ePrivacy – zukünftiger Schutz der elektronischen Privatsphäre
Das englische Wort privacy heißt zu Deutsch Intimsphäre, Privatsphäre oder auch Datenschutz. Die Vielfalt an Definitionsmöglichkeiten ist groß; sie bezieht sich immer auf die Vertraulichkeit und auf den Schutz von materiellen sowie ideellen Werten. ePrivacy steht für electronic privacy, das heißt für den elektronischen Datenschutz.
Die ePrivacy-Verordnung, abgekürzt ePVO, ist als Verordnung eine Rechtsgrundlage der Europäischen Union, die einheitlich und europaweit für alle EU-Mitgliedsländer gelten soll.
• Die EU-Richtlinie ist innerhalb des Europarechtes nicht direkt für die EU-Länder verbindlich; sie muss vielmehr innerhalb eines vorgegebenen, meistens mehrjährigen Zeitraumes in jedem Land in das dortige nationale Recht umgesetzt werden.
• Eine EU-Verordnung ist wie ein EU-weites Gesetz mit der direkten Wirksamkeit in jedem EU-Mitgliedsstaat.
Die momentane, also aktuelle Rechtsgrundlage für ePrivacy ist die Richtlinie Nr. 2002/58 der EU aus Juli 2002 „über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation“. Sieben Jahre später wurde sie durch die EU-Richtlinie Nr. 2009/136 ergänzt, die auch als Cookie-Richtlinie bezeichnet wird. Die Inhalte dieser beiden Richtlinien sind bislang in Deutschland im Telekommunikationsgesetz sowie im Telemediengesetz umgesetzt worden.
Mit der Datenschutzgrundverordnung, der DSGVO aus Mai 2018 hat die EU eine Rechtsgrundlage mit direkter Wirkung geschaffen. Der nächste, schon seit längerem geplante Schritt ist die Ablösung der Cookie- sowie der ePrivacy-Richtlinien durch eine einheitliche, sozusagen übergeordnete ePrivacy-Verordnung, die zukünftige ePVO. So gibt es zukünftig mit DSGVO und ePVO zwei aus Sicht des Gesetzgebers gleichrangige EU-Verordnungen, die unmittelbar, also ohne Umsetzung in nationales Recht, EU-weit gelten. Vom Ansatz her war vorgesehen, beide Verordnungen gemeinsam im Mai 2018 in Kraft zu setzen. Wie die Gegenwart zeigt, hat das nicht geklappt; in Kraft getreten ist lediglich die Datenschutzgrundverordnung. Sie ersetzt ihrerseits die EU-Richtlinie Nr. 95/46 aus dem Jahr 1995 „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“.
Jahrelanges Gesetzgebungsverfahren in der EU
Diese Beispiele anhand von EU-Richtlinien und EU-Verordnungen machen deutlich, wie langfristig, langwierig und auch zeitaufwändig das gesamte Verfahren rund um die Gesetzgebung innerhalb der EU ist. Daran beteiligt sind mit Parlament, Rat und Kommission drei EU-Organe, in denen alle 28, zukünftig 27 EU-Mitgliedsländer vertreten sind. Das zeigt aber auch, dass die EU schon seit mehreren Jahrzehnten am Datenschutz arbeitet; unter anderem auch, um Webseiten zu schützen sowie die Rechte der Nutzer von Webseiten zu stärken.
Was hat es nun mit der ePrivacy-Verordnung auf sich, was ist ihr Ziel, und wann kann mit ihrer Wirksamkeit gerechnet werden?
Die ePVO regelt im Detail, wie Privatsphäre sowie elektronische Kommunikation zukünftig geschützt werden können, sollen und müssen. Man kann es auch so sagen, dass die ePVO eine nächste, in dem Sinne konkrete und schärfere Stufe der DSGVO sein wird. Beide Verordnungen richten sich an europaweit alle Unternehmen, die Online-Kommunikationsdienste anbieten. Zu ihnen gehören Webseiten oder Aktivitäten zum Direktmarketing wie Newsletter, bis hin zu den Online-Tracking-Tools wie Google Analytics. Online-Tracking, auch Web-Tracking genannt ist das Sammeln von Daten sowie deren Auswertung in Bezug auf das kommerzielle sowie wirtschaftliche Verhalten des Onlinebesuchers. Zurzeit ist in Deutschland der Einsatz von Online-Tracking-Tools umstritten, jedoch nicht verboten. Das soll mit der ePVO deutlich anders werden, und zwar zum Schutz des Webseitenbesuchers. Zurzeit ist das Opt-out die gängige Praxis. Sobald ein Benutzer die Webseite aufruft, sie bildlich gesprochen betritt, wird mit dem jeweiligen Tool getrackt, also eine elektronische Spur gelegt und hinterlassen. Sie wird von dem Webseitenbetreiber ausgewertet und kommerziell genutzt. Beim zukünftigen Opt-in ist diese Form des Datensammelns nur mit ausdrücklicher Zustimmung des Users möglich. Der muss heutzutage in jedem Einzelfall das Tracking manuell deaktivieren.
• Zurzeit erfolgt das Tracking automatisch, das Recht dazu liegt beim Anbieter
• Zukünftig hat der Anbieter kein automatisches Tracking-Recht; er muss es sich in jedem Einzelfall vom User bestätigen lassen
Dieser verschärfte Umgang mit Werbetrackern, mit Cookies sowie mit der Opt-in-Regelung für Datenverarbeitung und Datenspeicherung ist ein wesentlicher Bestandteil der ePVO. Zusammengefasst gesagt „….. regelt die ePVO den Schutz von Grundrechten und Grundfreiheiten natürlicher sowie juristischer Personen bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste in der EU. Die ePVO ist als ein spezielles Recht innerhalb des EU-Datenschutzrechts gedacht …..“.
ePVO-Gesetzgebungsverfahren noch längst nicht abgeschlossen
Das ursprüngliche Inkrafttreten der ePVO per Mai 2018 hat sich durch Einsprüche mehrerer EU-Mitgliedsstaaten sowie von dortigen Wirtschaftsverbänden verzögert. Die bisherige Erfahrung zeigt, dass für die EU-Organe ein bis zwei Jahre durchaus üblich und keine allzu lange Zeitdauer sind. Insofern ist es eher illusorisch, mit einer 2019er ePVO zu rechnen. Deutlich realistischer ist das Jahr 2020, wobei auch 2021 nicht verwunderlich wäre. Mit jedem Jahr ohne ePVO werden die aktuellen sowie akuten Probleme größer und deren Lösungen drängender. Die ePrivacy-Richtlinie aus Anfang der 2000er-Jahre ist in Bezug auf die mittlerweile entwickelten sowie im Alltag angewendeten Technologien in Elektronik und Kommunikation weitgehend überholt. Große Bereiche der heutzutage üblichen Technologien werden durch die überalterte Richtlinie überhaupt nicht erfasst. Das sorgt für viel Rechtsunsicherheit. Über den einfachen Statusbericht ist der EU-Rat mit seiner Gesetzgebung zum Jahreswechsel 2018/2019 nicht hinausgekommen. Insofern ist der Weg bis zur Verabschiedung einer aktuellen ePVO sowie zu deren EU-weiter Rechtswirksamkeit noch recht weit.
Fazit zur zukünftigen ePrivacy-Verordnung
• Die ePVO wird die derzeitige ePrivacy-Richtlinie ersetzen, die in Deutschland zu einem Großteil im TKG, dem Telekommunikationsgesetz sowie im Telemediengesetz TMG in nationales Recht umgesetzt worden ist.
• Mit der ePVO werden Regelungslücken geschlossen sowie bislang und zukünftig neue Vorhaben definiert, was in/mit der momentanen EU-Richtlinie nicht möglich ist.
• Ein Problempunkt ist das Tracking als Nachverfolgen von jeglichen Nutzeraktivitäten im Internet
• In den Markt neueingetretene elektronische Kommunikationsdienste werden durch die Vorschriften der ePVO-Richtlinie überhaupt nicht, sondern erst mit der zukünftigen ePVO erfasst.
• Die ePVO soll ausdrücklich nur für öffentliche elektronische Kommunikationsdienste gelten. Die Abgrenzung von öffentlich zu nicht-öffentlich muss definiert werden.
Bis es soweit ist, also bis zum Inkrafttreten der langersehnten ePVO müssen Anbieter und Endkunden mit den derzeitigen Unzulänglichkeiten nebst Unsicherheiten mehr schlecht als recht leben.
Eine abschließende Anmerkung für britische Unternehmen und Endnutzer: sie sind nach dem Brexit ab dem 29.03.2019 weder an das eine noch an das andere gebunden!