Die europäischen Mitgliedstaaten haben sich am 10. Februar 2021 zum Schutz der Privatsphäre und der Vertraulichkeit bei der Nutzung elektronischer Kommunikationsdienste (e-Datenschutz/ ePrivacy) geeinigt.
Das Update finden Sie im unteren Teil des Beitrages.
Mit dieser Einigung beginnen somit die letzten Verhandlungen mit der europäischen Kommission und dem Europarlament. Wenn die drei Beteiligten eine Einigung noch im Verlauf dieses Jahres treffen würden, könnte die ePrivacy Verordnung frühestens im 2023 in Kraft treten – nach einer Übergangsfrist von zwei Jahren.
Die ePrivacy Verordnung, welche die bestehende Datenschutzrichtlinie für elektronische Kommunikation aus dem Jahr 2002 ersetzen soll, verfolgt das Ziel, die Bedingungen zu regeln, unter welchen die Verarbeitung der elektronischen Kommunikationsdaten durch den Dienstanbieter erfolgen darf oder Zugang zu Daten erhalten dürfen, die auf den Geräten der Endnutzer gespeichert sind. Unter Kommunikationsdaten werden diejenigen Daten verstanden, welche bei der Nutzung von Online-Dienste übermittelt werden, wie zum Beispiel Nachrichten auf WhatsApp oder Videoanrufe auf Skype. Mit diesen Erneuerungen werden neuen technologischen und Marktentwicklungen sowie neuen Techniken zur Verfolgung des Online-Verhaltens der Nutzer Rechnung getragen.
Neben den verschiedenen Themen wie elektronische Kommunikationsdaten, Metadaten, Internet der Dinge, Anrufer-Identifikation, öffentliche Verzeichnisse, sind auch Cookies ein Thema, welches die Verordnung regeln will. Den Endnutzern sollte eine echte Wahl angeboten werden, Cookies oder ähnliche Kennungen zu akzeptieren. Der Zugang zu einer Webseite darf von einer Einwilligung zur Verwendung von Cookies für zusätzliche Zwecke abhängig gemacht werden, wenn der Nutzer zwischen diesem Angebot und einem gleichwertigen Angebot wählen kann, das nicht mit der Einwilligung zu Cookies einhergeht. Damit verhindert werden kann, dass die Nutzer immer wieder die Cookies akzeptieren müssen, um eine Webseite besuchen zu können, können sie ihre Einwilligung in die Verwendung bestimmter Arten von Cookies erteilen, indem sie einen oder mehrere Anbieter in ihren Browser- Einstellungen in eine Positivliste aufnehmen. Den Anbietern werden verpflichtet, den Benutzern die Möglichkeit zu erteilen, die Erstellung und Änderung von Positivlisten sowie den Widerruf ihrer Einwilligung zu erleichtern.
Update ePrivacy Verordnung (Stand März 2022):
Ursprünglich sollte vom 25. Mai 2018 an zusammen mit der Datenschutz-Grundverordnung (DSGVO) auch die ePrivacy-VO gelten. Doch anders als bei der DSGVO konnten sich die EU-Staaten im Falle der ePrivacy-VO bis heute noch auf keinen gemeinsamen Gesetzentwurf einigen. Die Verhandlungen über die ePrivacy-Verordnung dauern noch an. Derzeit finden informelle (Trilogie) Verhandlungen zwischen Vertretern der drei am EU-Gesetzgebungsprozess beteiligten Organe, der EU-Kommission, dem Parlament und Ministerrat statt. Die ePrivacy Verordnung wird voraussichtlich nicht vor 2023 in Kraft treten. Die Übergangsfrist dürfte voraussichtlich bis 2025 gelten (24 Monate).
Inhalte
- Die ePrivacy-Verordnung richtet sich vor allem an Unternehmen der Digitalwirtschaft und macht ihnen weitere Vorgaben im Zusammenhang mit der Verarbeitung personenbezogener Daten.
- Die ePrivacy-Verordnung hat als Spezialgesetz gegenüber der DSGVO Vorrang. Deren Bestimmungen ergänzen und präzisieren die DSGVO durch spezifischere Vorschriften.
- Risiko im Falle einer unzulänglichen Umsetzung analog DSGVO Geldbußen von bis zu 20 Millionen EUR oder im Falle eines Unternehmens von bis zu 4 Prozent des gesamten weltweit erzielten (Bussen verweisen auf DSGVO Art. 83)
Der grösste Streitpunkt stellt dabei die Datenverarbeitung auf Basis legitimen Interesses dar. Bisher war vorgesehen, dass die Erhebung und Verarbeitung von Daten des Nutzers auf Endgeräten (insbes. Cookies Einsatz von Tracking-Technologien für die eigene Webseite oder Werbemaßnahmen) untersagt ist, sofern nicht eine Einwilligung vorliegt (sog. „Verbot mit Erlaubnisvorbehalt» – Art. 8 Abs. 1 des Entwurfs).
Es gibt zwar die Möglichkeit, die Einwilligung mittels geeigneter Browservoreinstellung einzuholen (Art. 9 Abs. 2 des Entwurfs), allerdings nur unter der Voraussetzung, dass alle sechs Monate daran erinnert wird, dass diese Einwilligung widerrufen werden kann. Eine Datenverarbeitung auf Basis legitimen Interesses (analog DSGVO) ist dennoch nicht vorgesehen und ginge nur dann, wenn die betreffenden Daten eben auch unter die DSGVO fallen.
Quelle:
Pressemitteilung des Rates: https://www.consilium.europa.eu/de/press/press-releases/2021/02/10/confidentiality-of-electronic-communications-council-agrees-its-position-on-eprivacy-rules/
Entwurf: https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf