Um die Privatsph\u00e4re in der elektronischen Kommunikation zu sch\u00fctzen, hat die EU-Kommission mit der ePrivacy-Verordnung (ePVO) im Januar 2017 einen neuen Vorschlag vorgelegt. Diese neue e-Privacy-Verordnung soll die alte ePrivacy-Richtlinie abl\u00f6sen \u2013 und sollte urspr\u00fcnglich mit der EU-Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Bis heute jedoch ist nicht viel passiert: Man verwickelt sich in Endlos-Diskussionen, ohne die Kritiken von Datensch\u00fctzern einflie\u00dfen zu lassen. J\u00fcngst erschien eine neue Fassung der ePrivacy-Verordnung, die nicht nur beim Bundesdatensch\u00fctzer Ulrich Kelber auf Kritik st\u00f6\u00dft.<\/p>\n
Die ePrivacy-Verordnung war urspr\u00fcnglich dazu gedacht, die DSGVO zu erweitern bzw. zu konkretisieren. Mit ihr sollte der Datenschutz in der elektronischen Kommunikation geregelt werden, insbesondere die Datenverarbeitung in Unternehmen soll behandelt werden. Ein erster Entwurf (Download von der EU-Kommission<\/a>) wurde von Datensch\u00fctzern der EU-Kommission bereits am 10. Januar 2017 ver\u00f6ffentlicht.<\/p>\n Beide Verordnungen \u2013 die DSGVO sowie die ePVO \u2013 sollten zeitgleich in Kraft treten. Jedoch regte sich heftiger Widerstand aus der Wirtschaft, sodass die Europ\u00e4ische Union die ePrivacy-Verordnung erst mal aussetzte. Seit Jahren nun k\u00f6nnen sich die EU-Mitgliedsstaaten nicht auf einen gemeinsamen Konsens einigen: Ein Kompromissvorschlag wurde erst im November 2020 abgelehnt.<\/p>\n Am 10. Februar dieses Jahres gelang es dem Rat der EU-Staaten, sich auf eine Position zu einigen<\/a>. Immerhin: Dies ebnet nun den Weg zu den Verhandlungen, die \u00fcber den finalen Text gef\u00fchrt werden m\u00fcssen. Die Mehrheit der EU-Staaten unter der F\u00fchrung der portugiesischen Ratspr\u00e4sidentschaft unterst\u00fctzte den von Portugal eingebrachten Vorschlag, w\u00e4hrend sich \u00d6sterreich und Deutschland gem\u00e4\u00df Politico.eu enthielten<\/a>.<\/p>\n Um die verschiedenen Standpunkte in den Diskussionen rund um die ePrivacy-Verordnung besser einsch\u00e4tzen zu k\u00f6nnen, ist es sinnvoll, die wichtigsten Inhalte dieser Verordnung zu kennen. Voraussichtlich werden diese Punkte besonders relevant:<\/p>\n Kurzum: Mit der ePrivacy-Verordnung soll es Nutzenden erm\u00f6glicht werden, Tracking besser kontrollieren zu k\u00f6nnen. Das Aussp\u00e4hen von Betroffenen \u00fcber Cookies oder andere Technologien ohne Einwilligung soll verboten werden und Browser sollen Privatsph\u00e4re-freundliche Einstellungen zum Standard machen. Die Kommunikation \u00fcber Messenger wie Threema oder WhatsApp soll rechtlich vor kommerzieller Auswertung gesch\u00fctzt sein, ebenso wie Anrufe oder SMS. Man m\u00f6chte eine Art digitales Briefgeheimnis erreichen.<\/p>\n Von den eben aufgez\u00e4hlten ambitionierten Zielen ist jedoch im aktuellen Entwurf nicht mehr viel zu sehen. Die Schl\u00fcsselpassagen wurden deutlich abgespeckt, es gibt wieder Raum f\u00fcr umfangreiches Tracking. Tech-Konzerne wie Facebook oder Google k\u00f6nnten weiter immense Mengen an Nutzerdaten absch\u00f6pfen und f\u00fcr Werbezwecke verwenden. Sehen wir uns das konkret an:<\/p>\n Auch im aktuellen Entwurf existieren nach wie vor klare Verbesserungen f\u00fcr das Sch\u00fctzen der Privatsph\u00e4re von Nutzenden. Doch soll f\u00fcr s\u00e4mtliche Bestimmungen eine Ausnahme gelten, wenn die nationale Sicherheit oder Verteidigung in Gefahr gerate. Hei\u00dft im Klartext: Die ePrivacy-Verordnung wird keinen Schutz vor der \u00dcberwachung durch Geheimdienste bieten.<\/p>\n Wie eingangs erw\u00e4hnt, sollte die ePrivacy-Verordnung zusammen mit der DSGVO im Mai 2018 in Kraft treten. Funktioniert hat das nicht \u2013 und da hierzulande eine zweij\u00e4hrige \u00dcbergangsfrist angedacht wird, ist davon auszugehen, dass die ePVO nicht vor 2023 verbindlich in Kraft tritt. Die ePrivacy-Verordnung sollte die veraltete ePrivacy-Richtlinie ersetzen und die DSGVO konkretisieren. Die alte Richtlinie existiert seit 2002 und wurde 2009 um diverse Punkte erweitert. Richtlinien in der EU sind kein verbindliches Recht, sondern Direktiven, die erst in nationales Gesetz umgesetzt geh\u00f6ren. Bei Verordnungen ist dies anders: Sie gelten als EU-weites Recht und sie treten damit verbindlich f\u00fcr s\u00e4mtliche Staaten unmittelbar in Kraft \u2013 die eben erw\u00e4hnte \u00dcbergangsfrist soll dies etwas abd\u00e4mpfen.<\/p>\n Steht die ePrivacy-Verordnung dann, so handelt es sich um eine lex specialis (Sondergesetz): Sie hat Vorrang gegen\u00fcber der Datenschutz-Grundverordnung, einer lex generalis (allgemeines Gesetz). Die DSGVO regelt Allgemeines, die ePrivacy-Verordnung soll in die Tiefe gehen. W\u00e4hrend die DSGVO auf den Schutz personenbezogener Daten ausgelegt ist \u2013 die Daten sind also schon vorhanden \u2013 soll die ePVO das Wie regeln: Wie kommen die Daten zum Unternehmen? Wie werden sie dort behandelt?<\/p>\n Die Verordnung sieht parallele Regelungen vor, jedoch auch welche, die von der DSGVO abweichen und nur auf bestimmte digitale Dienste Anwendung finden sollen. Die Digitalwirtschaft kritisiert dies, da Asymmetrien dadurch geschaffen werden, dass f\u00fcr vergleichbare Datenverarbeitungsvorg\u00e4nge unterschiedliche Datenschutzregeln gelten. Die DSGVO betrifft nicht nur den internetten Bereich \u2013 sie trifft ganz allgemein das Thema Datenschutz. Die ePrivacy-Verordnung hingegen ist speziell auf das Internet ausgerichtet.<\/p>\n Kritiken an der ePrivacy-Verordnung sind genauso alt wie der erste ePVO-Entwurf. Als im November 2020 ein Entwurf erneut abgelehnt wurde, \u00e4u\u00dferte die SPD-Europaabgeordnete Birgit Sippel Bedauern: \u201eDie Mitgliedstaaten scheinen sich beim Thema Schutz der Vertraulichkeit unserer Online-Kommunikation behaglich im Nichtstun eingerichtet zu haben. Es ist daher wenig \u00fcberraschend, dass auch die deutsche Ratspr\u00e4sidentschaft fast vier Jahre nach dem Kommissionsentwurf keine Verhandlungsposition zur ePrivacy-Verordnung gefunden hat.\u201c<\/p>\n \u00c4rgerlich findet Sippel weiter, dass das St\u00e4rken der Privatsph\u00e4re durch die ePrivacy-Verordnung so schwerfiele, w\u00e4hrend \u00dcberwachungsgesetze eilig alle notwendigen Stationen passieren w\u00fcrden: \u201eDas sehen wir etwa aktuell bei der wieder aufgeflammten Debatte um ein Aufbrechen von Verschl\u00fcsselung, um von m\u00f6glichem beh\u00f6rdlichen Versagen im Vorfeld der Anschl\u00e4ge in Wien abzulenken\u201c. Sippel kann die Verz\u00f6gerungen nicht verstehen: \u201eDie Kommission als H\u00fcterin der Vertr\u00e4ge hat das Recht und die Pflicht, Vertragsverletzungsverfahren gegen Mitgliedstaaten einzuleiten, die gegen die bisher noch g\u00fcltige ePrivacy-Richtlinie versto\u00dfen. Aber auch die Kommission scheint derzeit wenig ambitioniert zu sein, entschieden f\u00fcr eine ePrivacy-Reform zu k\u00e4mpfen \u2013 anders kann ich mir ihr dr\u00f6hnendes Schweigen nicht erkl\u00e4ren.\u201c<\/p>\n Der Bundesbeauftragte f\u00fcr den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, hat wenig \u00fcbrig f\u00fcr die Ratsposition zur ePrivacy-Verordnung. In einer Pressemeldung<\/a> kritisiert Kelber M\u00e4ngel: \u201eWenn die ePrivacy-Verordnung so bleibt, wie der Rat der EU sie heute beschlossen hat, w\u00e4re das ein schwerer Schlag f\u00fcr den Datenschutz. Ich appelliere dringend an das Europ\u00e4ische Parlament und die EU-Kommission w\u00e4hrend der Trilog-Verhandlungen f\u00fcr eine Anhebung des Datenschutzniveaus einzutreten.\u201c<\/p>\n Kelber erkennt konkrete Gefahren: \u201eDie Verordnung sieht die Wiedereinf\u00fchrung der Vorratsdatenspeicherung vor, die schon vor so vielen Gerichten gescheitert ist. Auch bei den Regeln im Internet g\u00e4be es R\u00fcckschritte, denn mit der Verordnung w\u00e4ren sogenannte \u201eCookie Walls\u201c zul\u00e4ssig. Es wurden au\u00dferdem einige wichtige Garantien f\u00fcr Nutzer, wie beispielsweise das Widerspruchsrecht und die Datenschutz-Folgenabsch\u00e4tzung gestrichen. Auch ein R\u00fcckgriff auf die Garantien der Datenschutz-Grundverordnung ist ausgeschlossen. Nicht zuletzt erm\u00f6glicht diese Version der ePrivacy-Verordnung, dass personenbezogene Daten ohne Einwilligung der Nutzenden zu anderen Zwecken weiterverarbeitet werden k\u00f6nnen.\u201c Kelber zeigt sich sehr entt\u00e4uscht: \u201eEs macht mich fassungslos, wie schwerwiegend hier in Grundrechte der europ\u00e4ischen B\u00fcrgerinnen und B\u00fcrger eingegriffen wird.\u201c<\/p>\n Ohne \u201eerhebliche Nachbesserungen\u201c an der ePrivacy-Verordnung \u201ew\u00fcrden damit im Bereich Datenschutz mehrere rote Linien gleichzeitig \u00fcberschritten\u201c, hei\u00dft es in der Meldung. Und weiter: \u201eEine Einigung auf gemeinsame Regeln ist \u00fcberf\u00e4llig. Der BfDI wird sich national und auf europ\u00e4ischer Ebene daf\u00fcr einsetzen, dass der Ergebnisdruck nicht zu einer Schw\u00e4chung des Datenschutzniveaus f\u00fchrt.\u201c<\/p>\n Seit bald vier Jahren arbeitet man an der ePrivacy-Verordnung, die eigentlich mit dem Start der DSGVO am 25.05.2018 in Kraft treten sollte \u2013 ohne Erfolg, denn bis heute ist das Gesetz lediglich im Entwurfsstadium. Kompromisse sollen es richten, sodass die Zustimmung aller EU-Mitgliedsstaaten sicher ist \u2013 jedoch sto\u00dfen diese Kompromisse auf starke Kritiken, da sie den Datenschutz eher aufweichen w\u00fcrden.<\/p>\n Unternehmen sehen sich in der Zwickm\u00fchle: Bez\u00fcglich der DSGVO allein schon herrscht gro\u00dfe Rechtsunsicherheit. Diese d\u00fcrfte mit dem Start der ePrivacy-Verordnung nicht schwinden \u2013 dabei w\u00e4re genau das so wichtig: F\u00fcr Klarheit zu sorgen, anstatt den Aufwand und die Unsicherheit weiter zu erh\u00f6hen.<\/p>\n Dem Ganzen setzt ein weiterer Punkt die Krone auf: Mit DSGVO und ePVO war es das noch nicht. Denn eigentlich h\u00e4tten bis zum 21.12.2020 das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) an die DSGVO angepasst sein m\u00fcssen; das ist bis heute nicht geschehen. Stattdessen plant der Gesetzgeber, datenschutzrechtliche Regelungen aus TMG und TKG zu l\u00f6sen, um diese Regelungen ins Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) \u00fcberf\u00fchren zu k\u00f6nnen (wir berichteten<\/a>). Zu allem \u00dcberfluss soll der Kodex elektronischer Kommunikation durch ein Telekommunikationsmodernisierungsgesetz (TKModG) in nationales Recht umgesetzt werden.<\/p>\n Ob TKModG und TTDSG noch vor der diesj\u00e4hrigen Bundestagswahl verabschiedet werden, ist unklar \u2013 wichtig w\u00e4re jedoch, dass beide Gesetze zeitgleich wirksam werden. Andernfalls sorgen Gesetzesl\u00fccken daf\u00fcr, dass die Privatheit in der elektronischen Kommunikation massiv gef\u00e4hrdet sein k\u00f6nnte. Genauso wichtig w\u00e4re es, eine ePrivacy-Verordnung zu schaffen, die die Verbraucherrechte im Internet st\u00e4rkt, Entwickler und Betreiber in die Pflicht nimmt und vor allem Rechtssicherheit bei Unternehmen schafft.<\/p>\n Auf dem CloudFest 2019 berichtete unser Berater f\u00fcr Datenschutz und Informationssicherheit, Maik M\u00fcller (CIPP\/E), bereits \u00fcber die geplante ePrivacy-Verordnung (ePVO). Mit seiner Einsch\u00e4tzung, dass die Verordnung in 2021 kommen w\u00fcrde, lag er richtig. Hier<\/a>* finden Sie das Video auf YouTube, in dem es u.a. um Over-the-top Services im Zusammenhang mit der ePrivacy-Verordnung ging. Hier<\/a> gelangen Sie zu unserem damaligen Blogbeitrag, in dem unser Berater f\u00fcr Datenschutz und Informationssicherheit im Jahr 2019 \u00fcber das Thema berichtete.<\/p>\n <\/p>\n <\/p>\n Gender-Disclaimer:<\/p>\n Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum f\u00fcr Substantive und meinen damit alle nat\u00fcrlichen Personen unabh\u00e4ngig ihres Geschlechts.<\/p>\n *Cookies-Disclaimer:<\/p>\n Wenn Sie auf den Videolink klicken, gelangen Sie direkt zu YouTube und verlassen unsere Website. Mit Klick auf den Wiedergabe-Button erteilen Sie Ihre Einwilligung darin, dass Youtube auf dem von Ihnen verwendeten Endger\u00e4t Cookies setzt, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen k\u00f6nnen. N\u00e4heres zur Cookie-Verwendung durch Youtube finden Sie in der Cookie-Policy von Google unter hier<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Um die Privatsph\u00e4re in der elektronischen Kommunikation zu sch\u00fctzen, hat die EU-Kommission mit der ePrivacy-Verordnung (ePVO) im Januar 2017 einen neuen Vorschlag vorgelegt. Diese neue e-Privacy-Verordnung soll die alte ePrivacy-Richtlinie abl\u00f6sen \u2013 und sollte urspr\u00fcnglich mit der EU-Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Bis heute jedoch ist nicht viel passiert: Man verwickelt sich in Endlos-Diskussionen, ohne … <\/p>\nWas soll die ePrivacy-VO eigentlich regeln?<\/h3>\n
\n
Schl\u00fcsselpassagen im aktuellen Entwurf abgespeckt<\/h3>\n
\n
ePrivacy-Verordnung & DSGVO: Wie h\u00e4ngen die beiden Gesetze zusammen?<\/h2>\n
Kritiken-Hagel: ePrivacy-Verordnung sorgt f\u00fcr gro\u00dfen Unmut<\/h2>\n
BfDI Ulrich Kelber: \u201eEin schwerer Schlag f\u00fcr den Datenschutz\u201c<\/h3>\n
ePrivacy-Verordnung: Vertrauen in Datenschutz muss gewahrt werden<\/h2>\n
PSW GROUP berichtete 2019 auf dem CloudFest \u00fcber die geplante ePrivacy-Verordnung<\/h2>\n