ePrivacy-Verordnung 2021: Was ändert sich beim EU-Datenschutz?
Um die Privatsphäre in der elektronischen Kommunikation zu schützen, hat die EU-Kommission mit der ePrivacy-Verordnung (ePVO) im Januar 2017 einen neuen Vorschlag vorgelegt. Diese neue e-Privacy-Verordnung soll die alte ePrivacy-Richtlinie ablösen – und sollte ursprünglich mit der EU-Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Bis heute jedoch ist nicht viel passiert: Man verwickelt sich in Endlos-Diskussionen, ohne die Kritiken von Datenschützern einfließen zu lassen. Jüngst erschien eine neue Fassung der ePrivacy-Verordnung, die nicht nur beim Bundesdatenschützer Ulrich Kelber auf Kritik stößt.
Was ist die ePrivacy-Verordnung?
Die ePrivacy-Verordnung war ursprünglich dazu gedacht, die DSGVO zu erweitern bzw. zu konkretisieren. Mit ihr sollte der Datenschutz in der elektronischen Kommunikation geregelt werden, insbesondere die Datenverarbeitung in Unternehmen soll behandelt werden. Ein erster Entwurf (Download von der EU-Kommission) wurde von Datenschützern der EU-Kommission bereits am 10. Januar 2017 veröffentlicht.
Beide Verordnungen – die DSGVO sowie die ePVO – sollten zeitgleich in Kraft treten. Jedoch regte sich heftiger Widerstand aus der Wirtschaft, sodass die Europäische Union die ePrivacy-Verordnung erst mal aussetzte. Seit Jahren nun können sich die EU-Mitgliedsstaaten nicht auf einen gemeinsamen Konsens einigen: Ein Kompromissvorschlag wurde erst im November 2020 abgelehnt.
Am 10. Februar dieses Jahres gelang es dem Rat der EU-Staaten, sich auf eine Position zu einigen. Immerhin: Dies ebnet nun den Weg zu den Verhandlungen, die über den finalen Text geführt werden müssen. Die Mehrheit der EU-Staaten unter der Führung der portugiesischen Ratspräsidentschaft unterstützte den von Portugal eingebrachten Vorschlag, während sich Österreich und Deutschland gemäß Politico.eu enthielten.
Was soll die ePrivacy-VO eigentlich regeln?
Um die verschiedenen Standpunkte in den Diskussionen rund um die ePrivacy-Verordnung besser einschätzen zu können, ist es sinnvoll, die wichtigsten Inhalte dieser Verordnung zu kennen. Voraussichtlich werden diese Punkte besonders relevant:
- Recht auf „Vergessenwerden“: Schon die DSGVO regelt dieses Betroffenenrecht: Gemäß Art. 17 DSGVO können Betroffene vom Verantwortlichen verlangen, personenbezogene Daten unverzüglich löschen zu lassen. Der Gesetzgeber möchte das in der ePVO konkretisieren: Betroffene erhalten die Möglichkeit, erteilte Einwilligungen alle sechs Monate zu widerrufen. Das verlangt von Unternehmen, Datenbanken so anzulegen, dass sich jederzeit Einträge entfernen lassen. Auch Backups sind von diesem Prozess betroffen.
- Datenverarbeitung & -speicherung: Willigen Nutzende nicht ausdrücklich ein, sind datenverarbeitende und -speichernde Tools wie Google Analytics künftig unzulässig. Zwar verlangt auch jetzt schon die DSGVO das Konfigurieren solcher Tools, jedoch ist davon auszugehen, dass das Verwenden dieser Tools mit der ePrivacy-Verordnung nicht einfacher wird. Wie Sie aktuell vorgehen können, haben wir im Beitrag „Cookies & Co.: Tracking Ihrer Seitenbesucher – eine heikle Gratwanderung“ ausgeführt.
- Kopplungsverbot: Die EU plant, das Kopplungsverbot, welches aus der DSGVO bekannt sein dürfte, in die neue ePVO zu integrieren. Demnach ist es unzulässig, das Nutzen oder Einsehen bestimmter Inhalte von einer Einwilligung abhängig zu machen.
- Rufnummernunterdrückung: Betroffene sollen die Möglichkeit erhalten, ihre Rufnummer einfach und kostenfrei zu unterdrücken. In der Praxis hat sich dies jetzt schon bewährt. Jedoch könnte die ePrivacy-Verordnung die Regelung enthalten, dass beispielsweise Telefonbucheinträge nur nach ausdrücklicher Zustimmung des Anschlussinhabers stattfinden dürfen. Hier soll es den Staaten überlassen bleiben, auf nationaler Ebene mit Widerspruchslösungen zu arbeiten. Das bedeutet dann, dass eine Einwilligung dann als erteilt gilt, wenn der Nutzende nicht widerspricht.
- Direktwerbung: Mit der ePrivacy-Verordnung wird Direktwerbung von Unternehmen gegenüber Privatpersonen zu einer „unerbetenen Kommunikation“ – auch dann, wenn die Privatperson vorher bereits ein Produkt von dem Unternehmen gekauft hat. Die DSGVO bietet hingegen noch die Möglichkeit, durch ein „berechtigtes Interesse“ seitens des Unternehmens Direktwerbung durchzuführen.
- Privatsphäre: Entwickler, aber auch Provider müssen an den Privatsphäreeinstellungen ihrer Produkte arbeiten: Software wie Browser oder Apps müssen so vorkonfiguriert werden, dass die Einstellungen privatsphärefreundlich sind. Die ePrivacy-Verordnung könnte verlangen, dass unbefugte Zugriffe auf außen technisch nicht möglich sein können – auch in der Cloud.
Kurzum: Mit der ePrivacy-Verordnung soll es Nutzenden ermöglicht werden, Tracking besser kontrollieren zu können. Das Ausspähen von Betroffenen über Cookies oder andere Technologien ohne Einwilligung soll verboten werden und Browser sollen Privatsphäre-freundliche Einstellungen zum Standard machen. Die Kommunikation über Messenger wie Threema oder WhatsApp soll rechtlich vor kommerzieller Auswertung geschützt sein, ebenso wie Anrufe oder SMS. Man möchte eine Art digitales Briefgeheimnis erreichen.
Schlüsselpassagen im aktuellen Entwurf abgespeckt
Von den eben aufgezählten ambitionierten Zielen ist jedoch im aktuellen Entwurf nicht mehr viel zu sehen. Die Schlüsselpassagen wurden deutlich abgespeckt, es gibt wieder Raum für umfangreiches Tracking. Tech-Konzerne wie Facebook oder Google könnten weiter immense Mengen an Nutzerdaten abschöpfen und für Werbezwecke verwenden. Sehen wir uns das konkret an:
- Metadaten: Laut aktuellem Entwurf wäre es erlaubt, die Metadaten der Nutzenden ohne Einwilligung weiterzuverarbeiten – dafür genügen „kompatible Gründe“. Somit hätten Messenger- oder Telefonanbieter die Möglichkeit, die Gewohnheiten der Betroffenen für Werbezwecke abzugreifen.
- Cookies: Die neuen Formulierungen würden es ermöglichen, dass persönliche Daten über Cookies auch weiterhin für Werbezwecke gesammelt werden.
- Widerruf: Die Möglichkeit für Nutzende, die Einwilligung zum Verarbeiten ihrer persönlichen Daten jederzeit widerrufen zu können, wurde komplett gestrichen. Weiter fehlt der Passus fürs Einwilligungs-Management über den Browser.
- Privatsphäre als Standard: Gestrichen wurde auch die Passage, die den Schutz der Privatsphäre in Browsern zur Standardeinstellung machen sollte.
Auch im aktuellen Entwurf existieren nach wie vor klare Verbesserungen für das Schützen der Privatsphäre von Nutzenden. Doch soll für sämtliche Bestimmungen eine Ausnahme gelten, wenn die nationale Sicherheit oder Verteidigung in Gefahr gerate. Heißt im Klartext: Die ePrivacy-Verordnung wird keinen Schutz vor der Überwachung durch Geheimdienste bieten.
ePrivacy-Verordnung & DSGVO: Wie hängen die beiden Gesetze zusammen?
Wie eingangs erwähnt, sollte die ePrivacy-Verordnung zusammen mit der DSGVO im Mai 2018 in Kraft treten. Funktioniert hat das nicht – und da hierzulande eine zweijährige Übergangsfrist angedacht wird, ist davon auszugehen, dass die ePVO nicht vor 2023 verbindlich in Kraft tritt. Die ePrivacy-Verordnung sollte die veraltete ePrivacy-Richtlinie ersetzen und die DSGVO konkretisieren. Die alte Richtlinie existiert seit 2002 und wurde 2009 um diverse Punkte erweitert. Richtlinien in der EU sind kein verbindliches Recht, sondern Direktiven, die erst in nationales Gesetz umgesetzt gehören. Bei Verordnungen ist dies anders: Sie gelten als EU-weites Recht und sie treten damit verbindlich für sämtliche Staaten unmittelbar in Kraft – die eben erwähnte Übergangsfrist soll dies etwas abdämpfen.
Steht die ePrivacy-Verordnung dann, so handelt es sich um eine lex specialis (Sondergesetz): Sie hat Vorrang gegenüber der Datenschutz-Grundverordnung, einer lex generalis (allgemeines Gesetz). Die DSGVO regelt Allgemeines, die ePrivacy-Verordnung soll in die Tiefe gehen. Während die DSGVO auf den Schutz personenbezogener Daten ausgelegt ist – die Daten sind also schon vorhanden – soll die ePVO das Wie regeln: Wie kommen die Daten zum Unternehmen? Wie werden sie dort behandelt?
Die Verordnung sieht parallele Regelungen vor, jedoch auch welche, die von der DSGVO abweichen und nur auf bestimmte digitale Dienste Anwendung finden sollen. Die Digitalwirtschaft kritisiert dies, da Asymmetrien dadurch geschaffen werden, dass für vergleichbare Datenverarbeitungsvorgänge unterschiedliche Datenschutzregeln gelten. Die DSGVO betrifft nicht nur den internetten Bereich – sie trifft ganz allgemein das Thema Datenschutz. Die ePrivacy-Verordnung hingegen ist speziell auf das Internet ausgerichtet.
Kritiken-Hagel: ePrivacy-Verordnung sorgt für großen Unmut
Kritiken an der ePrivacy-Verordnung sind genauso alt wie der erste ePVO-Entwurf. Als im November 2020 ein Entwurf erneut abgelehnt wurde, äußerte die SPD-Europaabgeordnete Birgit Sippel Bedauern: „Die Mitgliedstaaten scheinen sich beim Thema Schutz der Vertraulichkeit unserer Online-Kommunikation behaglich im Nichtstun eingerichtet zu haben. Es ist daher wenig überraschend, dass auch die deutsche Ratspräsidentschaft fast vier Jahre nach dem Kommissionsentwurf keine Verhandlungsposition zur ePrivacy-Verordnung gefunden hat.“
Ärgerlich findet Sippel weiter, dass das Stärken der Privatsphäre durch die ePrivacy-Verordnung so schwerfiele, während Überwachungsgesetze eilig alle notwendigen Stationen passieren würden: „Das sehen wir etwa aktuell bei der wieder aufgeflammten Debatte um ein Aufbrechen von Verschlüsselung, um von möglichem behördlichen Versagen im Vorfeld der Anschläge in Wien abzulenken“. Sippel kann die Verzögerungen nicht verstehen: „Die Kommission als Hüterin der Verträge hat das Recht und die Pflicht, Vertragsverletzungsverfahren gegen Mitgliedstaaten einzuleiten, die gegen die bisher noch gültige ePrivacy-Richtlinie verstoßen. Aber auch die Kommission scheint derzeit wenig ambitioniert zu sein, entschieden für eine ePrivacy-Reform zu kämpfen – anders kann ich mir ihr dröhnendes Schweigen nicht erklären.“
BfDI Ulrich Kelber: „Ein schwerer Schlag für den Datenschutz“
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, hat wenig übrig für die Ratsposition zur ePrivacy-Verordnung. In einer Pressemeldung kritisiert Kelber Mängel: „Wenn die ePrivacy-Verordnung so bleibt, wie der Rat der EU sie heute beschlossen hat, wäre das ein schwerer Schlag für den Datenschutz. Ich appelliere dringend an das Europäische Parlament und die EU-Kommission während der Trilog-Verhandlungen für eine Anhebung des Datenschutzniveaus einzutreten.“
Kelber erkennt konkrete Gefahren: „Die Verordnung sieht die Wiedereinführung der Vorratsdatenspeicherung vor, die schon vor so vielen Gerichten gescheitert ist. Auch bei den Regeln im Internet gäbe es Rückschritte, denn mit der Verordnung wären sogenannte „Cookie Walls“ zulässig. Es wurden außerdem einige wichtige Garantien für Nutzer, wie beispielsweise das Widerspruchsrecht und die Datenschutz-Folgenabschätzung gestrichen. Auch ein Rückgriff auf die Garantien der Datenschutz-Grundverordnung ist ausgeschlossen. Nicht zuletzt ermöglicht diese Version der ePrivacy-Verordnung, dass personenbezogene Daten ohne Einwilligung der Nutzenden zu anderen Zwecken weiterverarbeitet werden können.“ Kelber zeigt sich sehr enttäuscht: „Es macht mich fassungslos, wie schwerwiegend hier in Grundrechte der europäischen Bürgerinnen und Bürger eingegriffen wird.“
Ohne „erhebliche Nachbesserungen“ an der ePrivacy-Verordnung „würden damit im Bereich Datenschutz mehrere rote Linien gleichzeitig überschritten“, heißt es in der Meldung. Und weiter: „Eine Einigung auf gemeinsame Regeln ist überfällig. Der BfDI wird sich national und auf europäischer Ebene dafür einsetzen, dass der Ergebnisdruck nicht zu einer Schwächung des Datenschutzniveaus führt.“
ePrivacy-Verordnung: Vertrauen in Datenschutz muss gewahrt werden
Seit bald vier Jahren arbeitet man an der ePrivacy-Verordnung, die eigentlich mit dem Start der DSGVO am 25.05.2018 in Kraft treten sollte – ohne Erfolg, denn bis heute ist das Gesetz lediglich im Entwurfsstadium. Kompromisse sollen es richten, sodass die Zustimmung aller EU-Mitgliedsstaaten sicher ist – jedoch stoßen diese Kompromisse auf starke Kritiken, da sie den Datenschutz eher aufweichen würden.
Unternehmen sehen sich in der Zwickmühle: Bezüglich der DSGVO allein schon herrscht große Rechtsunsicherheit. Diese dürfte mit dem Start der ePrivacy-Verordnung nicht schwinden – dabei wäre genau das so wichtig: Für Klarheit zu sorgen, anstatt den Aufwand und die Unsicherheit weiter zu erhöhen.
Dem Ganzen setzt ein weiterer Punkt die Krone auf: Mit DSGVO und ePVO war es das noch nicht. Denn eigentlich hätten bis zum 21.12.2020 das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) an die DSGVO angepasst sein müssen; das ist bis heute nicht geschehen. Stattdessen plant der Gesetzgeber, datenschutzrechtliche Regelungen aus TMG und TKG zu lösen, um diese Regelungen ins Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) überführen zu können (wir berichteten). Zu allem Überfluss soll der Kodex elektronischer Kommunikation durch ein Telekommunikationsmodernisierungsgesetz (TKModG) in nationales Recht umgesetzt werden.
Ob TKModG und TTDSG noch vor der diesjährigen Bundestagswahl verabschiedet werden, ist unklar – wichtig wäre jedoch, dass beide Gesetze zeitgleich wirksam werden. Andernfalls sorgen Gesetzeslücken dafür, dass die Privatheit in der elektronischen Kommunikation massiv gefährdet sein könnte. Genauso wichtig wäre es, eine ePrivacy-Verordnung zu schaffen, die die Verbraucherrechte im Internet stärkt, Entwickler und Betreiber in die Pflicht nimmt und vor allem Rechtssicherheit bei Unternehmen schafft.
PSW GROUP berichtete 2019 auf dem CloudFest über die geplante ePrivacy-Verordnung
Auf dem CloudFest 2019 berichtete unser Berater für Datenschutz und Informationssicherheit, Maik Müller (CIPP/E), bereits über die geplante ePrivacy-Verordnung (ePVO). Mit seiner Einschätzung, dass die Verordnung in 2021 kommen würde, lag er richtig. Hier* finden Sie das Video auf YouTube, in dem es u.a. um Over-the-top Services im Zusammenhang mit der ePrivacy-Verordnung ging. Hier gelangen Sie zu unserem damaligen Blogbeitrag, in dem unser Berater für Datenschutz und Informationssicherheit im Jahr 2019 über das Thema berichtete.
Gender-Disclaimer:
Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum für Substantive und meinen damit alle natürlichen Personen unabhängig ihres Geschlechts.
*Cookies-Disclaimer:
Wenn Sie auf den Videolink klicken, gelangen Sie direkt zu YouTube und verlassen unsere Website. Mit Klick auf den Wiedergabe-Button erteilen Sie Ihre Einwilligung darin, dass Youtube auf dem von Ihnen verwendeten Endgerät Cookies setzt, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen können. Näheres zur Cookie-Verwendung durch Youtube finden Sie in der Cookie-Policy von Google unter hier.
One Reply to “ePrivacy-Verordnung 2021: Was ändert sich beim EU-Datenschutz?”