Corona Krise: Homeoffice effizient, Krisenmanagement! Informieren Sie sich heute noch!

ePrivacy


ePrivacy-Verordnung


Die vergangenen beiden Jahre waren für viele Unternehmen in Hinblick auf ihren Datenschutz turbulent: Seit Einführung der EU-DSGVO im Mai 2018 arbeiten Unternehmen intensiv an der Umsetzung der neuen gesetzlichen Vorgaben. Einige meistern diese Aufgabe mit Bravour, andere hinken noch hinterher.

Kaum ist die EU-DSGVO verstanden und umgesetzt, da zeichnet sich bereits ein neues Datenschutzthema auf europäischer Ebene ab: Die ePrivacy-Verordnung (ePVO).

Das Chaos, welches die EU-DSGVO verursachte, lässt Schlüsse darauf, was die ePVO anrichten könnte, zu.

Ursprünglich sollte die ePVO gemeinsam mit der EU-DSGVO in Kraft treten; jedoch befindet sich die ePVO momentan noch im Gesetzgebungsverfahren und liegt nur als Entwurf vor.

ePrivacy auf Twiter, Facebook und Co

Zurzeit ist in Deutschland die ePrivacy-Richtlinie, welche größtenteils im Telekommunikationsgesetz (TMK) und Telemediengesetz (TMG) beschrieben ist, in Kraft. Die deutsche ePrivacy-Richtlinie ist mehr als 15 Jahre alt und beschränkt sich vorwiegend auf Telefon, SMS und Fax. Mit der europäischen ePrivacy-Verordnung soll auch moderne Technologien wie Messengerdienste (z.B. WhatsApp, Telegram, Threema), Webmaildienste und Internettelefonie (z.B. Skype, Facetime) aufgenommen werden und höhere Datenschutzstandards erhalten.

Somit ergänzt die ePVO die EU-DSGVO; sie konkretisiert den Datenschutz im Bereich der elektronischen Kommunikation. Dies betrifft sowohl die personenbezogenen, als auch die nicht-personenbezogenen Kommunikationsdaten von Privatpersonen und Unternehmen.

Obwohl die ePVO bislang nur als Entwurf vorliegt, ist eine inhaltliche Auseinandersetzung mit den bisherigen Entwürfen bereits jetzt ratsam, denn der nachfolgende Überblick verdeutlicht, dass in vielen Bereichen Herausforderungen auf die digitale Wirtschaft warten.


Inhalte der ePrivacy-Verordnung

Da sich die ePVO noch im Gesetzgebungsverfahren befindet, kann sie jederzeit überarbeitet werden; dennoch zeichnen sich einige Eckpunkte ab:

Marktortprinzip

Auch für die ePVO, soll nach dem Vorbild der EU-DSGVO, das Marktortprinzip gelten. Das heißt, die ePVO betrifft sämtliche Kommunikationsdienste von Nutzern innerhalb der europäischen Union. Strenggenommen würde die bloße Beobachtung des Verhaltens von Nutzer in der EU unter die ePVO fallen – das betrifft zum Beispiel Cookies oder Social Media Plug-Ins.

Einwilligung zur Datenverarbeitung

Sämtliche Kommunikationsdienste (z.B. WhatsApp, iMessage, Facebook-Messenger oder klassische Telefonie) erheben Daten über das Verhalten der Nutzer. Nicht nur die reinen Kommunikationsinhalte sind von Interessen, sondern besonders Metadaten – sprich wer mit wem wo wann und wie lange kommuniziert. Mit Hilfe dieser Daten können die Anbieter dann zum Beispiel angezeigte Werbung personalisieren.
Eine solche Datenverarbeitung ist nach aktuellem Stand nur noch mit einer aktiven Einwilligung des betroffenen Nutzers erlaubt. Dies gilt bereits heute für die klassische Telefonie, jedoch sind Dienste wie WhatsApp und Co. bislang noch davon ausgenommen.

Schutz vor Online-Tracking

Ohne besondere Schutzmaßnahmen, wird das eigene Onlineverhalten ständig überwacht und analysiert – ohne das Wissen und die Zustimmung des Nutzers. Die ePVO sieht vor, dass Nutzer direkt im Browser oder Betriebssystem des mobilen Endgerätes einfach und vor allem rechtsverbindlich einstellen könne, ob sie ein solches Tracking wünschen oder nicht („Do-Not-Track“). Darüber hinaus sollen sogenannte Tracking-Walls verboten werden. Hier schließt der Webseitenbetreiber solche Nutzer aus, die dem Tracking, als der Aufzeichnung des eigenen Verhaltens, nicht zugestimmt haben.

Datenschutzfreundliche Voreinstellungen (Privacy by default)

Die ePVO sieht vor, dass sämtliche Tracking-Einstellungen von Browsern und Betriebssystemen von mobilen Endgeräten datenschutzfreundlich seien sollen. Damit würde Privatsphäre über die „Do-Not-Track“-Einstellung zum Standard und das ab Werk. Diese Maßnahme zielt besonders auf unerfahrene Nutzer wie Kinder oder Senioren ab und soll ihren Schutz der Privatsphäre erleichtern.

Einschränkung des Offline-Tracking

In Shoppingmalls, Flughäfen oder anderen öffentlichen Plätze werden die Bewegungen der Besucher anhand der WLAN- und Bluetooth-Signalen ihrer mobilen Endgeräte verfolgt und analysiert. Dieses sogenannte Offline-Tracking erlaubt die ePVO nur noch, wenn der Nutzer sein Einverständnis dazu gegeben hat, die Erhebung räumlich und zeitlich begrenzt ist oder die Daten nur für rein statistische Zwecke genutzt werden. Die gängige Praxis der Erstellung von individuellen Bewegungsprofilen wäre damit verboten.

Recht auf Verschlüsselung

Anbieter von Kommunikationsdiensten sollen durch die ePVO dazu verpflichtet werden, die Kommunikation der Nutzer durch den Einsatz von aktuellsten Techniken vor unbefugten Zugriffen zu schützen. Explizit werden kryptographische Methoden wie die Ende-zu-Ende-Verschlüsselung genannt. Darüber hinaus soll eine Entschlüsselung der Kommunikation nur durch die kommunizierenden Nutzer möglich sein, d.h. Dritten ist der Zugriff auf die Kommunikationsdaten untersagt.

Die ePVO sieht auch vor, dass es den EU-Mitgliedsstatten nicht erlaubt ist, Gesetze zu erlassen, die Anbieter von Kommunikationsdiensten und -software dazu veranlassen, die Grundsätze Vertraulichkeit und Integrität der Kommunikationsdaten von Nutzern zu mindern.

Staatliche Zugriffe

Auch wenn der Zugriffe auf die Kommunikationsdaten prinzipiell verboten ist, sieht die ePVO vor, dass aus Gründen der Strafverfolgung oder nationalen Sicherheit dieses Verbot umgangen werden kann. Dafür soll es aber weitreichende Dokumentations- und Transparenzpflichten für solch stattliche Zugriffe geben. Anbieter von Kommunikationsdiensten sollen hierfür nicht nur Informationen über die staatlichen Zugriffe erheben und an die Datenschutzbehörden auf Anfrage weiterleiten, sondern darüber hinaus jährlich Bericht über die Statistiken solcher Zugriffe ablegen.

Für die Behörden soll ähnliches gelten: Auch sie sollen einmal pro Jahr Statistiken veröffentlichen, die zeigen, wie viel staatliche Datenanfragen es gab und auf welcher Grundlage diese fußten.

Direktwerbung

Direktwerbung, die sich an Privatpersonen richtet, wird von der ePVO zu einer „unerbetenen Kommunikation“ erklärt und damit untersagt. Dies gilt auch dann, wenn die betroffene Person im Vorfeld ein Produkt oder eine Dienstleistung von dem werbenden Unternehmen bezogen hat. Es muss dem Betroffenen dann ermöglicht werden, zukünftiger Werbung in leicht zugänglicher Form zu widersprechen.

Das Recht auf „Vergessenwerden“

Die ePVO gewährt den Betroffenen ebenfalls das Recht auf Vergessenwerden: Damit bekommt der Nutzer die Möglichkeit, eine bereits erteilte Einwilligung in die Datenverarbeitung zu widerrufen. In einem solchen Fall müssten die Unternehmen, sämtlich Kommunikationsdaten des Nutzers aus ihren Datenbanken löschen. Dies bedingt jedoch, dass die Datenbanken so angelegt sind, dass sie jederzeit einzelne Datenfelder löschen können. Das betrifft ebenfalls Backups.

Einsatz von Cookies

Einer der größten Streitpunkte der ePVO ist der Einsatz von Cookies: Ohne Einwilligung des Nutzers sollen die Webseitenbetreiber nur noch die Cookies verwenden dürfen, welche nicht in die Privatsphäre des Nutzer eindringen – also nur noch solche, die die wesentlichen Funktionen der Webseite sicherstellen oder statistische Daten wie Besucherzahlen erheben. Damit ist die aktuell häufig verwendete Methode des Opt-Outs für den Einsatz von Cookies nicht mehr anwendbar, da beim Opt-Out vorerst alle Cookies, nicht nur technisch-relevante oder statistische, genutzt werden, außer der Nutzer widerspricht diesem explizit. Ein Hinweis auf die verwendeten Cookies und deren Nutzung in der Datenschutzerklärung reicht damit nicht mehr aus.

Gerade für die Online-Wirtschaft würde Notwendigkeit einer Einwilligung erhebliche Herausforderungen bedeuten, da davon auszugehen ist, dass die meisten Nutzer eine solche Einwilligung nicht erteilen werden.

Bußgelder

Genau wie bei der EU-DSGVO, sieht die ePVO Bußgelder bei Verstößen vor: Diese können, je nach Art des Verstoßes, bis 20.000.000 € bzw. 4% des weltweiten Jahresumsatzes des Konzerns betragen – je nachdem, welcher Betrag höher ist.

In Anbetracht der Reichweite und Bedeutung der ePVO für die digitale Wirtschaft, sollten sämtliche betroffenen Unternehmen die zukünftige Entwicklung der ePVO mit besonderer Aufmerksamkeit verfolgen. Aus eigener Erfahrung wissen wir, dass viele Unternehmen den Aufwand zur Umsetzung der EU-DSGVO unterschätzt haben – machen Sie nicht denselben Fehler bei der ePVO.

Ausblick

Der zurzeit vorliegende finnische Entwurf der ePVO wurde Ende November 2019 vom EU-Parlament abgelehnt. Finnland wird die EU-Ratspräsidentschaft im Januar 2020 an Kroatien weitergeben – gefolgt von Deutschland im Juli. Beide Länder können dem Parlament einen neuen Entwurf vorlegen. Wie dieser Entwurf aussieht, kann zum jetzigen Zeitpunkt nicht mit Bestimmtheit gesagt werden.

Daher bleibt vorerst unklar, wie Kommunikationsdienstleiter und -softwarehersteller in der EU mit den Daten ihrer Nutzer umgehen sollen und wo eine Einwilligung erforderlich ist.

Nichtsdestotrotz raten wir Ihnen, sich mit der ePVO im Allgemeinen und der Verwendung von Cookies im Speziellen kritisch auseinanderzusetzen, um so frühzeitig eine praktische Lösung zur Umsetzung der ePVO zu finden.

Wir unterstützen sie

Je nach Menge und Komplexität ihrer Daten, Komplexität ihrer Systemarchitektur, Anforderungen ihrer Geschäftsprozesse und ihrer ganz spezifischen Unternehmenssituation, finden wir die richtige Löschung für ein Löschkonzept für sie. Ob manuelle Löschung nach DIN 66398 oder Implementierung einer umfassenden Datenlöschung nach gesetzlichen und prozessualen Vorgaben (vollautomatisiertes Löschkonzept inkl. SAP ILM).

 

VEREINBAREN SIE EINEN TERMIN

Unser Angebot

Details zu unseren Leistungen finden sie hier unter „Leistungen im Bereich Data Protection“:

  • EU-DSGVO Kurzaudit
  • Audit aller Betroffenenrechte
  • EU-DSGVO Road to Compliance
  • Erstellung und Umsetzung von Löschkonzepten

Isa Latta

Head of Consulting

+49 40 33 44 2409

Frau Latta ist zertifizierte Datenschutzbeauftragte und hat in den letzten Jahren zahlreiche Unternehmen zum Thema Datenschutz und Informationssicherheit beraten und auditiert.

Name*

E-Mail*

Betreff*

Ihre Nachricht an uns*

* Sie erklären sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihres Anliegens verwendet werden. Weitere Informationen und Widerrufshinweise finden Aie in der Datenschutzerklärung. Eine Kopie Ihrer Nachricht wird an Ihre E-Mail-Adresse geschickt.

Dieses Formular wird nicht vom Internet Explorer unterstütz, bitte benutzen Sie für die Anmeldung einen anderen Browser.



Data Protection

Zusätzliche Sicherheit von Microsoft 365

Microsoft 365 bietet Kunden mehr Schutz als nur Windows 10 und Office365. Es erkennt Hackerangriffe automatisch und wehrt sie ab, da es über einen erweiterten Bedrohungsschutz verfügt. Hintergrund Eine von Bitkom durchgeführte Studie zeigt, dass die Cyber-Angriffe auf deutsche Unternehmen...

Erfahren Sie Mehr

0 / Lilith Khurshudyan / Jan 28, 2020
Security

Smarthome-Geräte hören mit

IT-Sicherheitsexperten warnen immer wieder vor den Gefahren von Smarthomes, wie zum Beispiel Amazon Echo oder Google Home. Personen, die diese Geräte nutzen, laufen Gefahr, ihre privaten Daten und vertraulichen Informationen zu verlieren. Ein von Forschern des SRLabs durchgeführtes Experiment, zeigt...

Erfahren Sie Mehr

0 / Isa Latta / Nov 08, 2019