Security News

Datenschutz: Neue Legislation aus der EU – auch mit Relevanz für die Schweiz


Ein Überblick über die ePrivacy-Verordnung


Vor kurzem präsentierte die Europäische Kommission den finalen Entwurf für die ePrivacy Verordnung, die am 25. Mai 2018 in Kraft treten soll, was angesichts des europäischen Gesetzgebungsverfahrens ein sehr optimistischer Zeitplan sein dürfte. Der aktuelle Kommissionsentwurf bietet angesichts der erwarteten Folgen für die Wirtschaft einen Anlass zur Diskussion.

Die EU-Kommission will die technischen und wirtschaftlichen Entwicklungen auf dem Markt nicht nur erkannt haben, sondern diesen Faktoren auch angemessen Rechnung tragen. Vor diesem Hintergrund soll die Verordnung spätestens nach drei Jahren einer Überprüfung unterzogen werden (Art. 28 Abs. 2 des Entwurfs), um sich auftretenden Fragen nicht zu versperren.

Das neue Regelungswerk gilt auch für die sogenannten „OTT-Dienste“ („Over The Top“) wie WhatsApp, Skype oder Facetime, etwas, das schon seit langem gefordert wird. Diese Kommunikationsmethoden haben den klassischen Diensten wie Telefon oder SMS längst den Rang abgelaufen, waren jedoch bislang von der Einhaltung der Vorschriften zum Datenschutz und Gewährleistung der Privatsphäre sowie Integrität weitestgehend verschont geblieben.


Jetzt unterliegen auch die Metadaten der elektronischen Kommunikation ausdrücklich der ePrivacy-Verordnung (Art. 4 Abs. 3 c des Entwurfs), denn durch sie können „sehr sensible und persönliche Informationen offengelegt werden“. So heisst es:

„Zu solchen Metadaten gehören beispielsweise angerufene Nummern, besuchte Websites, der geografische Standort, Uhrzeit, Datum und Dauer eines von einer Person getätigten Anrufs, aus denen sich präzise Schlussfolgerungen über das Privatleben der an der elektronischen Kommunikation beteiligten Personen ziehen lassen, z. B. in Bezug auf ihre sozialen Beziehungen, Gewohnheiten und ihren Lebensalltag, ihre Interessen, ihren Geschmack usw.“ (Erwägungsgrund 2).

In Art. 5 des Entwurfs zur ePrivacy Verordnung wird „generalklauselartig“ ausgeführt, dass jedwede Überwachung der elektronischen Kommunikationsinhalte verboten ist, es sei denn, die Zulässigkeit ergibt sich aus dieser Verordnung:

“Elektronische Kommunikationsdaten sind vertraulich. Eingriffe in elektronische Kommunikationsdaten wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens oder Überwachens oder Verarbeitens elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer sind untersagt, sofern sie nicht durch diese Verordnung erlaubt werden.”

Doch nur eine Norm weiter (Art. 6) listet der Entwurf der EU-Kommission zahlreiche Ausnahmen diesbezüglich auf. Der Seitenbetreiber darf danach die Kommunikationsdaten des Nutzers verarbeiten, wenn es der Prozess technisch erfordert und im Wege der Übermittlung der Kommunikation oder zur vertragsgemässen Überprüfung der Person nötig ist.

In ähnlicher Rechtsdogmatik legt der Entwurf in Art. 8 das Verbot zur Nutzung der Rechen- und Speicherleistung eines Endgeräts sowie der Erhebung von Informationen über Endgeräte eines Endnutzers inklusive der Informationen über Soft- und Hardware fest. Diese Norm ist von erheblicher Relevanz für das Webtracking, Fingerprinting oder bei Webbeacons und wahrscheinlich das zentrale Thema des Regelwerks.

Nach Art. 8 Abs. 1 und Abs. 2 des Entwurfs werden das Tracking im Web sowie das Offline-Tracking (z. B. W-LAN Tracking im Supermarkt) unter bestimmten Voraussetzungen für zulässig erachtet.

Daneben existiert weiterhin das Instrument der Einwilligung des Betroffenen (Art. 9 des Entwurfs), mittels dessen sich eine Datenverarbeitung in jedem Sinne rechtfertigen lässt. Hinsichtlich der Voraussetzungen an die Einwilligung verweist der Entwurf auf die DSGVO (genauer: auf Art. 4 Nr. 11 und Art. 7 DSGVO).

Das in der Praxis bedeutungsvolle Direktmailing setzt grundsätzlich die Einwilligung des Empfängers voraus (Art. 16 Abs. 1) – es sei denn, es liegt ein Kundenverhältnis vor und die beworbenen Produkte sind vergleichbar mit denen aus dem Rechtsgeschäft (Art. 16 Abs. 2). Damit strebt die EU-Kommission einen interessengerechten Ausgleich an. So heisst es in Erwägungsgrund 33:

„Es ist jedoch vertretbar, im Rahmen einer bestehenden Kundenbeziehung die Nutzung von E-Mail-Kontaktangaben zu erlauben, damit ähnliche Produkte oder Dienstleistungen angeboten werden können.“

Das dürfte der Wirtschaft und vor allem den Online-Händler gefallen, die sich wohl auf jene weitgefasste Ausnahme regelmässig bei ihren Werbemails stützen werden. In der Praxis bekannt ist eine derartige Ausnahme-Regelung bereits bei § 7 Abs. 3 UWG. Diese Vorschrift dürfte jedoch zukünftig verdrängt werden durch die ePrivacy Verordnung, die mit höheren Strafen (Geldbussen) droht.

Gleichwohl muss dem Kunde ein jederzeitiges Widerspruchsrecht zustehen, auf das er erkennbar hinzuweisen ist. Zudem wird den werbenden Akteuren nahegelegt, die Identität der eigenen juristischen oder natürlichen Person offenzulegen oder anzugeben (Vgl. Erwägungsgrund 34).

 

Datenschutz-notizen.de; Conrad Conrad; 07.03.2017
https://www.datenschutz-notizen.de/eprivacy-verordnung-ein-gesamtueberblick-4917390/

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung