Entwurf für ePrivacy-Verordnung

2. Januar 2017

Ein Entwurf der Privacy-Verordnung für elektronische Kommunikation (ePrivacy-VO) durch die Europäische Kommission wurde geleakt. Mit der Verordnung soll die bisher geltende ePrivacy-Richtlinie (RL 2002/58) ersetzt werden. Durch diese wurden bislang Mindestvorgaben für den Datenschutz in der Telekommunikation gesetzt. Die Richtlinie wurde von den Nationalstaaten unterschiedlich in nationales Recht transformiert. In Deutschland wurden die Mindestvorgaben durch Novellierung des Telekommunikatiosngesetzes transformiert, nachdem die Europäische Kommission bereits ein Vertragsverletzungsverfahren gegen die Bundesrepublik wegen Verstoßes gegen die Umsetzungsfrist einleitete. Ein derartiger „Flickenteppich“ unterschiedlicher nationaler Gesetze wird nun durch den gesetzgeberischen Weg einer Vorordnung umgangen, da diese unmittelbare Anwendung findet.

Zwar ist der Gesetzgebungsprozess der ePrivacy-Verordnung noch nicht abgeschlossen, gleichwohl sind im Entwurf bereits gravierende Änderungen zur gegenwärtigen Rechtslage erkennbar.

Wie in der Datenschutzgrundverodnung (DS-GVO) ist räumlich eine extraterritoriale Anwendung vorgesehen. Entscheidend für die Anwendbarkeit der Verordnung sollen die Nutzung und das Anbieten von Kommunikationsdiensten in der EU sein, unabhängig davon, ob die eigentliche Datenverarbeitung außerhalb der EU stattfindet. Eine Umgehung des EU-Datenschutzrechts, wie beispielsweise durch Outsourcing der Datenverarbeitung, soll so verhindert werden.

Die ePrivacy-Verordnung findet sachlich auch auf sogenannte Over-the-Top-Dienste (OTTs), wie Messenger, und auf den für das Internet-of-Things (IoT) wesentlichen Datentransfer zwischen Maschinen Anwendung. Informationen, die im Rahmen der vernetzten Industrie zwischen zwei Geräten ausgetauscht werden, können auch personenbezogene Daten im Sinne der DS-GVO enthalten. Die näheren Umstände der Kommunikation, welche über den Inhalt hinausgehen (Metadaten) werden nun erfasst. Diese dürfen ohne vorherige Einwilligung der End-Nutzer nur in bestimmten Fällen, wie etwa zur Qualitätssicherung, IT-Sicherheit oder der Abrechnung, verarbeitet werden. Sofern demgegenüber keine Rechtsgrundlage für eine Verarbeitung besteht, müssen die Daten unverzüglich gelöscht oder anonymisiert werden.

Beim Einsatz von Cookies und anderen Tracking-Tools wird die vorherige Einwilligung der Nutzer benötigt. Dies wird auf anderweitiges Tracking (z.B. GPS), sowie den Zugriff auf im Endgerät gespeicherte Daten (z.B. Fotos, Kontakte, Nachrichten), erweitert. Die Einwilligung soll benutzerfreundlich eingeholt werden und durch technische Einstellungen des Browsers möglich sein (Privacy by Design).

Wie bereits nach der DS-GVO, sollen auch unter der ePrivacy-VO erhebliche Bußgelder von bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können.