
NEWS 05.02.2019
e-Privacy Verordnung
05. Februar 2019
Das Ziel der e-Privacy Verordnung (ePVO) ist, die Vertraulichkeit der elektronischen Kommunikationsdaten sicherzustellen. Im Hinblick auf die Datenschutz-Grundverordnung verfolgt die e-Privacy Verordnung den Schutz von personenbezogenen Daten im Online-Bereich.
Die e-Privacy Verordnung stellt eine sogenannte „lex specialis“ zur Datenschutz-Grundverordnung (lex generalis) dar. Dies bedeutet, dass die e-Privacy Verordnung die DSGVO hinsichtlich der Verarbeitung von Kommunikationsdaten konkretisiert und hierzu spezielle Regelungen vorsieht. Die Mitgliedsstaaten haben auch wie in der DSGVO in Folge von Öffnungsklauseln die Möglichkeit ein nationales Regelwerk innerstaatlich umzusetzen. Die e-Privacy Verordnung löst die die gleichnamige Richtlinie (2002/58/EG) und die ergänzende Cookie-Richtlinie (2009/136/EG) ab. Der bisherige Status ist, dass die Verordnung noch durch das europäische Parlament und den Europäischen Rat abgesegnet werden muss.
Sachlicher Anwendungsbereich: Der Schutzbereich umfasst die rechtmäßige Verarbeitung von elektronischen Kommunikationsdaten und deren Schutz. Die Vertraulichkeit der elektronischen Kommunikationsdaten muss gem. Art 5 ePVO gewahrt werden.
Räumlicher Anwendungsbereich: Vom räumlichen Anwendungsbereich sind alle Kommunikationsdienstleister umfasst, die ihre Niederlassung in der europäischen Union haben. Sollte ein Unternehmen keine Niederlassung in der Europäischen Union haben, aber Kommunikationsdienstleistungen europäischen Bürgern anbieten, besteht die Verpflichtung nach der Verordnung zur schriftlichen Benennung eines Vertreters.
Unterschiedliche Begrifflichkeiten e-Privacy VO – DSGVO
e-Privacy Verordnung
Endnutzer
Elektronische Kommunikationsinhalte
Datenschutz-Grundverordnung
betroffene Person
personenbezogene Daten
Die Verarbeitung kann entweder auf der Rechtsgrundlage eines Vertrages beruhen oder auf der ausdrücklichen Einwilligung des Endnutzers. Die Aufbewahrungsfristen von elektronischen Kommunikationsdaten werden in Art 7 ePVO geregelt. Die Löschung der Daten hat zu erfolgen, wenn der vorgesehene Empfänger die Kommunikationsdaten erhalten hat oder wenn die Kommunikationsdaten nicht mehr benötigt werden und keine nationalen steuerrechtlichen und buchhalterischen Aufbewahrungsfristen vorliegen.
Rechte natürlicher und juristischer Personen in Bezug auf die Kontrolle über ihre elektronische Kommunikation
Cookies:
Einer der wesentlichsten Verschärfungen der ePVO betrifft die Verwendung von Cookies. Die derzeit gängige Herangehensweise ist der Hinweis mittels Banner, dass die Website Cookies verwendet. Nach der e-Privacy Richtlinie ist der Hinweis auf die Verwendung von Cookies auch ausreichend. Durch die neue Verordnung hat man als Website Betreiber jedoch die Verpflichtung, die Einwilligung des jeweiligen Nutzers einzuholen und auch bei nicht erfolgter Zustimmung die Inhalte der Website uneingeschränkt zur Verfügung zu stellen. Die sogenannten „Cookie-Walls“ – die nur eine eingeschränkte Nutzung der Website ermöglichen- sind durch die e-Privacy Verordnung zukünftig verboten.
Hinzu kommt, dass die Browser-Einstellungen so zu gestalten sind, dass der Nutzer die Zustimmung bzw. Ablehnung zur Verwendung von Cookies erteilen kann. Dies erfordert im Hinblick auf das datenschutzrechtliche „Privacy by default“-Prinzip eine datenschutzfreundliche Voreinstellung, die das ermöglicht. Das Prinzip fordert, dass die Voreinstellungen so zu treffen sind, dass diese einen allumfassenden datenschutzrechtlichen Schutz aufweisen und dass nur der Benutzer selbst diese abschwächen darf.
Unerbetene Kommunikation:
Weiters enthält der Entwurf der Verordnung Bestimmungen zur „unerbetenen Kommunikation“. Die wichtigsten Vorgaben sind bereits im österreichischen Telekommunikationsgesetz verankert.
Unter anderem beinhaltet dies folgende Vorschriften:
-
Direktwerbeanrufe dürfen nur vorgenommen werden, wenn die Rufnummer aufscheint oder ein erkenntlicher Kode/eine Vorwahl verwendet wird, die erkenntlich macht, dass es sich um einen Werbeanruf handelt.
-
Der elektronische Newsletterversand darf nur vorgenommen werden, wenn die Versendung dem § 107 TKG entspricht oder die ausdrückliche Einwilligung von den jeweiligen natürlichen oder juristischen Personen eingeholt wurde. Für die entsprechende Nachweisbarkeit muss das Double-Opt-In Verfahren umgesetzt werden, indem der Betroffene in Folge eines Bestätigungslink zustimmt in das Empfängerverzeichnis aufgenommen zu werden. Bei der Versendung eines Newsletters ist insbesondere wichtig die natürliche oder juristische Person jedes Mal darauf hinzuweisen, dass dieser gem. Art 16 Abs 2 ePVO ein Widerrufsrecht zusteht.
Aufsichtsbehörde: Die Aufgabe zur Überwachung der e-Privacy Verordnung übernimmt, wie auch in der Datenschutz-Grundverordnung verankert, die Datenschutzbehörde in Wien.
Strafbestimmungen: Es erfolgt eine Angleichung der Sanktionen an die Bestimmungen der Datenschutz-Grundverordnung. Insbesondere betragen die Sanktionen für Vergehen hinsichtlich der Vertraulichkeit und Speicherfristen bis zu € 20 Mio. bzw. 4 % des weltweiten Jahresumsatzes. Für alle anderen Vergehen nach der ePrivacy Verordnung sind Sanktionen bis zu 10 Mio. bzw 2% des weltweiten Jahresumsatzes möglich.
Vertrauen Sie auf die Unterstützung der secriso Consulting bei der ordnungsgemäßen Umsetzung der e-Privacy Verordnung. Führen Sie mit uns einen ePrivacy Quick-Check durch um rasch festzustellen, welche Maßnahmen unternehmensintern umgesetzt werden müssen. Wir begleiten Sie mit unserer Expertise bei der erfolgreichen Umsetzung der technischen und organisatorischen Maßnahmen.