Mit der ePrivacy-Verordnung (ePVO) soll der Schutz der Grundrechte und Grundfreiheiten natürlicher und juristischer Personen bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste in der Europäischen Union geregelt werden. Die ePVO ist als Spezialgesetz innerhalb des EU-Datenschutzrechts angelegt.
Die ePrivacy-Verordnung ist eine EU-Verordnung und geht auf eine Initiative der EU-Kommission im Januar 2017 zurück. Die Verordnung befindet sich derzeit (Stand Februar 2019) jedoch noch im Gesetzgebungsverfahren und liegt nur als Entwurf vor.
Die ePrivacy-Verordnung und bestehende Gesetze
Die ePrivacy-Verordnung wird die ePrivacy-Richtlinie, die in Deutschland größtenteils im Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) umgesetzt wurde, ablösen. Des Weiteren soll sie die DSGVO für den Bereich der elektronischen Kommunikation ergänzen.
Alle Fragen zur Verarbeitung personenbezogener Daten, die in der ePVO nicht spezifisch geregelt sind, werden von der DSGVO erfasst.
Wann findet die ePrivacy-Verordnung Anwendung?
Die Anwendung wird laut Art. 2 und 3 geregelt und richtet sich nach dem sachlichen und territorialen Anwendungsbereich.
Die ePVO findet Anwendung bei der Verarbeitung elektronischer Kommunikationsdaten, die durch die Nutzung elektronischer Kommunikationsdienste entstehen und sich auf Informationen der Endeinrichtungen der Endnutzer:innen beziehen.
Örtlich richtet sich die Verordnung an Anbieter:innen elektronischer Kommunikation, die ihre Dienste für Endnutzer:innen in der EU bereitstellen.
Folgende elektronische Kommunikationsvorgänge können von der ePVO betroffen sein:
- Internetzugang
- Instant-Messaging-Dienste
- Webgestützte E-Mail-Dienste
- Internettelefonie
- Personal-Messaging
- Soziale Medien
Die ePVO gilt sowohl für die Verarbeitung von personenbezogenen als auch nicht personenbezogenen Daten und soll damit die Kommunikationsdaten natürlicher und juristischer Personen schützen.
Was soll die ePrivacy-Verordnung leisten? Die bisherige E-Privacy-Richtlinie wurde uneinheitlich umgesetzt und galt als nicht wirksam genug. Dadurch konnte der Schutz der Privatsphäre und die Vertraulichkeit elektronischer Kommunikation nicht adäquat gewährleistet werden. Durch die ePVO sollen Regelungslücken geschlossen und klare Vorgaben definiert werden.
Was umfasst die ePrivacy-Verordnung?
1. Regelung der Vertraulichkeit elektronischer Kommunikationsdaten
- Unter welchen Bedingungen darf die Verarbeitung elektronischer Kommunikationsdaten durch Betreiber:innen elektronischer Kommunikationsnetze und -dienste erfolgen?
2. Vorgaben zur Speicherung und Löschung elektronischer Kommunikationsdaten
- Schutz der Informationen, die in den Endeinrichtungen der Endnutzer:innen gespeichert sind
- Anforderungen an eine rechtsgültige Einwilligung zur Datenverarbeitung
- Vorgaben zu bereitgestellten Informationen und Einstellungsmöglichkeiten zur Privatsphäre bei elektronischer Kommunikation
3. Vorgaben für die Telekommunikation
- Anzeige der Rufnummer des Anrufenden und des Angerufenen, deren Unterdrückung sowie Ausnahmen davon
- Sperrung eingehender Anrufe
- Regeln für öffentlich zugängliche Verzeichnisse (z. B. Telefonbücher in gedruckter oder elektronischer Form sowie Auskunftsdienste)
- Vorgaben zu unerbetener Kommunikation und Direktwerbung über elektronische Kommunikationsdienste
- Informationspflichten über erkannte Sicherheitsrisiken
4. Aufgaben der Aufsichtsbehörden und Sanktionsmöglichkeiten
- Festlegung von Zuständigkeiten und Durchsetzungsmechanismen
- Definition möglicher Sanktionen bei Verstößen gegen die ePVO
Wie weit ist die Umsetzung der ePrivacy-Verordnung?
Ursprünglich sollte die ePVO gleichzeitig mit der DSGVO am 25. Mai 2018 in Kraft treten. Das Gesetzgebungsverfahren verzögert sich jedoch, da einzelne Mitgliedsstaaten sowie zahlreiche Wirtschaftsverbände Änderungswünsche geäußert haben. Da über den endgültigen Inhalt noch nicht entschieden wurde, wird davon ausgegangen, dass frühestens Mitte 2019 eine endgültige Fassung der ePrivacy-Verordnung vorliegen wird und diese erst im Jahr 2022 anwendbar sein könnte. Als EU-Verordnung gilt die ePVO automatisch in jedem Mitgliedsstaat der EU und bedarf keiner nationalen Umsetzung. Allerdings sind im Rahmen von Öffnungsklauseln nationale Anpassungen in bestimmten Bereichen möglich.