Guide: Das Wichtigste zur ePrivacy-Verordnung

Alle wichtigen Infos zur ePrivacy-Verordnung. Kompakt und einfach erklärt.​

Übersicht:
  • ePrivacy-Verordnung: Grundlagen
  • Geltungsbereich
  • ePrivacy und EU-DSGVO
  • Rechte, Pflichten und Auswirkungen
  • Sanktionen
Ab 2020 gilt die europäische ePrivacy-Verordnung (ePVO) für alle Länder der Europäischen Union.

ePrivacy-Verordnung: Grundlagen

Die E-Privacy-Verordnung (auch ePrivacy-Verordnung oder ePVO) ist ein Vorschlag für eine Verordnung über den Datenschutz und die elektronische Kommunikation. Die ePVO ist als Spezialgesetz innerhalb des EU-Datenschutzrechts angelegt. Der vollständige Name lautet „Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über den Schutz der Privatsphäre und der elektronischen Kommunikation)“.

Die ePrivacy-Verordnung soll dem Schutz der Vertraulichkeit und der Privatsphäre im Bereich der elektronischen Kommunikation dienen, der von Artikel 95 EU-DSGVO normiert wird. Die ePVO soll Regelungslücken schließen und neue Vorgaben definieren, da die bisherige E-Privacy-Richtlinie mit der Entwicklung der Technik und der Märkte nicht Schritt gehalten hat. Sie soll damit die Regelungen zum Datenschutz im Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) und die Regelungen zur Werbung im Gesetz gegen den unlauteren Wettbewerb (UWG) ersetzen.

Die ePVO soll dabei umfassend gelten, da sie sich nicht nur auf die Verarbeitung von Daten mit Personenbezug bezieht. Der Anwendungsbereich der ePVO soll für jedes Unternehmen gelten, das irgendeine Form von Online-Kommunikationsdienst anbietet, Online-Tracking-Technologien verwendet oder elektronisches Direktmarketing betreibt. Geschützt werden Daten von natürlichen und juristischen Personen und sie gilt für alle Anbieter elektronischer Kommunikation, unabhängig vom Sitz des Unternehmens und unabhängig davon, ob die Leistung entgeltlich oder unentgeltlich angeboten wird. Ziel ist vor allem, den Anwendungsbereich des Datenschutzes auf die so genannten Over-the-Top-Provider (OTT) auszudehnen, wie z.B. WhatsApp oder Skype, „zur Gewährleistung eines wirksamen rechtlichen Schutzes bezüglich der Achtung der Privatsphäre und der Kommunikation“. Damit soll auch im Rahmen der Online-Kommunikation eine einheitliche Anwendung und ein effizienter Schutz sichergestellt werden.

E-Privacy oder ePrivacy ist der gängige Begriff, wenn es um den Umgang mit personenbezogenen Daten im Internet und den damit verbundenen Schutz der Privatsphäre geht.

Bereits seit 2002 existiert eine ePrivacy-Richtlinie, die in nationales Recht der einzelnen EU-Mitgliedsstaaten umgesetzt wurde und sich in der Bundesrepublik Deutschland beispielsweise in einzelnen Regelungen im Telemediengesetz (TMG) niederschlug. Ergänzt wurde diese Richtlinie 2009 durch die sog. „Cookie-Richtlinie“.  Darüber hinaus wird beispielsweise in der deutschen Gesetzgebung bisher noch zwischen Telekommunikationsdiensten und Telemediendiensten unterschieden; eine Unterscheidung, die in etlichen Bereichen nicht mehr zeitgemäß ist.

Unter anderem aufgrund der mangelhaften Umsetzung in einzelnen Mitgliedsstaaten soll diese Richtlinie nun durch eine einheitliche, in allen Mitgliedsstaaten direkt geltende Gesetzgebung ersetzt werden. Diese soll auch dem technologischen Fortschritt seit 2002 bzw. 2009 Rechnung tragen.

Geltungsbereich

Ursprünglich sollte sie am 25. Mai 2018 gemeinsam mit der EU-DSGVO in Kraft treten; nach aktuellem Stand wird dies jedoch erst im Laufe des Jahres 2019 geschehen. Das Gesetzgebungsverfahren zur ePVO ist noch nicht abgeschlossen.

Als EU-Verordnung soll die ePVO unmittelbar in jedem Mitgliedsstaat der EU gelten und keiner nationalen Umsetzung bedürfen. Im Rahmen von Öffnungsklauseln sind in einzelnen Bereichen nationale Anpassungen möglich.

Das Gesetzgebungsverfahren zur ePVO ist noch nicht abgeschlossen, unter anderem, da einzelne Mitgliedsstaaten und Wirtschaftsverbände Änderungswünsche geäußert haben. EU-Kommission, EU-Parlament und der Rat der Europäischen Union müssen sich noch über den endgültigen Inhalt der Verordnung verständigen. Wann dies geschehen wird, ist derzeit allerdings noch nicht absehbar.

Der Entwurf zur ePVO unter österreichischer Ratspräsidentschaft hat für neuen Diskussionsbedarf gesorgt. Eingeführt wurde unter anderem die Datenverarbeitung für „kompatible Zwecke“ in Artikel 6 Absatz 2a. Danach können Metadaten der Kommunikation (beispielsweise angerufene Nummern, besuchte Websites, der geografische Standort, Uhrzeit, Datum und Dauer eines von einer Person getätigten Anrufs) ohne Einwilligung der Nutzer für kompatible Zwecke des Anbieters verarbeitet werden. Diese Erweiterung bedarf einer besonders kritischen Prüfung.

Diskutiert werden muss ebenso die Streichung von Artikel 10. Ursprünglich waren in dieser Regelung Browserlösungen vorgesehen, die ein Einverständnis der Nutzer in Targetingmaßnahmen (wie z.B. Cookies) vorsehen. Die Software musste den Endnutzer über die Einstellungsmöglichkeiten zur Privatsphäre informieren und zur Fortsetzung der Installation vom Endnutzer die Einwilligung zu einer Einstellung verlangen. Geändert wurde diese Regelung bereits durch den Entwurf des Rates vom 04.05.2018, der lediglich eine Information über die Privatsphäre-Einstellungen vorsah. Eine Streichung dieser Regelung würde dazu führen, dass gleichermaßen Artikel 23 des Entwurfs geändert werden muss und keine Sanktionen mehr für Hersteller vorgesehen sind, die der Verpflichtung nach Artikel 10 nicht nachkommen.

ePrivacy und EU-DSGVO

Die ePrivacy-Verordnung ist ein lex specialis zur EU-DSGVO, also ein Sondergesetz, das vor dem allgemeinen Gesetz (der EU-DSGVO) Vorrang hat. Die Verordnung ergänzt die EU-DSGVO im Hinblick auf elektronische Kommunikationsdaten. Die ePVO gilt umfassend, da sie sich nicht nur auf die Verarbeitung von Daten mit Personenbezug bezieht. Sie soll die Datenschutzrichtlinie für elektronische Kommunikation 2002 aufheben und ist auf die allgemeine DSGVO spezialisiert. Sie soll diese im Hinblick auf die Anforderungen an die Zustimmung zur Verwendung von Cookies und Opt-Outs konkretisieren und ergänzen.

Rechte, Pflichten und Auswirkungen

  1. Verschlüsselung soll nicht nur durch die Nutzer sichergestellt werden. Anbieter werden verpflichtet, Daten nach dem aktuellen Stand der Technik zu sichern und vor unbefugtem Zugriff zu schützen.
  2. Das räumliche Tracking durch Programme, die nicht aktiv genutzt werden, soll verboten werden.
  3. Für Strafverfolger wird eine ausführliche Transparenz- und Dokumentationspflicht eingeführt, sodass Anbieter zur Offenlegung staatlicher Anfragen verpflichtet werden können.
  4. Datenverarbeitung soll nur noch mit Einverständnis der Nutzer möglich sein. Dies soll insbesondere auf Anbieter der Online-Kommunikation wie WhatsApp oder Facebook-Messenger ausgeweitet werden.
  5. Ein effektiver Schutz vor Tracking soll etabliert werden, der eine umfassende Einstellung zur Deaktivierung von Trackingfunktionen beinhalten soll.
  6. Alle Einstellungen in Software und Geräten sollen standardmäßig die datenschutzfreundlichere Variante eingestellt haben, die sogenannte „privacy-by-default“-Einstellung.

… auf das Targeting

Sollte die ePVO unverändert zur Anwendung kommen, wäre Targeting wie bisher nicht möglich. Die Frage ist jedoch, ob es unter der ePVO kein Targeting mehr geben kann, das weiterhin einen digitalen Geschäftserfolg ermöglicht.

… auf das Tracking

Der aktuelle Entwurf sieht vor, dass Trackingmaßnahmen von einer Einwilligung abhängig gemacht werden sollen. In Kombination mit dem Koppelungsverbot bedeutet dies, dass Websites auch dann ohne Einschränkung funktionieren und zugänglich sein müssen, wenn Nutzer Trackingmaßnahmen ablehnen.

Koppelungsverbot

Das Koppelungsverbot aus der EU-DSGVO soll im Regelungsbereich der ePVO konkretisiert bzw. verschärft werden. Der aktuelle Entwurf sieht vor, dass es unzulässig sein soll, bestimmte Inhalte von der Einwilligung zum Setzen bestimmter Cookies abhängig zu machen.

Ein vollständiger Überblick über alle Pflichten kann zu diesem Zeitpunkt noch nicht gegeben werden. Klar ist jedoch, dass der Entwurf der ePVO vorsieht, Anbieter von Kommunikationsdiensten wie z.B. Messengerdiensten (WhatsApp, Facebook) dazu zu verpflichten, die Kommunikation nach dem neuesten Stand der Technik zu verschlüsseln und so vor fremdem Zugriff zu schützen. Ausnahmen für staatliche Stellen im Interesse der nationalen Sicherheit sollen zwar möglich sein, diese müssten aber genau dokumentiert und in jährlichen Statistiken veröffentlich werden.

Darüber hinaus soll die Reform das Offline-Tracking einschränken, das derzeit Bewegungsprofile über Smartphonedaten erstelt (z.B. in Einkaufszentren, Flughäfen oder Innenstädten). Welche Pflichten dabei konkret auf Anbieter zukommen werden, bleibt abzuwarten.

Sanktionen

Die Strafen für die Nichteinhaltung belaufen sich auf bis zu 20 Mio. EUR oder, im Falle eines Unternehmens, auf bis zu 4 % des weltweiten Gesamtjahresumsatzes, je nachdem, welcher Betrag höher ist.

Um Sanktionen vorzubeugen, empfiehlt es sich, ein Verständnis der Materie zu entwickeln und bereits jetzt Unternehmensbereiche zu identifizieren, die laut der vorliegenden Entwürfe zur ePVO risikobehaftet sind oder sein könnten. Besonders empfehlenswert ist eine fachkundige Beratung. Christian Allner steht Ihnen bei Fragen rund um das Thema ePrivacy-Verordnung mit Rat und Tat zur Seite.