Datenschutzrichtlinie für elektronische Kommunikation
Die Richtlinie 2002/58/EG oder Datenschutzrichtlinie für elektronische Kommunikation (auch: ePrivacy-Richtlinie[2] oder umgangssprachlich Cookie-Richtlinie) regelt seit 2002 verbindliche Mindestvorgaben für den Datenschutz in der Telekommunikation. Seit ihrer Novelle 2009 schränkt die Richtlinie die Verwendung von „Informationen, die im Endgerät eines Teilnehmers gespeichert werden“ (Cookies) ein.
Richtlinie 2002/58/EG | |
---|---|
Titel: | Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation |
Kurztitel: | Datenschutzrichtlinie für elektronische Kommunikation |
Bezeichnung: (nicht amtlich) | E-Privacy-Richtlinie, manchmal auch ePrivacy-Richtlinie[1] |
Geltungsbereich: | EWR |
Rechtsmaterie: | Datenschutzrecht |
Grundlage: | Artikel 95 EGV |
Verfahrensübersicht: | Europäische Kommission Europäisches Parlament IPEX Wiki |
Inkrafttreten: | 31. Juli 2002 |
Letzte Änderung durch: | Richtlinie 2009/136/EG |
Inkrafttreten der letzten Änderung: |
19. Dezember 2009 |
In nationales Recht umzusetzen bis: |
30. Oktober 2003 Änderung: 25. Mai 2011 |
Umgesetzt durch: | Deutschland Telekommunikationsgesetz Gesetz gegen den unlauteren Wettbewerb Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten Telekommunikation-Telemedien-Datenschutz-Gesetz Österreich Telekommunikationsgesetz 2003 Bundesgesetz, mit dem das Telekommunikationsgesetz 2003, das KommAustria-Gesetz sowie das Verbraucherbehörden-Kooperationsgesetz geändert werden |
Fundstelle: | ABl. L 201 vom 31. Juli 2002, S. 37–47 |
Volltext | Konsolidierte Fassung (nicht amtlich) Grundfassung |
Regelung muss in nationales Recht umgesetzt worden sein. | |
Bitte den Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union beachten! |
Die ePrivacy-Richtlinie ist nicht zu verwechseln mit der aktuell im Rechtsetzungsverfahren befindlichen Verordnung über Privatsphäre und elektronische Kommunikation (ePrivacy-Verordnung). Sie sollte gemeinsam mit der Datenschutz-Grundverordnung die Richtlinie 95/46/EG und die ePrivacy-Richtlinie ablösen.
Infolge der Aufhebung der Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten durch den Europäischen Gerichtshof am 8. April 2014[3] ist die Richtlinie 2002/58/EG für die Frage bedeutsam, unter welchen Umständen eine Vorratsdatenspeicherung zukünftig zulässig sein kann.[4][5] Nach Art. 15 Richtlinie 2002/58/EG können die Mitgliedstaaten der Europäischen Union unter anderem durch Rechtsvorschriften vorsehen, dass Daten aus bestimmten Gründen während einer begrenzten Zeit aufbewahrt werden.
Ziel und Inhalt
Durch die Richtlinie sollen einerseits die Grundrechte und die Privatsphäre der Einwohner der Europäischen Union geschützt, anderseits auch der freie Daten- und Warenverkehr zwischen den EU-Mitgliedsstaaten gewährleistet werden. Die Regelungen der Richtlinie müssen im Lichte der Datenschutz-Grundverordnung betrachtet werden.
Durch die Richtlinie werden die EU-Mitgliedsstaaten verpflichtet, telekommunikationsspezifische Regelungen zum Datenschutz zu erlassen, beispielsweise das Mithören von Telefongesprächen und das Abfangen von E-Mails zu verbieten. Außerdem enthält die Richtlinie Vorgaben zu Einzelgebührennachweisen, zu den Möglichkeiten der Anzeige und Unterdrückung von Telefonnummern, zu automatischen Anrufweiterschaltungen und bezüglich gebührenfreier und widerruflicher Aufnahme in Teilnehmerverzeichnisse.
Cookiebanner
Ein Cookiebanner auf einer Internetseite ist nur dann notwendig, wenn tatsächlich eine Einwilligung erforderlich ist und die Präferenz zum Tracking nicht automatisch übermittelt („Do Not Track“-Einstellung) wurde.[6][7] Die übermittelte Präferenz muss berücksichtigt werden.
Eine gängige fehlerhafte Auslegung[8] des Artikels 5 Absatz 3 der Richtlinie 2002/58/EG führt dazu, dass viele Organisationen und Personen, die Internetseiten betreiben, durch teils großflächige[9] und unverständliche[10] Cookiebanner, teils mit zu einer Annahme aller Cookies verleitender Gestaltung (sog. Dark Patterns)[11], versuchen, von nutzenden Personen eine Einwilligung dafür zu erhalten, Cookies auf dem Endgerät speichern zu dürfen:
Artikel 5 Absatz 3 der Richtlinie lautet:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Die Pflicht der Mitgliedstaaten wurde in verschiedenen Ländern unterschiedlich umgesetzt, bei der Auslegung von Recht der Europäischen Union ist jedoch nicht nur Wortlaut und verfolgtes Ziel zu berücksichtigen, sondern auch der Kontext der Vorschrift und das gesamte andere Unionsrecht.[12] Dies führt dazu, dass eine Einwilligung seit dem 25. Mai 2018 an den Artikeln 4 Nummer 11, 6 Absatz 1 Buchstabe a und 7 Datenschutz-Grundverordnung gemessen werden muss.[13]
Die Einwilligung muss insofern in informierter Weise und unmissverständlich für bestimmte Zwecke abgegeben werden und jederzeit so einfach, wie sie abgegeben wurde, widerrufen werden können.[14] Insbesondere die Informiertheit einer Einwilligung kann bei der Verwendung von Cookiebannern regelmäßig bestritten werden.[15] Die einwilligende Person muss tatsächlich wissen, dass und in welchem Umfang sie ihre Einwilligung erteilt.[16] Eine so umfassende Information ist regelmäßig in einem Banner, insbesondere einem Banner, welcher die Hauptfunktion der Website überdeckt und somit die nutzende Person zum „wegklicken“ verleitet, nicht gegeben.[17] Das Nichteinhalten dieser Regeln bedeutet, dass die Einwilligung nicht rechtswirksam erklärt wurde (Artikel 7 Absatz 2 Datenschutz-Grundverordnung) und die erhobenen Daten damit ohne Rechtsgrundlage und somit rechtswidrig erhoben wurden.[18][19]
Über diese Regeln hinaus muss die Verwendung von Cookies auch ein ausgeübtes „Widerspruchsrecht mittels automatisierter Verfahren […], bei denen technische Spezifikationen verwendet werden“ (Do Not Track; Artikel 21 Absatz 5 Datenschutz-Grundverordnung) berücksichtigen.
Dies gilt jedoch nicht für Cookies, welche für den Betrieb einer Internetseite zwingend erforderlich sind. Dies sind zum Beispiel Cookies zur Speicherung eines Warenkorbes in einem Online-Shop, eines Logins in einem Content-Management-System oder von Anzeigeeinstellungen wie Schriftgröße oder Kontrast im Rahmen der Barrierefreiheit.[18][19] Diese können auch ohne Zustimmung der betroffenen Person auf deren Endgerät gespeichert werden. Dennoch muss in den Datenschutzinformationen auf die Verwendung dieser Cookies hingewiesen werden.
Umsetzung in nationales Recht
Die Richtlinie 2002/58/EG musste wie alle Richtlinien der Europäischen Union in nationales Recht umgesetzt werden. Die Republik Österreich hat die Richtlinie mit dem Telekommunikationsgesetz 2003 (BGBl. I Nr. 70/2003) fristgerecht umgesetzt. Der Bundesrepublik Deutschland gelang die fristgerechte Umsetzung nicht. Die Europäische Kommission leitete daraufhin ein Vertragsverletzungsverfahren gegen Deutschland ein. Mitte 2004 transformierte Deutschland dann die Datenschutzrichtlinie für elektronische Kommunikation in deutsches Recht. Dazu wurde das bundesdeutsche Telekommunikationsgesetz novelliert (BGBl. 2004 I S. 1190). Teile der ePrivacy-Richtlinie wurden auch im Gesetz gegen den unlauteren Wettbewerb (UWG) umgesetzt, beispielsweise Art. 13 der Richtlinie in § 7 UWG (Unzulässigkeit belästigender Werbung am Telefon, per E-Mail etc.). Das seit 1. Dezember 2021 geltende Telekommunikations-Telemedien Datenschutzgesetz (TTDSG)[20] erneuert den nationalen Umsetzungsrahmen. Es trat gemeinsam mit dem neuen Telekommunikationsgesetz in Kraft und enthält neue Datenschutzbestimmungen in der Telekommunikation und bei Telemedien.[21] Mit dem TTDSG wurde der Rechtsrahmen unter anderem für den Schutz der Privatsphäre bei Endeinrichtungen und für das Einwilligungsmanagement überarbeitet.[22]
Literatur
- Anna Ohlenburg: Die neue EU-Datenschutzrichtlinie 2002/58/EG. Auswirkungen und Neuerungen für elektronische Kommunikation. In: Multimedia und Recht, 2003, S. 83 ff.
- Martin Zilkens: Europäisches Datenschutzrecht – Ein Überblick. In: Recht der Datenverarbeitung, 2007, S. 196–201.
Weblinks
- Richtlinie 2002/58/EG „ePrivacy-Richtlinie“
- Richtlinie 2009/136/EG „Cookie-Richtlinie“
Einzelnachweise
- Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien sowie zur Änderung des Telemediengesetzes. (PDF; 192 kB) Referentenentwurf. In: bmwi.de. Bundesministerium für Wirtschaft und Energie, 12. Januar 2021, S. 1, abgerufen am 15. Januar 2021: „Das gilt auch für die Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG), soweit diese nicht die Bestimmungen der ePrivacy-Richtlinie (Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation in der durch die Richtlinie 2009/136/EG geänderten Fassung) in deutsches Recht umsetzen.“
- GDD-Praxishilfe ePrivacy I. (PDF) In: gdd.de. Gesellschaft für Datenschutz und Datensicherheit, August 2018, abgerufen am 9. Dezember 2020.
- EuGH, Urteil vom 8. April 2014 – C-293/12
- EuGH, Urteil vom 6. Oktober 2020, Rs. C‑623/17 Privacy International gegen Secretary of State for Foreign and Commonwealth Affairs, Secretary of State for the Home Department, Government Communications Headquarters, Security Service, Secret Intelligence Service.
- Axel Anderl, Nino Tlapak, Alona Klammer: EuGH: Entscheidung zur Vorratsdatenspeicherung. 6. Oktober 2020.
- Do Not Track Feature. In: cookieyes.com. Mozilor Limited, 21. November 2019, abgerufen am 9. Dezember 2020 (amerikanisches Englisch).
- How do I use Matomo Analytics without consent or cookie banner? In: matomo.org. Matomo, abgerufen am 9. Dezember 2020 (englisch).
- Stefan Hanloser: EuGH: Planet49: Cookie Consent: Einwilligungsanforderungen nach DSGVO und ePrivacy-Richtlinie; Konvergenz von Datenschutz und ePrivacy. In: community.beck.de. 1. Oktober 2019, abgerufen am 9. Dezember 2020.
- Nicolas Maekeler: DSGVO: Rechtsgrundlagen und Funktionsweisen von Cookie-Hinweisen. In: heise online. 28. Mai 2019, abgerufen am 9. Dezember 2020.
- EDSA: Neue Leitlinien zur Cookie-Einwilligung auf Webseiten. In: Dr. Datenschutz. intersoft consulting services AG, 8. Mai 2020, abgerufen am 9. Dezember 2020 (deutsch).
- Ultralativ: Manipulative Cookie-Banner auf YouTube, 6. Dezember 2020, abgerufen am 8. Dezember 2020.
- EuGH. Urteil vom 1. Oktober 2019, Rechtssache C-673/17, ECLI:EU:C:2019:801
- Behandling af personoplysninger om hjemmesidebesøgende. (PDF) In: datatilsynet.dk. Datatilsynet, Februar 2020, abgerufen am 9. Dezember 2020 (dänisch).
- Kurzpapier 20: Einwilligung nach der DS-GVO. (PDF) In: datenschutzkonferenz-online.de. Datenschutzukonferenz, 22. Februar 2019, abgerufen am 9. Dezember 2020.
- Torsten Kleinz: Datenschützer wollen Cookie-Banner prüfen. In: heise online. 20. August 2020, abgerufen am 9. Dezember 2020.
- Erwägung 42 Datenschutz-Grundverordnung
- Europäischer Datenschutzausschuss: Guidelines 05/2020 on consent under Regulation 2016/679. (PDF) In: edpb.europa.eu. 4. Mai 2020, abgerufen am 9. Dezember 2020 (englisch).
- FAQ zu Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps. (PDF) Landesbeauftragter für den Datenschutz und die Informationsfreiheit, 29. April 2019, abgerufen am 9. Dezember 2020.
- Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien. (PDF) Datenschutzkonferenz, 5. April 2019, abgerufen am 9. Dezember 2020.
- Bundesgesetzblatt: TTDSG. 28. Juni 2021, abgerufen am 19. Dezember 2021.
- Mitteilung des Bundesministeriums der Wirtschaft und Energie zum TTDSG. 28. Mai 2021, abgerufen am 19. Dezember 2021.
- Handelsblatt: Cookie-Hinweise sollen pauschal bestätigt werden können. 6. August 2020, abgerufen am 19. Dezember 2021.