Internetrecht

EU-Parlament verabschiedet ePrivacy-Verordnung

Das EU-Parlament hat die ePrivacy-Verordnung verabschiedet. Für Internetnutzer bedeutet das künftig erheblich mehr Datenschutz und Sicherheit. So erhalten Nutzer künftig ein Recht auf Verschlüsselung und werden vor Trackern geschützt.

Mit einer klaren Mehrheit von 318 zu 280 Stimmen, stimmte das EU-Parlament in Straßburg für den äußerst nutzerfreundlichen ePrivacy-Verordnungs-Entwurf und damit allen Unkenrufen zum Trotz für einen künftigen starken Datenschutz. Dieser Ansatz wurde auch von der EU-Kommission und den Verbraucherschutzbehörden befürwortet. Heftige Kritik an der Verordnung gab und gibt es hingegen von Konservativen, Verlegern und Wirtschaftsverbänden. Besonders aus Deutschland war und ist der Widerstand enorm. Die abschließenden Verhandlungen zwischen Parlament und den EU-Mitgliedsstaaten stehen allerdings noch aus.

Doch um was geht es eigentlich?

Bislang ergänzten die ePrivacy-Richtlinie von 2002 und die 2009 hinzugefügte Cookie-Richtlinie, welche unter anderem eine Einwilligung bzw. Aufklärung der Nutzer bzgl. des Setzens von Cookies auf Webseiten verlangte, die europäische Datenschutzrichtlinie. Doch alle drei Richtlinien erlangten nicht automatisch Anwendung in den 28 EU-Mitgliedstaaten, sondern mussten durch nationale Gesetze umgesetzt werden. In Deutschland wurde die Datenschutzrichtlinie beispielsweise durch das Bundesdatenschutzgesetz umgesetzt. Die ePrivacy-Richtlinie und die Cookie-Richtlinie hingegen wurden hauptsächlich durch ergänzende Vorschriften im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) entsprechend umgesetzt.

Ab Mai 2018 wird in der EU nun einheitlich die neue Datenschutzgrundverordnung (EU-DS-GVO) gelten. Um unter anderem  die Datenschutzregelungen und die Regelungen zur elektronischen Kommunikation zu vereinheitlichen wurde entschieden, auch die Regelungen zur elektronischen Kommunikation in Form einer Verordnung zu erlassen. Entscheidend dabei: EU-Verordnungen gelten in allen einzelnen Mitgliedsländern unmittelbar und müssen insofern nicht wie Richtlinien in nationales Recht umgesetzt werden.

Da es seit Erlass der ePrivacy- und Cookie-Richtlinie von 2002 bzw. 2009 erhebliche Veränderungen in der elektronischen Kommunikation gegeben hat, fallen nun dementsprechend groß die inhaltlichen Änderungen in der neuen ePrivacy-Verordnung aus.

ePrivacy-Verordnung ergänzt EU-Datenschutzgrundverordnung

Damit wird die ePrivacy-Verordnung künftig die neue Datenschutzgrundverordnung  ergänzen. Ursprünglich sollte die ePrivacy-Verordnung zeitgleich zur EU-Datenschutzgrundverordnung im Mai 2018 wirksam werden. Doch der Zeitplan ist straff, um nicht zu sagen ambitioniert und scheint derzeit kaum umsetzbar.

Ergänzend zur Datenschutzgrundverordnung, welche lediglich grundsätzlich die persönlichen Daten der Verbraucher und Internetnutzer in der EU schützt, wird damit nun auch das besonders die elektronische Kommunikation betreffende Datenschutzrecht reformiert. So soll die ePrivacy-VO gemäß Art. 1 Abs. 3 ePrivacy-VO an die Regelungen der Datenschutzgrundverordnung anknüpfen und sie im spezifischen Regelungsbereich der elektronischen Kommunikation ergänzen, vor allem im Internet.

Datensammeln wird erheblich erschwert

Die Verordnung soll EU-Bürgern in Zukunft wieder mehr Kontrolle über die Informationen und Daten geben, die sie oft ganz beiläufig und zumeist unwissentlich im Internet und realen Leben hinterlassen. So schreibt die ePrivacy-Verordnung vor, dass Firmen und Konzerne zukünftig keine Daten mehr ohne das Einverständnis des Nutzers für kommerzielle Zwecke weiterverarbeiten dürfen.

Wer künftig einen Cookie setzen will, braucht ab in Kraft treten der ePrivacy-VO das Einverständnis des Nutzers- und zwar ein ausdrückliches. Bereits hier wird klar, warum die IT-Wirtschaft die Verordnung vehement ablehnt.

Bisher wird in Deutschland für die Verwendung aller Arten von Cookies die sog. Opt-Out-Lösung angewandt. Das heißt, Nutzungsprofile auf pseudonymer Basis dürfen erstellt werden, der Nutzer wird lediglich in der Datenschutzerklärung oder durch entsprechende Einblendungen darüber informiert, dass er dem widersprechen kann. Doch genau dies wird sich ändern: Das Setzen von Cookies fällt künftig generell unter ein „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass entweder das Gesetz die Verwendung von Cookies – in engen Grenzen – erlaubt oder der Nutzer darin eingewilligt hat. Die für Unternehmen relevanteste gesetzliche Erlaubnis ist die technische Notwendigkeit – z.B. „Session Cookies“ für den Online-Warenkorb oder solche für Konfigurationszwecke zu setzen. Damit gewinnt die Einwilligung an Bedeutung. Sie wird nur wirksam sein, wenn der Nutzer zuvor detailliert über jegliche Datenerhebung informiert wurde.

Doch die Verordnung regelt nicht nur die Anwendung von Cookies im speziellen, sondern von jeder Art von Identifikatoren.

Browser und Smartphones sollen sicherer werden

Zudem sollen Browser bereits ab Werk sicherer werden. Ganz nach der Privacy-by-Default-Philosophie müssen sie mit datenschutzfreundlichen Standardeinstellungen ausgeliefert werden. So sollen Nutzer in Zukunft entscheiden können, ob sie wollen, dass ihr Internetverhalten über mehrere Webseiten hinweg verfolgt wird (sog. Tracking). Geht es nach dem EU-Parlament sollen Nutzer bereits in den Grundeinstellungen des Browsers oder Smartphones dem Tracking nutzerfreundlich zustimmen bzw eine Absage erteilen können. Daher fordern sie datenschutzfreundliche Voreinstellungen im Browser sowie im Smartphone. Gerade älteren Menschen soll nicht zugemutet werden, erst in den Untiefen der heutigen Einstellungsmöglichkeiten eine Überwachung ihrer Daten ausschalten zu können.

Gleichzeitig werden sogenannte Tracking-Walls verboten. Dies betrifft Dienste die Nutzer ausschließen, die dem Tracking nicht zugestimmt haben.

Messenger wie WhatsApp benötigen sichere Ende-zu-Ende-Verschlüsselung

Auch werden internetbasierte Kommunikationsdienste wie WhatsApp, Face Time oder Skype ebenfalls in die Verordnung einbezogen, so dass für sie künftig ein ebenso hohes Schutzniveau gelten soll, wie für Telefonanbieter. Die EU-Abgeordneten fordern ein Recht auf eine starke Ende-zu-Ende-Verschlüsselung von Daten. Dort wo eine solche Verschlüsselung nötig sei, müsse diese auch verpflichtend sein und zwar ohne Hintertür für Ermittlungszwecke oder Ähnliches. Mit anderen Worten: Auch in Messengern soll jedwede Entschlüsselungsmethode verboten werden, selbst für Zwecke der nationalen Sicherheit.

Verhandlungen mit Mitgliedstaaten stehen noch aus

Sobald die Verordnung zukünftig in jedem EU-Mitgliedsland, wie bereits erwähnt, unmittelbare Geltung erlangt, bleibt es den einzelnen Ländern jedoch unbenommen, die einzelnen Regelungen der ePrivacy-VO weiter zu präzisieren oder klarzustellen, um eine effektive Anwendung und Auslegung der Regelungen der ePrivacy-VO zu gewährleisten.

Da jedoch die sogenannten Trilog-Verhandlungen zwischen EU-Kommission, EU-Parlament und dem Rat der europäischen Union noch ausstehen und erst jetzt beginnen, kann und wird sich an der Substanz der Verordnung  demnächst noch einiges ändern.

tsp

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (8 Bewertungen, Durchschnitt: 4,38 von 5)

RSSKommentare (0)

Kommentar schreiben

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.