DSGVO 2.0: Was Sie von einer Datenschutzverordnung für elektronische Kommunikation erwarten können

In unserem Blog haben wir bereits über die Verarbeitung personenbezogener Daten in Belarus , die Regulierung in den USA und Europa gesprochen . Wir werden eine weitere europäische Gesetzesvorlage erörtern, die eine Art Ergänzung zur DSGVO darstellt und die Regeln für die Arbeit mit Cookies und PD verschärft.


/ Flickr / robmadeo / CC BY

Ursprung und Zweck der Datenschutzverordnung für elektronische Kommunikation

In Europa (zusätzlich zur DSGVO) ist die Richtlinie zur Datenschutzbestimmungen ( PDF ) (verabschiedet im Jahr 2002) für die Beschreibung der Mechanismen für die Arbeit mit personenbezogenen Daten der Benutzer verantwortlich. Aus diesem Grund forderten die Websitebesitzer die Besucher auf, der Verwendung von Cookies zuzustimmen. Diese Richtlinie ist jedoch nur eine Reihe von Grundregeln, die die EU-Mitgliedstaaten nach eigenem Ermessen ändern können. Dies geschah beispielsweise in Italien, indem die Strafen für die Verschleierung von Datenlecks geändert wurden (nationales Dekret Legislativdekret Nr. 69/2012, PDF ).

Das Europäische Parlament hat jedoch beschlossen, den aktuellen Stand der Dinge anzupassen und die Anforderungen der Datenschutzrichtlinie für elektronische Kommunikation für die EU-Länder einheitlich und unveränderlich zu machen. Aus diesem Grund wurde das Projekt ePrivacy Regulation veröffentlicht .

Der neue Gesetzentwurf soll die von der DSGVO festgelegten Anforderungen ergänzen und stärken. Gleichzeitig besteht das Hauptziel der ePrivacy-Verordnung laut Parlamentariern darin, die Nutzer von IT-Diensten vor Spam und aufdringlicher Werbung zu schützen und ihre Kontrolle über personenbezogene Daten zu stärken (dies wird in Kapitel 2, Artikel 6–11 dargelegt).

Zuvor regelte die Datenschutzrichtlinie für elektronische Kommunikation nur Telekommunikationsbetreiber. Das Gesetz verbot ihnen, Aktionen (Aufzeichnung, Speicherung, Überwachung) mit Telefongesprächen und SMS-Nachrichten ohne Wissen und Zustimmung der Kunden durchzuführen. Jetzt beschlossen sie, die Maßnahmen der neuen Verordnung auf Anwendungen für die Kommunikation im Internet auszudehnen: Instant Messenger, Videokommunikation, E-Mail, IP-Telefonie, IoT-Geräte usw. (die vollständige Liste ist in Artikel 4 des Gesetzentwurfs angegeben ).

Die ePrivacy-Verordnung sollte am 25. Mai 2018 gleichzeitig mit der DSGVO „eingeführt“ werden. Aufgrund von Meinungsverschiedenheiten im Parlament und der negativen Reaktion der IT-Community (dazu später mehr) wurde die Abstimmung jedoch auf 2019 verschoben.

Was sagt die Verordnung?

Die Verordnung wirft erneut das Problem der Regulierung von Cookies auf und bildet die Voraussetzung für die Einholung der Zustimmung zu deren Verarbeitung. Gemäß dem Text des Dokuments können Cookies ohne Wissen des Benutzers verarbeitet werden, jedoch nur, wenn dieser Prozess durch die technische Notwendigkeit bestimmt wird, einen bestimmten Dienst bereitzustellen. Der Benutzer muss seine Einwilligung für bestimmte Zwecke erteilen, und seine Abwesenheit sollte die Qualität oder Fähigkeit zur Erbringung von Dienstleistungen nicht beeinträchtigen. Das heißt, der Eigentümer der Ressource ist verpflichtet, eine alternative Nutzung des Dienstes ohne Cookies bereitzustellen. Gleichzeitig dürfen alle mithilfe von Cookies gesammelten Informationen nur so lange gespeichert werden, wie dies für den Betrieb des Dienstes erforderlich ist.

Trotz der Tatsache, dass die Arbeit mit Cookies eines der Hauptthemen der Rechnung ist, werden auch andere Aspekte im Zusammenhang mit der Verarbeitung personenbezogener Daten von Benutzern im Netzwerk angesprochen. Die Änderungen betrafen insbesondere die IoT-Branche. Nach dem neuen Gesetz erfordert die Übertragung von Daten von einem Smart-Gerät auf ein anderes die Zustimmung des Benutzers. Dies bedeutet, dass Anbieter von Smart-Home-Lösungen, die sie auf Ökosystemebene für thematische Geräte und Anwendungen ständig unterstützen, die Zustimmung zur Übertragung und Verarbeitung personenbezogener Daten einholen müssen.

Gleichzeitig beschreibt ePrivacy die Einschränkungen für die Durchführung von Direktmarketingkampagnen. Die Verordnung verpflichtet Werbetreibende, ihre Telefonnummern offenzulegen und spezielle Präfixe zur Identifizierung des Werbeanrufs zu verwenden. Derzeit bleiben diese Informationen fast immer verborgen. Gleichzeitig wird ein striktes Verbot von Spam verhängt. Wenn der Benutzer keine Marketinganrufe oder Briefe erhalten möchte, muss er vom Unternehmen in eine separate Liste (Nichtanrufliste) eingetragen werden.


/ Flickr / Carsten Schertzer / CC BY

Die ePrivacy-Verordnung gilt ebenso wie die DSGVO für alle Organisationen, die mit Daten von Einwohnern von EU-Ländern arbeiten, unabhängig vom Standort des Unternehmens selbst ( Artikel 3 des Gesetzentwurfs ). Die Höchststrafe für Verstöße gegen die Datenschutzbestimmungen für elektronische Kommunikation beträgt zwei bis vier Prozent des Jahreseinkommens des betreffenden Unternehmens oder zehn Millionen Euro ( Artikel Nr. 23 des Gesetzentwurfs ).

Wie haben Sie die ePrivacy-Verordnung erfüllt?

Generell wurde die neue Rechnung recht negativ aufgenommen. Dies ist auf die Bedenken der Unternehmen zurückzuführen, deren Aktivitäten das Gesetz in erster Linie beeinflussen wird. Bisher wurden solche Auswirkungen ausschließlich auf der Ebene von Prognosen und Studien bewertet.

„Die neue Verordnung wird das Werbe-, Marketing- und Mediengeschäft treffen“, sagt Sergey Belkin, Leiter der Entwicklungsabteilung für Infrastrukturvermietungsdienste in der Cloud 1cloud.ru . "Viele Unternehmen müssen auch eine Reihe grundlegender Geschäftsprozesse überdenken - da die Arbeit mit Cookies sogar noch stärker reguliert wird als in der Situation nach der Einführung der DSGVO."

Eine Studie der Developers Alliance, an der 70.000 Programmierer und Vertreter von Softwareunternehmen beteiligt sind, besagt, dass ePrivacy nicht nur den IT-Sektor betrifft, sondern auch das Einkommen des gesamten europäischen Geschäfts um 30% senkt. Nach vorläufigen Schätzungen werden Unternehmen 500 Milliarden Euro verlieren. Eine Gruppe von Enthusiasten hat sogar ein Video aufgenommen, in dem sie die negative Seite der IT-Welt ohne Cookies und Werbung zeigten.

Als Reaktion auf solche Argumente erinnern die Abgeordneten daran, dass ein neues Gesetz zum Schutz der Rechte der Bürger und nicht der Entwicklung von Internetunternehmen geschaffen wird. Birgit Sippel, Abgeordnete des Europäischen Parlaments in Deutschland, stellte fest, dass es das Ziel von ePrivacy ist, die Kontrolle über personenbezogene Daten zurückzugewinnen. Die Aufgabe der Rechnung ist es zu zeigen, dass Datenschutz im digitalen Zeitalter notwendig und möglich ist.

Beachten Sie, dass nicht alle Parlamentarier Zippel zustimmen. Daniel Dalton, Sprecher des Europäischen Parlaments aus Großbritannien, sagte, dass ePrivacy Europa in einen "digitalen Sumpf" verwandeln werde. Alle Vertreter der Unternehmen, mit denen Dalton gesprochen hat (von Microsoft und Google bis hin zu kleinen Startups), sind gegen ePrivacy.

Es ist noch nicht bekannt, welches Schicksal auf die neuen Vorschriften wartet (ob ernsthafte Änderungen daran vorgenommen werden). Die Auflösung wird im Jahr 2019 kommen. Es kann jedoch davon ausgegangen werden, dass der „Kampf“ um die Verabschiedung der Datenschutzverordnung für elektronische Kommunikation ernst sein wird, vielleicht vergleichbar mit dem, der sich um die DSGVO herum entwickelt hat.

PS Frische Materialien zum Thema aus unserem Unternehmensblog:

• "Über personenbezogene Daten": Was ist die Essenz von FZ-152?
• Persönliche Daten: wie man sie schützt
• Risikominimierung: So verlieren Sie Ihre Daten nicht