Die EU-​​Mitgliedstaaten haben sich am 10.02.2021 auf ein Verhand­lungs­mandat für über­ar­beitete Vorschriften zum Schutz der Privat­sphäre und der Vertrau­lichkeit bei der Nutzung elek­tro­ni­scher Kommu­ni­ka­ti­ons­dienste (e‑Datenschutz/​ePrivacy-​​Verordnung) geeinigt.

Mit diesen aktua­li­sierten e-​​Datenschutzvorschriften wird fest­gelegt, in welchen Fällen Diens­te­an­bieter elek­tro­nische Kommu­ni­ka­ti­ons­daten verar­beiten oder Zugang zu Daten erhalten dürfen, die auf den Geräten der Endnutzer gespei­chert sind. Die Verordnung soll die beste­hende Daten­schutz­richt­linie für elek­tro­nische Kommu­ni­kation aus dem Jahr 2002 aktua­li­sieren und als beson­deres Gesetz („lex specialis“) die Datenschutz-​​Grundverordnung (DS-​​GVO) konkre­ti­sieren und ergänzen.

Kern der ePrivacy-​​Verordnung:

Die Verordnung soll laut des Rates elek­tro­nische Kommu­ni­ka­ti­ons­in­halte, die über öffentlich zugäng­liche Dienste und Netze über­mittelt werden, sowie Metadaten im Zusam­menhang mit der Kommu­ni­kation abdecken. Metadaten umfassen beispiels­weise Infor­ma­tionen über den Ort sowie die Uhrzeit und den Empfänger der Kommu­ni­kation. Sie gelten als poten­ziell genauso sensibel wie der Inhalt selbst.

Um den unein­ge­schränkten Schutz der Privat­sphäre zu gewähr­leisten und ein vertrau­ens­wür­diges und sicheres Internet der Dinge zu fördern, werden die Vorschriften auch für Maschine-​​zu-​​Maschine-​​Daten gelten, die über ein öffent­liches Netz über­mittelt werden.

Einzelne wichtige Eckpunkte:

  • In aller Regel werden elek­tro­nische Kommu­ni­ka­ti­ons­daten vertraulich Jeder Eingriff – einschließlich des akus­ti­schen Zugriffs, der Über­wa­chung und der Verar­beitung von Daten durch andere Personen als den Endnutzer – ist verboten, es sei denn, dies ist nach der Daten­schutz­ver­ordnung für elek­tro­nische Kommu­ni­kation zulässig.
  • Die Verar­beitung elek­tro­ni­scher Kommu­ni­ka­ti­ons­daten ohne Einwil­ligung des Nutzers ist beispiels­weise auch zulässig, wenn damit die Inte­grität von Kommu­ni­ka­ti­ons­diensten sicher­ge­stellt wird, wenn eine Über­prüfung auf Schad­software oder Viren erfolgt oder in Fällen, in denen für den Diens­te­an­bieter Verpflich­tungen aufgrund des Unions­rechts oder des Rechts der Mitglied­staaten in Bezug auf die Verfolgung von Straf­taten oder die Abwehr von Gefahren für die öffent­liche Sicherheit bestehen.
  • Metadaten können beispiels­weise zur Abrechnung oder zur Aufde­ckung oder Unter­bindung betrü­ge­ri­scher Verwendung verar­beitet werden. Mit Zustimmung des Nutzers könnten Diens­te­an­bieter beispiels­weise Metadaten zur Anzeige von Verkehrs­be­we­gungen verwenden, um Behörden und Verkehrs­un­ter­nehmen dabei zu unter­stützen, neue Infra­struk­turen dort zu entwi­ckeln, wo sie am drin­gendsten benötigt werden. Metadaten können auch verar­beitet werden, um lebens­wichtige Inter­essen der Nutzer zu schützen, unter anderem zur Über­wa­chung von Epidemien und deren Ausbreitung oder in huma­ni­tären Notlagen, insbe­sondere Natur­ka­ta­strophen, und bei vom Menschen verur­sachten Kata­strophen.
  • In bestimmten Fällen dürfen Anbieter elek­tro­ni­scher Kommu­ni­ka­ti­ons­netze und ‑dienste Metadaten für einen anderen Zweck als den, für den sie erhoben wurden, verar­beiten, selbst wenn dies nicht auf der Grundlage der Einwil­ligung des Nutzers oder bestimmter Bestim­mungen über Legis­la­tiv­maß­nahmen nach dem Unions­recht oder dem Recht der Mitglied­staaten erfolgt. Diese Verar­beitung für einen anderen Zweck muss mit dem ursprüng­lichen Zweck vereinbar sein, und es gelten strenge besondere Garantien.
  • Da die Endge­rä­teaus­rüstung des Nutzers, einschließlich Hardware und Software, sehr persön­liche Infor­ma­tionen wie Fotos und Kontakt­listen enthalten kann, werden die Nutzung der Verar­bei­tungs– und Spei­cher­ka­pa­zi­täten und die Erfassung von Infor­ma­tionen aus dem Gerät nur mit Einwil­ligung des Nutzers oder zu anderen in der Verordnung fest­ge­legten spezi­fi­schen trans­pa­renten Zwecken gestattet.
  • Die Endnutzer sollten eine echte Wahl haben, Cookies oder ähnliche Kennungen zu akzep­tieren. Der Zugang zu einer Website darf – als Alter­native zu einer Bezahl­schranke (Paywall) – von einer Einwil­ligung zur Verwendung von Cookies für zusätz­liche Zwecke abhängig gemacht werden, wenn der Nutzer zwischen diesem Angebot und einem gleich­wer­tigen Angebot des gleichen Anbieters wählen kann, das nicht mit der Einwil­ligung zu Cookies einhergeht.
  • Um zu vermeiden, dass die Endnutzer immer wieder aufs Neue in die Verwendung von Cookies einwil­ligen müssen, werden die Endnutzer ihre Einwil­ligung in die Verwendung bestimmter Arten von Cookies erteilen können, indem sie einen oder mehrere Anbieter in ihren Browser-​​Einstellungen in eine Posi­tiv­liste aufnehmen. Die Soft­ware­an­bieter werden dazu ange­halten, den Benutzern jederzeit die Erstellung und Änderung von Posi­tiv­listen in ihrem Browser sowie den Widerruf ihrer Einwil­ligung zu erleichtern.
  • Der Text enthält auch Vorschriften über Anrufer-​​Identifikation, öffent­liche Verzeich­nisse sowie uner­betene und direkte Werbung.

Für wen und wann gelten die Vorschriften:

Die Vorschriften gelten, wenn sich die Endnutzer in der EU aufhalten. Dies gilt auch für Fälle, in denen die Verar­beitung außerhalb der EU erfolgt oder der Diens­te­an­bieter außerhalb der EU nieder­ge­lassen oder ansässig ist.

Die Verordnung würde 20 Tage nach ihrer Veröf­fent­li­chung im Amtsblatt der EU in Kraft treten und zwei Jahre später zur Anwendung gelangen.