Datenschutz Verstehen – Der aktuelle Stand der ePrivacy-Verordnung.
Kurze Einleitung
Seit 2017 ist die ePrivacy-Verordnung (Verordnung über Privatsphäre und elektronische Kommunikation) auf der Agenda der Europäischen Union (EU) – Diese sollte eigentlich spätestens zum Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO) anwendbar sein. Doch bis heute ist die ePrivacy-Verordnung noch immer nicht in Kraft getreten. Jetzt gibt es aber eine neue Entwicklung: Der Rat der Europäischen Union konnte sich nun auf veränderte Datenschutzregelungen einigen. Die Meinungen über den zukünftigen datenschutzrechtlichen Standard im Internet scheinen auseinander zu gehen: Deutschland und Österreich enthielten sich der Abstimmung und verlangen “erhebliche Nachbesserungen” der seit Jahren geplanten Verordnung. Zu Recht?
Zuletzt hatte Portugal sich der anspruchsvollen Aufgabe gewidmet, eine neue angepasste Fassung der Verordnung zu entwickeln. Hierdurch sollte ein Kompromiss zwischen den 27 EU-Mitgliedsstaaten erreicht werden, um das Inkrafttreten der Verordnung voranzutreiben. Dieser Kompromiss soll Thema dieses Beitrags werden und aufzeigen, welche Auswirkungen dieser auf den Datenschutz hat.
Ziele der neuen ePrivacy-Verordnung
Die ePrivacy-Verordnung stellt eine spezifische Regelung der elektronischen Kommunikation dar und ist eine Erweiterung der DSGVO. Nutzer sollen durch die neue Verordnung besser im Netz geschützt sein, insbesondere vor den Big-Data-Riesen.
Ziel der Verordnung ist es, den rechtlichen Schutz der elektronischen Kommunikation zu erhöhen und diese somit auch in datenschutzrechtlicher Hinsicht zu verbessern. Besonders das Vertrauen in die elektronische Kommunikation sollte gesteigert werden und somit auch dem Grundrecht auf informationelle Selbstbestimmung im Internet Rechnung getragen werden. Anrufe und Nachrichten über internetbasierte Dienste sollten somit ein gleich hohes Schutzniveau erhalten, wie auf postalischem Weg. Neben dem Postgeheimnis wird also auch ein elektronisches Postgeheimnis angestrebt.
Die Verordnung ist eine Antwort auf die fortschreitende Digitalisierung und Verschiebung der analogen Medien in die digitale Sphäre. Die derzeitige Rechtslage konnte bislang keinen ausreichenden Schutz personenbezogener Daten auf neuen Medien und Internetdiensten, besonders Instant-Messaging-Diensten, gewährleisten. Große Social Media Anbieter wie WhatsApp, Facebook und Instagram halten aktuell entweder nicht alle gesetzlichen Vorgaben hinsichtlich des Datenschutzes ein bzw. bieten die aktuellen Regelungen einfach zu viele Handlungsspielräume. Ziel war es folglich die rechtlichen Unsicherheiten mit größtmöglicher Wirkung zu schließen. Das Vorhaben war bisher wenig zielführend, da die EU-Mitgliedsstaaten die Verordnung seit dem Vorschlag im Jahr 2017 blockierten.
Aktueller Stand bei der ePrivacy-Verordnung
2016 wurden die ersten Gespräche über eine ePrivacy-Verordnung geführt. Kurz darauf wurden im Jahr 2017 die ersten Entwürfe durch die EU-Kommission und dem EU-Parlament vorgelegt. 2018 und 2019 wurde versucht diese immer weiter anzupassen und zu verfeinern. Allerdings wurden weitere Entwurfsfassungen und Kompromissvorschläge abgelehnt. Die kroatische Präsidentschaft entwarf im Frühjahr 2020 einen weiteren konkretisierten Entwurf, welcher Ende 2020 durch einen neueren Entwurf der deutschen Ratspräsidentschaft ersetzt wurde. Jüngst im Januar 2021 übernahm Portugal die Ratspräsidentschaft und sorgte mit seinem Entwurf für Aufregung und Empörung bei Datenschützern. Trotzdem kam es zu einer Einigung der 27 EU-Mitgliedsstaaten auf eine gemeinsame Verhandlungsposition. Diese könnte nun die Verhandlungen zwischen der EU-Kommission und dem Europaparlament eröffnen und so das Inkrafttreten der Verordnung weiter voranbringen.
Die neuesten Regelungsgegenstände der portugiesischen Entwurfsfassung
Der neueste Entwurf ging im Gegensatz zu den vorherigen Fassungen gleich mehrere Kompromisse ein, sehr zum Leidwesen von Daten- und Verbraucherschützern: Kritiker beanstanden, dass die derzeitige Fassung nicht dem aktuellen Datenschutzniveau genüge. Der neue Entwurf kürzt diverse Schlüsselpassagen, wodurch Tracking-Spielräume für Techkonzerne, wie z.B. Facebook und Google, entstehen. Durch den neuen Entwurf der portugiesischen Ratspräsidentschaft wurden folgende wesentlichen Änderungen eingeführt:
- Entfernung der Browser-Lösung aus der Entwurfsfassung: Ziel der Browser-Lösung war es, die Notwendigkeit von Cookie-Bannern zu minimieren und so ein schnelleres Surfen zu gewährleisten. Die Einwilligung für Cookies sollte demnach bereits im Browser allgemeingültig für alle Internetseiten voreinstellbar sein. Dies hätte wahrscheinlich zu Einbußen auf Unternehmerseite geführt, da diese hierdurch weniger Möglichkeiten hätten, Cookies für Analyse- und Marketing-Tools einzusetzen, beispielsweise für personalisiertes Marketing. Das Einwilligungs-Management über den Browser als allgemeine Lösung wurde nun gestrichen.
- Entfernung des Widerrufsrechts der Einwilligung zu jeder Zeit: Diese Maßnahme stellt eine große Einschränkung des Rechts auf informationelle Selbstbestimmung dar, denn die freie Widerrufbarkeit von Einwilligungen ist eines der Kernelemente einer Einwilligung, vgl. Art. 7 Abs. 3 DSGVO.
- Weiterhin Sammlung von persönlichen Daten für Werbezwecke durch Cookies möglich: Durch diverse neue Formulierung ist es nun auch weiterhin möglich, dass Cookies derart eingesetzt werden, dass hierdurch persönliche Daten der Nutzer für den Zweck der Werbung gespeichert werden. Eigentlich war der Zweck der ePrivacy-Verordnung zu Beginn anders formuliert: Diese sollte das Tracking durch Cookies eigentlich erheblich einschränken.
- Erhebung von Metadaten ohne Einwilligung: Die neue Fassung gestattet die Verarbeitung von Metadaten der Nutzer, ohne eine entsprechende ausdrückliche vorherige Einwilligung. Sog. kompatible Gründe sollen laut der neuen Bestimmung ausreichend für die Verarbeitung sein. Somit könnten künftig Kommunikations-Dienste wie WhatsApp das Nutzerverhalten von Nutzern auswerten und die Ergebnisse für Werbemaßnahmen einsetzen.
- Schutz der Privatsphäre kann eingeschränkt werden durch Ausnahmen für die nationale Sicherheit und Verteidigung: Für alle Bestimmung der neuen Fassung gilt allerdings eine Ausnahmeregelung für die nationale Sicherheit und die Verteidigung, auf dieser Basis kann der Schutz der Privatsphäre doch eingeschränkt werden. Hierdurch sind personenbezogene Daten nicht mehr effektiv vor Massenüberwachungen durch Geheimdienste geschützt.
Gewinner und Verlierer – Wer verliert durch die geplante ePrivacy-Verordnung?
Beobachter äußern sich kritisch gegenüber der neuen Fassung: Der Datenschutz würde verwässert, indem die bisherigen strengeren Regelungen gelockert werden. Das allgemeine Datenschutzniveau würde zudem durch diese Verordnung herabgesetzt werden. Ulrich Kleber, der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), sagte direkt nach der Abstimmung im deutschen Bundestag: “Wenn die ePrivacy-Verordnung so bleibt, wie der Rat der EU sie heute beschlossen hat, wäre das ein schwerer Schlag für den Datenschutz.” Des Weiteren bemängelte er, dass sogenannte “Cookie-Walls” durch die neue Verordnung wieder möglich wäre, was erhebliche Nachteile für Nutzer mit sich bringen würde. Bislang waren Cookie-Walls unter der DSGVO verboten, da Sie die Freiwilligkeit der Einwilligung unterschlagen. Cookie-Walls verhindern das Nutzen des Onlinedienstes, bis eine Einwilligung der betroffenen Person vorliegt. Somit wäre die Nutzung der Internetseite nur möglich, wenn Besucher der Website allen Cookies, auch Analyse-Cookies, zustimmen würden. Dies würde erheblich dem Grundsatz der Freiwilligkeit einer Einwilligung widersprechen, die grundsätzlich für die Speicherung von Cookies erforderlich ist, vgl. Art. 7 Abs. 4 DSGVO. Die Internetnutzung und damit verbundene Datenanalyse würde also nicht mehr selbstbestimmt erfolgen und wäre demzufolge gewissermaßen aufgezwungen.
Die ePrivacy-Verordnung in der derzeitigen neuen Fassung hat wesentliche Nachteile für Verbraucher, insbesondere von Online-Shops und Online-Diensten sowie generell Nutzern von Webseiten, da ihre personenbezogenen Daten keinen ausreichenden Schutz genießen. Demgegenüber hätten Unternehmen die Gelegenheit, Nutzer vor die Wahl zu stellen. Entweder müssen personenbezogene Daten herausgegeben werden (z.B. durch die Speicherung von Cookies) oder der jeweilige gewünschte Dienst steht dem Nutzer nicht zur Verfügung.
Für weitere Fragen zum Thema ePrivacy-Verordnung und anderen datenschutzrechtlichen Angelegenheiten stehen Ihnen die Experten der Keyed GmbH zur Verfügung.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.