Security News

Datenschutz: Neue E-Privacy-Verordnung: Ein Plätzchen für Cookies


Und ein Glas Milch dazu für die Kleinen


Ab Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Im gleichen Zug soll die neue E-Privacy-Verordnung die bisher geltende E-Privacy-Richtlinie (RL 2002/58/EG) und die sogenannte Cookie-Richtlinie (RL 2009/136/EG) ablösen. Diese zwei Richtlinien regeln den Schutz personenbezogener Daten bei der "klassischen" elektronischen Kommunikation wie beispielsweise dem Telefonieren, Mailen oder Texten per Telefon, Smartphone oder PC.

Im Sommer 2016 führte die EU-Kommission eine öffentliche Konsultation zu ihren Plänen für eine neue E-Privacy-Verordnung durch, schon im November 2016 gelangte ein erster Entwurf der Kommission an die Öffentlichkeit. Am 10. Januar diesen Jahres hat die EUKommission nun den ersten offiziellen Entwurf der neuen E-Privacy-Verordnung veröffentlicht.

Nach der Neuregelung des europäischen Datenschutzrechts soll die E-Privacy-Verordnung nun den Persönlichkeitsschutz bei der elektronischen Kommunikation an die Standards der DSGVO angleichen. Die EU-Kommission möchte damit bei der Verarbeitung von Kommunikationsdaten neue Möglichkeiten eröffnen, gleichzeitig aber die Sicherheit entsprechender Datenverarbeitungen erhöhen und damit das Vertrauen der Bürger in den digitalen Binnenmarkt stärken.


Die Notwendigkeit einer solchen Neuregelung ist unbestritten: Durch das Internet ist die IT-gestützte Kommunikation zwischen Bürgern der einzelnen EU-Staaten enorm angestiegen. Trotzdem bestehen aktuell in den einzelnen Mitgliedsstaaten sehr unterschiedliche Regelungen, etwa zum Einsatz von Cookies, also Programmen, die von der Website auf dem Computer des Nutzers installiert werden und dessen Verhalten im Internet erfassen.

Während in Deutschland aufgrund des derzeit noch geltenden Telemediengesetzes im Moment der Einsatz von Cookies auch ohne aktive Zustimmung der Nutzer erlaubt ist (Opt-out-Regelung), fordern viele andere Mitgliedstaaten vor dem Einsatz von Cookies umfassende Informationen der Nutzer und eine aktive Einverständniserklärung (Opt-in-Regelung).

Um hier eine nötige Vereinheitlichung zu erreichen, sieht der Vorschlag der Union eine Neuregelung in Form einer EU-Verordnung vor. Diese wirkt dann in der gesamten EU unmittelbar und verbindlich. Anders als bei einer Richtlinie müssen die Mitgliedsstaaten die Neuregelung nicht erst in nationales Recht umsetzen. Stark abweichende Interpretationen der Regelung in den einzelnen Mitgliedsstaaten, wie dies bei der bisherigen Richtlinie der Fall war, werden so verhindert.

Jedoch enthält der Entwurf einige Öffnungsklauseln, manche Regelungsbereiche können entsprechend weiterhin von den Mitgliedsstaaten geregelt werden. Beispielsweise lässt die EU den Mitgliedsstaaten bei der Festlegung von Bussgeldvorschriften einige Freiheiten (Art. 23 Abs. 4, 24 E-Privacy-Verordnung).

Besonders auffällig an der Neuregelung ist der deutlich erweiterte sachliche Anwendungsbereich der E-Privacy-Verordnung. Die Verordnung betrifft nicht mehr nur klassische Telekommunikationsanbieter, sondern auch so genannte Over-The-TopDienste ("OTT"), wie zum Beispiel WhatsApp, Skype oder Facebook.

Neben dieser überfälligen Anpassung an die Realitäten des digitalen Zeitalters beinhaltet der vorgestellte Entwurf der EU-Kommission besonders bemerkenswerte Neuerungen:

a) Die Verordnung stellt klar, dass Cookies, die keine Auswirkungen auf die Privatsphäre haben, ohne Einwilligung oder Information des Nutzers gesetzt werden dürfen. Das betrifft beispielsweise solche, die eine Website ausschliesslich dafür nutzt, ihre Besucheranzahl zu erfassen.

Der Einsatz von für den Nutzer relevanteren Cookies bedarf hingegen künftig der ausdrücklichen Zustimmung durch den Nutzer. Dieser soll die Zustimmung oder Ablehnung künftig durch Voreinstellungen im Web-Browser in allgemeiner Form erteilen können. So müssen sämtliche Browser künftig alle eine "DoNot-Track"-Einstellung anbieten. Anders als es der im November an die Öffentlichkeit geratene Entwurf noch vorsah muss diese Option nicht bereits als Voreinstellung bei der Installation vorhanden sein.

b) Direktmarketing per E-Mails soll künftig nur nach einer vorherigen Einwilligung erlaubt sein. Jedoch scheut sich die Kommission hier vor einer konsequenten Umsetzung der Regel und schafft einige Ausnahmen. Beispielsweise soll Direktmarketing bei einer bereits bestehenden Kundenbeziehung weiterhin möglich sein, solange der Verbraucher nicht ausdrücklich widerspricht.

c) Für Telefonmarketing gilt im Prinzip nichts anderes, zudem sollen Marketinganrufe künftig durch eine besondere Vorwahl gekennzeichnet sein. Entsprechend darf bei Marketinganrufen die Rufnummer auch nicht unterdrückt werden. Ausserdem sollen Verbraucher die Möglichkeit erhalten, sich in eine nationale "Do-not-call"-Liste einzutragen, um sich Marketinganrufen zu entziehen.

d) Die EU-Kommission will ausdrücklich erlauben, dass Websites überprüfen, ob User einen Adblocker nutzen, und daraufhin den Zugang zu ihrem Angebot verhindern. Auch wenn derartige "Anti-Adblock-Programme" aktuell von einigen bekannten Website-Betreibern verwendet werden, ist es bislang höchst umstritten, ob diese Praxis mit Art. 5 Abs. 3 E-Privacy-Richtlinie vereinbar ist. Diese Regelung ist im Zusammenhang mit dem in Art. 7 Abs. 4 DSGVO geregelten Koppelungsverbot bei Einwilligungen kritisch zu sehen. Denn faktisch wird die Nutzung der Dienstleistung der Website-Betreiber durch eine Adblocksperre von der Einwilligung in eine andere Datenverarbeitung, nämlich zu Werbezwecken, abhängig gemacht. Ein solches Abhängigkeitsverhältnis führt aber nach der DSGVO gegebenenfalls zur Unwirksamkeit der Einwilligung.

e) Die Analyse von Inhalten elektronischer Kommunikation ist künftig meist nicht mehr allein durch die Zustimmung der Nutzer gerechtfertigt. Ist der angebotene Dienst grundsätzlich auch ohne die Analyse der Kommunikationsinhalte möglich, werden sich Anbieter künftig vor der Auswertung von Inhalten mit der zuständigen Aufsichtsbehörde abstimmen müssen.

f) Auch die Bussgelder bei Verstössen werden drastisch erhöht, die Höchstbeträge werden an die der DSGVO angepasst. Somit können Aufsichtsbehörden Bussgelder von bis zu vier Prozent des weltweiten Vorjahresumsatzes verhängen. Dies soll die bisherigen Probleme bei der Durchsetzung der Vorgaben beheben. Ein im vorherigen Entwurf noch vorgesehenes Verbandsklagerecht ist in dem Vorschlag der Kommission dagegen nicht mehr vorhanden.

Der Entwurf der EU-Kommission ist ein dringend nötiger Schritt in die richtige Richtung. Jedoch zeigt der Vorschlag auch einige Schwächen und hat durchaus Nachbesserungsbedarf.

Gerade die im vorherigen Entwurf noch vorhandenen Regelungen zu datenschutzfreundlichen Voreinstellungen ("Privacy by Default") fehlen in dem aktuellenVorschlag. Die Möglichkeiten, die Privatsphäre durch Einstellungen im Browser oder bei der Installation besser zu schützen, ist zwar zu begrüssen. Wenn diese Vorgaben jedochnicht bereits vorab eingestellt sind, wenn der Nutzer die Software installiert, werden gerade die unerfahrenen und deshalb besonders schutzwürdigen Verbraucher im Stich gelassen. Damit steht die Verordnung auch im Widerspruch zu Art. 25 Abs. 2 DSGVO, der datenschutzfreundliche Voreinstellungen vorsieht.

Zudem fehlt eine Regelung zur abhörsicheren Verschlüsselung. So fordert beispielsweise Jan Philipp Albrecht, grüner Europaabgeordneter und stellvertretender Vorsitzender des Innen- und Justizausschusses: "In Zeiten der Massenüberwachung durch Geheimdienste müssen die Anbieter von Kommunikationsdiensten alles technisch Mögliche tun, um das Grundrecht auf Vertraulichkeit zu sichern." Es wäre wünschenswert, dass hier einer Überwachung in einem Ausmass, wie es in den USA beispielsweise praktiziert wird, ein Riegel vorgeschoben wird.


Lto.de; Tim Wybitul, Dr. Lukas Ströbel; 18.01.2017
http://www.lto.de/recht/hintergruende/h/eu-e-privacy-verordnung-schutz-persoenlichkeitsrecht-cookie-richtlinie/ lang=de

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung