ePrivacy-Verordnung bereitet Dienstanbietern Bauchschmerzen

Am 27. Oktober hat das Europäische Parlament mit deutlicher Mehrheit die ePrivacy-Verordnung verabschiedet. Damit votierten die Politiker für einen starken Datenschutz, der auch von der EU-Kommission und den Verbraucherverbänden befürwortet wird.

Die ePrivacy-Verordnung wird Ende Mai 2018 zusammen mit der Datenschutzgrundverordnung (DSGVO) in Kraft treten. Sie regelt Details zum Verbraucherschutz im Netz, die in der DSGVO eher übergreifend abgehandelt werden.

Beide Verordnungen sind Bausteine der Neuordnung und Harmonisierung des europäischen Datenschutzrechts.

Des Einen Freud‘, des Anderen Leid

Verbraucherschützer und Wirtschaftsvertreter bekommen glänzende Augen, wenn die Sprache auf ePrivacy kommt. Die ersteren vor Freude, die letzteren vor Tränen. Denn ePrivacy schützt Verbraucherdaten strenger als alle früheren Rechtsnormen – und könnte digitale Geschäftsmodelle aushebeln.

Was ist Inhalt der ePrivacy-Verordnung?

Übergreifend kann man sagen, dass die Verbraucher wieder mehr Kontrolle über ihre Daten bekommen sollen. Denn gegenwärtig ist es so, dass viele Daten und Informationen ohne Wissen der Bürger gesammelt, weitergegeben, analysiert, verkauft und zu Profilen verdichtet werden.

Daten sammeln und verarbeiten nur mit Einverständnis

Kommunikationsdienstleister wie WhatsApp kommen in den Besitz vieler Daten ihrer Nutzer. Nicht „nur“ der Inhalt dieser Kommunikation ist schützenswert, sondern auch die Frage, wer mit wem an welchem Ort wie lange kommuniziert. Aus diesen Daten lassen sich Verhaltensweisen und Vorlieben der Nutzer ableiten. Und diese sind wiederum für die Bereitstellung personalisierter Werbung interessant.

Nach der ePrivacy-Verordnung dürfen diese Daten zukünftig nur noch dann kommerziell verwertet werden, wenn der Nutzer ausdrücklich darin eingewilligt hat.

Tracking wird wesentlich erschwert

Das so genannte „Tracking“, also das Verfolgen elektronischer Spuren, die Verbraucher mit jedem Mausklick oder Tippen auf ein Smartphone im Internet hinterlassen, soll erschwert werden. Genauer gesagt: Es unterliegt künftig einem „Verbot mit Erlaubnisvorbehalt“. Was Juristen so elegant ausdrücken bedeutet auf Deutsch: Ohne Einwilligung des Benutzers geht gar nichts. Und diese Einwilligung muss explizit eingeholt werden.
Folgende Aspekte illustrieren, worum es beim Tracking-Verbot geht:

Beispiel Cookies

Cookies sind Mini-Programme, die Unternehmen auf Ihrer Festplatte ablegen. Sie speichern bestimmte Daten, die der Nutzer auf einer Webseite eingibt. Cookies sorgen dafür, dass der elektronische Warenkorb im Online Shop erhalten bleibt und dass Sie beim nächsten Mal Ihre Adressdaten nicht neu eingeben müssen. Aber sie speichern auch Ihren Klick-Pfad und lassen Rückschlüsse darauf zu, welche Waren Sie interessieren. Die Werbewirtschaft kann Ihnen dann zukünftig Werbung für ebendiese Waren zeigen.

Bisher konnten Nutzer dem Setzen von Cookies widersprechen. In Zukunft wird das Tracken Ihrer Informationen mittels Cookies verboten sein – es sei denn, Sie geben explizit Ihre Einwilligung.

Beispiel Browser Fingerprint

Während Cookies den meisten Internet-Nutzern ein Begriff sind, ist der Browser Fingerprint fast nur Spezialisten bekannt. Dabei handelt es sich, vereinfacht ausgedrückt, um eine Kombination von Informations-Bits, die Ihren Browser unter vielen Millionen einzigartig macht. Betriebssystem, installierte Schriftarten, Plugins, Standortinformationen, Hardware – all dies posaunt Ihr Browser in die digitale Welt hinaus.

Privacy by default

Die ePrivacy-Verordnung fordert, dass Browser ab Werk die maximalen Sicherheitseinstellungen haben sollen. Konkret bedeutet das, dass die „do not track“-Einstellung die Standardeinstellung von Internetbrowsern sein muss.

Vorstudien zum neuen Datenschutzrecht haben ergeben, dass nur fünf Prozent der Internetnutzer überhaupt jemals ihre Browser-Einstellungen bearbeiten. Zum Schutz der Verbraucher, die darauf vertrauen, dass ihr Browser kein Ausspähen zulässt, wird nunmehr das höchste Schutzniveau die Standardeinstellung sein.

Offline Tracking

In Bahnhöfen und Flughäfen, Kaufhäusern und Banken gibt es Videoüberwachung. Zusätzlich die WLAN- und Bluetooth-Signale von Smartphones nachverfolgt. Zunehmend entsteht eine flächendeckende Überwachung von Menschen, die dazu nicht ihr Einverständnis gegeben haben. Durch dieses „Offline Tracking“ können Bewegungsprofile erstellt und Personen ausgespäht werden. Das soll sich drastisch ändern.

Nach der ePrivacy-Verordnung sollen derlei Datensammlungen nur noch zulässig sein, wenn sie räumlich und zeitlich begrenzt sind und sich auf rein statistisches Zählen beschränken. Oder eben mit Einverständnis der betroffenen Personen.

Nachrichten-Verschlüsselung nach dem „Stand der Technik“

Fast jeder Internet-Nutzer verwendet Messenger wie Telegram, WhatsApp, Facebook Messenger, Slack usw. Auch für sehr vertrauliche Nachrichten. In Zukunft müssen internetbasierte Kommunikationsdienste dasselbe Schutzniveau wie Telefonanbieter gewährleisten – mit einer Ende-zu-Ende-Verschlüsselung der Kommunikationsdaten. Selbst für staatliche Ermittler darf keine „Hintertür“ offen bleiben.

ePrivacy-Verordnung – die Sorgen der Industrie

Die Argumente, die von der Wirtschaft gegen ePrivacy aufgeboten werden, sind stichhaltiger als das übliche Rumoren, das bei jeder Stärkung des Verbraucherschutzes reflexhaft durch die Wirtschaftsverbände geht. 

Intelligente Verkehrsinfrastruktur vor dem Aus?

Angenommen, in einer Kurve ist ein Unfall passiert. Die Unfallfahrzeuge senden diese Informationen über das Mobilfunknetz an Navigationsgeräte. Diese wiederum leiten eine Notbremsung ein, wenn ein Fahrzeug schnell auf die Unfallstelle zukommt und Gefahr läuft, in den Unfall hinein zu geraten.

  

Automobilhersteller, Kartenhersteller, Mobilfunkunternehmen und andere arbeiten an solchen Szenarien. Nach der ePrivacy-Verordnung würden sie Makulatur: Die Fahrer der Unfallwagen (sofern noch bei Bewusstsein) müssten binnen Millisekunden ihr Einverständnis über die Verarbeitung ihrer Daten geben. Und das nicht nur einmal, sondern an jedes Glied in der Kette: Mobilfunknetzbetreiber, Autohersteller, Navigationsanbieter und, und, und.

Autonomes oder auch nur halbautonomes Fahren, intelligente Verkehrsinfrastruktur und proaktive Unfallvermeidung würden damit erstmal wieder in weite Ferne rücken.

Das Beispiel stammt aus dem lesenswerten Artikel „Überzieht Brüssel beim Datenschutz?“ von Thomas Heuzeroth, erschienen in der Welt vom 2.12.2017.

Problemfeld Internet der Dinge

Die Autobauer warnen, dass die ePrivacy-Verordnung „darin versagt, in angemessener Weise personenbezogene Daten im Umfeld der Maschine-zu-Maschine-Kommunikation im Internet der Dinge zu schützen.“
Schließlich könne ein Nutzer nicht jeder Glühbirne separat seine Einwilligung geben, die in seinem Smart Home anfallenden Daten zu verarbeiten.

Online-Angebote „existenziell bedroht“

Viele Online-Angebote finanzieren sich über Werbung. Besonders Zeitungs- und Zeitschriftenverlage machen sich Sorgen. Laut ePrivacy-Verordnung dürfen Angebote nicht an eine Datenfreigabe gekoppelt werden. Anbieter von Nachrichtenwebsites, Wetterdienste usw. müssten ihr Angebot auch anonymen Nutzern zur Verfügung stellen, die ihre Daten nicht für die Auslieferung individualisierter Werbung freigeben mögen. Und das ist die Mehrzahl: Der Springer-Verlag hat in Testläufen festgestellt, dass im besten Fall die Hälfte und im schlechtesten nur zehn Prozent der Nutzer eine ePrivacy-konforme Einwilligung erteilten.

Doch die Online-Service-Angebote werden durch personenbezogene Werbung refinanziert. Das gesamte Geschäftsmodell, so die Bedenken der Verlage, würde durch ePrivacy ausgehebelt. Die Angebote müssten finanziell auf andere Füße gestellt werden, im Klartext: kostenpflichtig werden.

In Zukunft müssten die Internetnutzer also für Angebote bezahlen, die ihnen bislang kostenlos zugänglich waren.

Fazit

Mehr Datenschutz für Verbraucher, womöglich aber auch negative Auswirkungen auf das Internet der Dinge und digitale Geschäftsmodelle – die neue ePrivacy-Verordnung bringt auf jeden Fall Bewegung ins Netz.

Wie die Industrie letztlich mit den neuen Herausforderungen umgeht, steht derzeit noch in den Sternen. Browserhersteller haben es vergleichsweise einfach; sie müssen lediglich maximale Datenschutzeinstellungen zum Lieferstandard machen und die Freigabe bestimmter personenbezogener Daten blockieren.

Die komplette Branche der Onlinewerbung und Webshops dürfte allerdings kräftig durcheinandergewirbelt werden. Und Verbraucher werden manche Angebote zukünftig mit Geld statt ihren privaten Daten bezahlen.

 

Was ist neu an der Datenschutz-Grundverordnung (DSGVO)?

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung EU-weit in Kraft. Höchste Zeit für IT-Unternehmen und ihre Kunden, sich auf die neue Rechtslage einzustellen.

Dennoch wird Ende 2018 mindestens die Hälfte der Unternehmen, für die die DSVGO gilt, die Anforderungen nicht vollständig erfüllen können. Diese Bilanz zieht die Gartner-Studie „Focus on Five High-Priority Changes to Tackle the EU GDPR“.

DSGVO: Worum geht es?

Datenschutz ist in Deutschland und der EU – zum Glück – nichts Neues. Hierzulande wurde der Datenschutz bisher vor allem vom Bundesdatenschutzgesetz (BDSG) geregelt. Übrigens wird dieses ebenfalls novelliert und als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Die neueste Fassung des BDSG wird am 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten und das noch aktuelle Bundesdatenschutzgesetz komplett ersetzen

Eines sei vorweg gesagt: Wer das BDSG ernst genommen und seine Compliance-Hausaufgaben gemacht hat, hat mit den Regelungen der DSGVO wenig Probleme. Nur leider haben viele KMU in Deutschland diese Hausaufgaben bisher nur oberflächlich erledigt.

Denn die bisherigen Sanktionsmöglichkeiten waren nicht hoch: Die Maximalstrafe für Verstöße lag bei 300.000 Euro. Manche Unternehmen kamen nach kurzem Nachrechnen zu dem Schluss, dass die Strafe weniger kostet als eine IT-Umstellung – und ließen es darauf ankommen.

Das ändert sich jetzt. Nach der neuen DSGVO können Strafen bis zu vier Prozent des globalen Konzernumsatzes oder bis zu 20 Millionen Euro erhoben werden.

DSGVO: Was ist neu?

Die möglichen, empfindlichen Bußgelder wurden bereits weiter oben erwähnt. Doch welche Neuerungen hält die DSGVO sonst noch bereit?

Einwilligung nachweisen

Wenn Unternehmen personenbezogene Daten speichern, müssen sie dazu die Einwilligung der Betroffenen einholen. Sie müssen den Zweck der Verarbeitung angeben und dürfen später nicht davon abweichen.

Datenminimierung

Personenbezogene Daten dürfen nur soweit gespeichert werden, wie es dem Zweck angemessen ist. Die Menge der Daten muss auf das für die Verarbeitung notwendige Maß beschränkt sein.

Speicherbegrenzung

Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für den Verarbeitungszweck erforderlich ist.

Übertragbarkeit der Daten

Ein Kunde kann verlangen, dass ein Unternehmen alle Daten, die es von ihm gespeichert hat, an Dritte übergibt. Das soll z. B. den Anbieterwechsel für Verbraucher vereinfachen.

Vertraulichkeit

Bei der Verarbeitung muss die Sicherheit personenbezogener Daten gewährleistet sein. Das bedeutet: Es darf kein unbefugter Zugriff stattfinden und auch kein Verlust und keine Beschädigung oder Zerstörung der Daten.

Recht auf Korrektur

Personenbezogene Daten müssen sachlich richtig und aktuell sein. Unrichtige Daten müssen unverzüglich korrigiert oder gelöscht werden.

Recht auf Vergessenwerden

Jeder kann verlangen, dass die über ihn gespeicherten Daten gelöscht werden. Das gilt auch dann, wenn der Betreffende vorher der Speicherung seiner Daten zugestimmt hatte. Dabei dürfen keine Spuren der Daten im System zurückbleiben (Backups, Links oder dergleichen). Es genügt also in der Regel nicht, einfach den Datensatz zu löschen.

Keine Koppelung

Das bereits im BDSG bestehende Koppelungsverbot wurde verschärft. So darf z. B. eine Teilnahme an einer Umfrage nicht mehr an ein Newsletter-Abo gekoppelt sein. Abstrakter ausgedrückt: Zusatzleistungen dürfen nicht mehr daran geknüpft sein, dass jemand in die Verarbeitung seiner Daten einwilligt.

Datenschutz-Folgenabschätzung

Im alten BDSG hieß diese noch „Vorabkontrolle“. Gemeint ist, dass der Datenschutzbeauftragte die Risiken der Datenspeicherung für die Persönlichkeitsrechte der Betroffenen einschätzen und eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung abgeben soll. Besondere Brisanz hat dies, wenn die Daten dazu dienen, Personen zu bewerten und zu beurteilen, und wenn dafür besonders sensible Daten erhoben werden, wie etwa Religion, ethnische Herkunft, politische Einstellung, Gesundheitsdaten, Bonität usw.

One-Stop-Shop

Beschwerden können an die Datenschutzbehörde des jeweiligen EU-Staates gerichtet werden – unabhängig davon, in welchem Land sich der Verstoß ereignete. Auch Unternehmen wenden sich an die Datenschutzbehörde des Landes, in denen sie ihren Hauptsitz haben.

Transparenz und Auskunftsrecht

Jedes Unternehmen muss dokumentieren, wie es personenbezogene Daten erhebt, verwendet und verarbeitet. Es muss Verbraucher „leicht zugänglich und in einfacher Sprache“ über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung ihrer Daten informieren. Eventuell könnte eine Zertifizierung oder ein Datenschutzsiegel das Publikum über den Datenschutzstandard aufklären.

Rechenschaftspflicht

Unternehmen sind verpflichtet, nicht nur neue Prozesse und Richtlinien für personenbezogene Daten einzuführen, sondern auch deren Einhaltung zu überwachen. Regelmäßige, dokumentierte Kontrollen weisen nach, dass die Einhaltung der Datenschutzgrundsätze jetzt und in Zukunft gewährleistet ist.

Meldepflicht innerhalb von 72 Stunden

Datenschutzverletzungen müssen innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Behörde gemeldet werden. Wenn der Vorfall schwerwiegende Folgen für Persönlichkeitsrechte haben kann, müssen auch alle betroffenen Personen informiert werden.

Starker Datenschutzbeauftragter

Jedes Unternehmen, bei dem mindestens zehn Personen ständig mit der Datenverarbeitung beschäftigt sind, muss einen Datenschutzbeauftragten benennen. Dessen Position und Zuständigkeiten werden deutlich gestärkt. Er ist verantwortlich für die Einhaltung der DSGVO, die Entwicklung von Datenschutzstrategien, die Unterweisung und Schulung von Mitarbeitern und die Kommunikation mit der Datenschutzbehörde. Ein Novum: Der Datenschutzbeauftragte haftet persönlich!

Einstellung des Geschäftsbetriebs

In besonders schweren Fällen kann ein Verbot der Datenverarbeitung ausgesprochen werden. Für IT-Unternehmen wäre das faktisch das Aus. Ein solcher Extremfall wäre z. B. gegeben, wenn sich große Sicherheitslücken auftun oder das Unternehmen die Zusammenarbeit mit der Aufsichtsbehörde verweigert.

Immaterielle Schäden

In den Gesetzestext wurden jetzt auch immaterielle Schäden aufgenommen. Dazu gehören z. B. Rufschädigung oder Identitätsdiebstahl. Auch in diesen Fällen können also künftig hohe Geldbußen verhängt werden.

Beweislast-Umkehr

Das Unternehmen muss nachweisen können, dass es geeignete technische und organisatorische Maßnahmen (TOM) für den Datenschutz getroffen hat. Anders als früher liegt die Beweislast beim Unternehmen und nicht beim Kunden.

Technischer Datenschutz

Die IT-Systeme müssen so ausgelegt sein, dass die Einhaltung der DSVGO möglich ist. Die Verordnung fordert daher „Privacy by Design“ und „Privacy by Default“. Das bedeutet, dass der Datenschutz bereits bei der Softwareentwicklung berücksichtigt werden muss – vom ersten Entwurf bis hin zur Implementierung. Software muss mit datenschützenden Default-Einstellungen ausgeliefert werden. Dazu gehören z. B. Speicherfristen und Zugriffssteuerung.

Fazit

Wer sich noch nicht mit der DSGVO befasst hat, muss jetzt Gas geben: Ab Mai 2018 müssen alle Unternehmen, die personenbezogene Daten erfassen und verarbeiten, verschärfte Anforderungen erfüllen: Die Verbraucherrechte werden gestärkt, unter anderem durch ein „Recht auf Vergessenwerden“. Technische und organisatorische Maßnahmen müssen die DSGVO-Compliance sicherstellen – Stichwort „Security by Design“. Die Beweislast dafür trägt fortan das Unternehmen. Und die Rolle des Datenschutzbeauftragten wird massiv ausgebaut.