e-Privacy: Kommt mit der ePVO das nächste Bürokratiemonster?

Sie sollten das dynamische Duo des Datenschutzes sein: Neben der DSGVO sollte im Mai 2018 eigentlich auch die e-Privacy-Verordnung (ePVO) verbindlich in Kraft treten. Funktioniert hat das nicht – nach wie vor befindet sich die ePVO im Entwurfsstadium. Wir zeigen, was die e-Privacy-Verordnung ändern könnte und wann mit diesen Neuerungen zu rechnen ist.

Geschichtlicher Background zur e-Privacy-Verordnung

Mit dem 31. Juli 2002 trat die ePrivacy-Richtlinie (PDF) in Kraft. Ziel dieser Richtlinie war und ist es, Mindestvorgaben für den Datenschutz in der Telekommunikation zu regeln. Die Regelungen dieser Richtlinie fristgerecht umzusetzen, gelang der BRD zunächst nicht. Mitte 2004 jedoch novellierte der Gesetzgeber das Telekommunikationsgesetz (TMG) und setzte die Datenschutzrichtlinie damit in deutsches Recht um.

Nach Überarbeitungen in 2009 führte eine öffentliche Konsultation dazu, dass sich die EU-Kommission für einen Richtlinien-Nachfolger entschied: Die e-Privacy-Verordnung sollte zusammen mit der DSGVO am 25. Mai 2018 in Kraft treten, wie seinerzeit in einer Pressemeldung dargelegt wurde. Im Januar 2017 veröffentlichte die EU-Kommission den ersten Entwurf der ePrivacy-Verordnung.

Nach Jahren der Diskussion gelang es dem Rat der EU-Staaten am 10. Februar dieses Jahres endlich, sich auf eine Position zu einigen. Das heißt jedoch nicht, dass die ePVO jetzt steht – es heißt lediglich, dass ab jetzt Verhandlungen über den finalen Text geführt werden. Immerhin.

ePVO & DSGVO sollen als Team auftreten

Dass die ePVO zusammen mit der DSGVO in Kraft tritt, hat also nicht funktioniert. Einigen sich die Verhandlungsführer in diesem Jahr, wird es eine zweijährige Übergangsfrist geben, sodass davon auszugehen ist, dass die ePrivacy-Verordnung nicht vor 2023 in Kraft tritt. Ziel der e-Privacy-VO ist es, die DSGVO zu konkretisieren.

Die e-Privacy-Verordnung ist eine lex specialis, also ein Sondergesetz. Damit hat sie Vorrang vor der DSGVO, die als Lex generalis ein allgemeines Gesetz darstellt. Die Datenschutz-Grundverordnung verfolgt das Ziel, personenbezogene Daten zu schützen, die Daten sind also bereits im Unternehmen. Die ePrivacy-Verordnung setzt noch davor an: Wie gelangen Unternehmen an welche Daten und wie werden sie im Unternehmen behandelt?

Die Digitalwirtschaft kritisiert schon fleißig, da die ePVO zum Teil parallele, zum Teil abweichende Vorschriften zur DSGVO enthält. Das trifft auch auf die Bußgelder und Sanktionen zu: zum Teil sind diese an die DSGVO angelehnt, zum Teil fallen sie höher oder niedriger aus. Das sorgt für Verwirrung, die eigentlich unnötig wäre.

Inhalte aufgeweicht – von der Original-ePVO ist kaum was übrig

Während die DSGVO allgemein das Thema Datenschutz behandelt, dreht sich die ePrivacy-Verordnung spezifisch um Daten im Internet. Eigentlich wollte der Gesetzgeber mit der e-Privacy-Verordnung sehr spezielle Bereiche regeln, die von der DSGVO noch nicht detailliert genug behandelt werden:

  • Betroffenenrechte: die e-Privacy-VO soll die Betroffenenrechte der DSGVO konkretisieren: betroffene Personen sollten ein halbjähriges Widerrufsrecht erhalten.
  • Einwilligungen: Sowohl was Cookies betrifft als auch die grundsätzliche Datenverarbeitung und –speicherung sollte die ePVO konkretisieren. Nutzende sollen ausdrücklich einwilligen, vorausgefüllte Checkboxen sollte es nicht mehr geben (Privacy-by-Default).
  • Rufnummernunterdrückung: Schon jetzt hat sich die Praxis bewährt, dass Rufnummern durch betroffene Personen kostenfrei unterdrückt werden können. Die ePrivacy-VO sollte das konkretisieren, indem beispielsweise für Telefonbucheinträge eine ausdrückliche Zustimmung unabdingbar wird. Entsprechende Widerspruchslösungen sollten auf nationaler Ebene geklärt werden.
  • Direktwerbung: Ein besonderer Einschnitt war bei der Direktwerbung geplant: Diese sollte zu „unerbetener Kommunikation“ werden. Während die DSGVO Direktwerbung mit „berechtigtem Interesse“ gestattet, sollte die ePVO dem ein Ende setzen – selbst dann, wenn Kunden bereits Produkte oder Dienstleistungen von einem Anbieter erworben haben.
  • Privacy-by-Design & Privacy-by-Default: Zwei Punkte, die man bereits aus der DSGVO kennt, die jedoch in der Praxis nur bedingt umgesetzt werden, sollte die ePVO enthalten: Browser- und Software-Hersteller müssen ihre Produkte so vorkonfigurieren, dass sie von Haus aus datenschutzfreundlich sind.

Alles in allem sollte die ePVO Nutzenden ermöglichen, Tracking nachvollziehen und abstellen zu können. Betroffene sollten ohne Einwilligung nicht mehr über Cookies oder andere Technologien getrackt werden und privatsphärefreundliche Standardeinstellungen sollten es auch technisch weniger versierten Nutzenden ermöglichen, sicher zu agieren. Weiter war es Ziel, die elektronische Kommunikation – auch die über Messenger wie WhatsApp sowie Anrufe und SMS – vor kommerzieller Auswertung zu schützen. Im aktuellen Entwurf ist davon jedoch nicht mehr viel übrig.

E-Privacy-Verordnung: Entwurf 2021

Der aktuelle Entwurf erlaubt es Werbetreibenden, Metadaten ohne Einwilligung weiterzuverarbeiten. Es muss nicht mal ein „berechtigtes Interesse“ vorliegen, „kompatible Gründe“ genügen. Mit dem neuen Entwurf könnten über Cookies weiterhin persönliche Daten für Werbezwecke ausgewertet werden. Komplett gestrichen wurden das Einwilligungsmanagement über den Browser, der Schutz der Privatsphäre in Software als Standardeinstellung (Privacy-by-Default/ -Design) und die Widerrufsmöglichkeit zur Einwilligung zum Verarbeiten von persönlichen Daten von Nutzenden.

Das klingt zwar zunächst nach Erleichterungen, jedoch gibt es wieder viel Raum für umfangreiches Tracking. Das ist insbesondere in Hinblick auf Tech-Giganten und Datenkraken wie Facebook oder Google unschön für die Privatsphäre von betroffenen Personen. Außerdem hinterlässt die Tatsache, dass für sämtliche Bestimmungen dann Ausnahmen gelten, wenn die nationale Sicherheit in Gefahr ist, einen faden Beigeschmack: Demzufolge können betroffene Personen keinen Schutz vor Überwachung durch Geheimdienste in der e-Privacy-Verordnung erwarten.

Kritiken zur ePrivacy-Verordnung

Die Begeisterung zur ePVO in der aktuellen Entwurfsfassung hält sich insgesamt sehr in Grenzen: Die Wirtschaft vermutet ein weiteres Bürokratiemonster neben der DSGVO, in einem zivilgesellschaftlichen Bündnis machen 30 Organisationen gegen Tracking mobil (PDF-Statement) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, spricht in einer Pressemeldung von einem „schweren Schlag gegen den Datenschutz“.

Gesetzes-Dschungel zum Datenschutz

Von den ambitionierten Zielen der ursprünglichen ePrivacy-VO-Fassung ist also nicht mehr viel übrig. Die gefundenen Kompromisse nach Jahren der Verhandlung stoßen auf immense Kritik: Anstatt den Datenschutz zu härten, wird er aufgeweicht – und Unternehmen wird der Durchblick noch mehr erschwert.

Das wird in Zukunft wohl auch nicht einfacher: Tatsächlich hätten zum 21.12.2020 das Telemediengesetz (TMG) sowie das Telekommunikationsgesetz (TKG) an die DSGVO angepasst werden müssen. Bis heute ist das nicht gelungen. Stattdessen hat der Gesetzgeber eine neue Idee: Datenschutz-Themen könnten doch aus TKG und TMG gelöst und ins Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) überführt werden. Ach, und dann wäre da noch das Telekommunikationsmodernisierungsgesetz (TKModG), welches den Kodex elektronischer Kommunikation in nationales Recht umsetzen soll. Hinzu kommen branchenspezifische Informationssicherheits- und Datenschutzstandards wie TISAX® für die Automobilindustrie, das Kunsturhebergesetz (KUG) für Fotografen und andere Künstler oder PCI-DSS als Regelwerk für den Zahlungsverkehr, um nur einige zu nennen.

Diese Fülle an Gesetzen, Verordnungen und Richtlinien auf europäischer sowie nationaler Ebene macht es Unternehmen alles andere als leicht, allen Anforderungen an den Datenschutz nachzukommen. Die DSGVO wurde einst geschaffen, um den Datenschutz europaweit zu vereinheitlichen – von diesem Ziel dürften wir selten weiter weg gewesen sein. Dabei wäre genau das so wichtig: Weg vom verwirrenden Durcheinander, hin zu einem effizienten und für alle Parteien zielführenden Datenschutz.