Die derzeitige ePrivacy-Richtlinie, die elektronische Kommunikation bzgl. der Nutzung von Cookies und E-Marketing regelt, wird in Kürze durch die ePrivacy-Verordnung ersetzt (vollständiger Name: Verordnung des Europäischen Parlaments und Rates bezüglich des Respektes der Privatsphäre und des Schutzes personenbezogener Daten in elektronischer Kommunikation die die Richtlinie 2002/58/EC widerruft (Richtlinie über Privatsphäre und Elektronische Kommunikation)).
Die letztendlichen Inhalte und auch das Datum des Inkrafttretens der ePrivacy-Verordnung sind bislang nicht bekannt. Bereits Anfang 2017 wurde jedoch ein Entwurf veröffentlicht, von dem nicht erwartet wird, dass er sich bis zur Anwendbarkeit noch maßgeblich verändern wird. Die ePrivacy-Verordnung hätte eigentlich gemeinsam mit der Datenschutz-Grundverordnung (DSGVO) fertig sein und in Kraft treten sollen und wird nun für spätestens 2019 erwartet.
Die ePrivacy-Verordnung ist in Bezug auf die DSGVO ein lex specialis (Sondergesetz). Das bedeutet, dass sie die Regelungen der DSGVO für den Kommunikations-Sektor spezifiziert und ergänzt. Im Ergebnis müssen beide Gesetze erfüllt werden. Viele Unternehmen haben bestimmt noch vor Augen, welch Aufwand die Umstellung auf die DSGVO bedeutete. Es ist also anzuraten, die neue Gesetzgebung sobald wie möglich in Ihre Geschäftsprozesse zu integrieren.
Hintergrund: Wozu brauchen wir den Wechsel zur ePrivacy-Verordnung?
Die Verordnung ist ein Update der derzeit angewendeten ePrivacy-Richtlinie und geht auf technologische Entwicklungen der letzten 15 Jahre ein (z. B. das „Internet of Things“ und Technologien, die das Tracking von Online-Verhalten ermöglichen). Weil es sich um eine Verordnung handelt, findet sie sofort in allen EU-Ländern Anwendung, ohne dass sie noch in nationales Recht übertragen werden muss. Obwohl sie – ähnlich wie die DSGVO – darauf abzielt, die Gesetze innerhalb der gesamten EU zu harmonisieren, lässt die ePrivacy-Verordnung zu, dass Mitgliedsstaaten einige Bestimmungen weiter ausführen, etwa Regelungen bzgl. Marketingregulierungen und Voice-to-Voice-Calls oder die Verpflichtung, die eigene Telefonnummer zu senden.
Die ePrivacy-Verordnung steht in enger Verbindung zur DSGVO. Deswegen gelten nicht nur die Begrifflichkeiten der DSGVO, sondern auch die Regelungen bzgl. der Meldung von Datenschutzverstößen oder die Strafen, die bei Missachtung verhängt werden. Darüber hinaus werden auch die gleichen Datenschutzbehörden verantwortlich dafür sein, die Umsetzung und Einhaltung der Regelungen zu überwachen.
ePrivacy-Verordnung und DSGVO: die Hauptunterschiede
Wie bereits erwähnt, führt die ePrivacy-Verordnung die Bestimmungen der DSGVO weiter aus. Während die DSGVO die Verwendung personenbezogener Daten im Allgemeinen regelt, behandelt die ePrivacy Verordnung ausschließlich elektronische Kommunikation und den Datenschutz auf dem eigenen Gerät (sowohl personenbezogener als auch nicht-personenbezogener Daten).
Darüber hinaus stattet die DSGVO Privatpersonen mit einer Reihe von Datenschutzrechten aus, die von den EU-Bürgern nachdrücklich gefordert wurden. Als nachvollziehbare Konsequenz daraus führt die DSGVO eine ganze Ansammlung neuer Verpflichtungen für Unternehmen ein, die personenbezogene Daten verarbeiten. Die ePrivacy-Verordnung dagegen beschäftigt sich mit Apps und anderen Internet-Kommunikationsdienstleistungen. Sie verbietet ein Abfangen, Aufzeichnen und anderweitiges Abschöpfen von Kommunikation.
Was verändert sich durch die ePrivacy Verordnung?
Zusätzliche Player
Die neuen Regelungen betreffen alle Anbieter elektronischer Kommunikationsdienstleistungen, inklusive sogenannter „Over the Top“- und „Voice over Internet Protocol“-Anbieter (OTTs und VoIPs), wie auch Instant- und Social-Media-Messenger wie WhatsApp, Skype, Facebook-Messenger usw. Diese werden nun durch die gleichen Gesetze reguliert, wie klassische Telekommunikationsdienstleister.
Ähnlich wie bei der DSGVO betreffen die Regelungen der ePrivacy-Verordnung auch Dienstleister, die ihre Dienste von außerhalb der EU Endverbrauchern in der EU anbieten – und zwar unabhängig davon, wo die Datenverarbeitung tatsächlich stattfindet. Das bedeutet, dass Ihr Unternehmen möglicherweise verpflichtet wird, einen EU-Vertreter zu benennen, der in einem der EU-Länder ansässig ist, in dem Endverbraucher Ihre Dienstleistungen in Anspruch nehmen. Die Hauptaufgabe dieses Vertreters ist es, Anfragen der Datenschutzbehörden zu beantworten und diesen sowie den Endverbrauchern Informationen über alle verarbeiteten Kommunikationsdaten zur Verfügung zu stellen.
Metadaten
Die Verordnung definiert als „elektronische Kommunikationsdaten“ sowohl den Inhalt von Kommunikationen als auch Metadaten wie z. B. Uhrzeit, Ort und Dauer eines Anrufs. Der Grund dafür ist, dass auch solche Daten bereits die Privatsphäre beeinträchtigen können.
Cookies und andere Tracking-Technologien
Die DSGVO hat bereits strengere Richtlinien für die Einwilligung von Nutzern geschaffen (muss freiwillig erteilt werden, für einen spezifischen Zweck, informiert und eindeutig sein). Die ePrivacy-Verordnung wird darüber hinaus vermutlich noch weitere Regelungen dazu einführen.
Beispielsweise wird sie eine solche Zustimmung durch das Ändern technischer Einstellungen des Internetbrowsers und anderer Anwendungen erlauben, wann immer diese technisch möglich und machbar sind. Dies ermöglicht den Anwendern, nicht jedes Mal zustimmen zu müssen, wenn sie eine Website besuchen, denn sie können grundlegend über ihre Einstellungen bestimmen. Solch eine Lösung ist voraussichtlich sehr viel nutzerfreundlicher und könnte das Problem nervtötender Cookiebanner bei jedem Besuch einer Website lösen.
Die gute Nachricht dabei ist, dass es für die Verwendung von Cookies, die nicht die Privatsphäre betreffen, und für First-Party-Cookies keiner Zustimmung bedarf, wenn diese zur Verbesserung der Services beitragen (dabei könnte man an das Speichern von Warenkörben denken oder an das Zählen von Besuchern). Gleichfalls bedeutet dies, dass alle nicht erforderlichen und Third-Party-Cookies – wie zum Beispiel von Google Analytics und ähnlichen – nicht von dieser Ausnahme betroffen sein werden und einer Einwilligung des Endverbrauchers bedürfen.
SPAM
E-Marketing-Kommunikation ist nur erlaubt, wenn sie sich an Bestandskunden richtet, die bereits ähnliche Produkte gekauft haben – oder wenn jemand ihr ausdrücklich zustimmt. In beiden Fällen muss jeweils eine Opt-out-Option angeboten werden. Diese Regeln gelten sowohl für B2C- als auch für B2B-Szenarien.
Im Falle von telefonischem Marketing werden die EU-Mitgliedsstaaten jeweils selbst entscheiden, ob sie „Do-not-call-Listen“ erlauben werden, um Marketingtelefonate per Grundeinstellung zu vermeiden. Darüber hinaus müssen Telefonmarketing-Anrufer entweder ihre Rufnummer senden oder einen Code/Präfix verwenden, der kennzeichnet, dass es sich um einen Marketinganruf handelt. Solche Codes bzw. Präfixe werden dann später von der Kommission übernommen.
Da sich die Zuständigkeit der ePrivacy-Verordnung auf weitere Player ausgeweitet hat, finden diese Regeln bei allen Methoden der E-Marketing-Kommunikation Anwendung, inklusive zum Beispiel auch bei Push-Benachrichtigungen und dergleichen.
Wie bereiten Sie sich auf die ePrivacy Verordnung vor?
- Dokumentieren Sie sämtliche internen und externen Datenströme.
- Halten Sie alle Kommunikations-Services, die Sie verwenden, fest.
- Kennzeichnen Sie alle Geräte, die zu Kommunikationszwecken verwendet werden.
- Prüfen Sie Ihre Sicherheitsvorkehrungen.
- Sichern Sie alle Geräte, die zu Ihrem Firmennetzwerk gehören.
Grundsätzlich sollten Sie auf Neuigkeiten zur ePrivacy-Verordnung achten. Beispielsweise hat die Artikel 29-Arbeitsgruppe ihre umfangreiche Stellungnahme über den Entwurf der ePrivacy-Verordnung veröffentlicht. Dieser führt sowohl positive als auch negative Aspekte auf und gibt Empfehlungen für Verbesserungen der Gesetzgebung.