Nach Einführung und Umsetzung der Europäischen Datenschutzgrundverordnung DSGVO und dem Bundesdatenschutzgesetz (BDSG) kam es zu einer Welle an Verunsicherung in Unternehmen, Institutionen und sogar Vereinen. Viele neue Regelungen und Anforderungen mussten durchschaut und umgesetzt werden, während sich der Datenschutz in Europa weiterhin mit großer Geschwindigkeit weiterentwickelt.
Eine dieser Weiterentwicklungen ist die geplante e-Privacy Verordnung, mit vollem Namen Verordnung über Privatsphäre und elektronische Kommunikation. Sie soll im Bereich der elektronischen Kommunikation die DSGVO ergänzen und für tägliche Anwendung konkretisieren. In ihrer gegenwärtigen Planung wird sie sowohl für personenbezogene, wie für nicht-personenbezogene Daten gelten. Damit sollen die datenschutzrechtlichen Bedürfnisse natürlicher und juristischer Personen besser geschützt werden.
Was ist das Ziel der e-Privacy-Verordnung?
Die Verordnung soll allgemeinverbindliche Datenschutzstandards bei allen elektronischen Diensten etablieren, die zur Kommunikation genutzt werden. Das Ziel ist, dass auch bei Dienstleistern wie Skype, WhatsApp, Facebook, TikTok etc. die gleichen Regeln gelten, wie seit Jahrzehnten bereits bei klassischen Kommunikationsmitteln wie dem Telefon.
Die Datensammelwut im Internet mittels Cookies soll ebenfalls beschränkt werden – und das auf allen Ebenen. Die oben beschriebenen Messaging-Dienste und Anbieter von Voice-over-IP Services, Soziale Medien und andere webbasierte Dienstleistungen wären alle betroffen.
Teilweise ist dieses Ziel von Datenschutzrechtlern bereits durch das Urteil des Europäischen Gerichtshofs vom 1. Oktober 2019 umgesetzt worden. Denn Webseiten dürfen seitdem nur noch dann Cookies von ihren Nutzern sammeln, wenn die Nutzer dem ausdrücklich zugestimmt haben. Außerdem müssen die Webseiten ihre Nutzer ausführlich über das Speichern und vor allem die Weitergabe von Daten informieren.
Die e-Privacy-Verordnung soll, dem Willen der Europäischen Union und Datenschutzaktivisten entsprechend, noch weitergehen. Das Sammeln von Metadaten von Nutzern, wenn nicht alle Beteiligten zugestimmt haben, wäre eine denkbare Fortführung. Dann wäre also eine Zustimmung sowohl von Datenabsender und Datenempfänger nötig.
Großer Widerstand gegen die neue Datenschutz Verordnung
Die Planungen für eine Erweiterung des bisherigen europäischen Datenschutzrechts trifft auf breiten Widerstand aus den Mitgliedsstaaten und der privaten Wirtschaft. Vor allem die Regierungen Österreichs und Polens gehen mit ihren Forderungen so weit, dass sich die Aktivistenwebseite netzpolitik.org im Dezember 2019 zu der Schlagzeile hinreißen ließ. Diese besagte, dass „die EU-Staaten (…) die e-Privacy-Verordnung in die Tonne (treten)“ wollten.
Der ausschlaggebende Grund dafür, dass die Verordnung noch nicht umgesetzt wurde, liegt in der ausbleibenden Zustimmung des Europa Rats – dem Organ, in dem die Regierungen der Mitgliedsländer neuen EU-Regelungen zustimmen müssen.
Die Regierungen aus Warschau und Wien regten an, ob die e-Privacy-Verordnung das richtige datenschutzrechtliche Instrument im Sinne einer ausbalancierten, wirtschaftsfreundlichen und zukunftsorientierten Datenschutzpolitik sei und ob weitere Datenschutzverordnungen überhaupt nötig wären.
Aber nicht nur Regierungen protestieren gegen die geplante e-Privacy-Verordnung. Auch renommierte Verlage haben gegen die Ideen der europäischen Kommission protestiert. Zeitungen wie „Der Spiegel“, „Zeit“, „Frankfurter Allgemeine Zeitung“ oder die „Süddeutsche Zeitung“ sehen in der e-Privacy-Verordnung, wie die EU-Kommission sie geplant hat, eine Gefahr für ihr online Geschäftsmodell. Die Verlage befürchten, dass es nicht mehr möglich sein wird, personalisiertes Marketing auf den Seiten einblenden zu können.
Beide, Regierungen und Wirtschaft, sehen im Datenschutz zunehmend eine Bremse für wirtschaftliche Innovationen.
Befürworter fordern ein digitales Briefgeheimnis durch die e-Privacy-Verordnung
Die Befürworter der e-Privacy-Verordnung sehen den Wettbewerb durch verbesserten Datenschutz gestärkt und erwarten einen Innovationsboost durch ein digitales Briefgeheimnis, das die e-Privacy-Verordnung bringen soll. Sie fordern außerdem, dass die Verordnung das Tracking auf Webseiten untersagen soll und Browser-Hersteller verpflichtet werden, die datenschutzfreundlichsten Einstellungsmöglichkeiten als Standardeinstellung zu definieren.
Was die e-Privacy-Verordnung tatsächlich mit sich bringen wird, ist unklar. Vor allem seitdem der EU-Digitalkommissar Thierry Breton Anfang Dezember 2019 angekündigt hatte, die Verhandlungen um das Papier neu auszurichten. Zwei Monate später veröffentlichte die EU weitere Änderungen am Entwurf, mit überarbeiteten Artikeln und Streichungen von anderen.
Eines ist sicher: Wenn die e-Privacy-Verordnung kommt, wird davon vor allem die Nutzung von Cookies betroffen sein. Eine wahrscheinliche Entwicklung ist, dass es nicht zu einer Abschaffung von Cookies kommen wird, oder das deren Nutzung rigoros reglementiert werden wird. Third-Party-Cookies werden wahrscheinlich ebenfalls nicht mehr möglich sein und die e-Privacy-Verordnung wird allem Anschein nach auch Cookie-Alternativen reglementieren.
Wann kommt die e-Privacy-Verordnung auf uns zu?
Es wird schon deutlich: Die e-Privacy Verordnung befindet sich seit Jahren in der Planungsphase und ist noch nicht umgesetzt worden. Die ersten Arbeitsschritte für die Verordnung begannen bereits im April 2016 und die Ergebnisse dieser ersten Gespräche wurden im August desselben Jahres veröffentlicht. Den tatsächlichen Entwurf beschloss das EU-Parlament ein Jahr später, im Oktober 2017.
Seitdem wurden immer neue Entwürfe und Sachstandsberichte vorgelegt, da die Zustimmung der europäischen Mitgliedsländer ausbleibt. Für das Jahr 2020 ist der Abschluss einer amtlichen Überprüfung der DSGVO durch die EU geplant. Anhand derer soll ein neuer Entwurf für die e-Privacy-Verordnung ausgearbeitet werden. Erst 2022 oder später kann damit gerechnet werden, dass diese in Kraft treten wird.
Wie können sich Betroffene jetzt schon vorbereiten?
Um ein ähnliches Chaos zu vermeiden, wie es mit der Einführung der DSGVO aufkam, können sich Webseitenbetreiber jetzt schon vorbereiten. Ein erster Schritt ist, sich für das Thema zu sensibilisieren und die eigenen Datenschutzrichtlinien genau zu kennen, um sie ggf. zeitnah überarbeiten zu können.
Die e-Privacy-Verordnung wird wahrscheinlich keine Cookies abschaffen, sondern ihren Einsatz reglementieren. Wer auf seiner Seite Third-Party-Cookies einsetzt, sollte sich schon jetzt Alternativen überlegen. Außerdem werden zukünftig die Datenschutzhinweise auf einer Seite nutzerfreundlicher formuliert sein müssen. Auch hier kann man sich gut vorbereiten und entsprechende Entwürfe erarbeiten.
Ein dritter Punkt ist schon aktuell wichtig: Wer auf seiner Seite noch nicht das Double Opt-In Verfahren für die Datenschutzzustimmung implementiert hat, sollte dies schnellstmöglich nachholen. Denn seit dem Urteil des EuGHs vom Oktober 2019 ist jeder, der diesen Schritt versäumt hat, in Gefahr, abgemahnt zu werden.