klar

Entwurf der E-Privacy-VO:

Europarecht

Die Landesdatenschutzbeauftragte informiert über die beabsichtigten europäischen Vorschriften für den Datenschutz bei der Telekommunikation und im Internet.


Ab dem 25. Mai 2018 ist die Datenschutz-Grundverordnung in allen Mitgliedstaaten der Europäischen Union und somit auch in Deutschland als unmittelbar geltendes Recht anzuwenden. Zum gleichen Zeitpunkt soll nach den Plänen der Europäischen Kommission die weitere europäische Verordnung über Privatsphäre und elektronische Kommunikation in Kraft treten. Während das letztlich über vier Jahre andauernde Gesetzgebungsverfahren der Datenschutz-Grundverordnung durch ausgiebige Diskussionen in den Fachkreisen und regelmäßigen Informationen an die breite Öffentlichkeit begleitet wurden, wird der E-Privacy-Verordnung deutlich weniger Beachtung geschenkt. Dabei wird die E-Privacy-VO die durch die Datenschutz-Grundverordnung eingeleitete und umfassende Reform des Datenschutzrechts fortführen und die Datenschutz-Grundverordnung um bereichsspezifische Datenschutzvorschriften ergänzen.

Gesetzgebungsverfahren

Am 10.1.2017 hat die EU-Kommission ihren Vorschlag einer E-Privacy-VO in das Gesetzgebungsverfahren eingebracht. Im Sommer 2017 erfolgten Stellungnahmen durch die Art.-29-Datenschutzgruppe sowie durch vier Ausschüsse des EU-Parlaments ((ITRE-, IMCO-, JURI- und LIEBE-Ausschuss). Das Präsidium veröffentlichte seine Stellungnahme im September 2017. Sobald sich EU-Rat und EU-Parlament auf jeweils eine Fassung geeinigt haben, die voraussichtlich differierende Änderungsvorschläge enthalten werden, beginnen die Trilog-Verhandlungen zwischen den beteiligten Gesetzgebungsorganen EU-Rat, EU-Parlament und EU-Kommission. Ergebnis dieser Verhandlungen wird ein Kompromiss sein, der am Ende als Verordnung verabschiedet wird. Der Wunsch der Kommission, die Verordnung zeitglich mit der Datenschutz-Grundverordnung in Kraft treten zu lassen, scheint daher sehr ambitioniert. Die EU-Kommission sieht im Unterschied zur Datenschutz-Grundverordnung keinen Umsetzungszeitraum für die E-Privacy-VO vor, so dass sie unmittelbar anzuwenden sein wird.

Wesentliche Änderungen

Die E-Privacy-VO wird die sogenannte E-Privacy-Richtlinie (2002/58/EU) einschließlich ihrer letzten Ergänzung durch die sogenannte Cookie-Richtlinie (2009/136/EU) ablösen. Mit ihr regelte die EU bisher den Schutz personenbezogener Daten im Bereich der elektronischen Kommunikation, insbesondere im Internet.

  1. Verordnung statt Richtlinie

    Die erste wesentliche Änderung ist der Wechsel des Regelungsinstruments für den Anwendungsbereich der elektronischen Kommunikation von einer europäischen Richtlinie zu einer europäischen Verordnung. Ziel einer Verordnung ist es, ein einheitliches, europaweites Schutzniveau und einen einheitlichen europäischen Rechtsrahmen für Unternehmen zu erreichen. Richtlinien müssen vom deutschen Gesetzgeber in nationales Recht umgesetzt werden. Die Vorgaben der E-Privacy-Richtlinie sind insbesondere durch das Telemediengesetz und § 7 UWG umgesetzt worden. Die E-Privacy-VO wird ebenso wie die DSGVO in Deutschland unmittelbar anwendbares Recht sein. Als Konsequenz werden die genannten nationalen Vorschriften keine Anwendung mehr finden.

  2. Erweiterung des Anwendungsbereichs

    Die geplante E-Privacy-VO soll im Unterschied zur E-Privacy-RL nicht nur auf klassische Telekommunikationsdienste, wie insbesondere Telefon, E-Mail oder SMS/MMS, anwendbar sein, sondern sie erstreckt sich auch auf moderne elektronische Kommunikationsdienste wie Bildtelefon, Messenger und Social Networks, wie sie z.B. durch WhatsApp, Skype, Viber oder iMessage angeboten werden. Diese Dienstangebote werden unter der Bezeichnung Over-the-Top-Kommunikationsdienste (OTT-Dienste) in die E-Privacy-VO aufgenommen.

  3. Einheitliches Schutzniveau für Kommunikationsinhalte und Kommunikationsmetadaten


    Der sachliche Anwendungsbereich der Verordnung soll die Verarbeitung elektronischer Kommunikationsdaten, die einen Bezug zum Nutzer der Endeinrichtung ermöglichen, betreffen. Die elektronischen Kommunikationsdaten sollen ausweislich der Begriffsbestimmungen elektronische Kommunikationsinhalte und elektronische Kommunikationsmetadaten, wie z.B. die zur Verfolgung und Identifizierung des Ausgangs- und Zielpunkts eines Kommunikationsvorgangs verwendeten Daten, des geografischen Standorts sowie von Datum, Uhrzeit, Dauer und Art der Kommunikation, umfassen. Beide Arten von Kommunikationsdaten unterliegen dem Fernmeldegeheimnis und sollen vertraulich behandelt werden müssen. Ausnahmen vom Vertraulichkeitsschutz sind nur in sehr engen Grenzen zulässig und müssen ausdrücklich von der Verordnung vorgesehen werden. Die Erfassung und Verarbeitung elektronischer Kommunikationsdaten soll grundsätzlich auf das funktional Notwendige begrenzt werden. Für andere Zwecke soll die Nutzung der Daten nur erlaubt sein, wenn sie anonymisiert sind oder der Nutzer ausdrücklich eingewilligt hat.

  4. Neue Regelung zur Verfolgung des Nutzers (Tracking)


    Der Entwurf der Verordnung sieht die grundsätzliche Differenzierung zwischen der Erfassung des Verhaltens der Nutzer im Internet, dem sogenannten Online-Tracking, und dem Offline-Tracking vor. Das Online-Tracking wurde ursprünglich vor allem durch den Einsatz von Cookies umgesetzt. Seit einiger Zeit kommen aber auch andere technische Verfahren, wie z.B. Browserfingerprints zum Einsatz. Das Online-Tracking verlangt nach der E-Privacy-RL für die datenschutzkonforme Umsetzung die vorherige ausdrückliche Einwilligung des Nutzers. Durch Offline-Tracking werden die Bewegungen des Nutzers im realen Raum, z.B. in der Innenstadt oder in Verkaufsräumen erfasst. Spezielle Regelungen existieren hierfür bislang nicht. Die E-Privacy-VO will das Online-Tracking ebenfalls untersagen, es sei denn es erfolgt mittels anonymer Daten oder der Nutzer hat eingewilligt. Die hierfür erforderliche Erhebung von Informationen aus Endeinrichtungen der Endnutzer soll abgesehen von abschließend geregelten Ausnahmefällen nur mit Einwilligung des Nutzers erlaubt sein. Der Entwurf der europäischen Kommission sieht vor, dass das Offline-Tracking schon dann erlaubt sein soll, wenn es einen deutlichen Hinweises auf den Einsatz dieses Verfahrens gibt und der Nutzer darüber informiert wird, was er tun kann, um die Erhebung zu beenden oder auf ein Minimum zu beschränken.


  5. Pflichten für Anbieter von Software


    Die E-Privacy-VO sieht erstmals vor, die Anbieter von Software zu Datenschutzmaßnahmen zu verpflichten (Privacy by Design). Erstens soll jede Software, die eine elektronische Kommunikation erlaubt, wie insbesondere Internetbrowser, die technische Möglichkeit bieten zu verhindern, dass Dritte Informationen in der Endeinrichtung eines Endnutzers speichern oder bereits in der Endeinrichtung gespeicherte Informationen verarbeiten. Zweitens ist vorgesehen, dass der Endnutzer bei der Installation der Software über Einstellungsmöglichkeiten zur Privatsphäre zu informieren ist und zur Fortsetzung der Installation vom Endnutzer die Einwilligung zu einer Einstellung zu verlangen ist.

  6. Erhöhung von Bußgeldern


    In Übereinstimmung mit der Datenschutz-Grundverordnung soll der Bußgeldrahmen wesentlich ausgeweitet werden. Für einzelne Verstöße gegen die Vorschriften der E-Privacy-VO sind Geldbußen von bis zu 20.000.000 EUR oder von bis zu 4 % des weltweiten Konzernumsatzes des vergangenen Geschäftsjahres vorgesehen.



Weitere Informationen:


Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511-120 4500
Fax 0511-120 4599
E-Mail an Ansprechpartner schreiben




Stand: 10.11.2017

zum Seitenanfang
zur mobilen Ansicht wechseln