Die EU-Mitgliedstaaten haben sich am 10.02.2021 auf ein Verhandlungsmandat für überarbeitete Vorschriften zum Schutz der Privatsphäre und der Vertraulichkeit bei der Nutzung elektronischer Kommunikationsdienste (e‑Datenschutz/ePrivacy-Verordnung) geeinigt.

Mit diesen aktualisierten e-Datenschutzvorschriften wird festgelegt, in welchen Fällen Diensteanbieter elektronische Kommunikationsdaten verarbeiten oder Zugang zu Daten erhalten dürfen, die auf den Geräten der Endnutzer gespeichert sind. Die Verordnung soll die bestehende Datenschutzrichtlinie für elektronische Kommunikation aus dem Jahr 2002 aktualisieren und als besonderes Gesetz („lex specialis“) die Datenschutz-Grundverordnung (DS-GVO) konkretisieren und ergänzen.

Kern der ePrivacy-Verordnung:

Die Verordnung soll laut des Rates elektronische Kommunikationsinhalte, die über öffentlich zugängliche Dienste und Netze übermittelt werden, sowie Metadaten im Zusammenhang mit der Kommunikation abdecken. Metadaten umfassen beispielsweise Informationen über den Ort sowie die Uhrzeit und den Empfänger der Kommunikation. Sie gelten als potenziell genauso sensibel wie der Inhalt selbst.

Um den uneingeschränkten Schutz der Privatsphäre zu gewährleisten und ein vertrauenswürdiges und sicheres Internet der Dinge zu fördern, werden die Vorschriften auch für Maschine-zu-Maschine-Daten gelten, die über ein öffentliches Netz übermittelt werden.

Einzelne wichtige Eckpunkte:

  • In aller Regel werden elektronische Kommunikationsdaten vertraulich Jeder Eingriff – einschließlich des akustischen Zugriffs, der Überwachung und der Verarbeitung von Daten durch andere Personen als den Endnutzer – ist verboten, es sei denn, dies ist nach der Datenschutzverordnung für elektronische Kommunikation zulässig.
  • Die Verarbeitung elektronischer Kommunikationsdaten ohne Einwilligung des Nutzers ist beispielsweise auch zulässig, wenn damit die Integrität von Kommunikationsdiensten sichergestellt wird, wenn eine Überprüfung auf Schadsoftware oder Viren erfolgt oder in Fällen, in denen für den Diensteanbieter Verpflichtungen aufgrund des Unionsrechts oder des Rechts der Mitgliedstaaten in Bezug auf die Verfolgung von Straftaten oder die Abwehr von Gefahren für die öffentliche Sicherheit bestehen.
  • Metadaten können beispielsweise zur Abrechnung oder zur Aufdeckung oder Unterbindung betrügerischer Verwendung verarbeitet werden. Mit Zustimmung des Nutzers könnten Diensteanbieter beispielsweise Metadaten zur Anzeige von Verkehrsbewegungen verwenden, um Behörden und Verkehrsunternehmen dabei zu unterstützen, neue Infrastrukturen dort zu entwickeln, wo sie am dringendsten benötigt werden. Metadaten können auch verarbeitet werden, um lebenswichtige Interessen der Nutzer zu schützen, unter anderem zur Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notlagen, insbesondere Naturkatastrophen, und bei vom Menschen verursachten Katastrophen.
  • In bestimmten Fällen dürfen Anbieter elektronischer Kommunikationsnetze und ‑dienste Metadaten für einen anderen Zweck als den, für den sie erhoben wurden, verarbeiten, selbst wenn dies nicht auf der Grundlage der Einwilligung des Nutzers oder bestimmter Bestimmungen über Legislativmaßnahmen nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erfolgt. Diese Verarbeitung für einen anderen Zweck muss mit dem ursprünglichen Zweck vereinbar sein, und es gelten strenge besondere Garantien.
  • Da die Endgeräteausrüstung des Nutzers, einschließlich Hardware und Software, sehr persönliche Informationen wie Fotos und Kontaktlisten enthalten kann, werden die Nutzung der Verarbeitungs- und Speicherkapazitäten und die Erfassung von Informationen aus dem Gerät nur mit Einwilligung des Nutzers oder zu anderen in der Verordnung festgelegten spezifischen transparenten Zwecken gestattet.
  • Die Endnutzer sollten eine echte Wahl haben, Cookies oder ähnliche Kennungen zu akzeptieren. Der Zugang zu einer Website darf – als Alternative zu einer Bezahlschranke (Paywall) – von einer Einwilligung zur Verwendung von Cookies für zusätzliche Zwecke abhängig gemacht werden, wenn der Nutzer zwischen diesem Angebot und einem gleichwertigen Angebot des gleichen Anbieters wählen kann, das nicht mit der Einwilligung zu Cookies einhergeht.
  • Um zu vermeiden, dass die Endnutzer immer wieder aufs Neue in die Verwendung von Cookies einwilligen müssen, werden die Endnutzer ihre Einwilligung in die Verwendung bestimmter Arten von Cookies erteilen können, indem sie einen oder mehrere Anbieter in ihren Browser-Einstellungen in eine Positivliste aufnehmen. Die Softwareanbieter werden dazu angehalten, den Benutzern jederzeit die Erstellung und Änderung von Positivlisten in ihrem Browser sowie den Widerruf ihrer Einwilligung zu erleichtern.
  • Der Text enthält auch Vorschriften über Anrufer-Identifikation, öffentliche Verzeichnisse sowie unerbetene und direkte Werbung.

Für wen und wann gelten die Vorschriften:

Die Vorschriften gelten, wenn sich die Endnutzer in der EU aufhalten. Dies gilt auch für Fälle, in denen die Verarbeitung außerhalb der EU erfolgt oder der Diensteanbieter außerhalb der EU niedergelassen oder ansässig ist.

Die Verordnung würde 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft treten und zwei Jahre später zur Anwendung gelangen.