Gemeinsam mit der Datenschutzgrundverordnung ("DSGVO") tritt voraussichtlich mit 25. Mai 2018 auch die neue ePrivacy-Verordnung als Sondermaterie in Kraft. Zum Vorschlag der Europäischen Kommission hat nun auch die aus Vertretern aller EU-Datenschutzbehörden bestehende Art 29 Gruppe Stellung genommen. Auch wenn sich die neue Verordnung noch im Entwurfsstadium befindet, haben sich einige wesentliche Punkte bereits herauskristallisiert.
Erweiterter Anwendungsbereich
Im Gegensatz zur DSGVO, die lediglich personenbezogene Daten natürlicher Personen schützt, sollen die Bestimmungen der ePrivacy-Verordnung auch für juristische Personen gelten. Damit bleibt es gerade bei der Versendung von Newsletter weiterhin irrelevant, ob die angeschriebenen Kunden aus dem Unternehmer- oder Verbraucherumfeld stammen.
Erklärtes Ziel der ePrivacy-Verordnung ist, mit den technischen Entwicklungen Schritt zu halten und alle neuen Kommunikationsmittel von den Regelungen zur Vertraulichkeit, Erhebung und Verarbeitung von Daten, Spam und Cookies zu erfassen. Die neue Verordnung betrifft daher neben dem klassischen Onlinemarketing sämtliche elektronischen Kommunikationsanbieter, wobei auch OTT Provider (Over-the-Top, dh internetbasierte Übermittlung von Video- und Audioinhalten, etwa Voice Over IP oder Instant Messaging Dienste) erfasst sind. Klarstellend hält der Entwurf fest, dass sogar die Kommunikation zwischen vernetzten Geräten vom Geltungsbereich erfasst ist.
Strengere Bestimmungen für die Einwilligung
Die ePrivacy-Verordnung folgt als Datenschutz-Sondermaterie in vielen Bereichen den Vorgaben der DSGVO: Nach dem Entwurf dürfen elektronische Kommunikationsdaten im Sinne der Datensparsamkeit nur soweit verarbeitet werden, als es zur Bereitstellung des jeweiligen Dienstes erforderlich ist. Jede darüber hinausgehende Nutzung erfordert die vorherige Einwilligung des Users. Hinsichtlich der Anforderungen an diese Einwilligung verweist die ePrivacy-Verordnung direkt auf die DSGVO. Damit übernimmt sie deren strenge Voraussetzungen auch für juristische Personen. Insbesondere wird es daher erforderlich sein, dass der User umfassend über die beabsichtigte Datenverarbeitung informiert wird und in weiterer Folge freiwillig (und nachweisbar) einwilligt. Den Regelungen der DSGVO entsprechend werden daher insbesondere in AGB versteckte Zustimmungserklärungen häufig nicht mehr gültig sein. Auch wird es nicht zulässig sein, die Nutzung von Diensten an die Zustimmung der User zur weiteren Datennutzung wie eben für Werbezwecke zu koppeln. Der bereits durch die DSGVO erforderliche Anpassungsaufwand bestehender Einwilligungserklärungen wird damit stringent auch auf die elektronische Kommunikation erweitert.
Leichtere Einbettung von Cookies in der Praxis
Ein weiteres Anliegen der EU Kommission ist es, die selbst ausgelöste Flut an Einwilligungsanfragen im Internet über lästige Cookie-Banner zu verringern. Um die Erteilung der Einwilligung zur Cookie-Setzung user-freundlicher und einfacher zu gestalten, sollen bereits die Browsereinstellungen des Nutzers als Zustimmung (oder Ablehnung) ausreichen. Dies stellt für Österreich grundsätzlich eine Rückkehr zu dem ursprünglich mit § 96 Abs 3 TKG eingeführten Regime dar. Durch die starke Anlehnung an die DSGVO sind aber weitere Voraussetzungen zu beachten: Die ePrivacy-Verordnung verlangt nämlich eine bewusste Handlung des Nutzers, wie zB die aktive Auswahl der Option "Cookies von Drittanbietern annehmen" in den Browsereinstellungen. Hinsichtlich der Voreinstellungen greift sodann auch die Pflicht zu "Privacy by default" und wird – so auch die Art 29 Datenschutzgruppe in ihrer Stellungnahme – der Browser daher standardmäßig so programmiert sein müssen, dass keine Cookies gesetzt werden (die datenschutzfreundlichste Variante).
Unerbetene Kommunikation (SPAM, Cold Calling) und harte Strafen bei Verstößen
Der Entwurf enthält weiters Bestimmungen zu "unerbetener Kommunikation", dh insbesondere die Zusendung von E-Mails ohne vorherige Einwilligung des Empfängers (SPAM) oder unerwünschte Anrufe (Cold Calling). Im Vergleich zum bestehenden § 107 TKG kommt es in diesem Bereich zwar zu keinen inhaltlichen Änderungen. Allerdings wird die mit bisher EUR 37.000 (pro Spamnachricht) bzw EUR 58.000 (pro Anruf) bereits hohe, in der Praxis so nie exekutierte Strafdrohung weiter verschärft: Die ePrivacy-Verordnung gleicht die Strafen nämlich an die DSGVO an (bis zu EUR 20 Millionen oder 4% des weltweiten Konzernumsatzes).
Fazit
Im Ergebnis wird durch die ePrivacy-Verordnung die Erhebung und Verarbeitung von Userdaten via Cookies erleichtert und bedeutet dies wohl das Ende der unansehnlichen Banner. Gleichzeitig wird durch mannigfache Verweise die in einigen Bereichen, wie insbesondere hinsichtlich der Voraussetzungen für eine gültige Einwilligung, strengere DSGVO auf die elektronische Kommunikation erstreckt. Unbedachte E-Mail-Newsletter, Kundenanrufe oder Cookies sind zudem nun einem noch höheren Strafrisiko ausgesetzt.
Das in Aussicht gestellte zeitgleiche Inkrafttreten mit der DSGVO (am 25.5.2018) bietet aber – trotz der noch fehlenden Finalfassung der ePrivacy-Verordnung – die Möglichkeit einheitlicher Implementierungsmaßnahmen (etwa Anpassung aktuell verwendeter Einwilligungserklärungen).