Die Datenschutzgrundverordnung (DSGVO) beschäftigt immer noch sehr viele Unternehmen, nun steht schon die Verordnung über Privatsphäre und elektronische Kommunikation (ePrivacy-Verordnung (ePVO)) vor der Tür. Ursprünglich sollte sie schon mit der DSGVO in Kraft treten, dies wird nun aller Wahrscheinlichkeit nach 2020 der Fall sein.
Die ePVO ist eine EU-Verordnung, die nach ihrem Inkrafttreten sofort innerhalb der EU gilt. Eine Umsetzung durch die Mitgliedsstaaten ist nicht erforderlich. Die ePVO soll personenbezogene Daten in der elektronischen Kommunikation schützen. Sie ist ein Spezialgesetz zur DSGVO und soll diese bezüglich elektronischer Kommunikationsdaten präzisieren und ergänzen.
Sachlicher Anwendungsbereich
Nach Art. 2 Abs. 2 des Entwurfs gilt die Verordnung für
- die Verarbeitung von elektronischen Kommunikationsinhalten und von Metadaten der elektronischen Kommunikation, die im Zusammenhang mit der Bereitstellung und Nutzung von elektronischen Kommunikationsdiensten durchgeführt werden;
- Informationen über die Endgeräte der Endverbraucher
- das Angebot eines öffentlich zugänglichen Verzeichnisses der Endnutzer elektronischer Kommunikationsdienste;
- die Versendung von Direktmarketing-Mitteilungen an die Endverbraucher.
Von der ePVO betroffen sind daher u.a.:
- Messenger-Dienste
- Internettelefonie
- Webbasierte E-Mail-Dienste
- Soziale Medien
- Internetzugang
Wesentliche Inhalte
- Endnutzer sollen in regelmäßigen Abständen von max. 12 Monaten an die Möglichkeit des Widerrufs ihrer Einwilligung zur Verarbeitung elektronischer Kommunikationsdaten erinnert werden, Art. 4a Abs. 3 des Entwurfs.
- Die Möglichkeit der Rufnummerunterdrückung soll den Endnutzern auf einfache Weise und kostenlos zur Verfügung gestellt werden, Art. 12 des Entwurfs.
- Die Endnutzer sollen außerdem kostenlos die Möglichkeit bekommen eingehende Anrufe von bestimmten Rufnummern oder anonymen Quellen zu sperren und eine von einem Dritten veranlasste automatische Anrufweiterschaltung zur Endeinrichtung des Endnutzers abzuschalten, Art. 14 des Entwurfs.
- Die Aufnahme personenbezogener Daten der Endnutzer in öffentlich zugängliche Verzeichnisse (z.B. Telefonbücher) ist nur mit Einwilligung des Endnutzers möglich. Die Mitgliedsstaaten dürfen hier jedoch eine Widerspruchslösung einführen, d.h. dass die Einwilligung des Endnutzers als erteilt gilt, solange er nicht widerspricht, Art. 15 des Entwurfs.
- Direktwerbung ist nach Art. 16 des Entwurfs unerwünschte Kommunikation. Eine Direktwerbung über elektronische Kommunikationsdienste darf nur mit Einwilligung des Endnutzers erfolgen. Wurden die elektronischen Kontaktangaben durch den Verkauf eines Produkts oder einer Dienstleistung erlangt, dürfen diese nur für eigene ähnliche Produkte oder Dienstleistungen verwendet werden und nur dann, wenn dem Kunden ein Widerspruchsrecht eingeräumt wird.
Cookies
Derzeit lassen die meisten Browser Cookies zu, wenn der Nutzer nicht erweiterte Sicherheitseinstellungen aktiviert hat. In Deutschland verlangen die Aufsichtsbehörden aber schon jetzt, dass die Nutzer für das Setzen von Cookies mit einer Opt-In-Lösung ihre ausdrückliche Zustimmung erteilen. Die Aufsichtsbehörden im EU-Ausland sehen dies jedoch anders und verlangen datenschutzrechtlich momentan keine Zustimmung der Nutzer für den Einsatz von Cookies, sondern der Nutzer kann dem mithilfe der auf den meisten Webseiten genutzten Opt-Out-Lösung widersprechen. Diese Opt-Out-Lösung für den Einsatz von Cookies wird aber nach Inkrafttreten der ePVO nicht mehr ausreichend sein. Dadurch entfällt mit Inkrafttreten der ePVO die diesbezüglich herrschende Rechtsunsicherheit, da alle Webseiten in allen Mitgliedsstaaten dann einheitlich auf Grundlage der ePVO behandelt werden und eine solche Opt-In-Lösung implementieren müssen. Auch in Browsern sollen sich die Regel-Einstellungen dahingehend ändern, dass Cookies grundsätzlich gesperrt sind und die Aktivierung explizit durch die Nutzer vorgenommen werden muss.
Bußgelder
Art. 83 DSGVO soll auf die Verhängung von Bußgeldern nach der ePVO entsprechende Anwendung finden. Der Bußgeldrahmen liegt also auch bei Verstößen gegen die ePVO bei bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher Betrag höher ist.
Bußgelder kommen nach Art. 23 des Entwurfs insbesondere in Betracht bei
- Verstößen gegen den Grundsatz der Vertraulichkeit und Kommunikation
- unerlaubter Verarbeitung elektronischer Kommunikationsdaten
- Verstößen gegen die Löschfristen der ePVO
- Nichtbefolgung einer Anweisung der Aufsichtsbehörde
Die konsolidierte Entwurfsfassung der ePVO vom 12. Juli 2019 sieht eine Übergangsfrist von zwei Jahren vor. Trotzdem sollte man nicht bis zum letzten Tag warten, sondern sollte sich schon rechtzeitig auf die ePVO vorbereiten und an einer entsprechenden Umsetzung arbeiten. Dabei unterstützen wir Sie gerne, kommen Sie bei Fragen einfach auf uns zu.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Das Bayerische Landesamt für Datenschutzaufsicht hatte bereits 2017 allgemeine Hinweise und Anforderungen für Unternehmen zum Einsatz von Facebook Custom Audience herausgegeben.Am 8. Mai 2018 erging nun fast unbeobachtet ein Urteil des Landgerichts Bayreuth (Az.: B 1 S 18.105). Danach ist Custom Audiences von Facebook datenschutzwidrig.
Wie funktioniert Custom Audience?
Das nutzende Unternehmen erstellt zum Beispiel eine eigene Kundenliste (z.B. mit Name, Wohnort und E-Mailadresse) und lädt diese Kundenliste im eigenen Facebook-Konto hoch. Facebook gleicht diese Liste dann mit den Profilen der Facebook-Nutzer ab und man kann so Werbung zielgenau steuern. Auch werden teilweise Facebook-Pixel verwendet indem ein unsichtbares Facebook-Pixel auf der Webseite eingebunden wird. Mit diesem kann dann das Online-Verhalten der Webseiten-Besucher analysiert werden.Allerdings ist grundsätzlich die Verarbeitung personenbezogener Daten zu Werbezwecken nur zulässig, wenn die betroffene Person vorher eingewilligt hat. Bei Facebook Custom Audience wird aktuell nicht überprüft, ob diese Einwilligung vorliegt.
Fazit:
In jedem Fall müssen Unternehmen bei Verwendung von Custom Audience Einwilligungserklärungen für die Datenverarbeitung einholen und in der Datenschutzerklärung umfassend über die Verarbeitung der personenbezogenen Daten informieren sowie eine Widerrufsmöglichkeit anbieten. Es wird für Unternehmen die Facebook Custom Audience verwenden, komplizierter. Unternehmen sollten auf jeden Fall die jüngst ergangenen Entscheidungen zu Facebook berücksichtigen.
Dr. Bettina Kraft
Senior Consultant für Datenschutz
Teamleitung/Volljuristin
Widerspruchsrecht der betroffenen Person:
Die betroffene Person hat gemäß Art. 21 Abs. 1 DSGVO das Recht,
- der weiteren Verarbeitung ihrer personenbezogenen Daten oder einem Profiling
- auf Grundlage von Art. 6 Abs. 1 lit. f) oder e) DSGVO
jederzeit zu widersprechen, sofern sich hierfür
- aus der besonderen persönlichen Situation der betroffenen Person schutzwürdige Interessen am Ausschluss der Datenverarbeitung oder des Profilings ergeben und
- der Verantwortliche keine zwingenden schutzwürdigen Gründe für die weitere Verarbeitung oder das Profiling nachweisen kann.
Ebenso hat die betroffene Person gemäß Art. 21 Abs. 2 DSGVO jederzeit das Recht, der Verarbeitung ihrer Daten oder dem Profiling zum Zwecke der Direktwerbung zu widersprechen.
Der Verantwortliche muss die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich auf das ihr zustehende Widerspruchsrecht hinweisen gemäß Art. 21 Abs. 4, Art. 13 Abs. 2 lit. b), Art. 14 Abs. 2 lit. c) DSGVO.
Widerrufsrecht der betroffenen Person:
Der betroffenen Person steht gemäß Art. 7 Abs. 3 S. 1 DSGVO ein Widerrufsrecht mit Wirkung für die Zukunft gemäß Art. 7 Abs. 3 S. 2 DSGVO zu aufgrund ihrer freiwillig im Rahmen einer Einwilligung i.S.v. gemäß Art. 6 Abs. 1 lit. a) oder Art. 9 Abs. 2 a) DSGVO abgegebenen personenbezogenen Daten.
Der Verantwortliche muss die betroffene Person über ihr Widerrufsrecht vor Abgabe ihrer Einwilligung in Kenntnis setzen gemäß Art. 7 Abs. 3 S. 3, Art. 13 Abs. 2 lit. c), Art. 14 Abs. 2 lit. d) DSGVO.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.