ePrivacy Verordnung

Die ePrivacy-Verordnung und deren Umsetzung. Genau wie die Umsetzung der Datenschutz-Grundverordnung (DSGVO) wird auch die bevorstehende ePrivacy-Verordnung eine Herausforderung. Wir empfehlen Unternehmen daher, sich frühzeitig mit den Anforderungen auseinanderzusetzen.

Was ist die ePrivacy-Verordnung?

Es handelt sich um eine Verordnung der europäischen Union. Diese soll zum Schutz personenbezogener Daten erlassen werden, insbesondere steht der Schutz von elektronischer Kommunikation im Vordergrund. Dabei sollen insbesondere Trackingmaßnahmen sowie die kommerzielle Verwertung von personenbezogenen Daten durch Messengerdienste (wie etwa WhatsApp) deutlich stärker als bislang reglementiert werden.

Hintergrund der ePrivacy-Verordnung

Seinen Ursprung findet der europäische Datenschutz 1995 in der europäischen Datenschutzrichtlinie (Richtlinie 95/46/EG). Die ePrivacy-Richtlinie ergänzt 2002 (2002/58/EG) diese Datenschutzrichtlinie und enthält verbindliche Mindestvorgaben für die europäischen Mitgliedsstaaten.

Im Jahre 2009 wurde diese Richtlinie wiederum durch die sog. Cookie-Richtlinie ergänzt und fordert von Website-Betreibern die Einholung einer Einwilligung von Nutzern in die Verwendung der Cookies bzw. Aufklärung der Nutzer über das Setzen von Cookies.

Die ePrivacy-Richtlinie, wie auch die Cookie-Richtlinie wurden durch entsprechende Normierungen im Telemedien- und im Telekommunikationsgesetz umgesetzt. Die künftige ePrivacy-Verordnung hingegen wird, wenn sie kommt, ohne nationale Umsetzung unmittelbar Geltung erlangen.

Exkurs: Verordnungen gelten unmittelbar (ohne vorherige Umsetzung in nationales Recht) in den jeweiligen Mitgliedsstaaten der EU. Europäische Richtlinien hingegen müssen zunächst durch ein nationales Gesetz umgesetzt werden, um Gültigkeit im jeweiligen Mitgliedsstaat der EU zu erlangen.

DSGVO im Verhältnis zur ePrivacy-Verordnung

Auch die DSGVO regelt den Schutz von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten. Jedoch ist die ePrivacy-Verordnung spezieller und fokussiert den Schutz personenbezogener Daten in der elektronischen Kommunikation.

Ziele und Inhalte der ePrivacy-Verordnung:

Die ePrivacy-Verordnung ist betreffend personenbezogene Daten – wie bereits erwähnt - „lex specialis“ zur DSGVO und ergänzt diese im Hinblick auf elektronische Kommunikationsdaten. Dies bedeutet, dass alle Fragen zur Verarbeitung personenbezogener Daten, die von der ePrivacy-Verordnung nicht spezifisch geregelt sind, von der DSGVO erfasst werden.

Ziel der ePrivacy-Verordnung ist der Schutz natürlicher und juristischer Personen bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste, insbesondere der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Art. 1 Abs. 1 des Entwurfs). Die ePrivacy-Verordnung soll für die Verarbeitung elektronischer Kommunikationsdaten und für Informationen in Bezug auf die Endeinrichtung der Endnutzer gelten (Art. 2 des Entwurfs).

Unter elektronische Kommunikationsdaten sollen sowohl Kommunikationsinhalte als auch Kommunikationsmetadaten fallen.

Dabei soll die ePrivacy-Verordnung für alle Anbieter elektronischer Kommunikation, unabhängig vom Sitz des Unternehmens und unabhängig davon, ob die Leistung entgeltlich oder unentgeltlich angeboten wird, gelten.

 

Ziel ist vor allem „zur Gewährleistung eines wirksamen rechtlichen Schutzes bezüglich der Achtung der Privatsphäre und der Kommunikation“, den Anwendungsbereich auf moderne elektronische Kommunikationsdienste, die über das Internet angeboten werden ("Over-The-Top-Kommunikationsdienste" – kurz „OTT-Dienste“), auszudehnen – z.B. Internettelefonie (wie Skype), Instant Messaging (wie WhatsApp) und webgestützte E-Mail-Dienste. Auch soll die Vertraulichkeit der Kommunikation über Hotspots gewährleistet werden

 

Diese Begründung war bereits im Entwurf der EU-Kommission v. 10.02.2017 (vgl. Erwägungsgrund 13 des Verordnungsentwurfs) enthalten (pdf unter: http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=42678 (externer Link)). Damit soll eine einheitliche Anwendung und ein effizienter Schutz - auch im Rahmen der Online- Kommunikation - sichergestellt werden. 

Die Regelungen zum Datenschutz im Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) und die Regelungen zur Werbung im Gesetz gegen den unlauteren Wettbewerb (UWG) werden ersetzt.

Über den endgültigen Inhalt der Verordnung müssen sich EU-Kommission, EU-Parlament und der Rat der Europäischen Union in zukünftigen Trilog-Verhandlungen verständigen. Wann diese Trilog-Verhandlungen stattfinden ist derzeit allerdings noch nicht absehbar.

Voraussichtliche Änderungen der ePrivacy-Verordnung

Die Änderungen, die im Rahmen der künftigen ePrivacy – Verordnung stattfinden, hängen natürlich von der endgültigen Fassung ab, die noch aussteht. Im Folgenden findet sich daher ein Ausblick, der möglicherweise noch Änderungen erhalten kann:

  • 1.    Elektronische Kommunikation
  • Moderne elektronische Kommunikationsdienste - Over-The-Top-Kommunikationsdienste (auch „OTT-Dienste“ genannt), wie etwa wie Bildtelefon, Messenger und Social Networks, wie sie z.B. durch WhatsApp, Skype, Viber oder iMessage gehören mittweile zum Alltag. Die Kommunikationsdienstleister interessieren sich nicht dabei nicht nur für die Kommunikationsinhalte, auch sog. Metadaten – wer, wann, wo, und wie lange kommuniziert – sind für die Dienstleister von großer Bedeutung.

     

    Diese Daten konnten bislang ohne explizite Einwilligung der Nutzer kommerziell, für bpsw. personalisierte Werbung, genutzt werden. Das soll sich nun ändern und ausschließlich mit der Einwilligung des betroffenen Nutzers möglich sein.

    Für “klassische” Kommunikationsdienste (Telefonie, SMS/MMS, E-Mail) gilt dies bereits heute.

     

  • 2.    Tracking-Maßnamen
  • Die meisten Website-Betreiber tracken das Surfverhalten ihrer Nutzer (= nachverfolgen) mittels sog. Cookies. Cookies sind kleine Textdateien, die auf dem Endgerät des Nutzers abgelegt werden, d.h. sie werden im Internetbrowser des Nutzers gespeichert, wenn der Nutzer die Internetseite aufruft. Dabei enthält das Cookie eine charakteristische Zeichenfolge, mit der der Nutzer beim erneuten Aufruf der Internetseite wiedererkannt werden kann. Sie können sich z.B. eingestellte Schriftgrößte oder auch die Sprache der Webseite merken.

    Nutzerprofile können mit Hilfe von Cookies ebenfalls erstellt werden. So können zu Marketingzwecken etwa Vorlieben zu Produkten etc. des Nutzers im Rahmen dieser Nutzerprofile gespeichert werden. Ausreichend war es bislang den Nutzer darüber zu informieren – bspw. mittels eines sog. „Cookie-Banners“. Die ePrivacy-Verordnung fordert künftig eine ausdrückliche und nachweisbare Einwilligung des Nutzers. Auch die Grundeinstellungen von Internet-Browsern und Smartphone-Betriebssystemen sollen künftig so datenschutzfreundlich wie möglich sein (Stichwort “privacy by default”).

    Ausnahme –es handelt es sich bei den eingesetzten Cookies um „notwendige Cookies“ (z.B. sog. Session-Cookies, die für den Login-Status oder den Warenkorb oder die Navigation), auch ohne Einholung einer Einwilligung des Nutzers eingesetzt werden.

    Wie bereits erörtert wird das Online-Tracking vor allem durch den Einsatz von Cookies umgesetzt. Es gibt aber auch andere technische Verfahren, wie z.B. Browserfingerprints. Für diese gilt ebenfalls das Erfordernis der Einholung einer vorherigen ausdrücklichen und datenschutzkonformen Einwilligung.

    Auch sieht der Entwurf der ePrivacy-Verordnung die grundsätzliche Differenzierung zwischen der Erfassung des Verhaltens der Nutzer im Internet, dem sogenannten Online-Tracking, und dem Offline-Tracking vor. Durch Offline-Tracking werden die Bewegungen des Nutzers im realen Raum, z.B. in Stadtbezirken oder in Verkaufsräumen von Kaufhäusern erfasst, wofür es bislang keine Regelung gab.

    Pflichten für Softwareanbieter

    Die ePrivacy-Verordnung sieht auch vor, Softwareanbieter zu Datenschutzmaßnahmen zu verpflichten (Stichwort: Privacy by Design). Jede Software, die eine elektronische Kommunikation erlaubt, wie insbesondere Internetbrowser, soll die technische Möglichkeit bieten zu verhindern, dass Dritte Informationen in der Endeinrichtung eines Endnutzers speichern oder bereits in der Endeinrichtung gespeicherte Informationen verarbeiten. Darüber hinaus ist vorgesehen, dass der Endnutzer bei der Installation der Software über Einstellungsmöglichkeiten zur Privatsphäre informiert wird und zur Fortsetzung der Installation vom Endnutzer die Einwilligung zu einer Einstellung zu verlangen ist.

     

    Bußgelder

    Ebenso wie die Datenschutz-Grundverordnung soll der Bußgeldrahmen wesentlich ausgeweitet werden. Einzelne Verstöße gegen die Vorschriften der E-Privacy-VO können Geldbußen von bis zu 20.000.000 EUR oder bis zu 4 % des weltweiten Konzernumsatzes des vergangenen Geschäftsjahres vorsehen.

     

     

     

     

     

    Letzte News

    DSGVO | Alle News & Artikel zum Thema
    Datenschutz und Datensicherheit

    Erfahren Sie News und Wissenswertes zum Thema Datenschutz-Grundverordnung.

    Anwaltliche Beratung im Arbeitsrecht - Wir bieten Ihnen schnelle und kompetente Beratung im Arbeitsrecht
    Kirschenhofer Rechtsanwälte München

    Wir beraten Sie zum Kündigungsschutz, zum Thema Abfindungen und Verhandlung von Abfindungen, zur Gestaltung von Arbeits-, Vorstands- und Geschäftsführerverträgen, Beratung des Aufsichtsrats, Mitarbeiterbeteiligung, Arbeitsrechtliche Fragen der Unternehmensgründung bzw. bei Umwandlungen.

    EU-Datenschutz-Grundverordnung

    Wir bieten Ihnen Unterstützung und weitreichende Information zum Thema EU-Datenschutz-Grundverordnung an. Die DSGVO ist für alle Unternehmer, Shopbetreiber und Dienstleister ein wichtiges Thema - Wir helfen Ihnen personenbezogene Daten souverän zu schützen und rechtssicher einzusetzen.