Skip to content

Die e-Privacy Verordnung

Die ePrivacy-Verordnung - der DSGVO zweiter Teil?

Zeitgleich mit der DSGVO sollte eine weitere EU-Verordnung in Kraft treten: die ePrivacy-Verordnung.  Diese verspätet sich, wird aber kommen. Was bedeutet die ePrivacy-Verordnung (ePVO) für Unternehmen?

Was soll die ePrivacy-Verordnung bewirken?

Die ePVO gilt als Ergänzung der DSGVO im Bereich des Privatpersonen-Datenschutzes in der elektronischen Kommunikation, soll also die Privatsphäre und den Schutz der personenbezogenen Daten aller EU-Bürger bei der Kommunikation per Telefon und im Internet verbessern. Damit ersetzt sie die bisherige ePrivacy-Richtlinie von 2002 sowie die Cookie-Richtlinie von 2009.

Die alte Cookie-Richtlinie war in Deutschland nur teilweise durch Änderungen an Telemediengesetz und Telekommunikationsgesetz umgesetzt worden.
Die ePVO legt hierfür vor allem technische Standards fest. Sie soll sich auf den Internetzugang, alle Messaging- und browserbasierten Maildienste, soziale Medien und Internettelefonie (Voice-over-IP) beziehen und alle Endgeräte betreffen, die sich innerhalb der Grenzen der EU befinden.

Die neue ePrivacy-Verordnung (ePVO) sollte eigentlich gleichzeitig mit der DSGVO schon im Mai 2018 in Kraft treten. Derzeit jedoch fehlt noch die Zustimmung des EU-Parlaments, so dass die ePVO frühestens im Jahr 2020 in Kraft treten wird – und dann noch eine mindestens einjährige Übergangsfrist einräumt.

Achtung, Handlungsbedarf!

Trotzdem: Die ePVO wird, wenn sie in Kraft tritt, sofort geltendes EU-Recht sein und in der gesamten europäischen Union übereinstimmend gelten. Damit werden die langwierigen nationalen Umsetzungsvorgänge umgangen. Allerdings ist ein Jahr angesichts der geforderten, umfangreichen technischen Anpassungen nicht sonderlich lang. Es lohnt sich also, diese Verordnung im Blick zu behalten und sich rechtzeitig vorzubereiten. In einer repräsentativen Umfrage des Branchenverbands Bitkom im September 2019 gaben 68 Prozent der befragten Unternehmen an, dass der Umsetzungsaufwand der ePVO sehr hoch sein wird.

Um die bestehenden Richtlinien einzuhalten können Sie vorab einen Datenschutzgenerator für Privatpersonen oder Vereine verwenden.

Was besagt die ePrivacy-Verordnung?

Die neue ePVO besagt, dass Nutzer im Internet in der Europäischen Union nur noch technisch verfolgt („getrackt“) werden dürfen, wenn sie dem ausdrücklich und dokumentiert zugestimmt haben. Zudem sollen Geräte und Software immer auf die datenschutzfreundlichste Option voreingestellt werden. Damit wird das Sammeln von Daten etwa zu Werbezwecken beträchtlich erschwert.

Sieben konkrete Ansatzpunkte der ePrivacy-Verordnung

Die ePVO soll folgende sieben Felder abdecken:

  • Die Anbieter werden verpflichtet, personenbezogene Daten nach dem aktuellen Stand der Technik zu sichern und vor Zugriffen Dritter zu schützen, dazu können auch Kryptografieverfahren gehören. Gleichzeitig besteht ein „Recht auf Verschlüsselung“ und ein Verbot, dieses Recht durch nationale Bestimmungen aufzuweichen oder Hintertürchen („backdoors“) einzubauen.
  • Tracking und die Erstellung von Bewegungsprofilen durch nicht aktiv genutzte Programme sollen verboten werden.
  • Die Strafverfolgungsbehörden erhalten mehr Rechte auf Auskünfte und Einblick in Dokumentationen, gleichzeitig soll mehr Transparenz geschaffen werden.
  • Für jede Datenverarbeitung ist die ausdrückliche Zustimmung des Nutzers erforderlich. Direktwerbung bei Privatpersonen wird auch bei Kunden nach Kauf nur bei ausdrücklicher Zustimmung möglich sein.
  • Der Nutzer darf alle sechs Monate seine erteilte Erlaubnis zur Datenverarbeitung wiederrufen – Datenbanken müssen also das Löschen einzelner Datensätze ermöglichen, und zwar auch in Backups („Recht auf Vergessenwerden“).
  • Tracking soll durch Voreinstellungen ausgeschlossen werden, es sei denn, der Nutzer stimmt aktiv zu.
  • Alle Voreinstellungen in Geräten und Software sollen die datenschutzfreundlichste Einstellung vorgeben („Privacy-by-Default“).

Tracking unter erschwerten Bedingungen

Bislang mussten Nutzer in Deutschland nur über die Datenspeicherung informiert werden. Außerdem musste die Möglichkeit bestehen, der Datenspeicherung nachträglich zu widersprechen („Opt-Out-Verfahren“). Diese Regelung führt dazu, dass der Nutzer selbst aktiv werden muss, um seine Daten zu schützen. Außerdem muss er sich auf die Löschzusagen oder Pseudonymisierungszusicherungen der Datenspeicherer verlassen.

Mit der ePVO sollen die personenbezogenen Daten gar nicht erst entstehen, wenn der Nutzer dies nicht wünscht. Pseudonymisierte Daten werden in der ePVO wie personenbezogene Daten behandelt.
Damit wird eine Reihe von bislang häufig genutzten Profilingverfahren nahezu unmöglich. So würde etwa das automatische Auswerten beispielsweise von E-Mails bei GoogleMail, um passende Werbung einblenden zu können, verboten, solange der Nutzer nicht ausdrücklich eingewilligt hat.

Statistische Auswertungen sind nach der neuen Verordnung nur in engen Grenzen und nicht über mehrere Webseiten hinweg möglich, so dass die Erstellung von Nutzerprofilen nur auf der eigenen Webseite möglich sein kann. Auch die Auswertung sogenannter Metadaten wie Verbindungsdaten und Angaben zu Endgerät und Browser wird wohl nicht mehr möglich sein.

Verschärfung der Cookie-Regelungen

Technisch nicht erforderliche Cookies als beliebteste Trackingtools sollen nach den Planungen für die ePVO generell verboten sein. Sie können künftig nur noch eingesetzt werden, wenn der User sie für einen definierten Zweck ausdrücklich befürwortet und der Speicherung freiwillig zugestimmt hat („Opt-In“) – hier gibt es in Deutschland auch schon eine passende Rechtsprechung. Gemeint sind hierbei alle Cookies, die nicht für die technische Funktionsweise der Internetseite notwendig sind. Log-In- und Spracheinstellungscookies sind also nicht betroffen.

Die derzeit genutzten Cookie-Hinweisbanner, die nur eine Kenntnisnahme ermöglichen, sind damit nicht mehr zulässig. Der Nutzer muss künftig die Möglichkeit erhalten, das Tracking durch Cookies komplett auszuschalten, bevor überhaupt persönliche Daten erhoben wurden. Dies muss die Voreinstellung sein. Vorangekreuzte Kästchen „Ich stimme zu“ oder Ähnliches ist dann untersagt, vor allem, wenn nur eine „Generaleinwilligung“ ermöglicht wird. Voraussichtlich können künftig technisch nicht erforderliche Cookies oder Cookies von Drittanbietern generell schon im Browser oder über das Betriebssystem generell abgelehnt werden („Privacy by Design“). Die derzeitigen Regelungen zum „berechtigten Interesse“ werden damit nicht mehr akzeptiert. Alle Informationen zu Cookies finden Sie zusammengefasst in unserer Cookie Banner 7 Punkte Checkliste.

Probleme für Werbetreibende

Die geplante Richtlinie wird die datengetriebene Werbewirtschaft, aber auch werbebasierte Diensteanbieter wie Whatsapp und Facebook, Internet-Telefonieanbieter sowie Händler und Betreiber von Onlineshops vor große Schwierigkeiten stellen, weil kaum ein Nutzer sich freiwillig tracken lässt. Über technisch notwendige Cookies muss klar und verständlich informiert werden, um sie einsetzen zu dürfen.

Die ePVO enthält ein generelles sogenanntes Kopplungsverbot, wie es auch Artikel 7 Absatz 4 DSGVO vorsieht. Die Nutzbarkeit einer Internetseite darf also nicht daran gebunden sein, dass technisch nicht erforderliche Cookies zugelassen werden, denn dann wäre die Einwilligung in das Setzen von Cookies nicht mehr freiwillig. Nicht zustimmende Nutzer dürfen nicht ausgesperrt werden, der Einsatz von Tracking-Walls wird ausgeschlossen. Ergänzend hat der Europäische Gerichtshof bereits jetzt die Kopplung einer Gewinnspielteilnahme an eine Cookie-Einwilligung untersagt.

Zudem werden die Geldbußen für Verstöße gegen die Richtlinie (festgehalten in Artikel 23 des Entwurfs) analog zu Artikel 83 DSGVO gestaltet – das bedeutet bis zu vier Prozent des weltweiten Umsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist. Die Höchstgrenze nach dem Bundesdatenschutzgesetz lag bei 300.000 Euro.

Wann kommt die ePrivacy-Verordnung?

Um den Text der Verordnung wird nach wie vor intensiv gerungen – sowohl unter den einzelnen EU-Staaten als auch zwischen der Lobby der Datenschützer und der Lobby der Datenverarbeitungsunternehmen und der Wirtschaft. Mehr als diverse Entwürfe liegen noch nicht vor. Sicher ist, dass die EU-Kommission dem EU-Parlament am 25. Mai 2020 einen Evaluationsbericht zur ePVO vorlegen muss.

Die Ergebnisse könnten sich erneut auf die Verordnung auswirken. Genauere Aussagen sind derzeit nicht möglich, solange die Ergebnisse der Evaluation nicht vorliegen. Der aktuelle Stand der Verhandlungen kann online beim Bundesverband Digitale Wirtschaft (BVDW) e.V. verfolgt werden.

Benötigen Sie individuelle Beratung? Kontaktieren Sie uns - ob in der Hansestadt, Münster oder zwischen Viktualienmarkt und Oktoberfest in München - wir stellen Ihnen den Experten für Datenschutz

Einfach, schnell & rechtssicher Das Thema Datenschutz abhaken

Mit Cookiebox erstellen Sie in wenigen Schritten eine Datenschutzerklärung nach den aktuellsten Datenschutzstandards. Außerdem erhalten Sie eine innovative Consent- Management-Lösung, mit der Sie die Einwilligung Ihrer User zur Datenverarbeitung granular einholen, verwalten und rechtkonform dokumentieren können.

Dabei sind die technische Umsetzung und das Design zu 100% individualisierbar.

CORTINA CONSULT DURCHSUCHEN

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Ihr Ansprechpartner

Externer Datenschutzbeauftragter Osnabrück - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
jtb@cortina-consult.de

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download