Datenschutz: Ein leichteres Cookie-Rezept

10. März 2017, 14:41
posten

Parallel zum Datenschutz will die EU die Regeln für Kommunikationsdienste modernisieren. In Zukunft sind alle Technologien erfasst

Am 25. Mai tritt EU- weit die neue Datenschutz-Grundverordnung (DSGVO) in Kraft und stellt das europäische Datenschutzrecht auf völlig neue Beine. Anders als die bisherige EU-Datenschutzrichtlinie, die durch das Datenschutzgesetz umgesetzt wurde, gilt die DSGVO unmittelbar in allen EU-Mitgliedstaaten. Unter ihren wesentlichsten Erneuerungen findet sich – wie berichtet – eine Verpflichtung zur unternehmensinternen Führung eines Datenschutzverzeichnisses.

Viele Unternehmen werden einen Datenschutzbeauftragten bestellen müssen, eine bisher in Österreich nicht vorgesehene Funktion. Weiters werden die Sanktionen erheblich verschärft. Statt Verwaltungsstrafen von bisher 25.000 Euro drohen bei Verstößen gegen die DSGVO Geldbußen in Höhe von 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist.

Neue Regeln für Privatsphärenschutz

Weniger bekannt, aber ebenso relevant ist die parallel dazu erfolgende Anpassung der E-Privacy-Richtlinie, die den Rechtsrahmen für elektronische Kommunikationsnetze und -dienste vorgibt. Das betrifft etwa den Einsatz von Cookies und die Zulässigkeit von Werbemailings und Werbeanrufen ("cold calling"). Diese Richtlinie wurde in Österreich im Telekommunikationsgesetz umgesetzt; als Folge der DSGVO ist sie nun auch in Revision.

Zu Jahresanfang veröffentlichte die EU-Kommission ihren Entwurf für eine Neuregelung der E-Privacy-Richtlinie. Der Vorschlag ist in mehrfacher Hinsicht bemerkenswert.

EU-weiter Standard

Neu ist etwa, dass die novellierten Normen in Form einer Verordnung erlassen werden sollen. Wie bei der DSGVO bedarf es dann keiner Umsetzung in nationales Recht mehr, da die Bestimmungen unionsweit unmittelbar anwendbar sind. Anders als derzeit wird damit in der gesamten EU ein einheitlicher Standard bestehen, der Erleichterungen für grenzüberschreitend tätige Unternehmen mit sich bringen wird.

Inhaltlich ist vor allem die angestrebte Anpassung an die "Marktwirklichkeit" von Interesse. Während der Anwendungsbereich des geltenden Regimes auf "herkömmliche" Kommunikationsdienste wie Telefonie oder SMS beschränkt ist und damit VoIP, Instant Messaging, webgestützte E-Mail-Services und sonstige neue Dienste im Allgemeinen nicht erfasst, soll die neue Verordnung technologieneutral anwendbar sein.

Lückenschluss bei neuen Technologien

Künftig werden daher jegliche elektronischen Kommunikationsdaten von natürlichen Personen und Unternehmen unabhängig von der verwendeten Technologie vertraulich sein und dürfen nur unter bestimmten Voraussetzungen verarbeitet werden. Damit schließt der Gesetzgeber Lücken, die durch den rasanten technologischen Fortschritt im Bereich der Kommunikation und den Wandel im Kommunikationsverhalten entstanden sind und noch entstehen könnten. Die Einführung eines einheitlichen, technologieneutralen Kommunikationsgeheimnisses kann durchaus als Meilenstein bezeichnet werden.

Neben dem Schutz der Kommunikationsinhalte wird die Ausdehnung auf andere Technologien für viele Unternehmen etwa auch im Zusammenhang mit dem Verbot von Werbenachrichten und -anrufen Auswirkungen haben. Während die derzeitige Bestimmung – in Österreich umgesetzt in § 107 TKG – nur für Anrufe, Faxe, E-Mails und SMS gilt, soll die Neuregelung auf Direktwerbung über jedwede elektronischen Kommunikationsdienste Anwendung finden. Damit wären die Beschränkungen künftig etwa auch bei (in der Praxis zuletzt immer relevanter gewordener) Werbung in sozialen Medien wie zum Beispiel im Facebook-Newsfeed der User zu beachten.

"Unnötige Belastungen"

Neu geregelt wird auch die Verwendung von Cookies. Derzeit dürfen Cookies grundsätzlich nur verwendet werden, wenn der Nutzer auf der Grundlage klarer und umfassender Informationen seine Einwilligung erteilt hat. In der Praxis resultiert diese Verpflichtung in den allgegenwärtigen Cookie-Bannern und Pop-up-Fenstern.

Die Kommission hat darin "unnötige Belastungen" erkannt und nimmt einen benutzer- und – auch wenn das weniger deutlich gesagt wird – unternehmensfreundlicheren Ansatz in Aussicht. Zukünftig soll der Einsatz gewisser, wenig invasiver Cookies ohne Einwilligung des Users zulässig sein; die Erwägungsgründe des Vorschlags nennen hier beispielsweise Cookies zur Speicherung von Eingaben in einem mehrseitigen Onlineformular und zur Zählung des Datenverkehrs zu einer Website.

Der Browser wird zum Torwächter

Abgesehen davon verlangt der Kommissionsvorschlag weiterhin die Einwilligung des Users. Neu ist jedoch, dass er die Erteilung derselben in den Browser-Voreinstellungen ausdrücklich zulässt und als künftigen Standard sogar fördert. Der Vorschlag erkennt Browsern hier eine Sonderstellung zu; sie sollen als "Torwächter" dienen und den Endnutzern helfen, ein Speichern von Informationen in ihren Endeinrichtungen bzw. den Zugriff darauf zu verhindern. Diesem Gedanken folgend, verpflichtet der Vorschlag Browserhersteller zum Einbau entsprechender Einstellungsmöglichkeiten und zur Information der User im Zuge der Installation und Aktualisierungen.

Auch hinsichtlich der möglichen Rechtsfolgen bringt der Verordnungsvorschlag eine Anpassung an die DSGVO und übernimmt deren drastischen Strafrahmen: Verstöße gegen die materiellen Bestimmungen sollen durch Geldbußen bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes sanktioniert werden. Als Aufsichtsbehörde soll dieselbe Behörde fungieren, die auch für die Überwachung der Anwendung der DSGVO zuständig ist – in Österreich somit die Datenschutzbehörde -, bei grenzüberschreitenden Sachverhalten eine "federführende" Behörde.

Ehrgeiziger Zeitplan

Der vorliegende Kommissionsentwurf setzt sich einen durchaus ambitionierten Zeitplan: Die neue Verordnung soll gleichzeitig mit der DSGVO in Kraft treten, am 25. Mai 2018. Der Vorschlag stellt natürlich nur den Anstoß des legislativen Prozesses auf EU-Ebene dar, in dem er – wie gerade das Beispiel der DSGVO gezeigt hat – vom Parlament und Rat noch in jeder Hinsicht abgeändert werden kann.

Die von der Kommission angestrebte Richtung ist allemal interessant. Für die betroffenen Unternehmen gilt es die weiteren Entwicklungen im Gesetzgebungsverfahren zu beobachten, um gegebenenfalls darauf reagieren und die notwendigen Anpassungen vornehmen zu können. Da es bis zum Vorliegen des finalen Verordnungstexts noch Monate dauern kann, wird dafür weit weniger Zeit verbleiben als für die – bei vielen Unternehmen derzeit in vollem Gange befindliche – Vorbereitung auf die DSGVO. (Hans Kristoferitsch, Armin Schwabl, 9.3.2017)

Dr. Hans Kristoferitsch, LL.M. ist Partner, Dr. Armin Schwabl, LL.M. ist Rechtsanwalt bei CHSH Cerha Hempel Spiegelfeld Hlawati. Sie sind u. a. spezialisiert auf Datenschutz- und Telekommunikationsrecht. hans.kristoferitsch@chsh.com, armin.schwabl@chsh.com

  • Mit der Datenschutz-Grundverordnung wird unter anderem die Verwendung von Cookies neu geregelt.
    illustration: davor markovic

    Mit der Datenschutz-Grundverordnung wird unter anderem die Verwendung von Cookies neu geregelt.

  • Dr. Hans Kristoferitsch, LL.M. ist Partner bei CHSH Cerha Hempel Spiegelfeld Hlawati.
    foto: arnold poeschl

    Dr. Hans Kristoferitsch, LL.M. ist Partner bei CHSH Cerha Hempel Spiegelfeld Hlawati.

  • Dr. Armin Schwabl, LL.M. ist Rechtsanwalt bei CHSH Cerha Hempel Spiegelfeld Hlawati.
    foto: chsh

    Dr. Armin Schwabl, LL.M. ist Rechtsanwalt bei CHSH Cerha Hempel Spiegelfeld Hlawati.

Share if you care.