Die Europäische Union versucht nun schon seit Jahren einheitliche Regeln im digitalen Binnenmarkt zu schaffen, um so Verbraucher und Rechteinhaber besser zu schützen. Immer noch diskutiert wird in diesem Kontext die ePrivacy-Verordnung. Damit möchte die Europäische Union verbindliche Datenschutzregeln formulieren, die EU-weit Geltung haben. Zusätzlich zu dieser Verordnung gibt es aber bereits die Datenschutz-Grundverordnung (DSGVO), und auch das Telemediengesetz und das Telekommunikationsgesetz sind in Deutschland weiterhin in Kraft. Das Durcheinander wird noch dadurch verstärkt, dass bisher gar nicht feststeht, wann das Gesetz zur ePrivacy der EU in Kraft treten wird und welche Vorgaben damit für die Digitalbranche verbunden sein werden.
Die ePrivacy-Verordnung ist nicht identisch mit der DSGVO. Über diese EU-weite Regulierung, können Sie sich in unserem ausführlichen Artikel zur Datenschutz-Grundverordnung informieren.
Die Europäische Union möchte mit der ePrivacy-Verordnung (offiziell: Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications) die Privatsphäre von Bürgern online stärken und den Datenschutz intensiver regulieren. Grundlegend geht es auch darum, dass man das Vertrauen der Menschen in digitale Kommunikationswege wieder stärkt. Zumindest offiziell soll ePrivacy eine Stärkung des digitalen Binnenmarktes mit sich bringen. Es ist die dritte und vermutlich letzte Maßnahme einer Initiative rund um die europäische Digitalbranche. Man möchte also auch europaweite Regelungen einbringen, damit Unternehmen im Internet (zumindest innerhalb der EU) nicht an Ländergrenzen scheitern.
Die EU geht mit dieser Initiative einen Weg, der mehr als notwendig ist: Das Internet kennt bekanntlich keine Grenzen. Aber was genau haben die europäischen Behörden mit der ePrivacy-Regulation vor? Zunächst ist es wichtig festzustellen, dass die ePrivacy-Verordnung mehr Unternehmen betreffen wird als jedes vorangegangene Datenschutzgesetz. Die Vorschläge, die derzeit gemacht werden, richten sich konkret auch an Softwareanbieter, also zum Beispiel an Anbieter von Apps wie WhatsApp oder Skype – und somit prinzipiell andie komplette Online-Branche.
Eine große Änderung soll es in erster Linie bei der Verwendung von Cookies geben: Das Ablehnen von nicht notwendigen Cookies soll für Website-Besucher einfacher werden und sich beispielsweise über Browsereinstellungen regeln lassen. Website-Betreiber sollen Cookies nur dann setzen dürfen, wenn Nutzer diesen auch konkret zustimmen. Auch bei nicht erfolgter Zustimmung sollen Nutzer künftig alle Inhalte angezeigt bekommen. Statt Opt-out wäre also ein Opt-in notwendig.
Bisher regelt neben der DSGVO vor allem die ePrivacy-Richtlinie – deshalb auch als EU-Cookie-Richtlinie bekannt –, in welcher Weise Website-Betreiber Cookies beim Verbraucher setzen dürfen.
Um das zu realisieren, könnten auch die Hersteller von Browsern in die Pflicht genommen werden: Laut dem Entwurf sollen Webbrowser künftig Nutzern die Möglichkeit bieten, Tracking grundsätzlich zu regulieren. Darf jemand Cookies bei mir setzen? Und wenn ja, darf dies nur ein Erstanbieter oder auch Drittanbieter? Gestritten wird unter anderem darüber, wie genau die Voreinstellung aussehen soll – also ob der Nutzer selbst aktiv werden muss, um seine Privatsphäre zu schützen. Die DSGVO zumindest geht von „Privacy by Default“ aus: Datenschutzeinstellungen sollen nach der Installation zunächst so strikt wie möglich sein und erst anschließend durch Nutzer abgeschwächt werden können. Generell sollen Tracking-Dienste nur dann ohne Zustimmung der Nutzer erlaubt sein, wenn sie rein statistischen Auswertungen dienen.
Aufgenommen wurde in den Entwurf zur ePrivacy auch die Maschine-zu-Maschine-Kommunikation. Damit reagiert die EU auf Herausforderungen, die das Internet der Dinge mit sich bringen. Für diese Datenübermittlung soll das gleiche gelten, wie auch für solche, bei der Nutzer direkt involviert sind. Geplant ist, dass Geräte nur dann persönliche Daten übermitteln, wenn die Nutzer dem zugestimmt haben. Dies könnte zum Beispiel GPS-Daten der Smartphones betreffen.
Generell soll gelten, dass Nutzer darüber informiert werden müssen, welche Daten von ihnen man zu welchem Zweck aufnimmt. Deshalb soll eine Zustimmung auch nicht versteckt in den AGBs möglich sein oder an andere Dienste gekoppelt werden. Wenn beim Onlineshopping beispielweise Benutzerdaten übertragen werden müssen – und das müssen sie immer – ist dies zulässig. Nicht zulässig soll es allerdings sein, diese Daten dann auch noch für Werbezwecke zu verwenden. Hierfür wäre eine neue, spezifische Zustimmung nötig.
Die ePrivacy-Verordnung soll aber nicht nur das Abgreifen persönlicher Daten durch Unternehmen begrenzen. Auch das Eingreifen von staatlicher Seite soll durch ePrivacy stärker reguliert werden. So soll eine Ende-zu-Ende-Verschlüsselung obligatorisch werden: Jede Datenübertragung soll vollständig verschlüsselt stattfinden und auch nicht von Regierungen eingesehen werden können. Die Einrichtung von Backdoors soll ebenfalls verbindlich verboten werden: Hintertüren, die Hersteller einbauen, um Regierungen einen Zugang zu gewähren, wären demnach illegal.
Vom Internet weg bewegt sich ePrivacy, wenn es um Direktmarketing geht: Während sich für das E-Mail-Marketing prinzipiell nichts ändert, soll die Verordnung insbesondere das Telefonmarketing stärker reglementieren: Der Vorschlag lautet, dass Telefonanrufe zu Werbezwecken nur dann erlaubt sind, wenn der Anrufende seine Rufnummer offenbart oder er einen verbindlichen Code verwendet, um zu signalisieren, dass es sich um einen Werbeanruf handelt.
Die ePrivacy-Verordnung ist zum einen dazu da, die veraltete ePrivacy-Richtlinie zu ersetzen und die Datenschutz-Grundverordnung zu flankieren. Die alte Regulierung existiert seit 2002 und wurde 2009 erweitert. Bei einer Richtlinie der Europäischen Gemeinschaft handelt es sich jedoch nicht um unmittelbar wirksames und verbindliches Recht, sondern um Direktiven, die in nationalen Gesetzen umgesetzt werden müssen. Dazu gewährt man den einzelnen Nationen eine längere Frist. Bei einer Verordnung liegt die Sache anders: Bei ihr – wie auch bei der DSGVO – handelt es sich um EU-weites Recht, das verbindlich für alle Staaten und unmittelbar in Kraft tritt. Das Gesetz kann allerdings eine Übergangsfrist gewähren.
Was ist aber mit der DSGVO? An was muss man sich halten? Sobald die ePrivacy-Verordnung ebenfalls in Kraft tritt, lautet die einfache Antwort: an beides! Geplant ist, dass die Regularien zur ePrivacy die DSGVO konkretisieren. Bei der ePV (wie die neue Verordnung auch genannt wird) soll es sich um eine lex specialis handeln. Das bedeutet, dass sie gegenüber der Datenschutz-Grundverordnung – einer lex generalis – Vorrang hat. Die DSGVO ist allgemeiner gehalten und soll durch die ePV in speziellen Punkten mit klareren Regeln deutlicher werden. Die Datenschutz-Grundverordnung ist nämlich nicht ausschließlich für das Internet geschaffen. ePrivacy schützt diesen besonderen Bereich besser.
Weder durch die DSGVO noch durch die ePrivacy-Verordnung werden übrigens das Bundesdatenschutzgesetz, das Telemediengesetz oder das Telekommunikationsgesetz obsolet. In der DSGVO ist das schon beschlossen, und auch die ePV soll Öffnungsklauseln beinhalten: Lokale Regelungen sollen also bestimmte Absätze der Verordnung in Umsetzungsdetails beeinflussen können. Punkte, die den europäischen Gesetzen widersprechen, muss der nationale Gesetzgeber allerdings ändern oder anpassen.
Bereits seit April 2016 wird über die ePrivacy-Verordnung diskutiert und man ist noch nicht zu einem verbindlichen Ergebnis gekommen. Im Januar 2017 hatte die EU-Kommission einen ersten Entwurf veröffentlicht. Anschließend haben mehrere Ausschüsse Stellungnahmen zu den Vorschlägen der Kommission abgegeben, was schließlich im Oktober 2017 zu einem eigenen Entwurf des EU-Parlaments geführt hat (zu diesem Zeitpunkt war die DSGVO bereits beschlossen.) Fast einen Monat später veröffentlichte die EU-Ratspräsidentschaft einen Sachstandsbericht, in dem der aktuelle Stand der Dinge zusammengefasst wurde. Und dabei ist es bisher geblieben. Als nächstes muss der EU-Rat über den Entwurf entscheiden.
Ursprünglich war geplant, dass ePrivacy und die DSGVO gleichzeitig in Kraft treten sollen. Von diesem Vorhaben hat man sich längst verabschiedet: Die EU-Mitgliedstaaten können sich seit Jahren nicht auf eine gemeinsame Linie einigen und haben zuletzt im November 2020 einen Kompromissvorschlag abgelehnt. Von manchen Ratsmitgliedern wird sogar eine vollkommene Neugestaltung der Verordnung gewünscht. Da in Deutschland auch bei der ePrivacy-Verordnung eine zweijährige Übergangszeit vorgesehen ist, muss man also nicht mit einer plötzlichen Umsetzung eines möglichen, von allen Ländern abgesegneten Entwurfs rechnen. Für 2021 übernimmt nun erst einmal Portugal die Ratspräsidentschaft und tritt damit die Nachfolge von Deutschland und Kroatien an, die 2020 mit ihren Vorschlägen gescheitert waren.
Pünktlich zum Start des Jahres 2021 hat das Bundesministerium für Wirtschaft und Energie (BMWi) einen Referentenentwurf für ein „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ vorgelegt. Dieses Telekommunikations-Telemedien-Datenschutzgesetz, kurz TTDSG, soll der ePrivacy-Verordnung in einigen wichtigen Punkten bereits vorgreifen, um nicht weiterhin auf die noch weit entfernte EU-Lösung angewiesen zu sein.
Die Einschnitte durch eine ePrivacy-Verordnung, wie man sie derzeit verhandelt, betreffen (neben den Bürgern, deren Privatsphäre geschützt werden soll) vor allem Betreiber von Internetangeboten und die Onlinemarketing-Branche. Deshalb ist es wenig verwunderlich, dass aus diesen beiden Bereichen die größte Kritik kommt. Vor allem die Werbebranche bemängelt das Vorhaben der EU:
Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.
Cookies können zwar praktisch sein, doch die kleinen Dateien kratzen oft gefährlich am Datenschutz. Die EU hat deshalb eine Cookie-Richtlinie eingeführt, die Nutzer schützen soll. Diese müssen nun jedes Mal ihr Einverständnis geben. Denn das sogenannte Opt-in-Verfahren ist obligatorisch. Worauf müssen Betreiber von Websites jetzt achten?
Seit dem 25. Mai 2018 gibt es das neue europäische Gesetz zum Datenschutz. Wir fassen alles Wissenswerte zur neuen Datenschutz-Grundverordnung für Unternehmer und Onlinehändler zusammen. Welche relevanten Gesetze haben sich geändert? Welche Maßnahmen muss man ergreifen, um weiterhin datenschutzkonform wirtschaften zu können? Und was halten Experten eigentlich von den Neuregelungen?
Seit Anfang 2020 hat der amerikanische Bundesstaat Kalifornien ein neues Verbraucherschutzgesetz. Der California Consumer Privacy Act, kurz CCPA, gewährt kalifornischen Bürgern ein stärkeres Mitspracherecht bei der Speicherung und Weitergabe personenbezogener Daten. Was genau es mit dieser neuen Verordnung auf sich hat und für wen sie von Relevanz ist, erfahren Sie hier.
