11.01.17

Für mehr Schutz im Netz

Die EU-Kommission stärkt den Schutz der Privatsphäre und der personenbezogenen Daten in der elektronischen Kommunikation

 

Die EU-Kommission hat am 10. Januar 2017 überarbeitete und modernisierte Vorschriften für den Schutz der Privatsphäre und der personenbezogenen Daten in der elektronischen Kommunikation vorgelegt [COM(2017) 10 final]. Danach soll die bislang geltende Datenschutzrichtlinie 2002/58/EG für elektronische Kommunikation (sogenannte E-Privacy-Richtlinie) durch eine Verordnung ersetzt werden, die ohne Umsetzung unmittelbar in allen EU-Mitgliedstaaten gilt und eine EU-weit einheitliche Anwendung der Vorschriften sichern soll.

Zu den wesentlichen Neuerungen der neuen Verordnung (nachfolgend: „E-Privacy-Verordnung“) gehört es, dass ihr Anwendungsbereich auf neue internetbasierte Kommunikationsdienste (sogenannte OTT-Kommunikationsdienste) erweitert wird. Obwohl diese Dienste zunehmend an Bedeutung gewinnen und die herkömmliche Kontaktaufnahme über klassische elektronische Kommunikationsdienste wie Telefon und SMS immer mehr in den Hintergrund drängen, war die bisherige Richtlinie nach Auffassung der Kommission auf sie nicht anwendbar. Die neue E-Privacy-Verordnung soll hingegen künftig auch für Maildienste wie GMX und web.de, Sofortnachrichtendienste wie WhatsApp, Kommunikationen über soziale Netzwerke wie Facebook sowie für Internet- und Videotelefoniedienste (Voice over IP, Skype) gelten und insofern gleiche Wettbewerbsbedingungen schaffen.

Die neue Verordnung schützt wie die bisherige E-Privacy-Richtlinie sowohl die Vertraulichkeit der Inhalte als auch der Metadaten (z.B. Anrufzeitpunkt, Standortdaten) einer elektronischen Kommunikation. Solche Daten dürfen nur verarbeitet werden, wenn einer in der Verordnung geregelten Ausnahmetatbestände vorliegt. Beide Arten von Daten haben eine hohe Bedeutung für den Schutz der Privatsphäre und müssen anonymisiert oder gelöscht werden, wenn die Nutzer keine Einwilligung erteilt haben und die Übertragung der Inhalte abgeschlossen ist, oder aber die Metadaten nicht mehr für die Rechnungsstellung benötigt werden. Die Verordnung erweitert jedoch die Möglichkeiten für Anbieter elektronischer Kommunikationsdienste, Metadaten zu verarbeiten und zusätzliche Dienste anzubieten, wenn eine Einwilligung der Nutzer vorliegt.

Ferner wurden die Regelungen zum Schutz vor Cookies und anderen Instrumenten, die bestimmte Informationen über einen Computernutzer sammeln, überarbeitet. Für Cookies, die keine Gefährdung der Privatsphäre darstellen, ist künftig keine Einwilligung mehr erforderlich. Andererseits werden Nutzer künftig auch vor neuen Praktiken wie „Device Fingerprinting“ geschützt, bei denen keine Informationen im Endgerät des Nutzers hinterlegt oder angezapft, sondern Informationen „remote“ erhoben und gesammelt werden.

Getreu des in der Datenschutzgrundverordnung verankerten Prinzips der „Privacy-by-Default“ sollen Softwareanbieter verpflichtet werden, ihre Software (z.B. Browser) so zu konfigurieren, dass der Nutzer die Speicherung von Informationen auf seinem Endgerät oder die Verarbeitung von Informationen, die auf diesem Endgerät gespeichert sind, verhindern kann. Der Nutzer soll bei Installation der Software auf verschiedene Optionen bei den Datenschutzeinstellungen hingewiesen werden und sodann eine Auswahl treffen.

Auch der Schutz gegen Spam wird verbessert. Alle Formen des Direktmarketings (E-Mails, SMS, automatische und künftig auch persönliche Werbeanrufe) sind grundsätzlich nur nach vorheriger Einwilligung des Nutzers zulässig. Bei Werbe-E-Mails im Rahmen bestehender Kundenbeziehungen genügt unter bestimmten Voraussetzungen ein Opt-out. Auch für persönliche Marketinganrufe können die Mitgliedstaaten weiterhin eine Opt-Out-Regelung vorsehen. Bei Marketinganrufen muss künftig entweder die Rufnummernanzeige eingeschaltet sein oder durch eine besondere Vorwahl angezeigt werden, dass es sich um einen Werbeanruf handelt.

Der neue Entwurf der E-Privacy-Verordnung ergänzt und konkretisiert die neue Datenschutzgrundverordnung, welche im vergangenen Juni in Kraft getreten ist und ab dem 25. Mai 2018 in der gesamten EU ein einheitliches Niveau für den Schutz personenbezogener Daten schaffen wird. Die Datenschutzgrundverordnung erfasst dann alle Fragen der Verarbeitung personenbezogener Daten, die durch die E-Privacy-Verordnung nicht speziell geregelt werden.

Ziel der Kommission war es, die EU-Verordnungen zum Datenschutz aufeinander abzustimmen, zu vereinfachen und Doppelregelungen zu vermeiden. Daher wurden beispielsweise die bisherigen Verpflichtungen zum Anbieten sicherer Kommunikationsdienste aus der E-Privacy-Verordnung gestrichen, weil die Datenschutzgrundverordnung die Anforderungen an die vom Datenverarbeiter zu gewährleistende Datensicherheit ausführlich regelt. Konsistenz wird auch insoweit geschaffen, als die gleichen nationalen Datenschutzbehörden sowohl für die Überwachung und Durchsetzung der Datenschutzgrundverordnung als auch der E-Privacy-Richtlinie zuständig sind. Auch für deren Zusammenarbeit und das Kohärenzverfahren gelten künftig einheitliche Regeln.

Eine separate EU-Datenschutzverordnung gilt, wenn personenbezogene Daten natürlicher Personen durch EU-Organe und Einrichtungen verarbeitet werden. Auch diese Verordnung hat die Kommission überarbeitet und zeitgleich mit der E-Privacy-Verordnung einen neuen Entwurf vorgelegt [COM(2017) 8 final]. Dabei hat sie das Schutzniveau dieser Verordnung an das hohe Niveau der Datenschutzgrundverordnung angeglichen, so dass personenbezogene Daten bei der Verarbeitung durch EU-Organe nunmehr im gleichen Umfang geschützt sind. Ferner wurden die in der E-Privacy-Verordnung vorgesehenen neuen Regelungen betreffend den Schutz von Nutzerendgeräten in diese Verordnung integriert.

 

Dr. Anja Hoffmann, LL.M. Eur., hoffmann(at)cep.eu