Übersicht
- Was ist die ePrivacy-Verordnung?
- Woher kommt die ePrivacy-Verordnung?
- Das Verhältnis zur Datenschutz-Grundverordnung (DSGVO)
- Welche Änderungen beinhaltet die ePrivacy-Verordnung?
- Wann kommt die ePrivacy-Verordnung?
- Was Sie jetzt schon unternehmen können
- Unsere Leistungen zum Thema ePrivacy-Verordnung
Was ist die ePrivacy-Verordnung?
Bei der ePrivacy-Verordnung handelt es sich um eine Verordnung der europäischen Union, welche künftig zum Schutz von personenbezogenen Daten erlassen werden soll. Im Fokus der Richtlinie steht der Schutz von elektronischer Kommunikation. Insbesondere das sogenannte Tracking sowie die kommerzielle Verwertung von personenbezogenen Daten durch Messengerdienste wie bspw. WhatsApp sollen stärker reglementiert werden.
Vereinfacht ausgedrückt: Die ePrivacy-Verordnung dient dem Datenschutz.
Woher kommt die ePrivacy-Verordnung?
Der europäische Datenschutz findet seinen Ursprung in der europäischen Datenschutzrichtlinie (Richtlinie 95/46/EG) aus dem Jahre 1995. Diese Richtlinie wird durch die ePrivacy-Richtlinie aus dem Jahr 2002 ergänzt. Die ePrivacy-Richtlinie (2002/58/EG) enthält verbindliche Mindestvorgaben für die europäischen Mitgliedsstaaten in Sachen Datenschutz.
Diese Richtlinie wurde wiederum sieben Jahre später durch die Cookie-Richtlinie im Jahre 2009 ergänzt. Die Cookie-Richtlinie verlangt, dass die Betreiber von Webseiten eine Einwilligung der Nutzer in die Verwendung der Cookies einholen bzw. die Nutzer über das Setzen von Cookies aufklären.
Falls Sie sich nun wundern, dass wir zum einen von der ePrivacy-Verordnung und zum anderen von der ePrivacy-Richtlinie sprechen, wollen wir kurz den Unterschied erklären:
Eine Verordnung hat allgemeine Gültigkeit und gilt unmittelbar in den jeweiligen Mitgliedsstaaten. Eine europäische Richtlinie hingegen muss zunächst durch ein nationales Gesetz umgesetzt werden, damit es seine Gültigkeit im jeweiligen Staat erlangt.
So wurden sowohl die ePrivacy-Richtlinie, als auch die Cookie-Richtlinie durch entsprechende Normierungen im Telemedien- und im Telekommunikationsgesetz umgesetzt. Die ePrivacy-Verordnung hingegen wird, wenn sie kommt, ohne nationale Umsetzung unmittelbar Geltung erlangen.
Das Verhältnis zur Datenschutz-Grundverordnung (DSGVO)
Wahrscheinlich haben Sie davon gehört: Im Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Auch diese regelt den Schutz von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten. Warum wird zusätzlich noch die ePrivacy-Verordnung erlassen? Ist die Datenschutz-Grundverordnung nicht ausreichend?
Zugegebenermaßen decken sich die ePrivacy-Verordnung und die Datenschutz-Grundverordnung teilweise. Der entscheidende Unterschied ist allerdings, dass die Datenschutz-Grundverordnung eher die Grundsätze des Datenschutzes beinhaltet. Die ePrivacy-Verordnung hingegen ist spezieller und widmet sich im Schwerpunkt dem Schutz der personenbezogenen Daten in der elektronischen Kommunikation. Wie es so schön im Juristendeutsch heißt: Die ePrivacy-Verordnung ist lex specialis zu der Datenschutzgrund-Verordnung.
Welche Änderungen beinhaltet die ePrivacy-Verordnung?
Die ePrivacy – Verordnung hält so manche Änderung parat, welche wir im Folgenden erläutern. Wir möchten an dieser Stelle allerdings darauf hinweisen, dass es die finale Fassung der ePrivacy – Verordnung noch nicht gibt. Es sind also durchaus noch Änderungen möglich.
1. Elektronische Kommunikation
Tagtäglich nutzen wir Messengerdienste, wie bspw. WhatsApp, den Facebook – Messenger, iMessage oder Telegram, zur elektronischen Kommunikation. Hierbei fallen naturgemäß verschiedenste Daten der Nutzer an. Die Kommunikationsdienstleister interessieren sich nicht nur für die Kommunikationsinhalte, auch sog. Metadaten – wer, wann, wo, und wie lange kommuniziert – haben einen hohen Stellenwert für die Dienstleister.
Bisher konnten die Dienstleister die Daten ohne explizite Einwilligung der Nutzer kommerziell, für bpsw. personalisierte Werbung, nutzen. Dem will die EU nun einen Riegel vorschieben. Eine kommerzielle Nutzung wäre dann nur noch mit einer Einwilligung des betroffenen Nutzers möglich. Für „klassische“ Kommunikationsanbieter (Telefonie, SMS) gilt dies schon heute. Für die oben genannten Messengerdienste wäre das eine Neuheit.
Darüber hinaus beinhaltet die ePrivacy – Verordnung in ihrer jetzigen Fassung die Verpflichtung der Kommunikationsdienstleister die Kommunikation nach dem „Stand der Technik“ zu schützen. Die Verordnung will so dem unbefugten Ausspähen der Nutzerdaten vorbeugen. Denkbar wäre eine Verpflichtung zu einer Ende-zu-Ende Verschlüsselung. Diese Verschlüsselung dürfte dann auch lediglich von den betroffenen Nutzern entschlüsselt werden können.
Die Verordnung nimmt aber nicht nur die Kommunikationsdiensteanbieter, sondern auch die EU-Mitgliedsstaaten in die Pflicht. Den Mitgliedsstaaten wird verboten, Gesetze zu erlassen, welche die Kommunikationsdiensteanbieter verpflichtet, die Unverletzlichkeit der Kommunikationsdaten zu schwächen.
2. „Do-Not-Track“
Surfen wir heute im Internet, so werden wir von den meisten Seitenbetreibern getrackt oder zu deutsch „verfolgt“. Hierzu werden Cookies verwendet. Cookies sind kleine Textdateien, welche auf dem Computer des Nutzers gespeichert werden und dazu dienen eine Webseite bspw. zu individualisieren. Sie merken sich sowohl die eingestellte Schriftgrößte, als auch die Sprache der Webseite.
Cookies werden aber auch zu Marketingzwecken verwendet. Mithilfe der Cookies können Nutzerprofile erstellt werden, die gewisse Produktvorlieben des Nutzers enthalten. Bisher war es ausreichend, dass die Nutzer mittels sog. Cookie-Banner über die Nutzung von Cookies informiert werden.
Mit der ePrivacy – Verordnung wird dies nicht mehr möglich sein, denn für die Nutzung von Cookies schreibt die ePrivacy-Verordnung eine explizite und nachweisbare Einwilligung des Nutzers vor. Das könnte dazu führen, dass wir künftig mit mehr Cookie-Bannern belästigt werden. Dieses Szenario ist bereits von der ePrivacy-Verordnung bedacht. So sollen die Grundeinstellungen von Internet-Browsern und Smartphone-Betriebssystemen künftig so datenschutzfreundlich wie möglich sein, sog. „privacy by default“.
Ausnahmen
In bestimmten Fällen muss keine Einwilligung der Nutzer eingeholt werden. Dies ist dann der Fall, wenn die Cookies notwendig sind. Denkbar wäre dies im Bereich des Online-Handels. Sogenannte Session-Cookies, welche bspw. für den Login-Status oder den Warenkorb genutzt werden, bedürfen daher keine Einwilligung.
Aber auch Webanalysen und Reichweitenmessungen dürften von der Ausnahme erfasst sein. Wer also Piwik zur Webseitenanalyse nutzt, wird nicht extra eine Einwilligung zum Setzen von Cookies einholen müssen. Auch die Nutzung von Google Analytics dürfte ohne Einwilligung möglich sein, sofern sich Google an die Anforderungen zu der Auftragsverarbeitung nach der Datenschutz-Grundverordnung hält. Allerdings möchten wir an dieser Stelle darauf hinweisen, dass diese Cookies tatsächlich nur für die Webanalyse genutzt werden dürfen.
Auswirkungen für die Verbraucher & die Wirtschaft
Aus Verbrauchersicht sind diese Änderungen zu begrüßen, da vor allem Kinder und ältere Menschen hiervon profitieren. Das mühselige Konfigurieren der Datenschutzeinstellungen hätte ein Ende.
Auf der anderen Seite steht die Wirtschaft vor gewaltigen Hürden, denn so gut wie jede kommerzielle Webseite basiert auf der Datennutzung der Webseitenbesucher. Ruft der Nutzer nun eine Webseite auf, muss der Browser nach seiner Einwilligung fragen. Wurde diese abgegeben, hat der Browser der Webseite mitzuteilen, dass die Einwilligung erfolgt ist. Allein dieser Umstand dürfte die Branche vor technische Herausforderungen stellen.
Im Falle eines technischen Fehlers drohen den Unternehmen empfindliche Bußgelder von bis zu vier Prozent ihres Jahresumsatzes. Ob hierfür das betroffene Unternehmen oder der Browserhersteller haftet, ist noch vollkommen offen.
Des Weiteren sollen „Tracking-Walls“ mittels eines Kopplungsverbots unterbunden werden. Ein Unternehmen kann damit die Nutzung seiner Webseite nicht von der Einwilligung in das Setzen von Cookies zum Zwecke des Trackings abhängig machen.
Von der ePrivacy-Verordnung wäre auch das Internet der Dinge betroffen. Wer also eine SmartHome-Lampe in seinem Zuhause verwendet, müsste seine Einwilligung geben, wenn die Datenverarbeitung über das erforderliche Maß hinausgehen. Wie dies technisch realisiert werden soll, ist noch vollkommen offen.
3. Transparenzpflicht für die Mitgliedsstaaten
Zwar wird die ePrivacy-Verordnung Ausnahmen zum Recht auf vertrauliche Kommunikation für die Strafverfolgungsbehörden enthalten, doch sollen Dokumentations- und Transparenzpflichten eingeführt werden. Diensteanbieter müssten so staatliche Zugriffe dokumentieren und jährlich statistische Berichte veröffentlichen. Weiterhin könnten die Datenschutzbehörden die Dokumente über die staatlichen Zugriffe herausverlangen.
Wann kommt die ePrivacy-Verordnung?
Aufgrund der gemeinsamen Schutzbereiche von Datenschutz – Grundverordnung und der ePrivacy-Verordnung sollte die ePrivacy-Verordnung zeitgleich mit der DSGVO im Mai 2018 Inkrafttreten. Das erscheint allerdings äußerst unrealistisch. Grund hierfür ist, dass der Europäische Rat zunächst die Stellungnahmen der einzelnen Mitgliedstaaten einholen muss, woraus der Europäische Rat einen eigenen Standpunkt erstellt.
Dieser wird wiederum mit den Ansichten des Europäischen Parlaments sowie der Europäischen Kommission gegenübergestellt. Sollten die Standpunkte untereinander divergieren, starten Verhandlungen im Rahmen eines Triloges.
Der fertige Standpunkt des Europäischen Rates wird im Sommer 2018 erwartet, sodass wir davon ausgehen, dass mit einem Inkrafttreten erst im Jahr 2019 zu rechnen ist. Hinzu kommt eine Übergangsfrist. Wie lange diese sein wird, können wir noch nicht mit absoluter Gewissheit sagen.
Was Sie jetzt schon unternehmen können
Auch wenn die finale Fassung der ePrivacy-Verordnung noch auf sich warten lässt: Machen Sie nicht den Fehler zunächst abzuwarten! An den ausschlaggebenden Neuerungen durch die ePrivacy-Verordnung wird sich nicht viel ändern.
Darüber hinaus müssen Sie beachten, dass das aktive Einwilligungserfordernis der User in das Setzen von Cookies in der Datenschutz-Grundverordnung geregelt ist, welche am 25.05.2018 in Kraft treten wird. Weiterhin sind Sie dazu verpflichtet, die Nutzer über die von Ihnen eingesetzte Technologie auf der Webseite aufzuklären.
Unsere Empfehlung: Stellen Sie sich die Frage, was passiert, wenn der Nutzer oder die Datenschutzbehörde Informationen hinsichtlich der von Ihnen genutzten Daten haben möchte. Wer erhält die von Ihnen gesammelten Daten? Wer verarbeitet sie und wertet sie aus? Übermitteln Sie die Daten an einen Dritten oder bleiben die Daten firmenintern? Kommt die ePrivacy-Verordnung, so müssen Sie in der Lage sein, innerhalb von zwei Wochen entsprechende Auskünfte geben zu können.
Einziger Wermutstropfen: Nicht allein die Unternehmen werden mit den Änderungen zu kämpfen haben. Auch die Datenschutzbehörden werden zunächst überfordert sein.
Unsere Leistungen zum Thema ePrivacy-Verordnung
- Bestandsaufnahme der relevanten Strukturen, Verfahren und Prozesse im Unternehmen (zB. bei Kundenbestellungen, E-Mail-Kampagnen oder Nutzertracking, etc.)
- Erstellung eines Ablaufplans zur Klärung von Fragen der Datenverarbeitung, der Sicherstellung der Betroffenenrechte und der Handhabung von Datenschutzrechtsverletzungen
- Entwurf eines Prüfkatalogs und Maßnahmenplans zur Einhaltung der Datenschutz-Compliance