Mit der neuen ePrivacy-Verordnung (regelmäßig abgekürzt mit ePrivacy-VO, EU-ePrivacy-VO, E-Privacy-VO oder EU-ePrivacyVO) möchte die Europäische Union den Datenschutz bei der elektronischen Kommunikation stärken und eine Harmonisierung der datenschutzrechtlichen Gesetzeslage erzielen. Ein entsprechender Gesetzesentwurf liegt derzeit vor.
Begriff und Zweck der ePrivacy-Verordnung
Die bis dato geltende Datenschutzrichtlinie für elektronische Kommunikation soll laut Gesetzgeber ab Mai 2018 von der ePrivacy-VO abgelöst werden. Der Gesetzgeber strebt mit dem Erlass der Verordnung die unmittelbare und einheitliche Anwendung des Rechts in allen EU-Mitgliedstaaten an, während die bislang geltende Richtlinie lediglich Rahmenbedingungen vorgibt.
Die ePrivacy-VO soll eine Ergänzung zu der – ab Mai 2018 – geltenden Europäischen Datenschutz-Grundverordnung (kurz DS-GVO oder EU-DS-GVO) bilden und diese im Zusammenhang mit der Privatsphäre und Vertraulichkeit im Bereich der elektronischen Kommunikation spezifizieren.
Anwendungsbereich – Wer durch die ePrivacy-VO betroffen ist
Wie bereits erwähnt, erstreckt sich der Geltungsbereich über den Schutz der Privatsphäre und den vertraulichen Umgang mit Informationen im Bereich der elektronischen Kommunikation. Betreffen wird diese Verordnung vor allem Telekommunikationsunternehmen, E-Mail-Dienste, Social-Media-Plattformen, Internettelefonie und Instant-Messaging-Dienste.
Lob und Kritik an der neuen Verordnung
Grundsätzlich wird die Einführung der ePrivacy-VO und eine damit einhergehende Harmonisierung des Rechts positiv wahrgenommen. Dennoch stehen einige kritische Aspekte im Raum, welche nicht ignoriert werden sollten. So verkündete die Bitkom (Branchenverband der deutschen Informations- und Kommunikationsbranche), dass die kommende Datenschutz-Grundverordnung bereits ein flächendeckend hohes Datenschutzniveau implementieren würde und die ePrivacy-VO abweichende Regelungen für die digitalen Dienste einführe, die wahrscheinlich nicht notwendig wären und durch die entgegenstehenden Regelungen zu Rechtunsicherheit führen könnten.
Weiterhin wurde bemängelt, dass der im Dezember geleakte Vorentwurf der ePrivacy-VO zu Ungunsten der Verbraucher abgeschwächt wurde.
In den nachfolgen Punkten, werden die vorgenommenen Änderungen in den jeweiligen Bereichen genannt und näher erläutert.
Metadatenschutz
Besonders bei personenbezogenen Meta- und Standortdaten lässt die ePrivacy-VO eine Verarbeitung nur für bestimmte Zwecke, wie beispielsweise Abrechnungen, zu. Ansonsten sollen nach Art. 6 ePrivacy-VO Unternehmen, welche personenbezogene Meta- und Standortsdaten von Verbrauchern nutzen wollen, dazu angehalten werden, diese Daten zu anonymisieren oder eine Einwilligung des Betroffenen einzuholen.
Im Vergleich zum Vorentwurf verzichtet der Kommissionsentwurf dabei auf die verbindliche Durchführung einer Datenschutzfolgenabschätzung. Mit dieser Folgenabschätzung war eine Prüfung angedacht, die für den Fall, dass eine beabsichtigte Datenverarbeitung ein erhöhtes Risiko des Eingriffs in die Grundrechte des Betroffenen darstellt, durchgeführt werden muss. Aufgrund der gekoppelten Anwendung der ePrivacy-VO mit der EU-DS-GVO entfällt eine Datenschutzabschätzung jedoch nicht in allen Fällen, da die EU-DS-GVO weiterhin eine solche Prüfung vorsieht. So ist es nach Art. 35 Abs. 4 EU-DS-GVO den Aufsichtsbehörden überlassen, zu entscheiden, ob und wann eine Datenschutzfolgeneinschätzung im Falle einer Metadaten-Analyse erfolgen soll.
Weiterhin müssen die Datenverarbeiter nach Art. 7 ePrivacy-VO Metadaten umgehend löschen oder anonymisieren, wenn die Datenübertragung beendet ist oder die Daten für den Abrechnungszweck nicht mehr benötigt werden. Dabei geht die Kommission von einem erhöhten Risiko eines Grundrechtseingriffes im Rahmen der elektronischen Kommunikation, z.B. durch Mail- oder Messaging-Dienste, aus. Demnach sieht der Art. 6 Abs. 3 ePrivacy-VO für Dienste, wie zum Beispiel dem E-Mail-Dienst „Gmail“ von Google, vor, dass diese Datenschutz-Aufsichtsbehörden (Art. 63 DS-GVO) konsultieren sollen, noch bevor die Einwilligung des Betroffenen eingeholt wird. Die Empfehlungen der Datenschutz-Aufsichtsbehörde an den Dienstleister sind für diesen bindend und strikt einzuhalten. Weiterhin ist es dem Betroffenen nach Art. 9 Abs. 3 ePrivacy-VO gestattet, seine Einwilligung jederzeit zurückzuziehen, wobei dieser von dem Dienstleister halbjährlich an diese Möglichkeit erinnert werden soll. Des Weiteren soll nach Art. 12-14 ePrivacy-VO innerhalb der EU ein kostenloses und einfaches System angeboten werden, welches ermöglichen soll, die eigene Rufnummer zu unterdrücken und auch anonym eingehende Rufnummern blockieren zu können. Dieses System soll ebenso ermöglichen Rufnummerweiterleitungen von Dritten auf die eigene Nummer zu verhindern. Eine Ausnahme davon bilden jedoch Notrufdienste, die nutzerseitig unterdrückte Nummern erkennen dürfen.
Bye, Bye, Cookie-Banner?
Nach dem derzeitigen Entwurf der ePrivacy-VO sollen nun Webseiten-Betreiber von der Pflicht befreit werden, über Cookies zu informieren, welche den Konfigurationszwecken dienen. Dies betrifft beispielsweise auch die Cookies, welche bei Shopping-Portalen eingesetzt werden, um das Befüllen des Warenkorbes festzustellen. Bei Tracking-Cookies (Mechanismus, der eingesetzt wird, um webseitenübergreifende Informationen des Benutzers zu sammeln und an den Webbrowser zu senden) soll nur dann keine Informationspflicht bestehen, wenn durch den Webbrowser eine Zustimmung oder Ablehnung über einen Do-Not-Track-Mechanismus übermittelt werden kann. Um dies zu ermöglichen, müssen die Browser so konfiguriert sein, dass Cookies von der direkt besuchten Seite akzeptiert, während Cookies von Drittseiten blockiert werden können. Die Folge dieser Bestimmung ist, dass die Webindustrie den „Do-Not-Track“-Hinweis nicht länger ungestraft ignorieren darf. Dadurch würden die meisten Cookie-Warnbanner wiederrum überflüssig werden.
Gestattung der Blocking-Blockade?
Nach der Präambel 21 der ePrivacy-VO soll es Verlags-Websites erlaubt werden, Adblocker-Nutzer zu blockieren. Diese Ausnahmeregelung widerspricht hingegen dem Art. 7 Abs. 4 DS-GVO, wonach eine Verweigerung der Einwilligung des Nutzers keine allgemeine Nutzblockade rechtfertigt (Kopplungsverbot). Wie die Kommission darauf reagieren wird, bleibt – vor dem Hintergrund des aktuellen Status „Entwurf“ – abzuwarten,
Direktmarketing
Bezüglich des Direktmarketings findet sich im Art. 16 der ePrivacy-VO eine Ausnahmeregelung, wodurch E-Mail-Kontaktdaten ohne Einwilligung des Betroffenen genutzt werden dürfen. Voraussetzung dafür ist, dass der Nutzer bereits in einer Kundenbeziehung mit dem Anbieter steht und, dass eine Opt-Out-Regelung vorgesehen ist. Der Verbraucher wird folglich nicht davon verschont, dass nach dem Online-Kauf möglicherweise auch eine Flut von Newslettern folgen wird.
Sanktionen
Bezüglich des Sanktionsrahmens richtet sich die ePrivacy-VO konsequenterweise nach den Vorgaben der EU-Datenschutz-Grundverordnung. Das noch im Vorentwurf der ePrivacy-VO enthaltene Verbandsklagerecht wurde im neuen Entwurf gestrichen. Dies hat jedoch keine Auswirkungen auf das in Deutschland weiterhin geltende Verbandsklagerecht.
Abgeschwächte Rechte der Nutzer mit Einführung der ePrivacy-VO
Abgeschwächt werden die (Grund-)Rechte der Nutzer vor allem durch Art. 10 ePrivacy-VO. Der Vorentwurf stützte auf dem Gedanken des Privacy-by-Design, also der verbindlich vorkonfigurierten datenschutzfreundlichen Einstellungen der Software durch den Hersteller. Die Kommission entfernte sich von diesem Gedanken und verpflichtet den Softwarehersteller nun lediglich dazu, den Nutzer über Privatsphäre-Einstellungen zu informieren und die Einwilligung des Nutzers einzuholen. Kritisch ist ebenso der Art. 17 ePrivacy-VO anzusehen, wonach Ortsdaten, welche nicht im Kontext zu einer Dienstleistung stehen, nicht als Metadaten angesehen werden. Anbieter sogenannter Heatmaps, die auf Ortsdaten basieren, können dadurch – ohne Einwilligung der Betroffenen – deren Standortsdaten nutzen. Jedoch ist eine Datenschutzfolgenabschätzung durchzuführen, sofern die zuständige Stelle ein hohes Eingriffsrisiko in die Grundrechte Betroffener feststellt.
Neben all diesen weitreichenden Einschränkungen der Nutzerrechte durch den neuen Entwurf können auch positive Ansätze für die Rechte der Nutzer erblickt werden. Beispielsweise enthält der Kommissionsentwurf in seiner Präambel 25 den Grundsatz, dass das datenerhebende Unternehmen den betroffenen Nutzer über die Datenverarbeitung zu informieren und über mögliche Datensammlung aufzuklären hat, sofern das Unternehmen zum wiederholten Male innerhalb eines bestimmten Zeitraums dessen Daten erfasst. Leider unterlässt die Kommission eine ausdrückliche Regelung für das Offline-Tracking, das Unternehmen eine Datensammlung ermöglicht, auch wenn der Betroffene nicht online ist.
Für Befürworter der End-to-End-Verschlüsselungen sieht es düster aus: 27000 EU-Bürger nahmen an einer Eurobarometer-Umfrage, einer regelmäßig stattfindenden öffentlichen Meinungsumfrage der EU-Kommission, statt und obwohl sich 90% der von der Kommission befragten EU-Bürger für eine Verschlüsselung aussprachen, sieht die Kommission eine Verpflichtung der Dienstleister zu entsprechenden technischen und organisatorischen Schutzmaßnahmen (TOM) nicht vor.
Ausblick
Der derzeit bestehende Entwurf der ePrivacy-VO ist besonders für Dienstleister sehr freundlich ausgelegt, was wiederum zu Lasten der Nutzer geht. Während der Vorentwurf noch stärker dem Verbraucherschutz zugeneigt war, rückt der neue Entwurf von diesem ab. Aufgrund der anhaltenden Kritik u. a. durch Datenschutzverbände ist allerdings anzunehmen, dass die EU-Kommission weitere Änderungen vornehmen wird. Wie sich die Lage bis Mai 2018 entwickeln wird, bleibt demnach abzuwarten. Eine entsprechende Vorbereitung durch die Hilfe von datenschutzrechtlich und datenschutzorganisatorisch kundigen Personen wie Datenschutzbeauftragten, Datenschutzberatern sowie IT-Sicherheitsbeauftragten ist daher dringend anzuraten.