ePrivacy-Verordnung

Die ePrivacy-Verordnung regelt den Umgang mit personenbezogenen Daten im Internet- und Kommunikationsbereich. Was bedeutet das für Anbieter?

Was ist die ePrivacy-Verordnung? 


Die ePrivacy-Verordnung dient dem Schutz personenbezogener Daten, die von Internet- und Kommunikationsdiensten verarbeitet werden. In Kraft treten soll die Verordnung am 25 Mai 2018. Zum Hintergrund: 1995 wurde die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) zum Schutz von Personen bei der Verarbeitung ihrer personenbezogenen Daten erlassen. Die Richtlinie galt nicht für alle 28 EU-Mitgliedstaaten direkt, sondern musste in nationales Recht umgesetzt werden. In Deutschland ist dies größtenteils durch das Bundesdatenschutzgesetz erfolgt. Zur Ergänzung der EU-Datenschutzrichtlinie wurde 2002 die Datenschutzrichtlinie für elektronische Kommunikation – (ePrivacy-Richtlinie) erlassen, um Mindeststandards für den Datenschutz im Bereich Telekommunikation zu setzen (z. B. Verbot, E-Mails abzufangen und Telefonate mitzuhören). 2009 wurde die Richtlinie durch die sogenannte Cookie-Richtlinie (Richtlinie 2009/136/EG) ergänzt.

Cookies sind Dateien, die auf dem Rechner von Nutzern gespeichert werden, wenn diese bestimmte Webseiten besuchen. Unternehmen nutzen Cookies, um das Surf-Verhalten von Internetusern nachzuvollziehen und bspw. personalisierte Werbung zu schalten. Durch die Cookie-Richtlinie sollen Nutzer über den Einsatz der Cookies informiert werden, um der Nutzung zustimmen zu können. Das Erheben und Speichern von Nutzerdaten soll laut Richtlinie nur erlaubt sein, wenn die Nutzer informiert wurden und einwilligen. Nur bei technisch notwendigen Cookies, die z. B. für das Funktionieren einer Webseite unbedingt erforderlich sind, muss nicht ausdrücklich eingewilligt werden. Nicht notwendige Cookies (z. B. Tracking-Cookies zu Werbe- und Marktforschungszwecken) bedürfen einer Einwilligung des Nutzers. In Deutschland wurde die Richtlinie bisher nicht aktiv in nationales Recht umgesetzt. Laut Bundesregierung wird die Richtlinie mit dem Telemediengesetz (TMG) umgesetzt: Das Telemediengesetz – auch als Internetgesetz bezeichnet – regelt die rechtlichen Rahmenbedingungen für Telemedien. Dazu gehören die meisten Internetangebote und -dienstleistungen wie bspw. Online-Shops, Suchmaschinen oder Online-Auktionshäuser. Umstritten ist, dass durch die Umsetzung keine Opt-in-Pflicht garantiert wird: Beim Opt-in-Verfahren werden die Cookies erst gesetzt, wenn der Nutzer zugestimmt hat. Beim Opt-out-Verfahren hingegen werden Cookies gesetzt und der Nutzer hat die Möglichkeit, im Nachhinein zu widersprechen. 

Warum soll die ePrivacy-Richtlinie erneuert werden? 

Da EU-Richtlinien wie die Cookie-Richtlinie nicht automatisch als Gesetz gelten, sondern von den einzelnen EU-Mitgliedstaaten innerhalb einer bestimmten Frist in nationales Recht umgesetzt werden müssen, kann es zu Abweichungen in der Umsetzung kommen. In Europa wurde die Cookie-Richtlinie auf verschiedene Weise umgesetzt: In manchen Ländern gilt das Opt-in-, in manchen das Opt-out-Verfahren. In einigen EU-Mitgliedstaaten wurden die Regelungen offengelassen. Zur EU-weiten Vereinheitlichung der Regelungen soll die neue ePrivacy-Verordnung die Cookie-Richtlinie und die bis dahin geltende ePrivacy-Richtlinie ersetzen. Am 19. Oktober 2017 stimmte der Ausschuss für Bürgerliche Freiheit, Justiz und Inneres (LIBE) des EU-Parlaments dem Entwurf zur Überarbeitung der Richtlinie zu. LIBE ist zuständig für den Schutz von Bürger-, Menschen- und Grundrechten sowie weiteren politischen Angelegenheiten im Bereich Gleichstellungspolitik und Datenschutz. Die öffentliche Konsultation zur Neuregelung der Richtlinie war am 11. August 2016 gestartet. Der erste Entwurf wurde am 10. Januar 2017 von der EU-Kommission veröffentlicht. Das Inkrafttreten der Verordnung ist für den 25. Mai 2018 geplant, an dem auch die EU-Datenschutz-Grundverordnung anwendbar wird. Die DSGVO gilt für alle EU-Mitgliedstaaten direkt und dient der Vereinheitlichung des Datenschutzrechts für alle EU-Länder. Die überarbeitete ePrivacy-Verordnung soll die EU-DSGVO ergänzen. Erstere konzentriert sich vor allem auf den Datenschutz bezogen auf Kommunikationsdaten, letztere enthält allgemeine Vorschriften zum Umgang mit personenbezogenen Daten von Verbrauchern und Internetnutzern. Mit Blick auf die DSGVO wird auch das Bundesdatenschutzgesetz (BDSG) überarbeitet. Die neue Version (BDSG (neu)) wird das alte Bundesdatenschutzgesetz am 25. Mai 2018 ersetzen. Die ePrivacy-Verordnung soll dazu beitragen, das Zusammenspiel der Datenschutzgesetze zu vereinheitlichen. EU-Verordnungen gelten in den EU-Mitgliedstaaten im Unterschied zu Richtlinien unmittelbar, so dass sie nicht erst in nationales Recht umgesetzt werden müssen.

Was regelt die ePrivacy-Verordnung? 

  • Vertraulichkeit von Kommunikationsdaten: Nach Art. 5 der ePrivacy-Verordnung sind das Mithören, Speichern, Abhören, Scannen, Beobachten oder andere Überwachungsarten von vertraulichen Kommunikationsdaten verboten – es sei denn, dies wird durch die Verordnung erlaubt (Verbot mit Erlaubnisvorbehalt). Unter welchen Umständen die Verarbeitung erlaubt ist, regelt Artikel 6.
  • Einwilligung des Nutzers: Die kommerzielle Verwendung von Nutzerdaten durch Internet- und Kommunikationsdienstleister soll mit Einwilligung der Nutzer möglich sein. Ohne informiertes Einverständnis sollen Daten wie bspw. Ortsdaten nicht verarbeitet werden. Zu den Daten gehören Metadaten darüber, welcher Nutzer wo, wann und wie lange kommuniziert hat oder welche Webseiten er aufgerufen hat. Die Einwilligung für bestimmte Dienste sollen die Nutzer zurückziehen dürfen (z. B. zur Auswertung ihrer Surf-Historie).
  • Do Not Track Mechanismus: Die Nutzer sollen besser vor Online-Tracking (z. B. in Form von Cookies, Fingerprints) geschützt werden. Sie sollen in ihrem Smartphone-Betriebssystem oder Browser Einstellungen vornehmen können, um zu bestimmen, ob sie den Tracking-Maßnahmen zustimmen oder diese ablehnen. Offline-Tracking (z. B. über Bluetooth-Signale, WLAN-Netze) soll nur mit ausdrücklicher Zustimmung der User oder begrenzt möglich sein. Über die Offline-Ortung lassen sich Nutzer lokalisieren und Bewegungsprofile erstellen, um bspw. Kundenströme in einem Einkaufszentrum zu erfassen und Verkaufsprozesse zu personalisieren.
  • Nutzerprofile nur mit Zustimmung: Die Erstellung von Nutzerprofilen soll nur unter ausdrücklicher Zustimmung der Nutzer möglich sein. Dabei soll es Ausnahmen geben, z. B. für Warenkörbe beim Online-Shoppen.
  • Privacy by Default: Die Einstellungen von Computern und Smartphones sollen von Anfang an privatsphärenfreundlich eingestellt sein, um auch Nutzer zu schützen, die sich in Sachen Datenschutz weniger auskennen.
  • Verschlüsselung: Anbieter sollen ihre Nutzer vor unautorisiertem Zugriff auf deren Daten schützen und einen vertraulichen Datentransfer ermöglichen – am besten durch kryptographische Methoden (z. B. Ende-zu-Ende Verschlüsselung). Entschlüsselungsmethoden und Hintertüren, mit denen Verschlüsselungen geschwächt werden, sollen verboten werden.
  • Direktmailing: Das Versenden von Direktwerbung ist nur unter Einwilligung erlaubt – außer es besteht ein aktives Kundenverhältnis und die Werbung bezieht sich auf ähnliche Produkte wie bereits gekaufte Artikel (Artikel 16). Der Nutzer hat ein Widerspruchsrecht, auf das er hinzuweisen ist.

Sanktionen 

Verstöße gegen die Verordnung (Art. 8, Art. 10, Art. 15) können nach Artikel 23 Abs. 2 der ePrivacy-Richtlinie mit Geldbußen bis zu 10 Millionen Euro oder bis zu 2 % des weltweit erwirtschafteten Jahresumsatzes einhergehen – es gilt der höhere Betrag. Verstöße gegen Art. 5, 6 und 7 können mit Geldbußen bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes geahndet werden. Wird eine Anweisung der Aufsichtsbehörde nicht befolgt, können Geldbußen in derselben Höhe wie im vorherigen Satz anfallen.

Fazit

Die ePrivacy-Richtlinie wird im Zuge der EU-Datenschutz-Grundverordnung überarbeitet. Sie enthält Regelungen zum Schutz personenbezogener Daten, die von Kommunikations- und Internetdiensten verarbeitet werden. 2002 wurde sie zur Ergänzung der EU-Datenschutzrichtlinie beschlossen und 2009 durch die Cookie-Richtlinie ergänzt. Da EU-Richtlinien von den Mitgliedstaaten in nationales Recht umgesetzt werden, können Abweichungen in der Umsetzung entstehen. Die ePrivacy-Verordnung soll eine einheitliche Umsetzung für alle Mitgliedstaaten ermöglichen. 

Newsletter abonnieren

Stets die aktuellsten Themen im Bereich HR, Recruiting und Bewerbermanagement im Blick haben.