ePrivacy-Verordnung: War die DSGVO erst der Anfang?

  • Nach der DSGVO wird auf EU-Ebene über das nächste große Datenschutzthema diskutiert: die ePrivacy-Verordnung. Was auf Unternehmen zukommen könnte. Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) hat den Unternehmen viel Zeit und Mühe gekostet. Mit der ePrivacy-Verordnung steht nun das nächste datenschutzrechtliche Großprojekt zur Diskussion. Sie hätte eigentlich gleichzeitig mit der DSGVO in Kraft treten und diese ergänzen sollen, aber während die DSGVO bereits seit 25. Mai 2018 einzuhalten ist, steckt die ePrivacy-Verordnung weiterhin auf europäischer Ebene im Gesetzgebungsverfahren fest. Das Ziel ist hoch gesteckt: Die neue Regelung soll die elektronische Kommunikation als solche schützen.

Worum geht es bei der ePrivacy-Verordnung?

  • Während es bei der DSGVO um den Umgang mit gespeicherten personenbezogenen Daten geht, soll die ePrivacy-Verordnung den Weg der Daten regeln – wie diese erfasst und verarbeitet werden. Themengebiete, die dabei behandelt werden, sind Cookies, On- und Offline-Tracking sowie Targeting. Die EU möchte mit der Verordnung die Vertraulichkeit und den Schutz der Privatsphäre bei der Kommunikation im Netz stärken. Ein zentraler Punkt im Verordnungsentwurf ist, dass auch die Endgeräte (also etwa Computer oder Smartphone) und alle Informationen, die mit diesen Geräten in Verbindung stehen, Teil der Privatsphäre der Nutzer sind.

Einige Fragen, die im laufenden Gesetzgebungsverfahren strittig sind:

    • Bedarf das Online-Tracking von Usern auf Internetseiten, um beispielsweise deren Kaufverhalten zu analysieren, einer vorherigen Zustimmung? Die Regelungen zur Einwilligung und der Einsatz von Trackingtechnologien sind essenziell für nutzer- und verhaltensbasierte Werbung.

    • In dieselbe Richtung geht die Frage: Dürfen Analyse-Tools wie Google Analytics nur dann verwendet werden, wenn der Nutzer ausdrücklich darin einwilligt? Darunter fällt etwa das Sammeln von Informationen darüber, mit welchen Geräten, Browsern, Bildschirmauflösungen etc. die User die Website aufrufen.

    • Bereits in der DSGVO wird das sogenannte Kopplungsverbot behandelt, es betrifft aber auch die ePrivacy-Richtlinie: Demnach darf das Bereitstellen von Inhalten nicht von der Einwilligung in die Verwendung bestimmter Cookies abhängig gemacht werden.

    • Gibt es ein Recht auf „Vergessenwerden“? Welche Möglichkeiten erhält ein User, um eine bereits erteilte Einwilligung in die Verwendung seiner Daten widerrufen zu können? Entsprechend müssten Unternehmen Datenbanken so anlegen, dass sich auch einzelne Einträge entfernen lassen.

    • Das Ablehnen von nicht notwendigen Cookies soll für Website-Besucher einfacher werden. Website-Betreiber sollen Cookies nur dann setzen dürfen, wenn Nutzer diesen auch konkret zustimmen. Statt Opt-out wäre also ein Opt-in notwendig. Im Raum steht auch, dass man Cookie-Einstellungen allgemein über Browsereinstellungen regeln können soll. Derzeit muss bei jeder einzelnen aufgerufenen Website die Cookie-Erklärung abgegeben werden.

    • Dürfen Messenger-Dienste ihre User analysieren? Diskutiert wird auch, die strengen Datenschutzregeln, die in der EU für Telefon, SMS und Fax gelten, auf Internettelefonie und Messenger-Dienste auszuweiten. In der aktuellen Gesetzeslage, der ePrivacy-Richtlinie aus dem Jahr 2002, konnten Internettelefonie oder Instant Messaging verständlicherweise noch gar nicht berücksichtigt werden. Die technische Entwicklung hat die gegenwärtige Gesetzeslage deutlich überholt. Die ePrivacy-Verordnung soll diese Lücke schließen.
    Noch ist offen, wie die ePrivacy-Verordnung nach Abschluss des Gesetzgebungsverfahrens konkret ausgestaltet sein wird, und wann sie in Kraft tritt. Die Erfahrungen mit der DSGVO haben jedoch gezeigt, dass der Aufwand bei der Umsetzung häufig unterschätzt wurde. Unternehmen sollten sich daher laufend über den Stand der Diskussion informieren.