Datenschutz verstehen – ePrivacy-Verordnung
Schon wieder eine neue Verordnung? Ja! Die rechtliche Situation um den Datenschutz in der Europäischen Union wird erweitert durch die ePrivacy-Verordnung. Der europäische Datenschutz befindet sich ständig im Wandel, ob es neue EuGH-Urteile sind oder auch auf nationaler Ebene, wie zum Beispiel das Urteil des OLG Frankfurt (Urteil vom 27.06.2019, Az.: 6 U 6/19). Die Einführung der Datenschutz-Grundverordnung hat mit enormer Geschwindigkeit für Unsicherheiten bei europäischen Unternehmen gesorgt. Mit der selben Geschwindigkeit werden aktuell Urteile gefällt, welche eine große Relevanz für die Praxis haben. Ob das Inkrafttreten der ePrivacy-Verordnung einen ähnlichen Effekt auf die europäischen Unternehmen ausüben wird, kann man nur vermuten. In diesem Beitrag erfahren Sie alles Wichtige rund um die ePrivacy-Verordnung und dem aktuellen Stand des Gesetzgebungsverfahrens.
Was ist die ePrivacy-Verordnung?
Die ePrivacy-Verordnung bedeutet in voller Länge: Verordnung über Privatsphäre und elektronische Kommunikation. In der Datenschutz-Grundverordnung werden die allgemeinen Vorschriften für den Umgang mit personenbezogenen Daten seit dem 25.05.2018 geregelt. Die ePrivacy-Verordnung soll dagegen hauptsächlich im Bereich elektronischer Kommunikationsdaten die DSGVO ergänzen und für die Praxis konkretisieren. Das bedeutet, dass die ePrivacy-Verordnung vor allem viele Änderungen für Webseiten-Betreiber mitbringen wird. Eine zulässige Verfolgung von Nutzeraktivitäten, unter anderem mittels Cookies auf Webseiten wird durch die ePrivacy-Verordnung geregelt.
Ziel ist der Schutz natürlicher und juristischer Personen bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste, insbesondere der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Art. 1 Abs. 1 des Entwurfs der ePrivacy-Verordnung). Unter elektronische Kommunikationsdaten sollen sowohl die Inhalte der Kommunikation als auch die Metadaten der Kommunikation fallen.
Ab wann gilt die ePrivacy-Verordnung?
Die ePrivacy-Verordnung befindet sich aktuell (Oktober 2019) im europäischen Gesetzgebungsverfahren. Es ist davon auszugehen, dass zeitnah eine finale Fassung verabschiedet wird und somit der Wunsch der Artikel 29-Datenschutzgruppe berücksichtigt wird. Es ist davon auszugehen, dass keine lange Vorlaufzeit für die Umsetzungsphase, wie bei der DSGVO, eingeräumt wird, sodass die ePrivacy-Verordnung im Jahr 2021 oder 2022 Anwendung findet.
Was ist zu beachten bei der ePrivacy-Verordnung?
Die ePrivacy-Verordnung gilt grundsätzlich bei der Verarbeitung elektronischer Kommunikationsdaten, bei allen elektronischen Services, welche zur Kommunikation eingesetzt werden können. Die ePrivacy-Verordnung ist eine europäische Verordnung und gilt deshalb innerhalb der EU für alle Mitgliedstaaten und ebenfalls für alle Anbieter von elektronischen Diensten für die Europäische Union. Die ePrivacy-Verordnung regelt nicht nur die Verarbeitung von personenbezogenen, sondern auch die Verarbeitung von “nicht personenbezogener Daten”, da die Bezeichnung Kommunikationsdaten hier keine Differenzierung vorsieht. In den Anwendungsbereich der ePrivacy-Verordnung werden folgende elektronische Kommunikationsarten fallen:
- Internetzugang
- Instant-Messaging-Dienste
- Internettelefonie
- Social Media Plattformen
- Webbasierte Dienste (z.B. Salesforce, Datev Unternehmen online)
Cookies nach der ePrivacy-Verordnung
Webseiten-Betreiber dürfen nach Inkrafttreten der ePrivacy-Verordnung nur noch Daten über Webseiten-Besucher, mittels Cookies erheben, welche für den wesentlichen Betrieb der Webseite erforderlich sind. Genau genommen, ist diese Anforderung schon aktuell durch das EuGH-Urteil vom 01.Oktober 2019 gegeben. Demnach dürfen Websites Cookies nur dann speichern, wenn seitens des jeweiligen Nutzers eine aktive Einwilligung vorliegt. Darüber hinaus müssen die Nutzer vollumfänglich bezüglich der Verarbeitung ihrer Daten informiert werden. Dies gilt insbesondere für die Weitergabe von Daten an Dritte und andere Empfänger. Diese Einschätzung für die Verwendung von Cookies, Inhalten und Metadaten teilt auch die Artikel 29-Datenschutzgruppe mit Ihrer Stellungnahme (S.13, Punkt 18 in der Stellungnahme vom 04. April 2017) zur ePrivacy-Verordnung:
“Ausgangspunkt sollte daher sein, dass es verboten ist, Metadaten sowie Inhalte ohne die Zustimmung aller Endnutzer (d.h. Absender und Empfänger) zu verarbeiten.”
Aktueller Entwurf der ePrivacy-Verordnung
Bereits am 10. Januar 2017 hat die Europäische Kommission einen Entwurf der ePrivacy-Verordnung veröffentlicht. Hintergrund ist der Aktualisierungsbedarf der Regelung von elektronischer Kommunikation, welcher maßgeblich durch die digitale und wirtschaftliche Entwicklung hervorgerufen wird, wie der Bewertung zur ePrivacy-Richtlinie 2002/58/EG zu entnehmen ist. Wie auch bei anderen europäischen Verordnungen, gelten die Bestimmungen der ePrivacy-Verordnung unmittelbar. Ein nationales Umsetzungsgesetz ist für die ePrivacy-Verordnung nicht notwendig. Durch gewisse Öffnungsklauseln soll es allerdings die Möglichkeit geben für die EU-Mitgliedstaaten national ergänzend zu regeln.
Im ordentlichen Gesetzgebungsverfahren der ePrivacy-Verordnung werden das Europäische Parlament und der Rat der Europäischen Union beteiligt. Daher können sich die endgültigen Regelungen der ePrivacy-Verordnung gegenüber dem derzeitigen Vorschlag der Kommission noch erheblich verändern.
In der 8. Sitzung am 13. März 2019 forderte der Europäische Datenschutzausschuss den europäischen Gesetzgeber erneut auf, die ePrivacy-Verordnung schnellstmöglich zu verabschieden. Die Datenschutz-Grundverordnung (DSGVO) muss für ein hohes Schutzniveau für die Daten im Bereich der elektronischen Kommunikation, um die ePrivacy-Verordnung ergänzt werden. Den aktuellen Entwurf der ePrivacy-Verordnung vom 04.Oktober 2019 finden Sie hier.
Umsetzung der ePrivacy-Verordnung
Unternehmen sollten schon jetzt die Entwicklungen der ePrivacy-Verordnung im Blick haben. Der Datenschutzbeauftragte des Unternehmens, sollte zumindest die Grundsätze der ePrivacy-Verordnung in die weitere Optimierung des Unternehmens bereits einplanen. Gerne geben wir Ihnen in einem kostenfreien Beratungsgespräch einen Überblick über die ePrivacy-Verordnung.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.