E-Privacy Verordnung: der Sinn und Zweck der ePVO
Mit der E-Privacy Verordnung (ePVO) will die Europäische Union die Internet-Privatsphäre von Privatpersonen erhöhen und dabei gleichzeitig einen besseren Datenschutz einführen. Zweck der Maßnahme ist es, das Vertrauen in die digitale Kommunikation zu stärken und gleichzeitig auch den digitalen Binnenmarkt zu verbessern. Mit der Einführung der E-Privacy Verordnung wird die dritte Maßnahme getroffen, um die Digital-Branche in Europa zu regulieren.
Insbesondere die Verwendung von Cookies wird stärker reguliert. Wird eine Webseite aufgerufen, dann ist es zurzeit so, dass der Besucher gesetzlich verpflichtend über die Verwendung der Cookies aufgeklärt werden muss. War er bislang damit nicht einverstanden, dann musste der User die Webseite verlassen oder es wurde ihm beispielsweise nur ein eingeschränktes Angebot zur Verfügung gestellt. Das hat nach der alten Regelung gereicht. Mit der neuen E-Privacy Verordnung dürfen Cookies voraussichtlich erst dann gesetzt werden, wenn der Anwender diesem Vorgang konkret zugestimmt hat. Erfolgt keine Zustimmung, dann soll dem User trotzdem der Webseiteninhalt angezeigt werden.
Mit dem Gültigkeitsbeginn der DSGVO gilt zurzeit (und vermutlich bis zum Gültigkeitsbeginn der ePVO), dass man zwischen Tracking-Cookies und funktionalen Cookies unterscheiden muss. Beim Einsatz von Tracking-Cookies (z. B. durch Webanalyse-Tools) benötigt man eine Einwilligung der Nutzer. Beim Einsatz von funktionalen Cookies (z. B. zur Verwaltung eines Warenkorbs) hingegen reicht eine Information.
E-Privacy Verordnung Umsetzung − neue Datenschutzeinstellungen von Browsern
Damit die E-Privacy Verordnung umgesetzt werden kann, ist es möglich, dass der Gesetzgeber Entwickler von Browsern in die Pflicht nimmt. Jeder Nutzer sollte in Zukunft damit die Möglichkeit haben, eigenständig Sicherheitseinstellungen gleich im Browser vorzunehmen und damit zu regulieren, wie zum Beispiel Cookies gesetzt werden dürfen. Unklar ist bislang noch, ob der User seine Privatsphäre eigenständig ändern muss und wie die Voreinstellungen auszusehen haben. Klar ist, dass die Datenschutzeinstellungen nach einer Installation von neuer Software so stark wie möglich standardmäßig gesetzt sein müssen und der Nutzer die Möglichkeit haben soll, diese abzuschwächen. Ohne Zustimmung des Anwenders sollen künftig auch Tracking-Dienste nicht erlaubt sein.
Ebenfalls geregelt wird in der E-Privacy Verordnung, wie die Kommunikation von Maschine zu Maschine erfolgt. Dabei sollen dieselben Regeln angewendet werden, die auch dann gültig sind, wenn der Nutzer selbst die Datenübermittlung vornimmt. Persönliche Daten könnten nur dann übermittelt werden, wenn der Nutzer dieser Übermittlung zugestimmt hat. Betroffen hiervon sind beispielsweise GPS-Daten von mobilen Geräten, wie Smartphones oder Tablet-PCs. Außerdem muss der Anwender darüber informiert werden, zu welchem Zweck welche Daten aufgenommen und verwendet werden. Der Verweis hierauf darf nicht versteckt in den Allgemeinen Geschäftsbedingungen erfolgen.
E-Privacy Verordnung: Das müssen Unternehmen beachten
Geht es um Direktmarketing, ist die Privatsphäre auch abseits vom Internet betroffen, nämlich dann, wenn es um Telefonmarketing geht. Beim E-Mail-Marketing hingegen verändert sich nichts. Vorgeschlagen wurde, dass nur dann ein Privatkunde zu Werbezwecken angerufen werden darf, wenn die Rufnummer nicht unterdrückt wird oder wenn ein Code verwendet wird, der dem Gesprächspartner signalisiert, dass es sich bei dem eingehenden Anruf um einen Anruf zu Werbezwecken handelt. Ein großes Problem, das auf Unternehmen zukommt, ist die Tatsache, dass gemäß der neuen E-Privacy Verordnung Nutzern die Möglichkeit eingeräumt werden muss, jedes halbe Jahr eine bereits erteilte Einwilligung zu widerrufen. Damit müssen künftig Datenbanken so entwickelt werden, dass es möglich ist, einzelne Dateneinträge wieder einfach entfernen zu können.
Die geplanten Änderungen in der Übersicht:
• Unterdrückung der Rufnummer: Private Anrufer müssen die Möglichkeit haben können, ihre Rufnummer zu unterdrücken. Dies ist technisch schon jetzt bei allen Smartphones und Telefongeräten möglich.
• Einstellung der Privatsphäre: Software-Anwendungen, wie beispielsweise E-Mail-Programme oder Browser, müssen vom User selbst einfach in den Einstellungen der Privatsphäre bearbeitet werden können.
• Telefonmarketing: Gemäß der neuen ePVO muss es Kunden möglich sein, der ungebetenen Kommunikation zu widersprechen, und zwar auch dann, wenn bereits in dem Unternehmen ein Produkt gekauft worden ist. Zurzeit gelten für das Telefonmarketing Regelungen des „Gesetzes gegen den unlauteren Wettbewerb“ (UWG), insbesondere die Regelungen in § 7 Abs. 1 und Abs. 2 Nr. 2 UWG. Demnach ist für Werbung per Telefon gegenüber einem Verbraucher dessen vorherige ausdrückliche Einwilligung erforderlich, für Werbung gegenüber einem sonstigen Marktteilnehmer dessen zumindest mutmaßliche Einwilligung.
• Tracking-Dienste: Ohne explizite Zustimmung des Users dürfen keine Tracking-Dienste verwendet werden.
• Browsereinstellungen: Der Softwareentwickler soll verpflichtet werden, die Sicherheitseinstellungen standardmäßig bei der Installation auf die höchste Stufe zu setzen. Dabei muss dem Anwender die Möglichkeit eingeräumt werden, diese ändern zu können.
Von der E-Privacy Verordnung sind viele Unternehmen betroffen
Die ePVO ist überwiegend für Unternehmen wichtig, die Kommunikation anbieten, wie zum Beispiel einen Live Chat, E-Mail, Internet, Telefon oder Messenger. Betroffen sind allerdings nicht nur Softwareentwickler, sondern auch diejenigen, die mit Cookies und Tracking-Software arbeiten oder die Telefon- oder Onlinewerbung betreiben. Nach wie vor sind unerwünschte Werbemails und Kalt-Akquise per Telefon verboten. Dies war allerdings auch schon vor der E-Privacy Verordnung der Fall.
Das zieht nach sich, dass zum Beispiel Google keine Mails mehr scannen darf, um personalisierte Werbung einblenden zu können, oder dass es Unternehmen verboten wird, Internetprofile für Marketingzwecke zu verwenden. Erlaubt ist die Verarbeitung personenbezogener Daten zurzeit nur dann, wenn der User eingewilligt hat bzw. eine der in Art. 6 Abs. 1 Buchst. a−f DSGVO normierten Bedingungen erfüllt ist. Bei Nichtbeachtung bzw. bei einer unrechtmäßigen Verarbeitung personenbezogener Daten drohen gemäß Art. 83 Abs. 5 DSGVO Bußgelder von bis zu 4 Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bzw. bis zu 20 Millionen Euro. Eingeführt ist die E-Privacy Verordnung noch nicht, es wird damit frühestens im Jahr 2019 gerechnet. Dabei kann davon ausgegangen werden, dass es eine Übergangsfrist gibt, die vermutlich ein Jahr betragen wird.