Der lange diskutierte und immer wieder geänderte Vorschlag der e‑Privacy-Verordnung war im Dezember 2019 fallengelassen worden (vgl. hier). Die Präsidentschaft des Europäischen Rats hat nun, Ende Februar 2020, neue Vorschläge zur Anpassung u.a. des vor allem strittigen Art. 8 des Entwurfs vorgelegt. Dabei geht es um den “Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen”, also um Cookies und andere Technologien wie z.B. Fingerprinting.
Der neue Vorschlag rückt hier vom strikten Einwilligungserfordernis für Bearbeitungen ab, die nicht betriebsnotwendig sind. Nach dem vorgeschlagenen neuen Art. 8 soll die Verwendung von Cookies und anderen Technologien unter bestimmten Vorussetzungen auch für berechtigte Interessen (vgl. Art. 6 Abs. 1 lit. f DSGVO) erlaubt sein:
it is necessary for the purpose of the legitimate interests pursued by a service provider to use processing and storage capabilities of terminal equipment or to collect information from an end-user’s terminal equipment, except when such interest is overridden by the interests or fundamental rights and freedoms of the end-user.
Die Berufung auf das berechtigte Interesse soll in bestimmten Fällen aber ausgeschlossen sein:
The end-user’s interests shall be deemed to override the interests of the service provider where the end-user is a child or where the service provider processes, stores or collects the information to determine the nature and characteristics of the end-user or to build an individual profile of the end-user or the processing, storage or collection of the information by the service provider contains special categories of personal data as referred to in Article 9(1) of Regulation (EU) 2016/679.
Wer sich auf das berechtigte Interesse berufen will, darf die betreffenden Daten zudem nicht an Dritte weitergeben, muss eine Datenschutz-Folgenabschätzung durchführen, die betroffenen Personen informieren und Sicherheitsmassnahmen wie z.B. Pseudonymisierung oder Verschlüsselung treffen.