Was kommt nach der DSGVO?
Die Umsetzung der DSGVO hat so viele Menschen betroffen, wie schon lange keine Rechtsänderung davor. Ist damit zum Datenschutz alles erledigt? Mitnichten. Jetzt steht die Verordnung der EU über Privatsphäre und elektronische Kommunikation, kurz auch „e-Privacy Verordnung“ oder „e-PV“ genannt, vor der Tür.
Die (europäische) e-PV ist noch nicht in Kraft, sondern befindet sich derzeit im Entwurfs- und Verhandlungsstadium. Wie auch schon bei der DSGVO versuchen Lobbyisten, Einfluss auf diese Verordnung zu nehmen. Daher ist zu erwarten, dass der Entwurf noch die eine oder andere Änderung erfahren wird. Dennoch lohnt es sich jetzt schon, als Nutzer von elektronischen Kommunikationsdiensten (wie bspw. E-Mails, WhatsApp, Facebook Messenger, Signal, Telegram, Skype oä) oder aber als Betreiber eines solchen Dienstes einen Blick auf den Verordnungsentwurf zu werfen.
Das Interesse der Werbeindustrie und Profiler an den persönlichen Daten ist enorm. Erst durch die ständige Überwachung und Analyse von personenbezogenen Daten, wie dem Inhalt von Instant-Messages oder den „Likes“ auf Social Media, ist es möglich, „interessenbasierte Werbung“ für den potentiellen Kunden bereitzustellen.
1 Schutz der Privatsphäre in der elektronischen Kommunikation
Die Verordnung hat sich ähnlich der DSGVO zum Ziel gesetzt, zu regeln, unter welchen Voraussetzungen elektronische Kommunikationsdienste Daten ihrer Nutzer verarbeiten dürfen. Zweck der Verordnung ist nach Art 1 Abs 1, das Recht auf Achtung der Privatsphäre der Nutzer sowie die Kommunikation natürlicher Personen zu schützen.
Bemerkenswert ist, dass die e-PV auch eine Regelung für die Nutzung von elektronischen Kommunikationsdiensten von juristischen Personen wie Gesellschaften vorsieht, die im Sinne der DSGVO nicht als „Betroffene“ gelten.
2 Anwendungsbereich
Die e-PV gilt für alle Nutzer elektronischer Kommunikationsdienste in der Europäischen Union, unabhängig davon, ob die Nutzung kostenpflichtig oder kostenlos ist. Es kommt nicht darauf an, wo der Anbieter oder Betreiber des Kommunikationsdienstes seinen Sitz hat. Damit sind alle Personen, die in der Europäischen Union elektronisch kommunizieren, vom Schutzbereich der e-PV erfasst.
Hat der Betreiber eines solchen Dienstes keinen Sitz in der EU, muss er schriftlich einen Vertreter benennen, gegenüber dem die Rechte der Nutzer durchgesetzt werden können.
Aufgrund des ähnlichen Regelungsgebietes stellt sich natürlich die Frage, in welchem Verhältnis die DSGVO zur e-PV steht. Die E-PV bietet dafür eine deutliche Antwort: Nach Art 1 Abs 3 ist die e-PV als Präzisierung und Konkretisierung der DSGVO zu verstehen. Die e-PV präzisiert also die allgemeinen Regelungen der DSGVO im Hinblick auf elektronische Kommunikationsdienste und gilt daher vorrangig vor dieser.
3 Geschützte Daten
Kern des Schutzes der e-PV sind sogenannte „elektronische Kommunikationsdaten“ gem Art 4 Abs 1. Elektronische Kommunikationsdaten bestehen aus (elektronischen) Kommunikationsinhaltsdaten und elektronischen Kommunikationsmetadaten. Inhaltsdaten sind grob gesprochen der „Inhalt“ der Kommunikation. Es handelt sich dabei um den Text in einer Nachricht, die übertragene Sprache oder versendete Sprachnachrichten, Videos, Bilder etc. Metadaten sind Daten, die nicht den Inhalt der Nachricht betreffen, die aber ebenfalls geeignet sind, Rückschlüsse über den Sender und Empfänger der Nachrichten zu ziehen. Es handelt sich dabei um Daten wie den Standort der Nutzer, Datum und Uhrzeit der Kommunikation sowie um die Dauer der Kommunikation. Anhand dieser Daten ist leicht abzuleiten, wer wann mit wem Kontakt hat. Aus diesem Grund sind auch Metadaten vom Schutz der e-PV erfasst.
Darüber hinaus werden aber auch Informationen geschützt, die nicht den Nutzer selbst, sondern dessen Endgerät (wie bspw. Mobiltelefon, Tablet, Smartwatch) betreffen. So darf ohne gesetzliche Erlaubnis oder Einwilligung des Nutzers nicht erhoben werden, welche Programme oder Apps ein Nutzer installiert hat. Es ist damit auch in der Regel unzulässig, im Endgerät vorhandene Sensoren (wie Licht-, Näherungs-, Gyro- oder Temperatursensoren) auszulesen. Kritisch ist dies insbesondere bei zunehmend verwendeten biometrischen Sensoren wie Fingerabdruck- oder Gesichtserkennungssensoren.
4 Vertraulichkeit elektronischer Kommunikation
Kommunikationsdaten (also Inhalts- und Metadaten) sind vertraulich gemäß Art 5 e-PV. Vertraulich bedeutet, dass das Mithören, Abhören, Speichern, Beobachten, Scannen, Abfangen oder Überwachen jedenfalls untersagt ist. Wie auch bei der DSGVO liegt ein Verbot mit Erlaubnistatbeständen vor. Das bedeutet, dass eine Verarbeitung nur unter den im Gesetz genannten Fällen zulässig und rechtmäßig ist.
Der Betreiber ist verpflichtet, die Daten umgehend zu löschen oder zumindest zu anonymisieren, wenn er diese nicht mehr für die Funktionalität des Dienstes benötigt. Inhaltsdaten sind dann nicht mehr erforderlich, wenn dem Empfänger die Nachricht zugestellt wurde. Metadaten können zu Abrechnungszwecken bis zum Ablauf der Verjährungsfrist aufbewahrt werden, soweit dies erforderlich ist.
5 Ausnahmen
Bis zu einem gewissen Grad ist die Verarbeitung von Kommunikationsdaten für das Funktionieren des Dienstes technisch zwingend notwendig oder aber vom Nutzer auch ausdrücklich erwünscht. Die auf diese Weise gerechtfertigte Verarbeitung von Daten soll nach der e-PV zulässig sein. Im Wesentlichen sind folgende Ausnahmen vom grundsätzlichen Verbot vorgesehen:
Kommunikationsdaten dürfen verarbeitet werden, wenn dies für die Durchführung der Übermittlung erforderlich ist. Erforderlichkeit liegt aber nur so lange vor, bis die Übermittlung auch durchgeführt wurde (Art 6 Abs 1 lit a).
Der Betreiber hat ein legitimes Interesse daran, dass sein Dienst sicher ist und nicht missbraucht wird. Die Aufrechterhaltung oder Wiederherstellung der Sicherheit, die Erkennung technischer Defekte und Fehler innerhalb des Dienstes rechtfertigt daher ebenfalls die Verarbeitung von Kommunikationsdaten (Art 6 Abs 1 lit b).
Kommunikationsmetadaten dürfen gem Art 6 Abs 2 e-PV nur soweit verarbeitet werden, wenn dies zur Einhaltung der Dienstqualität, zu Abrechnungszwecken oder zur Abwehr von Missbrauch und Betrug erforderlich ist. Eine Verarbeitung von Metadaten kann auch aufgrund einer Einwilligung erlaubt sein, jedoch nur dann, wenn der Zweck durch anonyme Verarbeitung der Daten nicht erfüllt werden kann.
Kommunikationsinhaltsdaten dürfen verarbeitet werden, wenn die Einwilligung des Nutzers zum Zwecke der Breitstellung des Dienstes vorliegt oder (ua) die Verarbeitung der Inhalte erforderlich ist, da ansonsten die Dienstleistung nicht erbracht werden könnte.
Bei den Voraussetzungen einer wirksamen Einwilligung sieht die e-PV die gleichen Voraussetzungen wie die DSGVO vor. Die Einwilligung muss daher freiwillig (dh ohne jeglichen Nachteil) und in informierter Weise erteilt werden. Bloße Opt-Out-Lösungen werden daher auch (wie bisher schon nach der DSGVO) nach der e-PV unzulässig sein. Als Novum sieht die e-PV vor, dass der Nutzer alle sechs Monate über die freie Widerrufbarkeit der Einwilligung informiert werden muss.
Nach Art 16 e-PV ist Direktwerbung an natürliche Personen (ausnahmsweise) zulässig, wenn der Absender der Werbenachricht die Kontaktdaten des Empfängers im Zusammenhang mit dem Verkauf eines Produkts oder Dienstleistung erhalten hat. In diesem Fall darf Direktwerbung für ähnliche eigene Produkte oder Dienstleistungen erfolgen, sofern der Empfänger dem Versand einfach widersprechen kann.
6 Sanktionen
Ein Verbot ist in vielen Fällen nur dann wirksam, wenn der Verstoß auch entsprechend sanktioniert ist. Hierbei orientiert sich die e-PV an den (drakonischen) Strafen der DSGVO.
Derjenige, der die Rechte des Nutzers nach dieser Verordnung verletzt, haftet für den daraus entstandenen materiellen oder auch immateriellen Schaden, außer er weist nach, dass er in „keinerlei Hinsicht“ für den Schaden verantwortlich ist (Art 22 e-PV). Dabei dürfte es sich um eine Beweislastumkehr handeln. Der Nutzer hat daher nur den Schaden nachzuweisen; der Betreiber des Kommunikationsdienstes muss den Beweis antreten, dass er für den Schaden in keinerlei Hinsicht verantwortlich ist. Dieser Beweis wird für den Betreiber regelmäßig nur sehr schwer zu erbringen sein.
Die e-PV sieht je nach Verstoß Geldstrafen von bis zu EUR 10 Mio. oder EUR 20 Mio. bzw. 2% oder 4% des weltweiten Jahresumsatzes vor. Hier bleibt abzuwarten, ob der österreichische Gesetzgeber (ähnlich dem nationalen Datenschutzgesetz) eine Milderung einzuführen versucht. Fest steht jedenfalls, dass sich Betreiber elektronischer Kommunikationsdienste an die neue Verordnung halten müssen, wenn sie nicht dem Risiko erheblicher Sanktionen ausgesetzt sein wollen.
7 Fazit und Vorbereitungsmaßnahmen
Es bleibt abzuwarten, wann und in welcher Form die e-Privacy Verordnung in Kraft treten wird. Aller Voraussicht nach sollte dies bereits 2019 der Fall sein. Auch wenn die e-Privacy Verordnung noch nicht beschlossen ist, steht fest, dass diese eine Verschärfung im Vergleich zur DSGVO darstellen wird.
Es stellt sich somit noch die Frage, ob Betreiber von Kommunikationsdiensten proaktiv Vorkehrungen treffen können oder sollen. Nachdem der endgültige Wortlaut der e-PV noch nicht feststeht, können sich noch weitreichende Änderungen ergeben. Bereits aus diesem Grund macht es unseres Erachtens noch keinen Sinn, proaktiv umfangreiche Maßnahmen zu setzen. Davon abgesehen gehen wir auch von einer hinreichenden Umsetzungsfrist aus, die Maßnahmen der e-PV nach deren In-Kraft-Treten umzusetzen.
Dessen ungeachtet sollte die verbleibende Zeit für die Durchführung einer detaillierten technischen Analyse der eigenen Datenverarbeitungen genutzt werden. Auch Cookies, die durch Websites platziert werden, sind von der e-PV umfasst. Je nach rechtlicher Qualifikation der Datenverarbeitung sind (auch jetzt schon) Einwilligungen der Betroffenen einzuholen und Nutzer über die Cookies zu informieren. Unter Umständen könnte die Nutzung bestimmter Dienste überhaupt unzulässig werden.
Bei Neuigkeiten zu den Themen e-Privacy Verordnung, Datenschutz und IT-Recht werden Sie auf unserer Website wieder informiert.
RAA Mag. Clemens Handl