Seit Mai 2018 ist nunmehr die EU-Datenschutz-Grundverordnung (DSGVO) durch die Unternehmen in Europa umzusetzen. Viele Unternehmen haben rechtzeitig zum Stichtag 25.05.2018 einen hohen Aufwand zur Umsetzung dieses europäischen Gesetzes betrieben. Andere Unternehmen haben sich erst jetzt aufgrund der in der DSGVO geregelten und bereits verhängten hohen Strafen bei Datenschutzverstößen überhaupt mit dem Datenschutz befasst. So wurde z.B. Google Anfang des Jahres 2019 mit einer Strafe von EUR 50 Millionen wegen angeblich nicht ausreichender Transparenz zur Datenverarbeitung belegt.
Bislang bleiben allerdings weiterhin viele Ausführungen in der DSGVO ungenau und auch Kommentierungen dazu, die mehr Praxisorientierung enthalten könnten, lassen auf sich warten. Noch längst ist nicht in allen Unternehmen die Umsetzung der Neuerungen abgeschlossen und schon steht die nächste gesetzliche Datenschutzänderung, mit Auswirkung in Gesamt-Europa bevor: Die EU-E-Privacy-Verordnung (ePVO).
Wann wird ihre In-Kraft-Setzung erfolgen, welche Änderungen und Anforderungen sind damit verbunden? Darauf gibt dieser Artikel einen Ausblick.
Eigentlich sollte diese Verordnung zeitgleich mit der DSGVO in Kraft treten. Sie stellt eine Ergänzung zur DSGVO dar und bezieht sich auf elektronische Kommunikation. Sie zielt auf die Absicherung der Privatsphäre bei elektronischer Kommunikation im Allgemeinen ab und wird damit auch wichtige Vorgaben für Webseiten enthalten. Ein Entwurf dazu liegt seit Januar 2017 der Europäischen Kommission vor.
Bereits Titel der neuen Verordnung ist ein Wortungetüm und verheißt Großes: „VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation)“
Anders als die DSGVO wird bei der ePVO das Ziel sein, natürliche und juristische Personen bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste, insbesondere natürliche Personen bei der Verarbeitung personenbezogener Daten (Art. 1 Abs. 1 des Entwurfs) zu schützen. Die Verordnung gilt für die in Europa angebotene Kommunikation, unabhängig davon, wo sich der Sitz des anbietenden Unternehmens befindet. In Art. 3 Abs. 2 des vorliegenden Entwurfs ist dazu sogar geregelt, dass Betreiber von elektronischen Kommunikationsdiensten, die nicht in der Union niedergelassen sind, schriftlich einen Vertreter in der Europäischen Union benennen müssen.
Die Verordnung soll für die Verarbeitung elektronischer Kommunikationsdaten und für Informationen in Bezug auf die Endeinrichtung der Endnutzer gelten (Art. 2 des Entwurfs). Ausgeschlossen bei der Verordnung sind elektronische Kommunikationsdienste, die nicht öffentlich zugänglich sind.
Unter elektronische Kommunikationsdaten sollen sowohl Kommunikationsinhalte als auch Kommunikationsmetadaten fallen. Elektronische Kommunikationsinhaltesind Inhalte, die mittels elektronischer Kommunikationsdienste übermittelt werden, z.B. Textnachrichten, Sprache, Videos, Bilder und Ton. Kommunikationsmetadaten sind Daten, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste erzeugt werden wie z.B. Daten über den Standort des Geräts sowie Datum, Uhrzeit, Dauer und Art der Kommunikation.
Es werden Bedingungen festgelegt, unter welchen Kommunikationsdaten, also Inhalte und Metadaten, verarbeitet werden dürfen. Dazu gehört auch die ausdrückliche Einwilligungdes Nutzers zur Verarbeitung von Kommunikationsinhalten. Kommunikationsdaten sollen grundsätzlich gelöscht werden, sobald die vorgesehenen Empfänger die elektronischen Kommunikationsinhalte erhalten haben.
Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs-und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer sie erfolgt aus festgelegten Gründen, zu welchen u.a. insbesondere die Einwilligung des Nutzers gehört.
Art.10 ePVO (Entwurf) regelt , dass Software, die eine elektronische Kommunikation erlaubt, die Möglichkeit bieten muss, dass Dritte nicht einfach Informationen in der Endeinrichtung (z.B. Server) eines Endnutzers speichern oder bereits gespeicherte Informationen einfach verarbeiten können. Im Klartext heißt das, zukünftig müssen Internetseiten auch ohne Cookies funktionieren.
In Kapitel 3 des Entwurfs schließen sich noch Aussagen über Anzeige der Rufnummer des Anrufers und des Angerufenen und deren Unterdrückung an. Schließlich wird die Verordnung durch Informationspflichten bei Sicherheitsverstößen abgerundet.
Die Überwachung der Einhaltung der Verordnung obliegt den Datenschutzaufsichtsbehörden. Die Strafvorschriften sind wie in der DSGVO ausgestaltet.
Schon dieser kurze Auszug aus dem ersten Entwurf des Gesetzes lässt darauf schließen, wie problematisch und ebenfalls interpretationsbedürftig eine Umsetzung der ePVO werden könnte.
Wiederum fehlt es nach Auffassung der Verfasserin außerdem an Angaben dazu, wie die Sicherheit / Datensicherheit materiell hergestellt werden soll, da bislang z.B. keine konkreten Aussagen zur Verschlüsselung von E-Mails getroffen werden.
Mit Sicherheit ist daher bei der Umsetzung der Anforderungen wiederum mit hohen Ungewissheiten und somit deutlicher wirtschaftlicher Belastung für alle Unternehmen zu rechnen. Aus Sicht der Verbraucher wären in jedem Fall Regelungen wünschenswert, die zu einer echten Verbesserung des Datenschutzes führen. Gerade die elektronische Kommunikation ist von besonderer Bedeutung und wird auch noch größere Bedeutung in der Kommunikation zwischen Unternehmen und Privatpersonen einnehmen. Die DSGVO hat leider bislang, neben einer Flut von Informationsblättern (Information nach Art 13 und 14 DSGVO), nach Expertenmeinung wenig Verbesserungen für Verbraucher mit sich gebracht.
Seit dem ersten Entwurf der ePVO haben die verschiedenen europäischen Gremien an Änderungen gearbeitet. Der Europäische Datenschutzausschuss (EDSA), der am 25. Mai 2018 an die Stelle der Artikel 29-Datenschutzgruppe getreten ist, setzt sich vehement für die In-Kraft-Setzung der Verordnung ein. Sollte die In-Kraft-Setzung erfolgen, wird mit einer Übergangsfrist von zwei Jahren gerechnet.
Es ist zu hoffen, dass das Gesetzgebungsverfahren noch Verbesserungen in der Klarheit ihrer Aussage und der erwarteten Umsetzung der Verordnung herbeiführt, um für die durch die DSGVO ohnehin schon gebeutelten Unternehmen, den Aufwand in der Umsetzung der voraussichtlich 2020 zu erwartenden ePVO überschaubar zu halten.