Verbindliche EU-weite Datenschutzregeln durch die „kleine Schwester“ der DSGVO
Mit der ePrivacy-Verordnung möchte die Europäische Union weitere verbindliche Datenschutzregeln formulieren, die in der ganzen EU Gültigkeit haben. Sie soll zusätzlich zu der bereits vorhandenen Datenschutz-Grundverordnung (DSGVO), sowie – in Deutschland – zusätzlich zum Telemediengesetz und Telekommunikationsgesetz gelten.
Was ist das Ziel der ePrivacy-Verordnung?
Ziel der Verordnung ist es, das Vertrauen der Bürger in digitale Kommunikationswege zu stärken. Die EU möchte mit der ePrivacy-Verordnung die Privatsphäre von Bürgern online stärken und den Datenschutz in diesem Bereich intensiver regulieren.
Worum soll es gehen?
Hier einige Beispiele:
- Cookies: Opt-in an Stelle von Opt-out
- Website-Betreiber sollen Cookies nur dann setzen dürfen, wenn der Nutzer dem auch konkret zugestimmt hat
- auch bei nicht erfolgter Zustimmung sollen Nutzer alle Inhalte angezeigt bekommen (Kopplungsverbot)
- Anforderungen an Datenübermittlungen in der IoT/Maschine-zu-Maschine-Kommunikation
- gleiche Anforderungen an die Datenübermittlung wie dort, wo Nutzer direkt involviert sind
- Geräte sollen nur dann personenbezogene Daten übermitteln dürfen, wenn die Nutzer dem zugestimmt haben. z.B. bei GPS-Daten von Smartphones
- verbindliche Ende-zu-Ende-Verschlüsselung bei Kommunikationsdiensten:
- Datenübertragungen zur Kommunikation sollen vollständig verschlüsselt stattfinden, auch Regierungen dürfen keinen Zugriff haben
- das Einrichten von „Backdoors“ durch Hersteller, um Regierungen einen Zugang zu gewähren, wäre so illegal
Die neue ePrivacy-Verordnung soll künftig die derzeit geltende ePrivacy-Richtlinie ersetzen und die DSGVO ergänzen.
Verordnung statt Richtlinie
Bei der aktuell geltenden ePrivacy-Richtlinie handelt es sich nicht um unmittelbar wirksames und verbindliches Recht, sondern um eine Richtlinie, die in den jeweiligen nationalen Gesetzen umgesetzt werden musste.
Bei der neuen ePrivacy-Verordnung hingegen handelt es sich künftig um EU-weit direkt geltendes Recht.
Was geschieht mit DSGVO, Bundesdatenschutzgesetz TMG und TKG?
Die DSGVO bleibt bestehen und wird flankiert und konkretisiert durch die neue ePrivacy-Verordnung, auch ePV genannt. Die ePV – als „lex specialis“ – hat dabei Vorrang gegenüber der Datenschutz-Grundverordnung, welche als „lex generalis“ allgemeiner gehalten ist.
Die ePV ist bei speziellen Punkten (insbesondere im Bereich des Internet) deutlicher als die Datenschutz-Grundverordnung und soll diesen besonderen Bereich damit besser regulieren.
Zuätzlich bestehen bleiben auch Bundesdatenschutzgesetz, Telemediengesetz und Telekommunikationsgesetz, über deren aktuelle Anpassungen durch das neue Gesetz TTDSG wir in unserem Newsletter im August 2020 berichtet hatten.
Neue Entwicklungen auf dem Weg zur ePrivacy-Verordnung
Ursprünglich sollten ePrivacy-Verordnung und DSGVO gleichzeitig in Kraft treten, der Gesetzgebungsprozess geriet jedoch ins Stocken. Seither arbeitet man am Verordnungstext, ein letzter Kompromissvorschlag war im November 2020 von den EU-Mitgliedsstaaten abgelehnt worden.
Jetzt aber gibt es Neuigkeiten
Unter der Ratspräsidentschaft von Portugal wurde nun ein neuer Vorstoß gewagt und der Rat der Europäischen Union einigte sich im Januar diesen Jahres auf eine gemeinsame Verhandlungsposition. Diese könnte die Verhandlungen zwischen EU-Kommission und Europaparlament eröffnen und so das tatsächliche Inkrafttreten der Verordnung weiter voranbringen.
Wesentliche Änderungspunkte gegenüber den ursprünglichen Fassungen:
- Streichung der „Browser-Lösung“
- die gesetzliche Regelung des Einwilligungs-Managements über den Browser wurde gestrichen
- Streichung des Hinweises auf die freie Widerruflichkeit der Einwilligung zugunsten eines allgemeinen Verweises auf die DSGVO
- keine ausdrückliche Einschränkung des Sammelns personenbezogener Daten für Werbezwecke durch Cookies (über das Einwilligungserfordernis hinaus)
- Erhebung von Metadaten ohne eine ausdrückliche vorherige Einwilligung
- „kompatible Gründe“ sollen ausreichend für die Verarbeitung sein
- Messenger-Dienste wie WhatsApp können so das Nutzerverhalten auswerten und die Ergebnisse für Werbemaßnahmen einsetzen.
- Schutz der Privatsphäre kann aus Gründen der nationalen Sicherheit und Verteidigung eingeschränkt werden
- personenbezogene Daten sind damit nicht mehr durch die Verordnung selbst vor vor der Nutzung durch Geheimdienste geschützt
Welche Bedeutung hat die neue Fassung in Bezug auf den Datenschutz?
Welchen Schutz genießen Nutzer insbesondere bei der Nutzung von Online-Shops und Online-Diensten sowie bei der Nutzung von Webseiten allgemein? Kann ein Anbieter bestimmen, ob ein Dienst dem Nutzer zur Verfügung steht, je nachdem ob der Speicherung von Cookies zugestimmt wird oder nicht?
Wir halten Sie über die neuesten Entwicklungen auf dem Laufenden. Mit einem Inkrafttreten des Gesetzes rechnen wir derzeit jedenfalls nicht vor 2022. Melden Sie sich gern bei uns, wenn Sie Fragen zur neuen ePrivacy-Verordnung haben.