdurch soll eine unterschiedliche Auslegung in den Mitgliedstaaten vermieden werden. Allerdings sieht der Verordnungsentwurf vor, dass die Mitgliedstaaten – in klaren Grenzen – abweichende bzw. ergänzende Regelungen treffen dürfen (vgl. etwa Art. 11 und Art. 23 Abs. 6 ePrivacy-VO-E; zu diesem Ermessensspielraum vgl. auch Erwägungsgrund 7 ePrivacy-VO-E). Ihren Vorschlag stützt die Kommission insbesondere auf Art. 16 und 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV). Art. 16 Abs. 2 AEUV ist insoweit eine besondere Rechtsgrundlage zum Erlass von Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten; Art. 114 AEUV dient der Rechtsangleichung. Die Datenschutzrichtlinie für elektronische Kommunikation soll daher aufgehoben und durch die ePrivacy-VO ersetzt werden, Art. 27 ePrivacy-VO-E. Während ursprünglich vorgesehen war, die ePrivacy-VO – gemeinsam mit der DSGVO – am 25. Mai 2018 in Kraft treten zu lassen, ist gegenwärtig nicht absehbar, wann die Verordnung verabschiedet werden wird. Im Rahmen des sogenannten ordentlichen europäischen Gesetzgebungsverfahrens sind, nach Einbringen des Entwurfs seitens der Kommission, noch das Europäische Parlament und der Rat der Europäischen Union (vgl. die Entwurfsfassungen vom 12. Juli 2019, vom 18. September 2019 sowie vom 4. Oktober 2019) beteiligt.

Relevante Normen: Art. 3 Abs. 2 bis 5; Art. 4; Art. 5; Art. 6; Art. 7; Art. 8; Art. 9; Art. 10; Art. 11; Art. 12; Art. 13; Art. 14; Art. 15; Art. 16; Art. 17; Art. 18; Art. 21; Art. 22; Art. 23; Art. 24; Art. 25

Regelungsgehalt:

Der Verordnungsentwurf der Kommission gliedert sich in sieben (hier nummeriert als I – VII) Kapitel, wobei Kapitel I allgemeine Bestimmungen enthält, Kapitel II den Schutz der elektronischen Kommunikation natürlicher sowie juristischer Personen und der in ihren Endeinrichtungen gespeicherten Informationen regelt und Kapitel III die Rechte natürlicher und juristischer Personen in Bezug auf die Kontrolle über ihre elektronische Kommunikation normiert. Regelungen die unabhängigen Aufsichtsbehörden und die Durchsetzung betreffend enthält Kapitel IV; Rechtsbehelfe, Haftung und Sanktionen sind Gegenstand von Kapitel V. Die Befugnis zum Erlass delegierter Rechtsakte und Durchführungsrechtsakte bemisst sich nach Kapitel VI. „Schlussbestimmungen“ finden sich in Kapitel VII.

Sofern der Betreiber eines elektronischen Kommunikationsdienstes nicht in der Union niedergelassen ist, muss er schriftlich einen Vertreter in der Union benennen, der in einem der Mitgliedstaaten niedergelassen ist, in denen sich die Endnutzer dieser elektronischen Kommunikationsdienste befinden (Art. 3 Abs. 2 und 3 ePrivacy-VO-E). Dieser Vertreter muss für die Zwecke der Gewährleistung der Einhaltung der künftigen ePrivacy-VO befugt sein, zusätzlich zu dem von ihm vertretenen Betreiber oder an dessen Stelle Fragen zu beantworten und Auskünfte zu erteilen, Art. 3 Abs. 4 ePrivacy-VO-E. Letzteres erstreckt sich auf alle Belange im Zusammenhang mit der Verarbeitung elektronischer Kommunikationsdaten. Ausweislich Art. 3 Abs. 5 ePrivacy-VO-E hat die Benennung eines Vertreters nach Abs. 2 keine Haftungsfreistellung des Betreibers eines elektronischen Kommunikationsdienstes zur Folge.

Die zum Zwecke der Verordnung geltenden (ergänzenden) Begriffsbestimmungen enthält Art. 4 ePrivacy-VO-E. Insoweit finden sich in Abs. 3 beispielsweise Definitionen zu elektronischen Kommunikationsdaten (lit. a), elektronischen Kommunikationsinhalten (lit. b), dem Begriff der E-Mail (lit. e), dem der Direktwerbung (lit. f) sowie für automatische Anruf- und Kommunikationssysteme (lit. h). Im Übrigen werden gemäß Art. 4 Abs. 1 ePrivacy-VO-E die Begrifflichkeiten der Verordnung (EU) 2016/679 (lit. a), einzelne (enumerativ genannte) Begriffsbestimmungen der Richtlinie über den europäischen Kodex für die elektronische Kommunikation (lit. b; beachte hierzu auch Art. 4 Abs. 2 ePrivacy-VO-E) sowie die Bestimmungen für Endeinrichtungen in Art. 1 Nr. 1 der Richtlinie 2008/63/EG der Kommission für anwendbar erklärt. Entsprechend des aus Erwägungsgrund 14 zu entnehmenden Ziels des Entwurfsverfassers, den Begriff der „elektronische Kommunikationsdaten“ hinreichend breit und technologieneutral zu definieren, soll dieser sowohl alle Informationen hinsichtlich der übermittelten oder ausgetauschten Inhalte (elektronische Kommunikationsinhalte) als auch solche bezüglich der Endnutzer von elektronischen Kommunikationsdiensten erfassen, die zum Zwecke der Übermittlung, Verbreitung oder Ermöglichung des Austauschs elektronischer Kommunikationsinhalte verarbeitet werden.

Nachdem elektronische Kommunikationsdaten in hohem Maße vertraulich sind, untersagt Art. 5 ePrivacy-VO-E Eingriffe in selbige Daten (etwa in Form von Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens oder Überwachens oder Verarbeitens elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer), sofern sie nicht durch die Verordnung selbst erlaubt werden (sogenanntes Verbot mit Erlaubnisvorbehalt).

Die insoweit erlaubte Verarbeitung elektronischer Kommunikationsdaten ist allem voran Art. 6 Absätze 1 bis 3 ePrivacy-VO-E zu entnehmen. Danach dürfen Betreiber elektronischer Kommunikationsnetze und -dienste entsprechende Daten – jeweils für die dazu erforderliche Dauer – verarbeiten, wenn dies zur Durchführung der Übermittlung der Kommunikation, zur Aufrechterhaltung bzw. Wiederherstellung der Sicherheit elektronischer Kommunikationsnetze und -dienste oder zur Erkennung von technischen Defekten und Fehlern bei der Übermittlung der elektronischen Kommunikation nötig ist. Die Verarbeitung elektronischer Kommunikationsmetadaten ist erlaubt, sofern dies zur Einhaltung verbindlicher Dienstqualitätsanforderungen, zur Rechnungstellung, zur Berechnung von Zusammenschaltungszahlungen, zur Erkennung oder Beendigung betrügerischer oder missbräuchlicher Nutzungen elektronischer Kommunikationsdienste oder der diesbezüglichen Verträge nötig ist, oder der betreffende Endnutzer seine Einwilligung zur Verarbeitung seiner Kommunikationsmetadaten für einen oder mehrere bestimmte Zwecke gegeben hat. Darüber hinaus dürfen Betreiber elektronischer Kommunikationsdienste elektronische Kommunikationsinhalte zum alleinigen Zweck der Bereitstellung eines bestimmten Dienstes für einen einwilligendenEndnutzer verarbeiten, wenn die Dienstleistung ohne Verarbeitung dieser Inhalte nicht erbracht werden kann. Selbiges gilt, wenn alle betreffenden Endnutzer ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben haben, die durch eine Verarbeitung anonymisierter Informationen nicht erreicht werden können, und wenn der Betreiber hierzu die Aufsichtsbehörde (vgl. hierzu Art. 36 Absätze 2 und 3 DSGVO) konsultiert hat.

Unter Bezugnahme auf die im Einzelfall erlaubte Verarbeitung nach Art. 6 ePrivacy-VO-E normiert Art. 7 ePrivacy-VO-E detaillierte Vorgaben hinsichtlich der Speicherung und Löschung (bzw. Anonymisierung) elektronischer Kommunikationsdaten.

Sowohl die Endeinrichtungen der Endnutzer elektronischer Kommunikationsnetze selbst, als auch alle mit deren Nutzung zusammenhängenden Informationen, sind Teil der Privatsphäre der Endnutzer (Erwägungsgrund 20 ePrivacy-VO-E). Als solche unterliegt sie dem Schutz europäischen Grundrechte-Charta sowie der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten. Deshalb normiert Art. 8 Abs. 1 ePrivacy-VO-E, dass jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer grundsätzlich untersagt ist. Im Einzelfall erlaubt ist sie nach Art. 8 Abs. 1 lit. a bis d ePrivacy-VO-E nur dann, wenn sie entweder für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig ist (lit. a) oder der Endnutzer seine Einwilligung gegeben hat (lit. b). Ferner sofern sie für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft (lit. c) oder für die Messung des Webpublikums nötig ist, falls der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt (lit. d). Gleichwohl ist die Erhebung von Informationen, die von Endeinrichtungen ausgesendet werden, um sich mit anderen Geräten oder mit Netzanlagen verbinden zu können, grundsätzlich untersagt (Art. 8 Abs. 2 ePrivacy-VO-E). Ausnahmen hiervon bestehen für den Fall, dass die Informationserhebung ausschließlich zum Zwecke der Herstellung einer Verbindung und für die dazu erforderliche Dauer erfolgt (lit. a) oder in hervorgehobener Weise ein deutlicher Hinweis angezeigt wird, der zumindest Auskunft über die Modalitäten der Erhebung, ihren Zweck, die dafür verantwortliche Person und die anderen nach Art. 13 DSGVO verlangten Informationen gibt, soweit personenbezogene Daten erfasst werden (lit. b). Überdies ist im Rahmen des Rechtfertigungsgrundes des Abs. 2 lit. b der Norm darüber zu informieren (namentlich in Kombination mit seitens der Kommission definierter standardisierter Bildsymbole, Art. 8 Abs. 3 und 4 in Verbindung mit Art. 27 [delegierte Rechtsakte] ePrivacy-VO-E), was der Endnutzer der Endeinrichtung tun kann, um die Erhebung zu beenden oder auf ein Minimum zu beschränken. Jedenfalls aber setzt die Erhebung solcher Informationen die Anwendung geeigneter technischer und organisatorischer Maßnahmen voraus, die ein dem Risiko angemessenes Schutzniveau nach Art. 32 DSGVO gewährleisten.

Mit Blick auf das bestehende Interesse von Unternehmen, Verbrauchern und der gesamten Gesellschaft an der Verarbeitung elektronischer Kommunikationsdaten, erweitert die ePrivacy-VO (gegenüber der Richtlinie 2002/58/EG) die Möglichkeiten der Betreiber elektronischer Kommunikationsdienste, elektronische Kommunikationsmetadaten mit Einwilligung der Endnutzer zu verarbeiten (Erwägungsgrund 17 ePrivacy-VO-E). Hinsichtlich der Begriffsbestimmungen und Voraussetzungen einer wirksamen Einwilligung verweist Art. 9 Abs. 1 ePrivacy-VO-E auf Art. 4 Nr. 11 und Art. 7 DSGVO. Ergänzend kann die Einwilligung für die Zwecke des Art. 8 Abs. 1 lit. b ePrivacy-VO-E, soweit dies technisch möglich ist, in den passenden technischen Einstellungen einer Software, die den Zugang zum Internet ermöglicht, erteilt werden, Art. 9 Abs. 2 ePrivacy-VO-E. Gemäß Art. 9 Abs. 3 ePrivacy-VO-E wird nach Art. 6 Abs. 2 lit. c und Abs. 3 lit. a und b ePrivacy-VO-E einwilligenden Endnutzern die jederzeitige Widerrufsmöglichkeit ihrer Einwilligung (Art. 7 Abs. 3 DSGVO) gewährt. Hieran sind die Betroffenen in regelmäßigen Abständen von sechs Monaten zu erinnert, solange die Verarbeitung andauert. Näheres zur Thematik der „Einwilligung“ ist allem voran den Erwägungsgründen 17 ff. zu entnehmen. Ausweislich Erwägungsgrund 21 sind Ausnahmen von der verpflichtenden Einholung einer Einwilligung auf Situationen zu beschränken, in denen entweder kein oder jedenfalls nur ein geringfügiger Eingriff in die Privatsphäre stattfindet. Hierunter zu subsumieren ist etwa das Speichern von Cookies für die Dauer einer für den Besuch einer Website einmal aufgebauten Sitzung. Bei der Bereitstellung von Informationen bzw. der Einholung der Einwilligung des Endnutzers sollte auch der Aspekt der Benutzerfreundlichkeit von zentraler Bedeutung sein. Eine Überhäufung der Endnutzer mit Einwilligungsanfragen (Stichwort: allgegenwärtige Einwilligung in die Speicherung von Verfolgungs-Cookie) plant der Verordnungsentwurf zu vermeiden (vgl. Erwägungsgrund 22 ePrivacy-VO-E). Zukünftig soll es möglich sein, die Einwilligung durch entsprechende Einstellungen, beispielsweise allgemein in einem Browser zu erteilen. Diese endnutzerseitige Auswahl wird sodann für Dritte verbindlich und ihnen gegenüber durchsetzbar sein. Ergänzende Ausführungen den Bereich der „Cookies“ betreffend sind in Erwägungsgrund 23 (hier: Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellung, vgl. Art. 25 DSGVO) und 24 (hier: Gestaltung der Webbrowser zur Einholung der Einwilligung) zu finden.

Bereitzustellende Informationen und Einstellungsmöglichkeiten zur Privatsphäre sind Gegenstand des Art. 10 ePrivacy-VO-E. Danach muss in Verkehr gebrachte Software, die eine elektronische Kommunikation erlaubt, die Möglichkeit bieten zu verhindern, dass Dritte Informationen in der Endeinrichtung eines Endnutzers speichern oder bereits in der Endeinrichtung gespeicherte Informationen verarbeiten. Bei der Installation dieser Software muss dieselbe den Endnutzer über die Einstellungsmöglichkeiten zur Privatsphäre informieren sowie zur Fortsetzung der Installation dessen Einwilligung zu einer Einstellung verlangen. Die gesetzgeberische Intension dieser Regelung wird durch Lektüre des Erwägungsgrundes 25 ePrivacy-VO-E deutlich:

Für den Zugang zu elektronischen Kommunikationsnetzen ist es erforderlich, dass regelmäßig bestimmte Datenpakete ausgesendet werden, um eine Verbindung zum Netz oder mit anderen Geräten im Netz zu erkennen oder aufrecht zu erhalten. Darüber hinaus muss den Geräten eine eindeutige Adresse zugewiesen sein, damit sie in diesem Netz identifizierbar sind. In ähnlicher Weise sehen auch die Normen für auf Drahtlos- und Funkzellentechnik beruhende Telefonie ein Aussenden aktiver Signale vor, die eindeutige Kennungen wie eine MAC-Adresse, die IMEI (internationale Mobilfunkgerätekennung), die IMSI (internationale Mobilfunk-Teilnehmerkennung) usw. enthalten. Eine einzelne Drahtlos-Basisstation (d. h. ein Sender und Empfänger) wie beispielsweise ein Drahtlos-Zugangspunkt deckt einen bestimmten Bereich ab, in dem solche Informationen erfasst werden können. Es gibt inzwischen Diensteanbieter, die aufgrund gescannter gerätebezogener Informationen Verfolgungsdienste mit verschiedenartigen Funktionsmerkmalen anbieten, darunter die Zählung von Personen, die Bereitstellung von Daten über die Zahl der in einer Schlange wartenden Personen, die Ermittlung der Personenzahl in einem bestimmten Gebiet usw. Diese Informationen können zu Zwecken verwendet werden, die stärker in die Privatsphäre eingreifen, wie das Übermitteln gewerblicher Werbenachrichten mit persönlich angepassten Angeboten an Endnutzer, wenn diese beispielsweise ein Ladengeschäft betreten. Während einige dieser Funktionsmerkmale keine große Gefahr für die Privatsphäre mit sich bringen, sind andere durchaus bedenklich, z. B. solche, die mit der Verfolgung einzelner Personen über einen längeren Zeitraum verbunden sind (u. a. wiederholte Besuche an bestimmten Orten). Anwender solcher Praktiken sollten am Rand des betroffenen Bereichs in hervorgehobener Weise Hinweise anzeigen, mit denen die Endnutzer vor Betreten des Bereichs darüber aufgeklärt werden, dass entsprechende Technik in einem bestimmten Umkreis im Einsatz ist, aber auch über den Zweck der Verfolgung, die dafür verantwortliche Person und darüber, was der Endnutzer der Endeinrichtung tun kann, um die Datenerhebung zu beenden oder auf ein Minimum zu beschränken.

Unter den Voraussetzungen des Art. 11 Abs. 1 ePrivacy-VO-E können die Union oder die Mitgliedstaaten im Wege von Gesetzgebungsmaßnahmen den Umfang der in den Artikeln 5 bis 8 ePrivacy-VO-E festgelegten Pflichten und Rechte beschränken. Auf der Grundlage einer nach Abs. 1 des Artikel 11 ePrivacy-VO-E erlassenen Gesetzgebungsmaßnahme richten die Betreiber elektronischer Kommunikationsdienste entsprechend den Vorgaben des Abs. 2 der Norm interne Verfahren zur Beantwortung von Anfragen auf Zugang zu elektronischen Kommunikationsdaten von Endnutzern ein. Insoweit stellen diese Betreiber der zuständigen Aufsichtsbehörde auf Anfrage Informationen über diese Verfahren, die Zahl der eingegangenen Anfragen, die vorgebrachten rechtlichen Begründungen und ihre Antworten zur Verfügung.

Mit der Anzeige der Rufnummer des Anrufers und des Angerufenen sowie deren Unterdrückung befasst sich Art. 12 ePrivacy-VO-E, der gemeinsam mit den Artikeln 13 bis 17 das dritte Kapitel – Rechte natürlicher und juristischer Personen in Bezug auf die Kontrolle über ihre elektronische Kommunikation – der künftigen Verordnung bilden soll. Wird die Anzeige der Rufnummer des Anrufers und des Angerufenen im Einklang mit Art. 107 der Richtlinie über den europäischen Kodex für die elektronische Kommunikation („Angebotspakete“) angeboten, stellen die Betreiber öffentlich zugänglicher nummerngebundener interpersoneller Kommunikationsdienste Folgendes bereit: für den anrufenden Endnutzer die Möglichkeit, die Anzeige seiner Rufnummer für einen einzelnen Anruf, für eine bestimmte Verbindung oder dauerhaft zuverhindern; für den angerufenen Endnutzer die Möglichkeit, die Rufnummernanzeige für eingehende Anrufe zu verhindern; für den angerufenen Endnutzer die Möglichkeit, eingehende Anrufe, bei denen die Rufnummernanzeige durch den anrufenden Endnutzer verhindert wurde, abzuweisen sowie für den angerufenen Endnutzer die Möglichkeit, die Anzeige seiner Rufnummer beim anrufenden Endnutzer zu verhindern, Art. 12 Abs. 1 lit. a bis d ePrivacy-VO-E. Sämtliche der in Abs. 1 genannten Möglichkeiten sollen den Endnutzern insoweit auf einfache Weise und kostenlos bereitgestellt werden (Art. 12 Abs. 2 ePrivacy-VO-E). Ausweislich Art. 12 Abs. 3 ePrivacy-VO-E wird Abs. 1 lit. a auch für aus der Union abgehende Anrufe in Drittländer, Abs. 1 lit. b, c und d auch für aus Drittländern eingehende Anrufe gelten. Für den Fall, dass die Anzeige der Rufnummer des Anrufers oder des Angerufenen angeboten wird, geben die Betreiber öffentlich zugänglicher nummerngebundener interpersoneller Kommunikationsdienste der Öffentlichkeit Informationen über die in Abs. 1 lit. a bis d genannten Möglichkeiten, Art. 12 Abs. 4 ePrivacy-VO-E.

Ausnahmen zu den gesetzlichen Vorgaben des Artikel 12 normiert Art. 13 ePrivacy-VO-E, wonach es in Sonderfällen gerechtfertigt ist, die Rechte der Endnutzer auf Privatsphäre in Bezug auf die Rufnummernanzeige einzuschränken (vgl. Erwägungsgrund 28 ePrivacy-VO-E). Danach sind die Betreiber öffentlich zugänglicher nummerngebundener interpersoneller Kommunikationsdienste bei Anrufen bei Notdiensten (beispielsweise eCall) berechtigt (möglicherweise auch verpflichtet), die Unterdrückung der Rufnummernanzeige und eine verweigerte oder fehlende Einwilligung eines Endnutzers in die Verarbeitung von Metadaten anschlussbezogen für Einrichtungen, die Notrufe bearbeiten, einschließlich der Notrufabfragestellen, zum Zwecke der Beantwortung dieser Anrufe zu übergehen – und zwar ungeachtet dessen, ob der anrufende Endnutzer die Anzeige seiner Rufnummer verhindert hat, Art. 13 Abs. 1 ePrivacy-VO-E.

Gemäß Art. 13 Abs. 2 ePrivacy-VO-E obliegt es den Mitgliedstaaten spezifischere Bestimmungen in Bezug auf die Einrichtung von Verfahren und die Umstände fest zu legen, unter denen Betreiber öffentlich zugänglicher nummerngebundener interpersoneller Kommunikationsdienste die Unterdrückung der Anzeige der Rufnummer des Anrufers vorrübergehend aufheben sollen, wenn Endnutzer beantragen, dass böswillige oder belästigende Anrufe zurückverfolgt werden.

Ferner sieht der Verordnungsentwurf in Artikel 14 Abs. 1 vor, dass Betreiber öffentlich zugänglicher nummerngebundener interpersoneller Kommunikationsdienste Maßnahmen treffen, die dem Stand der Technik entsprechen, um den Erhalt unerwünschter Anrufe durch Endnutzer zu beschränken. Technisch kann dies auf unterschiedliche Weisen geschehen, etwa durch Sperren stiller Anrufe und anderer betrügerischer und belästigender Anrufe, wobei die entsprechenden Betreiber nach Erwägungsgrund 29 ePrivacy-VO-E solche Technik einsetzen sollten sowie dafür Sorge zu tragen haben, dass die Endnutzer vom Vorhandensein solcher Funktionen Kenntnis haben, indem sie beispielsweise auf ihrer Website darauf hinweisen. Hierbei ist den angerufenen Endnutzern zudem kostenlos die Sperrung eingehender Anrufe von bestimmten Rufnummern oder von anonymen Quellen sowie das Abstellen einer von einem Dritten veranlassten automatischen Anrufweiterschaltung zur Endeinrichtung des Endnutzers zu ermöglichen.

Den gesetzeskonformen Umgang mit öffentlich zugänglichen Verzeichnissen regelt Art. 15 ePrivacy-VO-E, wobei die Norm zwischen natürlichen und juristischen Personen differenziert. Gemeint sind Verzeichnisse oder Dienste, die Informationen über Endnutzer wie deren Telefonnummer (auch Mobiltelefonnummer), E-Mail-Adresse oder andere Kontaktangaben enthalten und Auskunftsdienste umfassen (Erwägungsgrund 30 ePrivacy-VO-E; vgl. hierzu ferner die Legaldefinition in Art. 4 Abs. 3 lit. d ePrivacy-VO-E. Danach müssen Betreiber solcher Verzeichnisse die Einwilligung der Endnutzer, die natürliche Personen sind, in die Aufnahme ihrer personenbezogenen Daten in das Verzeichnis und folglich die Einwilligung dieser Endnutzer in die Aufnahme von Daten nach Kategorien personenbezogener Daten einholen, soweit diese Daten für den vom Anbieter des Verzeichnisses angegebenen Zweck relevant sind, Art. 15 Abs. 1 ePrivacy-VO-E. Zudem ist Endnutzern, die natürliche Personen sind, die Möglichkeit zu geben, die Daten zu überprüfen, zu berichtigen und zu löschen. Darüber hinaus sind die entsprechenden Betreiber verpflichtet, Endnutzer, die natürliche Personen sind und deren personenbezogene Daten in das Verzeichnis aufgenommen worden sind, über die verfügbaren Suchfunktionen des Verzeichnisses zu informieren, sowie die Einwilligung der Endnutzer ein zu holen, bevor sie diese Suchfunktionen in Bezug auf deren Daten aktivieren, Art. 15 Abs. 2 ePrivacy-VO-E. Auch Endnutzern, die juristische Personen sind, muss nach Art. 15 Abs. 3 ePrivacy-VO-E sowohl die Möglichkeit eingeräumt werden, der Aufnahme von auf sie bezogenen Daten in das Verzeichnis zu widersprechen als auch die Daten zu überprüfen, zu berichtigen und zu löschen. Art. 15 Abs. 4 stellt klar, dass für die Möglichkeit der Endnutzer, nicht in ein öffentlich zugängliches Verzeichnis aufgenommen zu werden und alle Daten, die sich auf sie beziehen, zu überprüfen, zu berichtigen und zu löschen, keine Kosten erhoben werden dürfen. Im Ergebnis erfordert das Recht natürlicher Personen auf Privatsphäre bzw. den Schutz personenbezogener Daten, dass Endnutzer, die natürliche Personen sind, um ihre Einwilligung gebeten werden, bevor ihre personenbezogenen Daten in ein Verzeichnis aufgenommen werden. Demgegenüber erfordert das berechtigte Interesse juristischer Personen (nur), dass Endnutzer, die juristische Personen sind, das Recht haben, der Aufnahme der auf sie bezogenen Daten in ein Verzeichnis zu widersprechen (Erwägungsgrund 30 ePrivacy-VO-E).

Gemäß Art. 16 Abs. 1 ePrivacy-VO-E können natürliche oder juristische Personen Direktwerbung über elektronische Kommunikationsdienste nur dann an Endnutzer richten, wenn selbige natürliche Personen sind und hierzu ihre Einwilligung erteilt haben. Unerbetene Kommunikation ist folglich grundsätzlich untersagt und nur im Einzelfall erlaubt. Direktwerbung im Sinne des Verordnungsentwurfs ist mit Blick auf Erwägungsgrund 32 ePrivacy-VO-E jede Art von Werbung, mittels derer eine natürliche oder juristische Person Direktwerbung über elektronische Kommunikationsdienste unmittelbar an einen oder mehrere bestimmte oder bestimmbare Endnutzer richtet. Die Legaldefinition der Direktwerbung im Sinne der künftigen Verordnung statuiert Art. 4 Abs. 3 lit. f ePrivacy-VO-E: Jede Art der Werbung in schriftlicher oder mündlicher Form, die an einen oder mehrere bestimmte oder bestimmbare Endnutzer elektronischer Kommunikationsdienste gerichtet wird, auch mittels automatischer Anruf- und Kommunikationssysteme mit oder ohne menschliche(r) Beteiligung, mittels E-Mail, SMS-Nachrichten usw. Umfasst hiervon sind sowohl zu gewerblichen Zwecken erfolgende Angebote als auch werbende Nachrichten von politischen Parteien bzw. anderen Organisationen ohne Erwerbszweck (vgl. Erwägungsgrund 32 ePrivacy-VO-E). Art. 16 Abs. 4 berechtigt die Mitgliedstaaten, durch Rechtsvorschriften eine von Art. 16 Abs. 1 (das heißt dem Verbot mit Erlaubnisvorbehalt) abweichende Regelung zu treffen. In diesem Zusammenhang nennt Erwägungsgrund 36 ePrivacy-VO-E persönliche Direktwerbeanrufe, die ohne Verwendung automatischer Anruf- und Kommunikationssysteme ausgeführt werden (vgl. die Legaldefinitionen in Art. 4 Abs. 3 lit. g und h ePrivacy-VO-E). Diese sind für den Absender kostspieliger und bringen für Endnutzer keine finanziellen Kosten mit sich, weshalb die Mitgliedstaaten hierfür nationale Systeme einrichten oder beibehalten können, die solche Anrufe nur an Endnutzer erlauben, die dem nicht widersprochen haben. Im Zusammenhang mit dem Verkauf eines Produkts bzw. einer Dienstleistung im Einklang mit der DSGVO kundenseitig erhaltene elektronische E-Mail-Kontaktangaben dürfen natürliche oder juristische Personen zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen nur dann verwenden, wenn die Kunden klar und deutlich die Möglichkeit haben, einer solchen Nutzung kostenlos und auf einfache Weise zu widersprechen, Art. 16 Abs. 2 ePrivacy-VO-E. Das Widerspruchsrecht wird bei Erlangung der Angaben und bei jedem Versand einer Nachricht eingeräumt. Unbeschadet dessen müssen natürliche oder juristische Personen, die Direktwerbeanrufe mittels elektronischer Kommunikationsdienste tätigen, eine Rufnummer angeben, unter der sie erreichbar sind, oder einen besonderen Kode/eine Vorwahl angeben, der/die kenntlich macht, dass es sich um einen Werbeanruf handelt (Art. 16 Abs. 3 lit. a und b ePrivacy-VO-E). Art. 16 Abs. 5 ePrivacy-VO-E verpflichtet die Mitgliedstaaten (unions-)rechtlich sicher zu stellen, dass die berechtigten Interessen von Endnutzern, die juristische Personen sind, in Bezug auf unerbetene Kommunikation, die in der in Art. 16 Abs. 1 ePrivacy-VO-E genannten Weise übermittelt wird, ausreichend geschützt werden. Damit die Empfänger in einfacher Weise ihr Recht ausüben können, die Einwilligung in den weiteren Empfang von Werbenachrichten zu widerrufen, bestimmt Art. 16 Abs. 6 ePrivacy-VO-E, dass natürlichen oder juristischen Personen, die Direktwerbung mittels elektronischer Kommunikationsdienste übermitteln, die Endnutzer über den Werbecharakter der Nachricht und die Identität der juristischen oder natürlichen Person, in deren Namen die Nachricht übermittelt wird, informieren sowie die nötigen Informationen bereit stellen. Um Endnutzern einen möglichst einfachen Widerruf ihrer Einwilligung zu ermöglichen, sollten Personen, die Direktwerbung per E-Mail betreiben, hierzu einen Link oder eine gültige E-Mail-Adresse angeben (Erwägungsgrund 35 ePrivacy-VO-E).

In Artikel 17 sieht der Verordnungsentwurf vor, dass im Falle des Bestehens eines besonderen Risikos, die Sicherheit von Netzen und elektronischen Kommunikationsdiensten beeinträchtigt werden könnte, der Betreiber eines elektronischen Kommunikationsdienstes die Endnutzer (nach Möglichkeit kostenfrei, vgl. Erwägungsgrund 37 ePrivacy-VO-E) über dieses Risiko informiert. Wenn das Risiko außerhalb des Anwendungsbereichs der vom Diensteanbieter zu treffenden Maßnahmen liegt, erstreckt sich diese Informationspflicht (auch) auf mögliche Abhilfen, einschließlich voraussichtlich entstehender Kosten. Wichtig in diesem Zusammenhang ist, dass die Anforderung, die Endnutzer über besondere Sicherheitsrisiken aufzuklären, einen Diensteanbieter nicht von der Verpflichtung entbindet, auf eigene Kosten unverzüglich geeignete Maßnahmen zu treffen, um einem neuen, unvorhergesehenen Sicherheitsrisiko vorzubeugen und den normalen Sicherheitsstandard des Dienstes wiederherzustellen (Erwägungsgrund 37 ePrivacy-VO-E). Die Bewertung der Sicherheit erfolgt unter Berücksichtigung des Art. 32 DSGVO.

Die für die Überwachung der Anwendung der DSGVO zuständigen unabhängigen Aufsichtsbehörden sind gemäß Art. 18 Abs. 1 ePrivacy-VO-E auch für die Überwachung der Anwendung der künftigen ePrivacy-VO zuständig. Näheres hierzu ist in den Erwägungsgründen 38 ff. ePrivacy-VO-E niedergelegt.

Mit möglichen Rechtsbehelfen, der Haftung und entsprechenden Sanktionen befassen sich die Art. 21 bis 24 ePrivacy-VO-E. Art. 21 Abs. 1 ePrivacy-VO-E gewährt jedem Endnutzer elektronischer Kommunikationsdienste unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe die in den Art. 77, 78 und 79 DSGVO vorgesehenen Rechtsbehelfe. Demgegenüber gibt Art. 21 Abs. 2 jeder natürlichen oder juristischen Person, die kein Endnutzer ist, jedoch durch Verstöße gegen die vorliegende Verordnung beeinträchtigt wird und ein berechtigtes Interesse an der Einstellung oder dem Verbot solcher Verstöße hat (einschließlich der Betreiber elektronischer Kommunikationsdienste, die ihre berechtigten Geschäftsinteressen schützen wollen), das Recht, gegen solche Verstöße gerichtlich vorzugehen. Ferner hat jeder Endnutzer elektronischer Kommunikationsdienste, dem wegen eines Verstoßes gegen die ePrivacy-VO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Rechtsverletzer, Art. 22 ePrivacy-VO-E. Letzteres ist nur dann nicht der Fall, wenn der Rechtsverletzer im Einklang mit Art. 82 DSGVO nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Die allgemeinen Voraussetzungen für die Verhängung von Geldbußen sind in Art. 23 ePrivacy-VO-E dargelegt, wobei die Norm in Abs. 1 auf Kapitel VII der DSGVO Bezug nimmt. Zu beachten sind die (vergleichbar der DSGVO) sehr hohen Geldbußen. So normiert Art. 23 Abs. 2 ePrivacy-VO-E, dass bei Verstößen gegen die in lit. a bis d festgelegten Bestimmungen Geldbußen von bis zu 10.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. Gemäß Art. 23 Abs. 3 ePrivacy-VO-E sollen bei Verstößen gegen den Grundsatz der Vertraulichkeit der Kommunikation, die erlaubte Verarbeitung elektronischer Kommunikationsdaten und Löschungsfristen nach den Art. 5, 6 und 7 ePrivacy-VO-E Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

Demgegenüber obliegt es den Mitgliedstaaten, Vorschriften über Sanktionen für die in den Art. 12, 13, 14 und 17 ePrivacy-VO-E genannten Verstöße festzulegen, Art. 23 Abs. 4 ePrivacy-VO-E. Gesetzliche Grundlage für den Umstand, dass die Rechtsordnung eines Mitgliedstaates keine Geldbuße vorsieht, ist Art. 23 Abs. 8 ePrivacy-VO-E. Im Falle der Nichtbefolgung einer Anweisung der Aufsichtsbehörde nach Art. 18 ePrivacy-VO-E werden ausweislich Art. 23 Abs. 5 ePrivacy-VO-E Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Insbesondere für Verstöße, die keiner Geldbuße nach Art. 23 ePrivacy-VO-E unterliegen, haben die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung fest zu legen und alle zu deren Anwendung erforderlichen Maßnahmen zu treffen, Art. 24 Abs. 1 ePrivacy-VO-E. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

Art. 25 Abs. 1 ePrivacy-VO-E überträgt die Befugnis zum Erlass delegierter Rechtsakte der Kommission unter den in Art. 25 ePrivacy-VO-E festgelegten Bedingungen.

Link:

Ähnliche Einträge