Vollständiger Name: Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation).
Datum des Inkrafttretens: Noch unbekannt, aber nicht vor 2023. Der Rat und das Europäische Parlament verhandeln nun über den endgültigen Wortlaut. Es ist noch nicht sicher, ob das Gesetz in seiner jetzigen Form durchgesetzt wird, da es von EU-Behörden, darunter der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), stark kritisierten.
Das Gesetz tritt 20 Tage nach seiner Veröffentlichung in Kraft und ist zwei Jahre später anwendbar.
Wen betrifft die ePrivacy-Verordnung?
Falls angenommen, gilt der neueste Entwurf für die Verarbeitung personenbezogener Daten unter Verwendung der elektronischen Kommunikation. Es wird folgende Subjekte betreffen:
- Betreiber elektronischer Kommunikationsdienste
- Betreiber öffentlich zugänglicher Verzeichnisse
- Diejenigen, die mithilfe elektronischer Kommunikationsdienste an Endnutzer gerichtete gewerbliche Direktwerbung betreiben
- Diejenigen, die Daten in den Endeinrichtungen der Nutzer verarbeiten und speichern
- Diejenigen, die Informationen sammeln, die die Endeinrichtungen der Endnutzer verarbeiten, aussenden oder speichern
Was ist die Endeinrichtung der Endnutzer?
Dies bedeutet ein Gerät, das man als Übertragungsquelle oder Ziel der Daten verwendet (z. B. ein Computer, Server oder IoT-Gerät). Zu den Aktivitäten, an denen Endeinrichtungen der Nutzer beteiligt sind, gehören zum Beispiel:
- Platzieren von Cookies oder Verwenden von “Device Fingerprinting”, um interessenbezogene Werbung zu schalten oder Website-Inhalte zu personalisieren
- Sammeln von Daten von IoT-Geräten zu Marketingzwecken
- Gebrauch von First Party-Cookies, um Informationen über die Seitennutzung zu erhalten und deren ordnungsgemäße Funktion sicherzustellen
Das Gesetz betrifft also die meisten Organisationen, die elektronisch erhobenen Nutzerdaten verwalten.
Die Verordnung wirkt extraterritorial. Sie schützt die Daten von EU-Bürgern unabhängig davon, wo sie erhoben und verarbeitet werden.
Welche Hauptpflichten legt der aktuelle ePrivacy-Entwurf auf?
Im Vergleich zu früheren Entwürfen der ePrivacy-Verordnung ist der neueste weniger streng und detailliert. Es deckt jedoch immer noch mehrere Arten der elektronischen Datenverarbeitung ab. In diesem Artikel konzentrieren wir uns auf die Teile, die mit Marketing und Analytics zusammenhängen.
Cookies und Einwilligung
Die neue Version des Gesetzes hält die Einwilligung als eine der Säulen des Datenschutzes im Internet aufrecht. Im Vergleich zu früheren Gesetzesnovellen werden jedoch die Vorbehalte beim Einholen der Zustimmung gelockert.
Die wichtigsten Regeln zu Einwilligung und Cookies:
1. Zugriff auf personenbezogene Daten auf Nutzergeräten ohne Einwilligung
In der aktuellen Fassung erlaubt das Gesetz den Dienstanbietern, zum Zweck der Vertragserfüllung, den Zugriff auf personenbezogene Daten auf Nutzergeräten. In der vorherigen Fassung war ein solcher Zugriff nur erlaubt, wenn er technisch notwendig war. Auf diese Weise wird die Klausel unklarer und lässt Raum für die Auslegung dessen, was zur Vertragserfüllung erforderlich ist.
2. Ausnahmeregelung für analytische Cookies
Nach dem neuen Entwurf ist für die Verwendung von Cookies zur einfachen Messung der Nutzerzahlen keine Einwilligung mehr erforderlich, sofern”sie für den alleinigen Zweck der Messung der Nutzerzahlen erforderlich sind, solange diese Messung vom Anbieter des angeforderten Dienstes oder von einem Dritten durchgeführt wird”. Solche Cookies, die in der Regel als Analyse-Cookies bezeichnet werden, könnten ohne vorherige Einwilligung verwendet werden.
3. Unklare Leitlinien für die Erhebung personenbezogener Daten zur Verbesserung der Effizienz des angebotenen Dienstes
Der vorgeschlagene Entwurf weist darauf hin, dass das Sammeln von statistischen Daten zur Messung der Leistung einer Website keine Einwilligung erfordert. Auch der Gebrauch von Trackingpixeln zur Messung von Werbekampagnen erfordert keine Einwilligung des Nutzers, sofern Sie die Cookies nicht zum Sammeln von personenbezogenen Daten, sondern von aggregierten statistischen Daten verwenden.
Diese Regel gilt nicht für jegliche Art von Remarketing oder Datenaktivierung, die mit personenbezogenen Daten durchgeführt werden.
4. Weiches„Ja“ für Cookie-Walls
Der aktuelle Entwurf führt weniger strenge Regeln für den Zugang zu Informationen oder Dienstleistungen ein, die auf einer Einwilligung der Nutzer beruhen. Es ermöglicht Unternehmen, dem Nutzer unterschiedliche Angebote zu machen, je nachdem, wie sie sich für den Datenschutz entscheiden:
[…] Eine Einwilligung zu erfordern, würde normalerweise nicht als Entzug einer wirklichen Wahlmöglichkeit des Endnutzers angesehen werden, falls der Endnutzer auf der Grundlage klarer, präziser und benutzerfreundlicher Informationen über den Zweck von Cookies und ähnlichen Techniken zwischen Diensten wählen kann […]
5. Keine Lösung für globale, durch Browsereinstellungen ausgedrückte, Datenschutzpräferenzen
In der neuen Fassung des Entwurfs stimmen Endnutzer der Verwendung bestimmter Arten von Cookies nur auf die Weise zu, wenn sie einen oder mehrere Anbieter in ihren Browsereinstellungen auf die Whitelist setzen:
Sofern verfügbar und technisch machbar, kann ein Endnutzer daher durch Softwareeinstellungen einem bestimmten Anbieter die Einwilligung zur Nutzung der Verarbeitungs- und Speichermöglichkeiten von Endgeräten für einen oder mehrere bestimmte Zwecke über einen oder mehrere bestimmte Dienste dieses Anbieters erteilen.
Die vorherige Fassung legte, in den nun gestrichenen Artikeln 9 und 10, einige benutzerfreundlichere Lösungen vor – daher, Einwilligungsformulare und Pop-ups durch rechtsverbindliche, vom Nutzer konfigurierte Signale zu ersetzen.
Der Verordnungsentwurf eröffnet den Weg, Metadaten der Nutzer auch ohne deren Einwilligung zu verarbeiten. Der Anwendungsbereich von Metadaten in der aktuellen Fassung der Datenschutzverordnung für elektronische Kommunikation legt sich wie folgt aus:
„Elektronische Kommunikationsmetadaten“: Daten, die in einem elektronischen Kommunikationsnetz zu Zwecken der Übermittlung, der Verbreitung oder des Austauschs elektronischer Kommunikationsinhalte verarbeitet werden; dazu zählen die zur Verfolgung und Identifizierung des Ausgangs- und Zielpunkts einer Kommunikation verwendeten Daten, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste erzeugten Daten über den Standort des Geräts sowie Datum, Uhrzeit, Dauer und Art der Kommunikation.
(Kapitel I, Art. 4, Pkt. 3c)
Laut dem Text dürfen Sie diese Daten für statistische und andere Zwecke, für die Sie sie ursprünglich nicht erhoben haben, verwenden, wenn Sie sie verschlüsseln oder pseudonymisieren. Im Gegensatz dazu sagt die DSGVO zu den Pflichten bei der Verarbeitung pseudonymisierter Daten:
Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.
Quelle: Erwägungsgrund 26 EU DS-GVO
Die eingeführten Änderungen weckten Bedenken bei Datenschutzbehörden und Aktivisten, darunter die Stiftung Panoptykon, eine polnische NGO, deren Hauptziel der Schutz der Grundfreiheiten und der Menschenrechte ist. In einem offenen Brief kritisierte Panoptykon den Entwurf dafür, dass er die Nutzer nicht vor Tracking schützt, Nutzer zur Einwilligung zwingen und ihnen die Verantwortung für Datenschutzkontrollen auferlegen könnte. Es forderte das Europäische Parlament auf, die Gesetzeslücken und Grauzonen zu schließen und an die Schutzstandards der DSGVO anzugleichen.
Den ganzen Brief können Sie hier lesen.
Strafen bei Verstößen
ePrivacy behält die gleichen Bußgelder wie die in der DSGVO beschriebenen – von 10 Mio. € oder 2 % des Jahresumsatzes bis zu 20 Mio. € oder 4 % des Jahresumsatzes, je nach Schwere des Verstoßes. Details zu den Sanktionen finden Sie in Artikel 23 des Entwurfs.