Mit Datum vom 4. Mai 2018 hat die Ratspräsidentschaft den aktuellen Text des Entwurfs der ePrivacy Verordnung veröffentlicht (Ratsdokument 8537/18, pdf). Die nächste Sitzung der zuständigen Ratsarbeitsgruppe “Telekommunikation und Informationsgesellschaft“ findet am 16. Mai 2018 statt, bei der auch dieser Text Gegenstand der Diskussionen der Mitgliedstaaten sein wird.
Der ursprüngliche Entwurf der Kommission zur ePrivacy VO wurde vom Rat schon an vielen Stellen angepasst. Auch diese Änderungen sind in dem nun veröffentlichten Text enthalten. Nachfolgend möchte ich nur auf einige der neuen Änderungen in dem aktuellen Text hinweisen.
Cookie Walls
Ein großes Thema in den Ratsverhandlungen spielt die Frage der Zulässigkeit von Cookie Walls. Also die Frage, ob Webseiten- oder Appbetreiber die Nutzung ihrer Dienste von der Einwilligung der Nutzer in den Einsatz von Cookies abhängig machen dürfen. In ErwG 20 nimmt der Rat nun weitere Klarstellungen zu dieser Thematik auf. Der Zugang zu bestimmten Inhalten auf Webseiten (der Text erwähnt ausdrücklich nur Webseiten) darf von der Einwilligung zum Einsatz von Cookies abhängig gemacht werden. Aber: in einigen Fällen kann diese Voraussetzung auch als unverhältnismäßig angesehen werden. Der Text nennt hier als Beispiel die Webseite einer öffentlichen Stelle, wenn für den Nutzer keine andere Möglichkeit besteht, die Dienste in Anspruch zu nehmen. Dann bestünde keine richtige Wahlmöglichkeit für den Nutzer. Der Text sagt nicht, was die Konsequenz wäre, jedoch darf man davon ausgehen, dass es in diesem Fall an dem Erfordernis der Freiwilligkeit der Einwilligung fehlt.
Keine Cookie-Einwilligung für den Betrieb vernetzter Geräte
In den ErwG 21 und 21a geht es um Ausnahmen von dem Erfordernis der Einwilligung zum Einsatz von Cookies. In der Vergangenheit hat der Rat in ErwG 20 bereits Beispiele aufgenommen, wann die Einwilligung des Nutzers nicht erforderlich ist. Etwa beim Einsatz von Session Cookies, wenn diese erforderlich sind, um die Nutzung des Dienstes zu ermöglichen, wie etwa die Speicherung von Informationen in Formularfeldern über mehrere Webseiten hinweg oder die Speicherung von Produkten, die ein Nutzer in einem Online Shop in seinen Warenkorb gelegt hat. In ErwG 21a nimmt der Rat nun neu noch die Ausnahme auf, wenn die Speicherung von Informationen aus oder der Zugriff auf Informationen in einem Endgerät des Nutzers erforderlich ist, um einen Dienst der Informationsgesellschaft, wie im Internet der Dinge (IoT) anzubieten. ErwG 21a erwähnt als Beispiel vernetzte Geräte und konkret vernetzte Thermostate.
Datenschutzeinstellungen in Software
ErwG 22 und 22a behandeln die Frage der Erteilung von Einwilligung über Datenschutzeinstellungen in Software, vor allem Webbrowsern. Bei der Erteilung von Einwilligungen können diese Softwareeinstellungen daher eine wichtige Rolle spielen. In ErwG 22 wird auch vorgesehen, dass die Einstellung eines Nutzers im Browser gegenüber Dritten bindend sein soll. In ErwG 22a stellt der Rat nun klar, dass die Verantwortlichkeit für die Einholung einer Einwilligung zum Einsatz von Cookies aber stets beim Anbieter eines Dienstes der Informationsgesellschaft, also z.B. einer App oder Webseite, liegen soll. Der Browseranbieter soll also klarstellend aus dieser Pflicht herausgenommen werden.
Zusätzlich ergänzt der Rat ErwG 23, in dem es um die Details zu den gegenüber Nutzern anzubietenden Datenschutzeinstellungen in der Software, z. B. Browsern, geht. Solche Einstellungen müssen dem Nutzer in einer leicht erkennbaren Weise zur Verfügung gestellt werde. Zu allgemein gehaltene Datenschutzeinstellungen in einem Browser oder auch einer App, die den Nutzer nicht darüber informieren, für welche Zwecke Informationen auf dem Endgerät gespeichert werden oder Informationen aus dem Endgerät genutzt werden können, sollen nach dem neuen Text keine wirksame Einwilligung des Nutzers darstellen.
Zuletzt wird ErwG 24 angepasst. Der Rat nimmt eine Klarstellung auf, dass die Vorgaben der ePrivacy VO den Betreiber einer Webseite nicht daran hindern, eine Einwilligung der Nutzer einzuholen, unabhängig davon, welche Einstellung der Nutzer etwa im Browser vorgenommen hat. Webseitenbetreiber sollen also auch „eigene“ und von den Softwareeinstellungen abweichende Einwilligungen einholen dürfen.
Natürlich enthält das Überblicksdokument aus dem Rat noch viele weitere Anpassung des Entwurfs. Zum Beispiel wird auch klargestellt, dass die Vorgaben zu Maßnahmen der Direktwerbung (Art. 16) nicht für Werbeanzeigen im Internet gelten, solange diese nicht direkt an eine identifizierte oder identifizierbare Person gerichtet ist und keine Kontaktdaten der Person genutzt werden.