Kategorie: Datenschutz

Einführung 

Seit 2016 gibt es Verhandlungen über eine ePrivacy-Verordnung in der EU, welche die bisherige ePrivacy-Richtlinie (2002/58/EG) aus dem Jahr 2002 ablösen soll, da diese als veraltet angesehen wird und den Fortschritten in Technik und Wirtschaft nicht mehr gerecht wird, bzw. die neuen Belange teils unzulänglich regelt. Die Umsetzung der Richtlinie erfolgte in Deutschland im Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG).  

Die ePrivacy-Verordnung soll die Richtlinie schließlich aktualisieren und ergänzend neben die Datenschutz-Grundverordnung (DS-GVO) treten. Ursprünglich war geplant, dass die DS-GVO und die ePrivacy-Verordnung gemeinsam am 25. Mai 2018 in Kraft treten sollten. Die ePrivacy-Verordnung bekam in der Vergangenheit jedoch viel Gegenwind, sodass ein mögliches Inkrafttreten derzeit nicht in Sicht ist. 

Im Folgenden geben wir einen kurzen Überblick über das Thema ePrivacy und beleuchten die Entwicklungen bezüglich der geplanten Verordnung.  

Was ist die ePrivacy-Verordnung? Was soll geregelt werden?  

Die geplante ePrivacy-Verordnung geht auf eine Gesetzesinitiative der Europäischen Kommission aus Januar 2017 zurück und soll die Privatsphäre von Bürgern im Onlinebereich stärken. Sie beschäftigt sich in erster Linie mit elektronischen Kommunikationsdaten, welche als personenbezogene Daten einzustufen sind. Ziel ist es, dass Privatsphäre zur Standardeinstellung in Browsern wird. 

Die ePrivacy-Verordnung präzisiert die DS-GVO also im Hinblick auf elektronische Kommunikationsdaten und schließt damit ein paar Regelungslücken. Im Großen und Ganzen soll durch die Verordnung die Sicherheit elektronischer Kommunikationsdaten geregelt und schließlich festgelegt werden, unter welchen Voraussetzungen und Bedingungen diese Daten von Betreibern elektronischer Kommunikationsnetze und -dienste verarbeitet werden dürfen. Es werden auch Betroffenenrechte aufgegriffen: es soll Regelungen zur Speicherung und Löschung der elektronischen Kommunikationsdaten geben, sowie weitere Vorgaben zum Schutz der gespeicherten Daten der Endnutzer. Zudem soll die Verordnung die bisherigen Regeln zur Einwilligung in die Datenverarbeitung präzisieren und Vorgaben bezüglich bereitzustellender Informationen und Privatsphäreeinstellungen bei elektronischer Kommunikation enthalten. Des Weiteren soll eine Ende-zu-Ende-Verschlüsselung obligatorisch werden, sodass auch ein Eingreifen seitens staatlicher Stellen stärker reguliert wird. 

Ebenso soll es Regelungen für den Telekommunikationssektor geben. Darunter fallen bspw. Vorgaben für die Anzeige von Rufnummern, deren Unterdrückung, die Sperrung eingehender Anrufe, sowie für unerbetene Kommunikation, Direktwerbung über elektronische Kommunikationsdienste an Endnutzer und Informationspflichten über erkannte Sicherheitsrisiken.  

Letztlich beinhaltet die ePrivacy-Verordnung auch Sanktionen für mögliche Verstöße und beschreibt die Aufgaben der Aufsichtsbehörden.   

Wen wird die ePrivacy-Verordnung betreffen? 

Sobald die ePrivacy-Verordnung in Kraft tritt, sind vor allem Unternehmen mit dem Sitz innerhalb der EU betroffen. Daneben ist die Verordnung aber nach dem sog. Marktortprinzip auch auf solche Unternehmen anwendbar, die ihre elektronischen Kommunikationsdienste innerhalb der EU anbieten. Nicht-EU-Unternehmen benötigen dann einen EU-Vertreter.  

Zu den betroffenen Unternehmen zählen neben den konventionellen Telekommunikationsdiensten auch OTT-I-Dienste (Over-the-top-Dienste der ersten Kategorie), insbesondere Messenger- und E-Mail-Dienste, sowie Anbieter von Internettelefonie. In den Anwendungsbereich der Verordnung fallen zudem nur elektronische Kommunikationsdienste, die öffentlich zugänglich sind, also von einem Anbieter für den Endnutzer bereitgestellt werden.  

Entwicklungen der ePrivacy-Verordnung 

Bisher bekamen die jeweiligen Ausarbeitungen der ePrivacy-Verordnung viel Gegenwind – sowohl seitens zahlreicher Wirtschaftsverbände als auch der EU-Mitgliedstaaten. Bereits 2017 hat die Europäische Kommission einen Gesetzesentwurf für die ePrivacy-Verordnung erlassen, woraufhin das Europäische Parlament noch im selben Jahr einen Änderungsvorschlag abgegeben hat. Lange konnte sich nur der Europäische Rat nicht auf eine einheitliche Linie festlegen. Nachdem etliche Vorschläge innerhalb des Rates von den EU-Mitgliedstaaten abgelehnt wurden, kam es am 10. Februar 2021 schließlich zu einem Konsens.  

Seitdem stehen Trilogverhandlungen zwischen dem Rat, der Kommission und dem Parlament an – bisher jedoch ohne Ergebnis. Die jeweiligen Entwürfe bezüglich der geplanten Verordnung unterscheiden sich in vielerlei Hinsicht, insbesondere in Bezug auf eine Einwilligung in die Datenverarbeitung bzw. deren Ausnahmetatbestände. 

Zunächst sind sich alle drei Organe einig, dass eine Einwilligung nach den Vorgaben der DS-GVO für die Nutzung vorliegen muss, es sei denn, einer der gelisteten Ausnahmetatbestände greift ein. Die in der Privacy-RL genannten Erlaubnistatbestände für eine Datenverarbeitung ohne Einwilligung des Betroffenen werden auch in allen drei Entwürfen größtenteils übernommen, zum Beispiel, wenn die Verarbeitung der Durchführung von Kommunikationsvorgängen dient oder für die Bereitstellung eines Dienstes erforderlich ist.  

Bezüglich weitergehender Erlaubnistatbestände herrscht derzeit Uneinigkeit bei der Kommission, dem Parlament und dem Rat. Zwar halten alle drei Entwürfe der Verordnung eine Ausnahme zur Reichweitenmessung für zulässig, der Umfang dieser Ausnahme ist jedoch umstritten. Während die Kommission und das Parlament diese nur im Namen des Diensteanbieters ohne Einwilligung gestatten, bedarf es nach Ansicht des Rates auch keiner Einwilligung bei der gemeinsamen Verarbeitung durch den betreibenden Diensteanbieter und einem externen Dienstleister (sofern die Voraussetzungen der gemeinsamen Verantwortlichkeit i.S.d. Art. 26 DS-GVO gewahrt sind). Darüber hinaus sehen die Entwürfe des Parlaments und des Rates eines Erlaubnistatbestand vor, sofern die Verarbeitung einer Aktualisierung zum Zwecke der Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Authentizität dient. Zudem sieht der Europäische Rat eine Ausnahme vom Einwilligungsprinzip darin, wenn die Verarbeitung eine Aufrechterhaltung oder Wiederherstellung der Sicherheit darstellt oder die Verarbeitung mit dem ursprünglichen Zweck der Verarbeitung vereinbar ist, sofern diese vorher nicht aufgrund einer ausdrücklichen Einwilligung des Betroffenen oder zum Schutz des öffentlichen Interesses erfolgte.  

Obwohl die oben genannten, nicht abschließenden Unterschiede zunächst nicht sonderlich schwerwiegend oder ausschlaggebend wirken, sind sie dies in der Praxis jedoch schon. Jeder kleinste Unterschied sorgt dafür, dass die Rechtslage sich beispielsweise in Bezug auf die Nutzung von Cookies erheblich verändert. In einigen Punkten, insbesondere bei Unterschieden in sprachlichen Feinheiten, dürften sich die europäischen Organe relativ zeitnah einigen können, wohingegen andere deutlich auseinander gehen und die Parteien grundverschiedenen Ansichten haben. Es bleibt also abzuwarten, wie sich die Trilogverhandlungen entwickeln und ob letztlich ein Kompromiss gefunden werden kann.  

 “Übergangsregelungen” im TTDSG 

Die Bundesregierung hat im Mai 2021 zudem das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) verabschiedet, welches am 01. Dezember 2021 in Kraft treten soll und bestätigt damit erstmals die in Deutschland geltende Regelung zu aktuellen Themen wie Webtracking oder Cookies. Durch das TTDSG werden jedoch auch keine neuen Regelungen aufgestellt, sondern nur die bereits bestehenden Vorschriften, welche sich bisher im TKG und TMG befanden, zusammengetragen und somit der status quo nochmal klargestellt. Änderungen und eine klare europäische Linie bezüglich der Thematik sollen dann durch die ePrivacy-Verordnung eintreten.  

Fazit  

Aufgrund der anhaltenden Verhandlungen innerhalb der EU, erscheint es erstmal unwahrscheinlich, dass sich der Rat, die Kommission und das Parlament in Kürze auf eine Fassung der ePrivacy-Verordnung einigen können. 

Demnach wird es voraussichtlich noch einige Zeit dauern, bis die ePrivacy-Verordnung, namentlich ein Kompromiss, von allen drei europäischen Organen abgesegnet und dann auch verabschiedet wird. Bisher ist es noch sehr unklar, ob und wie die Ansichten der jeweiligen Akteure bezüglich ePrivacy auf einen Nenner gebracht werden können. Die ePrivacy-Verordnung wird daher (mit hoher Wahrscheinlichkeit) nicht mehr vor 2022 erwartet werden können. 

Deshalb herrschen weiterhin Rechtsunsicherheiten für Unternehmen, vor allem im Bereich von Nutzer-Tracking und Cookies. Solange noch keine Verordnung erlassen und in Kraft getreten ist, muss sich also weiter an den Vorschriften der DS-GVO, sowie dem TMG und dem TKG, bzw. ab Dezember 2021 an dem TTDSG orientiert werden. 

Einführung 

Die Europäische Kommission hat am 4.6.2021 zwei neue Pakete
von Standardvertragsklauseln (SVK), häufig auch SCCs (Standard Contractual
Clauses) genannt, veröffentlicht (Standardvertragsklauseln-EU und Standardvertragsklauseln-Drittländer). Die SCCs sind nun auf die DS-GVO aktualisiert und sollen helfen, das Vakuum zu schließen, das seit dem Schrems II-Urteil des Europäischen Gerichtshofs vom 16.07.2020 (Schrems II-Urteil) insbesondere beim transatlantischen Datenaustausch herrscht.

Die Wahrscheinlichkeit, dass die neuen SCCs für Ihr Unternehmen relevant sind, ist groß, so dass Sie diesem Thema Aufmerksamkeit schenken sollten.

Hintergrund

Wann immer personenbezogene Daten in ein Drittland übertragen werden, sind die Vorgaben der Art. 44 ff. DS-GVO zu beachten, damit das durch die DS-GVO gewährleistete Schutzniveau nicht untergraben wird.

Eines der Werkzeuge, mit denen Drittlandtransfers rechtlich abgesichert werden können, sind SCCs. Die Bedeutung der SCCs wurde größer, nachdem der Europäische Gerichtshof zunächst in einer ersten Entscheidung (Safe Harbour-Urteil) das Safe Harbour Regime für nichtig erklärte, mit dem Datentransfers zwischen den USA und der EU legitimiert werden konnten. Maßgeblich für diese Entscheidung war unter anderem das Fehlen hinreichender Rechtsschutzmöglichkeiten für Europäer in den USA, wenn diese gegen Datenverarbeitungen vorgehen wollten.

Wenige Monate nach der Entscheidung wurde das politisch und wirtschaftlich
gewünschte, rechtlich aber umstrittene EU-U.S.-Privacy Shield als Nachfolger
für Safe Harbour verkündet. Umstritten war das Privacy Shield insbesondere deshalb, weil es das Problem des mangelnden Rechtsschutzes nicht löste. In seiner viel beachteten Entscheidung erklärte der Europäische Gerichtshof
(Schrems II) sodann das Privacy Shield für unwirksam. 

Das Gericht stellte zudem fest, dass die bisherigen SCCs bei Datentransfers in
Länder ohne Angemessenheitsbeschluss durchaus weiterverwendet werden können, allerdings zusätzliche Garantien verabredet werden müssen, um hinreichenden Schutz zu gewährleisten. Dies stellte Unternehmen vor eine kaum lösbare Aufgabe. 

Warum ist dies für Sie relevant? 

Wissen Sie im Einzelfall, wann Sie oder die von Ihnen genutzten Softwareprodukte oder Systeme personenbezogenen Daten übermitteln? Wissen Sie auch, wohin die Daten von dort gegebenenfalls übermittelt werden? Unter Umständen finden in Ihrem Unternehmen Datenexporte statt, von denen Sie bislang nichts wussten und die, sofern möglich, neben den Ihnen bekannten Datentransfers auf eine rechtlich solide Basis gebracht werden müssen. 

Die neuen SCCs

Datenexporteure können je nach Vertragsverhältnis mit den
neuen SCCs aus vier Modulen für unterschiedliche Szenarien wählen:

1. Übermittlung
   von Verantwortlichen an Verantwortliche (C2C)
2. Übermittlung
   von Verantwortlichen an Auftragsverarbeiter (C2P)
3. Übermittlung
   von Auftragsverarbeitern an Auftragsverarbeiter (P2P)
4. Datentransfer
   von Auftragsverarbeitern an Verantwortliche (P2C)

Die Regelungen zwischen zwei Auftragsverarbeitern und von Auftragsverarbeitern an Verantwortliche stellen eine sinnvolle Ergänzung zu den bislang angebotenen SCCs dar. 

Die SCCs enthalten verschiedene Anhänge, mit denen die konkret vorliegende Situation transparent erfasst werden kann. Besonders interessant ist auch, dass die Klauseln regeln, wie mit Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist.

So wie in der DS-GVO werden auch die Betroffenenrechte in
den modernisierten SCCs besonders gestärkt. Beispielsweise muss der Datenimporteur Betroffene benachrichtigen, wenn ein rechtsverbindlicher Antrag der Behörde auf Herausgabe seiner personenbezogenen Daten vorliegt. Wird dem Datenimporteur eine Benachrichtigung behördlich untersagt, soll er sich bestmöglich um eine Aufhebung der Untersagung bemühen.

Durch die Standardvertragsklauseln werden die Voraussetzungen des Art. 28 Abs. 3 und 4 DS-GVO erfüllt, sodass die Ansicht einzelner deutscher Datenschutzbehörden, dass gegebenenfalls zusätzliche Klauseln im Falle von Übermittlungen an Auftragsverarbeiter benötigt werden, keinen Bestand mehr hat.

In den neuen SCCs sind nunmehr Haftungsregelungen enthalten für den Fall, dass eine unberechtigte Herausgabe von Daten vorgenommen wird. Diese waren zuvor optional.

Chance und Risiko gleichzeitig ist die Flexibilität der SCCs. Sie basieren wie die DS-GVO auf einem risikobasierten Ansatz. Das bedeutet aber auch, dass es den Parteien obliegt, die Risiken für etwaige Betroffene abzuschätzen. Sie müssen mit Ihrem Vertragspartner prüfen und abwägen, ob die Rechtslage und der Umgang mit Herausgabeansprüchen vor Ort einen angemessenen Schutz der personenbezogenen Daten gewährleistet. Ist dies nicht der Fall, dürfen keine Daten transferiert werden oder es sind zusätzliche Schutzmaßnahmen zu ergreifen. Dies können technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Daten wie Pseudonymisierung oder Verschlüsselung sind.  

Drei wichtige Daten

Folgende Zeitpunkte sind für Ihre Planungen relevant:

• 27.06.2021: Die neuen SCCs treten in Kraft.

• 27.09.2021: Die alten SCCs werden aufgehoben.

• 27.12.2022: Ab dem 27.09.2021 gilt eine 15-monatige Umsetzungsfrist: Mit Ablauf des 27.12.2022 müssen alle alten Verträge, die vor dem 27.09.2021 geschlossen wurden, die neuen SCCs einbeziehen, d.h. bis dahin dürfen bestehende Verträge die alten SCCs noch verwenden. Danach dürfen die alten SCCs nicht mehr verwendet werden.

• Neuverträge: Ab dem 27.09.2021 können nur noch die neuen SCCs verwendet werden.

Was ist zu tun? 

Im Rahmen der zeitlichen Vorgaben sind Ihre Vertragsbeziehungen gegebenenfalls anzupassen. Exportieren Sie personenbezogene Daten oder arbeiten Sie mit Datenexporteuren zusammen? Sind die bisherigen Regelungen ausreichend? Sind Sie überhaupt schon auf „Schrems II“ hin aktiv geworden? Liegen bei Ihnen die bisher nicht geregelten Situationen 3 oder 4 vor? Beachten Sie, dass im Hinblick auf Bestandsverträge zu prüfen ist, ob zusätzliche Garantien vereinbart wurden und diese ausreichend sind. Rechtzeitig vor Ablauf der Übergangsfrist sind neue Verträge zu verhandeln.

Bei Neuverträgen ist wichtig, dass Sie mit der Auswahl der zur Verfügung stehenden Handlungsoptionen für ein ausreichendes Schutzniveau sorgen und aktiv werden, wenn Anlass zu Zweifeln daran besteht, dass (weiterhin) ein ausreichendes Schutzniveau gewährleistet ist.

Als spezialisierte Datenschutz- und IT-Kanzlei stehen wir Ihnen in allen diesen Fragen gerne zur Verfügung. Wir begleiten und unterstützen Sie in der Lösungsfindung für einen rechtssicheren Umgang mit personenbezogenen Daten!