Article
Nach der DSGVO ist vor der ePrivacy Verordnung
Die ePrivacy Verordnung wird zukünftig die Bereitstellung und Nutzung elektronischer Kommunikationsdienste regeln. Insofern stehen Unternehmen erneut vor der Herausforderung, sich auf die neuen regulatorischen Vorgaben vorzubereiten und diese fristgerecht umzusetzen. Doch auch nach Veröffentlichung verschiedener Entwürfe der EU-Organe verbleibt Unsicherheit im Hinblick auf bestimmte Themen und den Zeitpunkt des Inkrafttretens. Dieser Artikel informiert Sie über den aktuellen Stand der Diskussion zur ePrivacy Verordnung (ePVO).
Verhältnis der DSGVO zur ePrivacy Verordnung (ePVO)
Die ePVO soll die DSGVO hinsichtlich spezieller Vorschriften für die Bereitstellung und Nutzung elektronischer Kommunikationsdienste präzisieren und ergänzen. Sie stellt daher eine Spezialgesetzgebung dar.Bei Überschneidung von Regelungsbereichen der DSGVO und ePVO genießen die Spezialvorschriften derePrivacy Verordnung grundsätzlich Vorrang. So ist eine Verarbeitung elektronischer Kommunikationsdaten nur aufgrund der Tatbestände derePVO Verordnung und nicht auch aufgrund berechtigter Interessen des Verantwortlichen im Sinne der DSGVO möglich.Es wird jedoch in den aktuellen Entwürfen derePrivacy Verordnung an etlichen Stellen auf die Vorschriften der DSGVO verwiesen, so dass deren Voraussetzung weiterhin einzuhalten sind (z.B. der ausdrückliche Verweis im aktuellen Entwurf des EU-Parlaments auf die Voraussetzungen einer Einwilligung nach den Vorschriften der DSGVO).Problematisch ist der Rückgriff auf die DSGVO bei ePVO-Regelungen, die eigenständige und von der DSGVO divergierende Thematiken regulieren und denen ein expliziter Verweis auf die DSGVO-Vorschriften fehlt. Kann bspw. beim Schutz personenbezogener Daten juristischer Personen, die vom Anwendungsbereich der DSGVO nicht erfasst werden, trotzdem auf deren Vorschriften zurückgegriffen werden?Das Verhältnis der beiden Verordnungen zueinander ist komplex und im Ergebnis bleibt abzuwarten, ob eine ausdrückliche Klarstellung in der Endfassung derePrivacy Verordnung stattfindet.
Aktueller Stand der Diskussion zu den Verhandlungen zur ePrivacy Verordnung
Aufgrund bestehender und ungelöster Diskussionspunkte ist ein konkreter zeitlicher Abschluss der Verhandlungen zur ePrivacy Verordnung zum jetzigen Zeitpunkt nicht absehbar. Unten stehend finden Sie den aktuellen Diskussionsstand, der den neuen Entwurfsvorschlag des Rats der Europäischen Union berücksichtigt (Stand19. Oktober 2018).
Verarbeitung elektronischer Kommunikationsdaten, Art. 6 ePVO
Diskussionsstand
Mehrere Mitgliedstaaten äußern weiterhin Bedenken an der Notwendigkeit einer intensiveren Anpassung des Art. 6 ePVO an die DSGVO sowie das Bedürfnis, die Frage der Datenverarbeitung zur Aufdeckung von Kinderp*rnographie gesetzlich zu regeln.
Regelungsgehalt
DieePrivacy Verordnung normiert verschiedene Tatbestände, die eine Verarbeitung elektronischer Kommunikationsdaten durch Betreiber von elektronischen Kommunikationsnetzen- und diensten rechtfertigen.Dabei erweitern die aktuellen Entwürfe der EU-Organe den Schutz von reinen Inhaltsdaten auf sog. Metadaten, wie bspw. die Dauer der genutzten Verbindung oder Standortdaten. Auch sprachliche Anpassungen wurden forciert, um eine weitergehende Angleichung an die DSGVO zu ermöglichen.Zum Zwecke der Ermöglichung innovativer Dienstleistungen hat der Rat der EU den Schutz von Endeinrichtungen (Mobiltelefon, PC etc.) als weitere Möglichkeit der Datenverarbeitung aufgenommen. Eine solcher Verarbeitungstatbestand ist im ePVO-Entwurf der Kommission oder des EU-Parlaments derzeit nicht vorgesehen. Vielmehr ist eine Verarbeitung nur zur Durchführung der Kommunikation, der Aufrechterhaltung oder Widerherstellung der Verfügbarkeit, Integrität, Vertraulichkeit oder Sicherheit des Kommunikationsnetz- oder dienst möglich.
Schutz von Endeinrichtungen Art. 8 ePVO
Diskussionsstand
Wesentlicher Streitpunkt istdie Frage der Zulässigkeitdes von Bedingungen abhängiggemachten Zugangs zuWebseiten (sog. Tracking-Walls) und der damit einhergehendenBeschränkung digitaler Geschäftsmodelle wiewebfinanzierten Online-Diensten.Die Bundesregierung sprichtsich derzeit für die Zulässigkeitvon sog. „TrackingWalls“ aus. Im ePVO-Entwurfdes EU-Parlaments ist einesolche Maßnahme ausdrücklichverboten, so dass keinemNutzer der Zugang zueinem Onlineangebot verwehrtwerden kann, weil erkeine Zustimmung zum Trackingerteilt hat.
Regelungsgehalt
DieePrivacy Verordnung schützt zudem vor dem Zugriff auf die im Endgerät gespeicherten oder ausgesendeten Informationen und enthält Vorgaben zum Einsatz von Cookies. Im aktuellen Entwurf des Rates der EU wird bzgl. der Zulässigkeit von Cookies nicht mehr zwischen personenbezogenen oder pseudonymisierten und anonymisierten Daten unterschieden. Des Weiteren wurden neue Erlaubnistatbestände für die Erfassung, Nutzung oder Sammlung der Endgerätinformationen eingefügt (z.B. die notwendige Nutzung und Erfassung der Daten zum Zweck der Verhinderung betrügerischer oder technischer Fehler oder der Durchführung eines Software Updates).
Einstellung zur Privatsphäre, Art. 10 ePVO
Diskussionsstand
Im Hinblick auf eine potentielleBeschränkung vonOnline-Geschäftsmodellenhaben mehrere Mitgliedstaatenwährend den Verhandlungenerhebliche Bedenkenbzgl. der Bestimmungen der ePrivacy Verordnung zurPrivatsphäre-Einstellung geäußert.Das Akzeptieren vonCookies wäre per Voreinstellungdeaktiviert und müsstevom Betroffenen manuell geändertwerden. Damit müssenOnline-Geschäfte Einwilligungenjedes Nutzers fürden Einsatz von Cookies zuMarketingzwecken einholen.Dessen ungeachtet wurdedie Streichung der Vorschriftvon einigen Delegationen unterHinweis auf die Einführungeiner alternativen undeinfacheren Bestimmungebenfalls kritisiert.
Regelungsgehalt
Die Vorschriften zur Regelung der Privatsphäre-Einstellung beim Einsatz und der Installation von Software, die das Prinzip „Privacy by Default“ regulatorisch umsetzen, wurden in der Neufassung des Rates ersatzlos gestrichen. Hingegen halten sowohl die Kommission, als auch das EU-Parlament an einer solchen Regelung fest und verpflichten in ihren Entwürfen zur Einhaltung technischer Schutzmechanismen durch die Aktivierung von vorinstallierten datenschutzfreundlichen Standarteinstellungen oder der Pflicht zur Information über detaillierte Einstellungsoptionen, inkl. der Möglichkeit die Einstellungen zu ändern oder zu bestätigen.
Einwilligung, Art 9 ePVO
Diskussionsstand
Der frühere parlamentarischeEntwurf zurePrivacy Verordnung verpflichtetBetreiber von Kommunikationsnetzen-unddiensten alle sechs Monateden Endnutzer an seine bereitserteilte Einwilligung zuerinnern. Dies wurde mitBlick auf das Nutzerinteresse,keiner Überflutungvon Erinnerungshinweisenausgesetzt zu sein, stark vonden Mitgliedstaaten kritisiertund in dem aktuellen Entwurfdurch Streichung der Vorschriftberücksichtigt.
Regelungsgehalt
Die Einwilligung des Nutzers ist im europäischen Datenschutzrecht zentraler Dreh- und Angelpunkt. Die Entwürfe des EU-Parlaments und der Kommission orientieren sich, ausdrücklich des in Art. 9 ePVO enthaltenen Verweises, an den in der DSGVO niedergelegten Einwilligungsvoraussetzungen. Darüber hinaus kann eine Einwilligung in Hinblick auf den Schutz der Kommunikationsdaten von Endeinrichtungen auch durch passende technische Einstellungen einer Software erteilt und widerrufen werden. Generell besteht die jederzeitige Widerrufsmöglichkeit während der gesamten Dauer der Verarbeitung. Im Entwurf des Rates der EU wurden die Regelungen zur Einwilligung hingegen ersatzlos gestrichen.
Hier finden Sie die Diskussionsstände und den zugehörigen Regelungsgehalt der ePrivacy Verordnung nochmals übersichtlich in einer Grafik dargestellt:
- Kontakt
- Angebotsanfrage
- Deloitte Center for Data Privacy
- Mehr zum Thema Digital Transformation