Schlagwort: ePrivacy-Verordnung
28. Februar 2021
Am 10. Februar 2021 einigten sich die EU-Mitgliedsstaaten auf ein Verhandlungsmandat für die überarbeiteten Vorschriften zum Schutz der Privatsphäre und der Vertraulichkeit bei der Nutzung elektronischer Kommunikationsdienste. Durch diese aktualisierte Version soll festgelegt werden, in welchen Fällen Anbieter elektronische Kommunikationsdaten verarbeiten oder Zugang zu Daten erhalten dürfen, die auf den Geräten der Endnutzer gespeichert werden.
Der ursprüngliche Text wurde von der Kommission erstmals im Januar 2017 vorgelegt, Monate nachdem Europas Flaggschiff der Datenschutzreform, die Datenschutzgrundverordnung, fertiggestellt worden war. Der neue Text wurde unter der portugiesischen Ratspräsidentschaft ausgearbeitet und wird die Grundlage für die Verhandlungen des Rates mit dem Europäischen Parlament über die endgültigen Bedingungen der Datenschutzverordnung für elektronische Kommunikation bilden. Der portugiesische Vorsitz wird nun Gespräche mit dem Europäischen Parlament über den endgültigen Wortlaut einleiten.
Die bestehende Datenschutzrichtlinie für elektronische Kommunikation aus dem Jahr 2002 muss aktualisiert werden, um neuen technologischen Entwicklungen und Marktentwicklungen – wie der derzeit weit verbreiteten Nutzung der Internet-Sprachtelefonie (Voice-over-IP/VoIP), den webgestützten E‑Mail- und Nachrichtenübermittlungsdiensten sowie neuen Techniken zur Verfolgung des Online-Verhaltens der Nutzer – Rechnung zu tragen, so der Rat.
Als spezielleres Gesetz („lex specialis“) zur Datenschutz-Grundverordnung wird sie die bisherige Verordnung konkretisieren und ergänzen. So gelten im Gegensatz zur DSGVO viele Bestimmungen über die Privatsphäre und elektronische Kommunikation sowohl für natürliche als auch juristische Personen.
Es sei das erklärte Ziel, die digitale Transformation in Europa voranzutreiben. Insbesondere vor dem Hintergrund der COVID-19-Pandemie arbeitet die EU daran, den technologischen Wandel zu beschleunigen. Die Digitalisierung ist für das Wachstum und die Widerstandsfähigkeit der EU von großer Bedeutung. Die EU arbeitet aktuell an mehreren politischen Maßnahmen, die dazu beitragen sollen, das Ziel des digitalen Übergangs zu erreichen. Dabei sind die wichtigsten Politikbereiche digitale Dienste, Datenwirtschaft, künstliche Intelligenz, Basistechnologien, Konnektivität und Cybersicherheit. Ein Schlüsselelement des digitalen Übergangs ist der Schutz der Werte der EU sowie der Grundrechte und der Sicherheit der Bürger.
Die Umsetzung der ePrivacy-Richtlinie war längst überfällig. Es ist aber wahrscheinlich, dass der aktuelle Vorschlag im Laufe der Verhandlungen mit dem Europäischen Parlament noch einige Änderungen erfahren wird. Die Verordnung würde dann zwei Jahre nach ihrer Veröffentlichung im EU-Amtsblatt in Kraft treten.
21. Dezember 2020
Neben der DS-GVO sollte ursprünglich gleichzeitig im Mai 2018 die ePrivacy-Verordnung in Kraft treten (wir berichteten). Diese sollte die DS-GVO datenschutzrechtlich in Bezug auf die Verarbeitung von Telekommunikationsdaten ergänzen. Nun hat Deutschland im Rahmen seiner EU-Ratspräsidentschaft am 4. November 2020 einen neuen Entwurf zur ePrivacy-Verordnung (2017/0003/COD) vorgelegt.
Der Vorschlag berücksichtigt unter anderem die EuGH-Urteile C-511/18, C-512-18, C-520/18 des EuGH. Darin hat der EuGH klargestellt, dass eine Vorratsdatenspeicherung aller Kommunikationsdaten der EU-Bürger nicht mit den europäischen Grundrechten vereinbar ist. Dies ist ausnahmsweise nur staatlichen Behörden im Rahmen der Staatssicherheit oder zur Verfolgung von Straftaten gestattet.
Außerdem wurde der Passus gestrichen, der es Anbietern von Kommunikationsdiensten gestattete, die Kommunikation ihrer Nutzer in Hinblick auf illegales Material wie Kinderpornographie zu analysieren. Als Begründung wird auf die Richtlinie zur Neufassung des europäischen Kodex für die elektronische Kommunikation verwiesen, die dahingehend ergänzt werden soll.
Die besonders umstrittenen Art. 22 – 25 ePVO (2017/0003/COD), die im ursprünglichen Vorschlag vorsahen, dass die Nutzung von Cookie-Banners reduziert werden soll, indem Nutzer zukünftig eine für alle Webseiten allgemeingültige Einstellung in ihrem Browser vornehmen können, wurden gestrichen. Zum einen würde das aus datenschutzrechtlicher Sicht der Belehrungsfunktion entgegenwirken. Zum anderen wurde dies zuvor besonders von Verlagsseite kritisch gesehen (wir berichteten), da dies deren Geschäftsmodell untergräbt.
Da die Entwurfsvorlage – wie die Entwürfe zuvor – sich noch in der 1. Lesung des Europäischen Parlaments befindet, hängt das weitere Vorgehen noch von dessen Zustimmung ab.
5. Juni 2019
Ein Vorbereitungsgremium des Europäischen Rates, die Gruppe “Telekommunikation und Informationsgesellschaft”, befasst sich am 07.06.2019 mit dem Fortschrittsbericht zu einer künftigen Verordnung „über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation“ (ePrivacy-VO-E).
Entstehung
Bereits im Jahr 2009 wurde das datenschutzrechtliche Normengefüge im Kontext elektronischer Kommunikation durch die sog. Cookie-Richtlinie erweitert. Diese normiert unter Anderem Anforderungen an Einwilligung sowie Aufklärung der Nutzer im Kontext von Cookies auf Webseiten. Die Richtlinie wurde vom deutschen Gesetzgeber mittels Vorschriften im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) umgesetzt.
Künftig wird die ePrivacy-VO dieses Normengefüge erweitern und Aspekte elektronischer Kommunikationsdienste normieren sowie die zuvor aufgeführte Richtlinie ersetzen. Die konkrete Ausgestaltung der Verordnung ist nun Gegenstand des politischen (sowie rechtlichen) Diskurses innerhalb Europas und wird im weiteren Gesetzgebungsverfahren finalisiert.
Frühzeitige Implementation sinnvoll
Nichtsdestotrotz sollten Unternehmen dies nicht als Anlass zu übermäßiger Gelassenheit nehmen. So lehrte die (teilweise) verspätete und daraus resultierende hektische sowie mangelhafte Umsetzung der Anforderungen der Datenschutzgrundverordnung (DSGVO) seit Mai des letzten Jahres, dass auch Gelassenheit bisweilen ein Fehler ist. Da die fehlerhafte Umsetzung überdies ein Haftungsrisiko birgt, sollten Unternehmen keinesfalls zu lange warten, bis Sie die kommenden Regelungen der ePrivacy-VO in ihre Datenschutz-Compliance implementieren.
27. Juli 2018
Nach einer Umfrage von Bitkom Research die im Auftrag des Digitalverbands Bitkom erstellt wurde, empfinden rund 55 % der Internetnutzer die neuartigen Cookie-Banner als störend. Diese poppen beim Aufrufen einer Website auf und dienen dazu den Nutzer über die Nutzung von Cookies zu informieren. Rund 44 % der Nutzer können dabei nicht nachvollziehen warum ein solches Cookie-Banner notwendig ist.
Die Geschäftsleitung der Bitkom befürchtet, dass sich die Lage weiterhin verschlechtern könnte und weißt auf die ePrivacy-Verordnung hin. Diese sieht vor, dass Cookies auf kommerziellen Websites abgelehnt werden können. In diesem Fall könnten die Cookie-Banner noch deutlich umfangreicher ausfallen und somit die Internetnutzer noch stärker stören. Des Weiteren weist die Geschäftsleitung drauf hin, dass Cookies sowohl für den Betreiber der Website als auch für die Nutzer einen erheblichen Vorteil bieten und die Nutzung der Website um ein vielfaches einfacher gestalten. Trotz dieser Vorteile sieht ein Großteil der Nutzer die Information über die genutzten Cookies als überflüssig an.
6. November 2017
Am 26.10.2017 hat das Europäische Parlament einen Entwurf für die ePrivacy – Verordnung beschlossen. Anders als die EU-Datenschutzgrundverordnung (DSGVO), die sich im Wesentlichen auf die Verarbeitung personenbezogener Daten bezieht, bezieht sich die ePrivacy – Verordnung auf die Verarbeitung von Kommunikationsdaten. Die beiden Verordnungen sollen gleichranging nebeneinander stehen und so einen möglichst ganzheitlichen Datenschutz gewährleisten. Die ePrivacy – Verordnung soll, wie auch die DSGVO, am 25.05.2018 in Kraft treten.
In dem vom Europäischen Parlament verabschiedeten Entwurf haben sich die Parlamentarier unter anderem dafür ausgesprochen, dass auch internetbasierte Kommunikationsdienste wie beispielsweise Whatsapp oder Skype von der Verordnung erfasst werden sollen. Darüber hinaus soll die Datenweitergabe an Dritte, etwa zu Werbezwecken, nur noch nach ausdrücklicher Zustimmung erlaubt sein und Webbrowser standardmäßig so voreingestellt werden, dass das Tracking von Webseiten einfacher zugelassen oder abgelehnt werden kann. Weiterhin sprechen sich die Parlamentarier in ihrem Entwurf der ePrivacy – Verordnung dafür aus, dass es ein Recht auf Ende – zu – Ende – Verschlüsslung geben soll.
Auf der Grundlage des nun verabschiedeten Entwurfs wird es in einem nächsten Schritt zu Verhandlungen zwischen dem Europäischen Parlament, der Europäischen Kommission und den Mitgliedstaaten kommen. Im Zuge dieser Trilog-Verhandlungen kann sich der Inhalt der ePrivacy – Verordnung durchaus noch grundlegend ändern. Aufgrund der noch ausstehenden Verhandlungsrunden ist davon auszugehen, dass eine endgültige Fassung der ePrivacy – Verordnung erst kurz vor dem eigentlichen Inkrafttreten im Mai 2018 verabschiedet werden wird. Für betroffene Unternehmen hätte dies zur Folge, dass ihnen nur eine kurze Zeitspanne zur Vorbereitung und Umsetzung der notwendigen Maßnahmen bleiben würde.
30. Mai 2017
In Ergänzung zur EU-Datenschutzgrundverordnung (DSGVO), wird 2018 die ePrivacy-Verordnung in Kraft treten. Dabei sollen nach dem mit der DSGVO eingeführten Privacy-by-Design-Grundsatz, die Cookie-Banner nach der EU-Kommission zukünftig nicht mehr auf jeder Website, sondern in den Browsern auftauchen. Privacy-by-Design soll die Berücksichtigung des Daten- bzw. des Persönlichkeitsrechtsschutzes bereits in der Phase der Technikentwicklung sicherstellen. Browser-Hersteller müssen demnach alle technischen Voreinstellungen Privatsphäre-freundlich ausgestalten. Damit erfolgt die Einwilligungserklärung der Nutzer zur Datenerhebung zukünftig zentral.
Deutschlands führende Verlage äußerten sich in einem offenen Brief an das EU Parlament kritisch gegenüber dieser neuen Regelung, denn sie befürchten damit keinen Zugriff mehr auf die für ihr Geschäft notwendigen Nutzerdaten zu haben. Zudem, so argumentieren u.a. die Zeit, die Süddeutsche und die F.A.Z., würden die neuen Regelungen die browsermarktführenden US-Internetkonzerne wie Google, Apple oder Microsoft weiterhin begünstigen. Diese bekämen noch mehr Einfluss auf den Nachrichtenkonsum der Verbraucher und auf das ob und wie der Zugriffsfreigabe von Verbraucherdaten gegenüber den Verlagen. Damit besteht zudem die Gefahr, dass der Nutzer die Kontrolle über seine Daten zunehmend verliert womit ein Verstoß gegen das datenschutzrechtliche Transparenzgebot vorliegt.
Darüber hinaus kann der Regelungsentwurf zu Lasten des digitalen Nachrichtengeschäftes dazu führen, dass kaum noch Nutzer dem Datentransfer zustimmen. Soweit die Verlage nicht mehr auf sogenannte Third-Party-Cookies zugreifen können, kann außerdem die Möglichkeit der Verlage, den Nutzern relevante Inhalte und Werbung anzuzeigen, und damit das Werbefinanzierungsmodell von Nachrichten, behindert werden.
Auch aus Datenschutzkreisen wird der neue Regelungsentwurf kritisiert. So monierten die Datenschützer der Artikel-29-Gruppe, dass mit dem neuen Regelungsentwurf der Einwilligungserklärung der Nutzer nach vorheriger Belehrung entgegen gewirkt werde. Die Datenschützer setzten sich dafür ein, unterschiedliche Tracking-Ziele gesondert freischalten zu lassen. Demnach würden z.B. die für Werbung genutzten Daten, von solchen Daten, die der Navigationsverbesserung auf Websites dienen, getrennt werden.
13. Januar 2017
In dieser Woche hat die EU-Kommission einen neuen Entwurf einer ePrivacy-Verordnung vorgelegt, mit dem sie auf Änderungsbedarf aufgrund der EU-Datenschutzgrundverordnung reagiert. Der Vorschlag sieht eine Reihe von Neuregelungen vor, die den Datenschutz der Internetnutzer bei Chat- und Voice-over-IP-Anwendungen sowie bezüglich Cookies und Werbung verbessern sollen.
Beispielsweise soll der Umgang mit Cookies vereinfacht werden: Künftig soll für solche Cookies, “die keine Gefährdung der Privatsphäre darstellen”, keine explizite Zustimmung der Nutzer mehr notwendig sein, hingegen dürfen Cookies von Drittanbietern (z. B. von Werbenetzwerken) nur nach Einwilligung des Nutzers aktiviert werden, erst einmal wären diese vom Browser künftig standardmäßig geblockt.
Endlich werden auch die moderneren Kommunikationsdienste wie WhatsApp und Skype unter die Neuregelungen fallen.
Grundsätzlich stieß der Entwurf auf ein positives Echo: So begrüßte der EU-Abgeordnete Jan Philipp Albrecht den Vorschlag, mit dem die Kommission die Reform des Datenschutzrechts aus seiner Sicht komplett mache.
Die Zustimmung von Parlament und Mitgliedsstaaten zum Verordnungsentwurf muss jedoch noch eingeholt werden.
2. Januar 2017
Ein Entwurf der Privacy-Verordnung für elektronische Kommunikation (ePrivacy-VO) durch die Europäische Kommission wurde geleakt. Mit der Verordnung soll die bisher geltende ePrivacy-Richtlinie (RL 2002/58) ersetzt werden. Durch diese wurden bislang Mindestvorgaben für den Datenschutz in der Telekommunikation gesetzt. Die Richtlinie wurde von den Nationalstaaten unterschiedlich in nationales Recht transformiert. In Deutschland wurden die Mindestvorgaben durch Novellierung des Telekommunikatiosngesetzes transformiert, nachdem die Europäische Kommission bereits ein Vertragsverletzungsverfahren gegen die Bundesrepublik wegen Verstoßes gegen die Umsetzungsfrist einleitete. Ein derartiger “Flickenteppich” unterschiedlicher nationaler Gesetze wird nun durch den gesetzgeberischen Weg einer Vorordnung umgangen, da diese unmittelbare Anwendung findet.
Zwar ist der Gesetzgebungsprozess der ePrivacy-Verordnung noch nicht abgeschlossen, gleichwohl sind im Entwurf bereits gravierende Änderungen zur gegenwärtigen Rechtslage erkennbar.
Wie in der Datenschutzgrundverodnung (DS-GVO) ist räumlich eine extraterritoriale Anwendung vorgesehen. Entscheidend für die Anwendbarkeit der Verordnung sollen die Nutzung und das Anbieten von Kommunikationsdiensten in der EU sein, unabhängig davon, ob die eigentliche Datenverarbeitung außerhalb der EU stattfindet. Eine Umgehung des EU-Datenschutzrechts, wie beispielsweise durch Outsourcing der Datenverarbeitung, soll so verhindert werden.
Die ePrivacy-Verordnung findet sachlich auch auf sogenannte Over-the-Top-Dienste (OTTs), wie Messenger, und auf den für das Internet-of-Things (IoT) wesentlichen Datentransfer zwischen Maschinen Anwendung. Informationen, die im Rahmen der vernetzten Industrie zwischen zwei Geräten ausgetauscht werden, können auch personenbezogene Daten im Sinne der DS-GVO enthalten. Die näheren Umstände der Kommunikation, welche über den Inhalt hinausgehen (Metadaten) werden nun erfasst. Diese dürfen ohne vorherige Einwilligung der End-Nutzer nur in bestimmten Fällen, wie etwa zur Qualitätssicherung, IT-Sicherheit oder der Abrechnung, verarbeitet werden. Sofern demgegenüber keine Rechtsgrundlage für eine Verarbeitung besteht, müssen die Daten unverzüglich gelöscht oder anonymisiert werden.
Beim Einsatz von Cookies und anderen Tracking-Tools wird die vorherige Einwilligung der Nutzer benötigt. Dies wird auf anderweitiges Tracking (z.B. GPS), sowie den Zugriff auf im Endgerät gespeicherte Daten (z.B. Fotos, Kontakte, Nachrichten), erweitert. Die Einwilligung soll benutzerfreundlich eingeholt werden und durch technische Einstellungen des Browsers möglich sein (Privacy by Design).
Wie bereits nach der DS-GVO, sollen auch unter der ePrivacy-VO erhebliche Bußgelder von bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können.
