E-privacy-Verordnung – Quo vadis?

Dr. Tobias Tretzmüller (re.) ist Rechtsanwaltsanwärter, Dr. Rainer Knyrim ist Datenschutzexperte und Gründer von Knyrim Trieb Rechtsanwälte. Dr. Tobias Tretzmüller (re.) ist Rechtsanwaltsanwärter, Dr. Rainer Knyrim ist Datenschutzexperte und Gründer von Knyrim Trieb Rechtsanwälte. Foto: Huger/Knyrim Trieb Rechtsanwälte

Im großen Schatten der Datenschutzgrundverordnung bahnt sich die nicht minder wichtige Verordnung über die Privatsphäre und elektronische Kommunikation („e-privacy-Verordnung“) ihren Weg in das Blickfeld der Führungsetagen. Derzeit liegt die e-privacy-Verordnung im Entwurf dem europäischen Parlament vor. Bis zum Frühjahr 2018 soll zwischen den Organen der Europäischen Union Einigkeit hergestellt werden, damit sie zeitgleich mit der Datenschutzgrundverordnung am 25.5.2018 in Kraft treten kann.

Die e-privacy-Verordnung hat den Anspruch die gesamte elektronische Kommunikation neu zu regeln. Sie ist damit für große Kommunikationsdiensteanbieter, wie Mobilfunkbetreiber, ebenso relevant, wie für kleine EPUs mit Web-Auftritt. Maßgeblich ist dabei nicht, ob der elektronische Kommunikationsdiensteanbieter in der Europäischen Union einen Sitz hat, sondern alleine, ob dessen Dienste für Endnutzer in der Europäischen Union angeboten werden (Marktorientierungsprinzip). Anders als das derzeit maßgebliche Telekommunikationsgesetz, betrifft die e-privacy-Verordnung auch Over-the-Top-Kommunikationsdienste wie VoIP-Diensteanbieter, Instant-Messenger und webgestützte E-Mail-Dienste. Sie betrifft die Verarbeitung von Verbindungs- und Abrechnungsdaten (sogenannten Metadaten) ebenso, wie den Schutz von Kommunikationsinhalten sowie die Verarbeitung von Standort- und Identifizierungsdaten von Mobilgeräten. Die Verordnung schützt die Daten von natürlichen und juristischen Personen. Sie gilt aber nicht für geschlossene elektronische Kommunikationsdienste (z.B: Intranets).

Einerseits enthält die e-privacy-Verordnung pauschal gehaltene Proklamationen, wie, elektronische Kommunikationsdaten sind geheim, andererseits aber auch konkrete Regelungen zu Phänomenen unserer Zeit. So hat der Betreiber elektronischer Kommunikationsdienste (Wer Betreiber elektronischer Kommunikationsdienste ist, lässt die e-privacy-Verordnung offen. Vgl. § 3 Abs 3 TKG) Kommunikationsinhalte, also den „Inhalt“ der Textnachricht, den Gesprächsinhalt des Telefonats oder das per Instant-Messenger gesendete Bild, grundsätzlich unverzüglich nach Erhalt zu löschen, es sei denn, es liegt eine gültige Einwilligung vor.

Der in der Praxis schwierige Versuch den Gebrauch von „Cookies“ regulatorisch in den Griff zu bekommen, erhält einen neuen Anlauf. Die Verwendung von Cookies ist nach der e-privacy-Verordnung zulässig, wenn dies für die Bereitstellung des vom Endnutzer gewünschten Dienstes notwendig ist. Werden also im Wege der Cookie-Anwendung personenbezogene Daten gespeichert, die für die Nutzung des Online-Dienstes nicht unbedingt erforderlich sind, dann ist zwingend eine Einwilligung des Web-Users notwendig. Generell sind Endnutzer, die ihre Einwilligung zur Verarbeitung ihrer elektronischen Kommunikationsinhalte gegeben haben, alle sechs Monate (!) über die Möglichkeit des Widerrufs ihrer Einwilligung zu belehren. Für die Widerrufsmöglichkeit sollte eine E-Mail oder ein Link angegeben werden.

Betreiber von Kommunikationsdiensten müssen den Endnutzern die Möglichkeit geben, den Erhalt unerwünschter Anrufe zu begrenzen. Diese Regelung wird vor allem für Marketingabteilungen, aber auch im strafrechtlichen Bereich („Stalking“) von Relevanz sein.

Jeder Programmierer einer Software hat dem Endnutzer die Möglichkeit einzuräumen, dass Dritte keine Informationen in den Endgeräten des Endnutzers speichern oder verarbeiten dürfen. Bei bereits auf dem Markt eingesetzten Softwareanwendungen, muss dieses Feature durch ein Update spätestens bis 25.5.2018 eingespielt werden – eine Regelung mit Sprengkraft.

Auch die oft im Vertrieb rechtsmissbräuchlich eingesetzten „Spams“, also unerbetene E-Mails, erhalten einen neuen gesetzlichen Mantel umgehängt. Diese Regelung ist stark an die bisher geltende Norm (Vgl. § 107 Abs 2 TKG) angelehnt.

Eine praktisch hoch interessante Regelung ist für den Bereich der IT-Sicherheit vorgesehen. Demnach hat der Betreiber eines Kommunikationsdienstes den Endnutzer darüber zu informieren, wenn ein besonderes Risiko – wobei fraglich ist, ab wann ein solch „besonderes“ Risiko vorliegt – für die Sicherheit von Netzen besteht, sowie gegebenenfalls über mögliche Abhilfen und auch hinsichtlich voraussichtlich entstehender Kosten.

Interessant ist weiters, dass es die, angesichts der Datenschutzgrundverordnung vermutlich ohnehin ausgelastete, Datenschutzbehörde sein wird, welcher die Überwachung der Anwendung der e-privacy-Verordnung obliegt.

Gewicht bekommt die e-privacy-Verordnung vor allem dadurch, dass im Falle von Verstößen Geldbußen von bis zu EUR 20 Mio. oder 4 % des weltweiten Konzernumsatzes verhängt werden können. Zudem haben die betroffenen Personen die Möglichkeit, einen (auch immateriellen) Schadenersatz gegen denjenigen, der gegen Regelungen der e-privacy-Verordnung verstößt, geltend zu machen.

Last modified onDienstag, 05 September 2017 11:43
back to top