Ab 25. Mai 2018 wird die Europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft treten. Sie bietet ein Grundgerüst für die Erfassung und Verarbeitung personenbezogener Daten und wird durch verschiedene nationale und EU-weite Gesetzespakete ergänzt. Eines davon ist die ePrivacy-Verordnung (ePrivVO), die einen rechtlichen Rahmen für die Erfassung und Verarbeitung elektronischer Kommunikationsdaten bieten soll. An dieser tüfteln Parlament und Kommission noch. Dabei geht es nur noch um den Feinschliff; dass die Verordnung kommen wird, gilt als abgemacht.

Was regelt die EU-ePrivacy-Verordnung?

Die ePrivacy-Verordnung richtet sich an Stellen, die Daten aus der elektronischen Kommunikation erfassen und verarbeiten. Das beinhaltet zum Beispiel Telekommunikationsunternehmen, aber auch die Online-Marketing-Branche. Bisher wurden diese Rechtsthemen auf nationaler Ebene gelöst. In Deutschland werden durch die ePrivVO große Teile des Telemediengesetzes (TMG), des Telekommunikationsgesetzes (TKG) sowie des Gesetzes gegen den unlauteren Wettbewerb (UWG), verdrängt.

Zu den schützenswerten Kommunikationsdaten zählen dann alle personenbezogenen Daten, die elektronisch erfasst werden. Das sind z. B. Textnachrichten, Sprache, Videos, Bilder und Ton, aber auch aufkommende Metadaten wie Gesprächsdauer eines Telefonats oder IP-Adresse des Rechners beim Aufruf von Websites. Somit wird kein Unterschied mehr gemacht zwischen den rechtlichen Verpflichtungen von Telefongesellschaften und zum Beispiel Messengerdiensten, die von vielen Nutzern bereits im Alltag gleichbedeutend genutzt werden.

Grundsätze der ePrivVO

Das Ziel der Verordnung ist der Schutz der Privatsphäre aller Nutzer von Kommunikationsdiensten mit Wohnsitz in der EU. Ähnlich wie die EU-Datenschutz-Grundverordnung EU-DSGVO ist die ePrivacy-Verordnung damit nicht nur für europäische Unternehmen verpflichtend, sondern auch weltweit für Dienstanbieter, zu deren Kunden Bürger der EU zählen.

Verschlüsselung nach modernster Technik

Die Verordnung sieht eine möglichst effektive Verschlüsselung aller Kommunikationsdaten durch die Anbieter von Kommunikationsdiensten vor. Dazu gehört eine effektive Ende-zu-Ende-Verschlüsselung; das Entschlüsseln durch den Anbieter soll verboten werden. Mitgliedsstaaten der EU wird zudem verboten, durch nationale Gesetze die Freigabe der Daten durch Anbieter von Kommunikationsdiensten oder -software zu erzwingen oder die Verschlüsselung zu schwächen (Backdoor-Strategien). Damit würde die EU-ePrivacyVO ein weltweiter Vorreiter des Datenschutzes, so sie denn in dieser Form verabschiedet wird.

Datenverarbeitung nur mit ausdrücklichem Einverständnis

Die ePrivacy-Verordnung sieht vor, dass die Nutzung von elektronischen Kommunikationsdaten zu Werbezwecken nur noch mit der ausdrücklichen Erlaubnis der Nutzer möglich sein soll. Bisher mussten sich Nutzer aktiv um den Widerspruch einer solchen Datenverarbeitung bemühen. Übrigens zielt diese Einschränkung gezielt auf Online-Marketer, denn in der Telekommunikationsbranche gilt dieser Grundsatz bereits. Wird die Erlaubnis erteilt, so muss die Verarbeitung im Rahmen der EU-DSGVO stattfinden.

Datenschutz: „Privacy by Default“

Das Recht auf Anonymität soll mit Inkrafttreten der neuen Gesetze per Werkseinstellung in Web Browsern und mobilen Betriebssystemen umgesetzt werden. Diese sollen eine Option zur Verfügung stellen, mit der der Nutzer ein globales „Do-Not-Track“-Signal sendet. Auch hier gilt: Der Nutzer muss in Zukunft aktiv einzelne Trackings erlauben, anstatt diesen aktiv zu widersprechen.

Klare Grenzen für Offline-Tracking

Wer mit dem Handy in der Tasche durch die Stadt schlendert oder einkaufen geht, wird an vielen Orten unbemerkt getrackt. Denn wenn man sein WLAN-Signal angeschaltet hat, pingt das Gerät ständig auf der Suche nach WLAN-Netzen, die es nutzen kann. Ähnliches gilt auch für Bluetooth. Diese Signale werden zur Verfolgung der Bewegungen verwendet, um zum Beispiel Aufenthaltszeiten zu erkennen. Um ein solches Tracking nutzerfreundlicher zu gestalten, soll es auch hier strengere Regeln für den Einsatz dieser Technik geben. Sofern die Erfassung nicht räumlich und zeitlich begrenzt ist, muss der Nutzer auch hier explizit zustimmen. Individuelle Bewegungsprofile werden mit der EU-ePrivacy-VO nach aktuellem Stand verboten.

Mehr Transparenz über staatliche Zugriffe

Für die Strafverfolgung sowie Fälle, in denen die nationale Sicherheit auf dem Spiel steht, sind Ausnahmen vorgesehen. Gleichzeitig soll es aber auch zum ersten Mal Dokumentations- und Transparenzpflichten geben: Kommunikationsdienstanbieter müssen dann Informationen zu staatlichen Zugriffe erfassen und bei Anfrage den zuständigen Datenschutzbehörden zur Verfügung stellen. Außerdem werden jährliche Statistiken fällig, die der Öffentlichkeit zugänglich gemacht werden sollen.

Wann kommt die EU-ePrivacy-Verordnung?

Am 26. Oktober 2017 wurde die ePrivacy-Verordnung vom EU-Parlament angenommen (mit 318 Stimmen gegen 280 Nein-Stimmen sowie 20 Enthaltungen). Ob aber die ePrivVO in dieser Form tatsächlich umgesetzt wird, ist durchaus noch nicht klar.

Im nächsten Schritt wird sich das Parlament mit der EU-Kommission und den Mitgliedstaaten beraten und in einer finalen Abstimmung über den Einsatz der Verordnung entscheiden. In dieser Phase wird über die Umsetzbarkeit und nationale Interessen debattiert, wodurch sich der Entwurf noch einmal vor der Verabschiedung verändern kann. Am Ende müssen alle Staaten dem Gesetz zustimmen können, es ist also wahrscheinlich, dass hier noch nachjustiert werden wird.

Der ursprüngliche Zeitplan sah ein gleichzeitiges Inkrafttreten von EU-DSGVO und ePrivVO am 25. Mai 2018 vor. Nachdem die Verhandlungen so lange gedauert haben, scheint dieser Plan sehr straff: Mit diesem Tag müssen die Gesetze bereits von Unternehmen in aller Welt umgesetzt worden sein.

Sie möchten weiterführende Beratungen in Sachen Datenschutz und IT-Sicherheit in Anspruch nehmen? Gerne helfen wir Ihnen weiter.