Zum Schutz von Internetnutzern arbeitet die Europäische Union an einer Verordnung über Privatsphäre und elektronische Kommunikation – der ePrivacy-Verordnung –, die als Ergänzung zur im Mai 2019 inkraftgetretenen Datenschutzgrundverordnung (DSGVO) die bereits vorhandene Gesetzgebung präzisieren und verschärfen soll. Im Kern geht es darum, die Privatsphäre von Menschen im Internet vor dem ungewollten Tracking personenbezogener Daten zu schützen. Umgekehrt erfasst nahezu jedes Unternehmen mit einer eigenen Website auf die ein oder andere Weise Daten zu ihren Kunden. Was müssen Unternehmen also zukünftig beachten? Wir stellen Ihnen die wichtigsten Eckpunkte der ePrivacy-Verordnung (ePVO) vor und zeigen Ihnen, wie Sie sich optimal auf die neue Gesetzgebung vorbereiten können.
Die kommende ePrivacy-Verordnung (ePVO) ist ein Gesetzesentwurf, der die bereits seit 01. Juli 2002 existierende ePrivacy-Richtlinie 2002/58/EG ersetzen soll. Sie wurde in der Zwischenzeit einmal geändert und ist bisher in Form der Richtlinie 2009/136/EG in Kraft. Der Vorläufer dieser Regelungen war die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Mit der kommenden ePVO wird der Datenschutz nach strengen Maßstäben dem aktuellen Stand der Technik angepasst. Die Besonderheit der ePrivacy-Verordnung ist, dass sie nicht in deutsches Recht übersetzt werden muss. Tritt sie einmal in Kraft, hat sie europaweite Gültigkeit. Bereits im Januar 2017 hat der Gesetzgebungsprozess begonnen. Er verzögert sich jedoch erheblich, weil viele Stakeholder zu beteiligen sind, die unterschiedliche Interessen vertreten – allen voran das Europäische Parlament und der Rat der Europäischen Union. Im November 2019 sollten die Trilog-Verhandlungen zwischen der EU-Kommission, dem Rat der EU sowie dem Europäischen Parlament beginnen. Sie verzögern sich jedoch erheblich.
Unternehmen, die in jedweder Form der Online-Kommunikation involviert sind, sollten sich jedoch auf den stockenden Verhandlungen nicht ausruhen. Denn aus Sicht von Firmen, die Websites und Online-Shops betreiben, ist die kommende ePrivacy-Verordnung mit dem umfangreichen Arbeitsauftrag verbunden, ihre digitalen Angebote besser am Datenschutz auszurichten und Besuchern, Interessenten und Käufern eine sichere, auf die Privatsphäre der Nutzer ausgerichtete Nutzungserfahrung zu bieten. Auf der anderen Seite sind zur zielgerichteten Ausspielung von Werbung, zum Remarketing und zur Optimierung der Abverkäufe im Online-Shop gezieltes Tracking und digitale Werbemaßnahmen notwendig, die den Einsatz von Tracking-Tools voraussetzen. Unternehmen sollten sich deshalb unbedingt im Umgang mit der ePrivacy-Verordnung von einer erfahrenen Online-Marketing-Agentur wie xtraz digital beraten lassen. Nachfolgend haben wir Ihnen die wichtigsten Grundzüge der ePrivacy-Verordnung zusammengestellt.
Überblick: die ePrivacy-Verordnung
- Die kommende ePrivacy-Verordnung soll die Privatsphäre der Internetnutzer besser schützen.
- Die ePVO soll die Datensammlung ohne Einwilligung durch den User bei der Nutzung von Websites und allen weiteren auf Internetnutzung basierenden Diensten wie etwa Messengern und Email-Programmen verhindern.
- Ein Fokus liegt auf dem Schutz der genutzten Endgeräte in Bezug auf die Art, wie personenbezogene Daten durch Tracking Tools gespeichert, versendet und verarbeitet werden – dabei stehen Technologien zur Nachverfolgung des Nutzungsverhaltens wie Cookies und Browser Fingerprinting im Mittelpunkt.
Ziele der ePrivacy-Verordnung
Das grundsätzliche Ziel der ePrivacy-Verordnung besteht darin, die Privatsphäre der Nutzer von digitalen Produkten wie Websites, Apps und sonstigen Internetdiensten zu schützen. Die User sollen davor bewahrt werden, bei der Nutzung von Diensten ausgespäht zu werden. Von der ePVO profitieren übrigens nicht nur natürliche Personen, sondern auch juristische Personen wie Unternehmen, deren Privatsphäre ebenfalls geschützt wird.
Inhalte der ePVO – die wichtigsten Artikel im Überblick
Um die Inhalte der kommenden ePVO wird nach wie vor gestritten. Aus diesem Grund gibt es bereits mehrere Entwürfe zur ePrivacy-VO, die immer wieder überarbeitet wurden. Die letzte Version wurde von der kroatischen EU-Ratspräsidentschaft vorgeschlagen. Das war im Februar 2020. Seitdem ist es still geworden um den Gesetzesentwurf. Nachfolgend möchten wir einmal in Grundzügen die Inhalte der kommenden ePrivacy-Verordnung umreißen. Von besonderer Bedeutung ist vor allem der Abschnitt 2 „Schutz der elektronischen Kommunikation natürlicher und juristischer Personen und der in ihren Endeinrichtungen gespeicherten Informationen“ – und darin wiederum die Artikel 5 – 9.
Vertraulichkeit elektronischer Kommunikationsdaten (Art. 5 ePVO)
Elektronische Kommunikation ist vertraulich. Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens von Daten auf elektronischen Geräten sind grundsätzlich verboten – es sei denn, sie werden an anderer Stelle der ePVO in bestimmten Situationen erlaubt.
Erlaubte Verarbeitung elektronischer Kommunikationsdaten (Art. 6 ePVO)
Betreiber elektronischer Kommunikationsnetze dürfen die Verarbeitung personenbezogener Daten – befristet – durchführen, wenn diese für den Service zwingend erforderlich sind. Die Nutzer müssen hierfür ihre Einwilligung geben.
Speicherung und Löschung elektronischer Kommunikationsdaten (Art. 7 ePVO)
Sofort nach der vorgesehenen Verarbeitung müssen die Nutzungsdaten gelöscht oder anonymisiert werden. Eine Ausnahme besteht dann, wenn der Nutzer den Auftrag zur Aufzeichnung, Speicherung oder anderweitigen Verarbeitung gegeben hat.
Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen (Art. 8 ePVO)
Unternehmen dürfen die Verarbeitungs- und Speicherfunktionen von Endeinrichtungen (wie Smartphones oder Computer) nicht nutzen. Das darf nur der Anwender selbst. Es sei denn, der Nutzer hat seine Einwilligung dazu gegeben und die Nutzung durch das Unternehmen ist zur Durchführung seines Services zwingend notwendig.
Einwilligung (Art. 9 ePVO)
Endbenutzer können ihre explizite Einwilligung zur Datenverarbeitung geben. Die Einwilligung muss dem Endnutzer technisch einfach ermöglicht werden. Zudem muss der User seine Einwilligung jederzeit widerrufen können.
Alle derzeitigen Inhalte der ePVO sind ohne Gewähr (Stand Februar 2021). Sie werden zwischen der EU-Kommission, dem EU-Parlament und dem Rat der Europäischen Rat mit den Regierungschefs der Mitgliedsstaaten intensiv diskutiert und können jederzeit noch verändert werden.
Knackpunkt: Cookie-Einwilligung und Tracking Tools
In der Praxis ist insbesondere die EU-Cookie-Richtlinie und der Einsatz von Tracking Tools wie Google Analytics ein Knackpunkt bei kleinen und mittelständischen Unternehmen. Wer eine Website oder einen Online-Shop betreibt, musste schon seit geraumer Zeit einen Cookie-Hinweisbanner platzieren und Nutzern die Möglichkeit zum Opt-out von Tracking-Diensten wie Google Analytics geben. Ursprünglich hatte man erwartet, dass dieses lange Zeit übliche Verfahren erst mit dem Inkrafttreten der ePrivacy-Verordnung geändert wird – und ab dann nicht-technische Cookies zustimmungspflichtig sind. Doch es kam anders: Bereits im Mai 2020 bestätigte der Bundesgerichtshof (BGH) ein Urteil des Europäischen Gerichtshofs (EuGH). Die Stützung der Cookie-Nutzung bei Tracking Tools wie Google Analytics auf berechtigte Interessen, wie sie zuvor im Rahmen der Cookie Richtlinie häufig erfolgt war, ist damit nutzlos. Und so musste auch in Deutschland die Cookie-Richtlinie – oder besser gesagt: deren Umsetzung – angepasst werden. Für Unternehmen, die Tracking Tools verwenden, ist hier also bereits zu Zeiten der EU-Datenschutzgrundverordnung ein Worst-Case-Szenario eingetreten, das erst mit der Einführung der ePrivacy-Verordnung erwartet worden war. Internetnutzer als betroffene Personen müssen seither aktiv der Nutzung ihrer Daten zustimmen – es muss also praktisch ein Opt-in anstatt des vorigen Opt-outs stattfinden. Anbieter von Tracking Tools passen derzeit ihre Systeme an – ein Beispiel hierfür ist der Google Consent Mode, der bei Ablehnung der Cookie Nutzung ein Cookie-freies Tracking ermöglicht.
FAQs: die wichtigsten Fragen und Antworten rund um die ePrivacy-Verordnung (ePVO)
Die ePrivacy-Verordnung ist bisher noch nicht in Kraft getreten, wirft aber bereits ihre Schatten voraus. Insbesondere für Unternehmen könnte sie noch einmal zu einer datenschutzrechtlichen Herausforderung werden. Wir haben Ihnen hier die wichtigsten Fragen rund um die ePVO kurz und knapp beantwortet.
Was ist die ePrivacy-Verordnung?
Die ePrivacy-Verordnung (ePVO) ersetzt die bisherige Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) der Europäischen Union und soll praktisch als erweiterter Arm der DSGVO die Nutzung elektronischer Kommunikation neu regeln. Dabei geht es vor allem darum, wie und unter welchen Vorraussetzungen Unternehmen personenbezogene Daten erheben und auswerten dürfen.
Wann tritt die ePrivacy-Verordnung in Kraft?
Die ePrivacy-Verordnung hinkt ihrem Zeitplan hinterher. Ursprünglich war geplant, die ePVO zusammen mit der DSGVO am 25. Mai 2018 inkrafttreten zu lassen. Aufgrund zahlreicher Streitpunkte zwischen den EU-Staaten verschiebt sich der Start der ePrivacy-Verordnung immer wieder nach hinten. Laut dem Bundesverband Digitale Wirtschaft könnte es noch in 2021 zu Trilog-Verhandlungen kommen. Ein Inkrafttreten 2022 und die Anwendbarkeit 2023 oder 2024 wären dann denkbar.
Was ist ePrivacy?
Der Begriff ePrivacy bedeutet im Deutschen so viel wie digitale Privatsphäre und impliziert, dass Internetnutzer die Kontrolle über ihre personenbezogenen Daten behalten. Unternehmen versuchen im Web oder in Smartphone-Apps, diese Informationen für Werbezwecke zu erheben und auszuwerten. Das ist grundsätzlich auch legitim. Mithilfe der DSGVO und der ePrivacy-Verordnung sollten EU-Bürger die Kontrolle über die Daten, die sie preisgeben, wiedererlangen.
Fazit – ePrivacy-Verordnung: eine Herausforderung für Unternehmen?
Beim Thema ePrivacy stehen die Interessen der Internetnutzer denen von Unternehmen auf den ersten Blick unversöhnlich gegenüber. Während die einen auf einen besseren Schutz der Privatsphäre hoffen und nicht mehr als gläserne Kunden behandelt werden können, müssen Unternehmen um die Nutzung ihrer essentiell wichtigen Tracking Tools bangen. Beide Positionen haben ihre Daseinsberechtigung. Mit der Einführung der ePrivacy-Verordnung ist die Europäische Union führend im Bereich des Datenschutzes. Es scheint, dass die Regulierung digitaler Prozesse überfällig ist. So werden allerorten veraltete Gesetze angepasst – wie etwa das Telemediengesetz (TMG) und das Telekommunikationsgesetzes (TKG), das überarbeitet und an den Europäischen Kodex für die elektronische Kommunikation angepasst wird. Die gute Nachricht ist: Auch das für Unternehmen so wichtige Tracking – wie etwa die Google Dienste – wird von den jeweiligen Anbietern angepasst und ermöglicht Firmen auch weiterhin, wertvolle Nutzungsdaten zu sammeln. Lassen Sie sich jetzt im Hinblick auf die Chancen und gesetzlichen Fallstricke des digitalen Nutzer-Trackings von einer erfahrenen Online-Marketing-Agentur wie xtraz digital ausführlich beraten!