e‑Pri­va­cy-Ver­ord­nung: neu­er Vor­schlag

Der lan­ge dis­ku­tier­te und immer wie­der geän­der­te Vor­schlag der e‑Pri­va­cy-Ver­ord­nung war im Dezem­ber 2019 fal­len­ge­las­sen wor­den (vgl. hier). Die Prä­si­dent­schaft des Euro­päi­schen Rats hat nun, Ende Febru­ar 2020, neue Vor­schlä­ge zur Anpas­sung u.a. des vor allem strit­ti­gen Art. 8 des Ent­wurfs vor­ge­legt. Dabei geht es um den “Schutz der in End­ein­rich­tun­gen der End­nut­zer gespei­cher­ten oder sich auf die­se bezie­hen­den Infor­ma­tio­nen”, also um Coo­kies und ande­re Tech­no­lo­gien wie z.B. Fin­ger­prin­ting.

Der neue Vor­schlag rückt hier vom strik­ten Ein­wil­li­gungs­er­for­der­nis für Bear­bei­tun­gen ab, die nicht betriebs­not­wen­dig sind. Nach dem vor­ge­schla­ge­nen neu­en Art. 8 soll die Ver­wen­dung von Coo­kies und ande­ren Tech­no­lo­gien unter bestimm­ten Vorus­set­zun­gen auch für berech­tig­te Inter­es­sen (vgl. Art. 6 Abs. 1 lit. f DSGVO) erlaubt sein:

it is necessa­ry for the pur­po­se of the legi­ti­ma­te inte­rests pur­sued by a ser­vice pro­vi­der to use pro­ces­sing and sto­rage capa­bi­li­ties of ter­mi­nal equip­ment or to collect infor­ma­ti­on from an end-user’s ter­mi­nal equip­ment, except when such inte­rest is over­rid­den by the inte­rests or fun­da­men­tal rights and free­doms of the end-user.

Die Beru­fung auf das berech­tig­te Inter­es­se soll in bestimm­ten Fäl­len aber aus­ge­schlos­sen sein:

The end-user’s inte­rests shall be deemed to overri­de the inte­rests of the ser­vice pro­vi­der whe­re the end-user is a child or whe­re the ser­vice pro­vi­der pro­ces­ses, stores or collects the infor­ma­ti­on to deter­mi­ne the natu­re and cha­rac­te­ri­stics of the end-user or to build an indi­vi­du­al pro­fi­le of the end-user or the pro­ces­sing, sto­rage or collec­tion of the infor­ma­ti­on by the ser­vice pro­vi­der con­tains spe­cial cate­go­ries of per­so­nal data as refer­red to in Arti­cle 9(1) of Regu­la­ti­on (EU) 2016/679.

Wer sich auf das berech­tig­te Inter­es­se beru­fen will, darf die betref­fen­den Daten zudem nicht an Drit­te wei­ter­ge­ben, muss eine Daten­schutz-Fol­gen­ab­schät­zung durch­füh­ren, die betrof­fe­nen Per­so­nen infor­mie­ren und Sicher­heits­mass­nah­men wie z.B. Pseud­ony­mi­sie­rung oder Ver­schlüs­se­lung tref­fen.