Die ePrivacy-Verordnung ist auf dem Weg! Womit müssen Sie rechnen?

Es wird undurchsichtiger im Dschungel der digitalen Richtlinien. Während Deutschland noch über das Netzwerkdurchsetzungsgesetz (NetzDG) diskutiert, bespricht man in Straßburg (EU-Parlament) und Brüssel (EU-Rat) bereits etwas anderes: die ePrivacy-Verordnung. Damit möchte die Europäische Union verbindliche Datenschutzregeln formulieren, die EU-weit Geltung haben. Zusätzlich zu dieser Verordnung wird es aber noch die Datenschutz-Grundverordnung (DSGVO) geben, und auch Telemediengesetz und Telekommunikationsgesetz sind weiterhin in Kraft. Das Durcheinander wird noch dadurch verstärkt, dass bisher gar nicht feststeht, wann das Gesetz zur ePrivacy der EU in Kraft treten wird und welche Vorgaben damit für die Digitalbranche verbunden sein werden.

Damit ist vieles im Unklaren. Damit Sie sich aber schon jetzt ein ungefähres Bild davon machen können, was Sie erwarten dürfte, informieren wir in diesem Artikel über das, was man bisher weiß.

Die Europäische Union möchte mit der ePrivacy-Verordnung (offiziell: Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications) die Privatsphäre von Bürgern online stärken und den Datenschutz intensiver regulieren. Grundlegend geht es auch darum, dass man das Vertrauen der Menschen in digitale Kommunikationswege wieder stärkt. Zumindest offiziell soll ePrivacy eine Stärkung des digitalen Binnenmarktes mit sich bringen. Es ist die dritte und vermutlich letzte Maßnahme einer Initiative rund um die europäische Digitalbranche. Man möchte also auch europaweite Regelungen einbringen, damit Unternehmen im Internet (zumindest innerhalb der EU) nicht an Ländergrenzen scheitern.

Die EU geht mit dieser Initiative einen Weg, der mehr als notwendig ist: Das Internet kennt bekanntlich keine Grenzen. Aber was genau haben die europäischen Behörden mit der ePrivacy-Regulation vor? Zunächst ist es wichtig festzustellen, dass die ePrivacy-Verordnung mehr Unternehmen betreffen wird, als jedes vorangegangene Datenschutzgesetz. Die Vorschläge, die derzeit gemacht werden, richten sich konkret auch an Softwareanbieter, also zum Beispiel an Anbieter von Apps wie WhatsApp oder Skype – und somit prinzipiell an die komplette Online-Branche.

Eine Verschärfung gibt es in erster Linie bei der Verwendung von Cookies. Derzeit ist ein Hinweis, der Nutzer beim Besuchen der Website über die Verwendung von Cookies aufklärt, rechtlich vollkommen ausreichend. Sollten derzeit Nutzer damit nicht einverstanden sein, müssten sie die komplette Webpräsenz verlassen. Dies soll durch die neue Verordnung geändert werden: Website-Betreiber dürfen Cookies nur dann setzen, wenn Nutzer diesen auch konkret zustimmen. Auch bei nicht erfolgter Zustimmung sollen Nutzer künftig alle Inhalte angezeigt bekommen. Statt Opt-out wäre also ein Opt-in notwendig.

Um das zu realisieren, könnten auch die Hersteller von Browsern in die Pflicht genommen werden: Laut dem Entwurf sollen Webbrowser künftig Nutzern die Möglichkeit bieten, Tracking grundsätzlich zu regulieren. Darf jemand Cookies bei mir setzen? Und wenn ja, darf dies nur ein Erstanbieter oder auch Drittanbieter? Gestritten wird unter anderem darüber, wie genau die Voreinstellung aussehen soll – also ob der Nutzer selbst aktiv werden muss, um seine Privatsphäre zu schützen. Die DSGVO zumindest geht von „Privacy by Default“ aus: Datenschutzeinstellungen sollen nach der Installation zunächst so strikt wie möglich sein und erst anschließend durch Nutzer abgeschwächt werden können. Generell sollen Tracking-Dienste nur dann ohne Zustimmung der Nutzer erlaubt sein, wenn sie rein statistischen Auswertungen dienen.

Auch das World Wide Web Consortium (W3C) hat sich mit dem Schutz der Privatsphäre auseinandergesetzt. Ergebnis ist der Do-not-track-HTTP-Header, den viele gängige Browser bereits unterstützen. Durch ihn können Nutzer über den Browser einstellen, dass sie kein Tracking wünschen. Der HTTP-Header leitet dann diese Information an die Website weiter. Derzeit sind allerdings Website-Anbieter nicht verpflichtet, diesem Wunsch auch Folge zu leisten. Das könnte sich mit der ePrivacy-Verordnung der EU ändern. Diese geht allerdings noch einen Schritt weiter, denn laut ihr soll nicht nur der Browser, sondern jede Technik zur Datenübertragung am Datenschutz beteiligt sein.

Aufgenommen wurde in den Entwurf zur ePrivacy daher auch die Maschine-zu-Maschine-Kommunikation. Damit reagiert die EU auf Herausforderungen, die das Internet der Dinge mit sich bringen. Für diese Datenübermittlung soll das gleiche gelten, wie auch für solche, bei der Nutzer direkt involviert sind. Geplant ist, dass Geräte nur dann persönliche Daten übermitteln, wenn die Nutzer dem zugestimmt haben. Dies könnte zum Beispiel GPS-Daten der Smartphones betreffen.

Generell soll gelten, dass Nutzer darüber informiert werden müssen, welche Daten von ihnen man zu welchem Zweck aufnimmt. Deshalb soll eine Zustimmung auch nicht versteckt in den AGBs möglich sein oder an andere Dienste gekoppelt werden. Wenn beim Onlineshopping beispielweise Benutzerdaten übertragen werden müssen – und das müssen sie immer – ist dies zulässig. Nicht zulässig soll es allerdings sein, diese Daten dann auch noch für Werbezwecke zu verwenden. Hierfür wäre eine neue, spezifische Zustimmung nötig.

Die ePrivacy-Verordnung soll aber nicht nur das Abgreifen persönlicher Daten durch Unternehmen begrenzen. Auch das Eingreifen von staatlicher Seite soll durch ePrivacy stärker reguliert werden. So soll eine Ende-zu-Ende-Verschlüsselung obligatorisch werden: Jede Datenübertragung soll vollständig verschlüsselt stattfinden und auch nicht von Regierungen eingesehen werden können. Die Einrichtung von Backdoors soll ebenfalls verbindlich verboten werden: Hintertüren, die Hersteller einbauen, um Regierungen einen Zugang zu gewähren, wären demnach illegal.

Vom Internet weg bewegt sich ePrivacy, wenn es um Direktmarketing geht: Während sich für das E-Mail-Marketing prinzipiell nichts ändert, soll die Verordnung insbesondere das Telefonmarketing stärker reglementieren: Der Vorschlag lautet, dass Telefonanrufe zu Werbezwecken nur dann erlaubt sind, wenn der Anrufende seine Rufnummer offenbart oder er einen verbindlichen Code verwendet, um zu signalisieren, dass es sich um einen Werbeanruf handelt.

Die ePrivacy-Verordnung ist zum einen dazu da, die veraltete ePrivacy-Richtlinie zu ersetzen und die Datenschutz-Grundverordnung zu flankieren. Die alte Regulierung existiert seit 2002 und wurde 2009 erweitert. Bei einer Richtlinie der Europäischen Gemeinschaft handelt es sich jedoch nicht um unmittelbar wirksames und verbindliches Recht, sondern um Direktiven, die in nationalen Gesetzen umgesetzt werden müssen. Dazu gewährt man den einzelnen Nationen eine längere Frist. Bei einer Verordnung liegt die Sache anders: Bei ihr – wie auch bei der DSGVO – handelt es sich um EU-weites Recht, das verbindlich für alle Staaten und unmittelbar in Kraft tritt. Das Gesetz kann allerdings eine Übergangsfrist gewähren, wie zum Beispiel bei der Datenschutz-Grundverordnung geschehen: Die DSGVO gilt erst ab dem 25. Mai 2018 für alle Bürger der EU.

Die Einführung der DSGVO in diesem Jahr sorgt allerdings für noch mehr Durcheinander: An was muss man sich nun halten? Sobald die ePrivacy-Verordnung ebenfalls in Kraft tritt, lautet die einfache Antwort: an beides! Geplant ist, dass die Regularien zur ePrivacy die DSGVO konkretisieren. Bei der ePV (wie die neue Verordnung auch genannt wird) soll es sich um eine lex specialis handeln. Das bedeutet, dass sie gegenüber der Datenschutz-Grundverordnung – einer lex generalis – Vorrang hat. Die DSGVO ist allgemeiner gehalten und soll durch die ePV in speziellen Punkten mit klareren Regeln deutlicher werden. Die Datenschutz-Grundverordnung ist nämlich nicht ausschließlich für das Internet geschaffen. ePrivacy schützt diesen besonderen Bereich besser.

Weder durch die DSGVO noch durch die ePrivacy-Verordnung werden übrigens das Bundesdatenschutzgesetz, das Telemediengesetz oder das Telekommunikationsgesetz obsolet. In der DSGVO ist das schon beschlossen, und auch die ePV soll Öffnungsklauseln beinhalten: Lokale Regelungen sollen also bestimmte Absätze der Verordnung in Umsetzungsdetails beeinflussen können. Punkte, die den europäischen Gesetzen widersprechen, muss der nationale Gesetzgeber allerdings ändern oder anpassen.

Bereits seit April 2016 wird über die ePrivacy-Verordnung diskutiert und man ist noch nicht zu einem verbindlichen Ergebnis gekommen. Im Januar 2017 hatte die EU-Kommission einen ersten Entwurf veröffentlicht. Anschließend haben mehrere Ausschüsse Stellungnahmen zu den Vorschlägen der Kommission abgegeben, was schließlich im Oktober 2017 zu einem eigenen Entwurf des EU-Parlaments geführt hat (zu diesem Zeitpunkt war die DSGVO bereits beschlossen.) Fast einen Monat später veröffentlichte die EU-Ratspräsidentschaft einen Sachstandsbericht, in dem der aktuelle Stand der Dinge zusammengefasst wurde. Und dabei ist es bisher geblieben. Als nächstes muss der EU-Rat über den Entwurf entscheiden.

Ursprünglich war geplant, dass ePrivacy und die DSGVO gleichzeitig in Kraft treten sollen. Von diesem Vorhaben hat man sich längst verabschiedet. Inzwischen geht man davon aus, dass eine Einigung frühestens Anfang 2019 erfolgen wird. Da auch bei der ePrivacy-Verordnung eine einjährige Übergangszeit vorgesehen ist, muss man also nicht mit einer plötzlichen Umsetzung des Entwurfs rechnen. Inwieweit sich der Entwurf bis dahin noch ändert, kann man bisher noch nicht absehen. Dass dies nicht die endgültige Version bleibt, ist aber mehr als wahrscheinlich.

Die Einschnitte durch eine ePrivacy-Verordnung, wie man sie derzeit verhandelt, betreffen (neben den Bürgern, deren Privatsphäre geschützt werden soll) vor allem Betreiber von Internetangeboten und die Onlinemarketing-Branche. Deshalb ist es wenig verwunderlich, dass aus diesen beiden Bereichen die größte Kritik kommt. Vor allem die Werbebranche bemängelt das Vorhaben der EU:

• Mehr Aufwand für Nutzer: Die Branche geht davon aus, dass Nutzer künftig überfordert sein dürften, von der Menge an Zustimmungen, die durch die ePV nötig wären. Man vermutet, dass für jede einzelne Übertragung eine spezifische Zustimmung gegeben werden muss.
  
  
• Finanzierung von Online-Medien gefährdet: Der größte Kritikpunkt liegt darin, dass man die werbefinanzierten Online-Medien in Gefahr sieht. Derzeit sind einige Blogs, Webauftritte von Zeitungen und andere Medien in ihrem Geschäftsmodell abhängig von Werbeeinblendungen. Nutzer zahlen nicht mit einem Geldwert, sondern durch Werbekonsum. Die Auswahl der Werbeeinblendungen basiert meist auf Daten, die Werbetreibende durch Tracking sammeln. Sollte die ePrivacy-Verordnung in der bisherigen Form in Kraft treten, ist solche Werbung nur noch mit expliziter Zustimmung möglich, die wohl die meisten Nutzer nicht geben dürften. Teile der Onlinemarketing-Branche befürchten, dass damit die freie Verfügbarkeit von Informationen im Internet unterbunden werden könnte.
  
  
• Keine Kohärenz zum DSVGO: Man sieht Widersprüche zur Datenschutz-Grundverordnung. Die zuständigen Verbände gehen aus diesem Grund davon aus, dass die neue Verordnung nicht, wie von der EU-Kommission vorgesehen, mehr Klarheit beim Datenschutz in der Onlinekommunikation bringt, sondern vielmehr zu Rechtsunsicherheit führt. Man befürchtet, dass Änderungen in Geschäftsmodellen, die jetzt für die DSGVO gemacht wurden, bereits in Kürze wieder geändert werden müssen.

Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.