Die ePrivacy-Verordnung im Finanzaufsichtsrecht

Teil 2: Die wesentlichen Regelungen im Überblick

Diese Woche werfen wir einen genaueren Blick auf die ePrivacy-Verordnung, das nächste große Datenschutzprojekt der EU, das dem Schutz elektronischer Daten dient. Wir hatten bereits in Teil 1 der Beitragsreihe die gesellschaftlichen und rechtlichen Hintergründe der ePrivacy-Verordnung beleuchtet hat und erklärt, was die ePrivacy-Verordnung ist. Wofür aber brauchen wir die ePrivacy-Verordnung konkret und welche Daten werden geschützt, die jetzt noch nicht geschützt sind?

Was sind eigentlich elektronische Kommunikationsdaten?

Schutzgut der ePrivacy-Verordnung ist die Vertraulichkeit elektronischer Kommunikationsdaten.

Der Begriff elektronische Kommunikationsdaten umfasst elektronische Kommunikationsinhalte und Kommunikationsmetadaten. Kommunikationsinhalt ist das, was mittels elektronischer Kommunikationsdienste wie z.B. Textnachrichten, Sprache, Videos, Bilder und Ton übermittelt wird. Kommunikationsmetadaten sind etwa die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste erzeugten Daten über den Standort des Geräts sowie Uhrzeit, Datum, Dauer und Art der Kommunikation. Die elektronischen Kommunikationsdaten können personenbezogen sein, müssen es aber nicht. Geschützt sind daher z.B. auch elektronische Daten in Bezug auf juristische Personen.

Vertraulichkeit bedeutet, dass Eingriffe in die Übermittlung elektronischer Kommunikationsdaten, ob durch menschliches Zutun oder durch eine automatische Verarbeitung durch Maschinen oder KI, ohne Einwilligung aller an der Kommunikation Beteiligten, also auch dem Nutzer des Kommunikationsdienstes, untersagt sind. Auch das Abfangen, Mithören oder das Lesen, Scannen und Speichern der Kommunikationsinhalte und Kommunikationsmetadaten zu anderen Zwecken als dem Kommunikationsaustausch ist verboten. Das ist also ein sehr weiter Anwendungsbereich.

Wen betrifft die ePrivacy-Verordnung?

Adressaten der ePrivacy-Verordnung sind vor allem Betreiber elektronischer Kommunikationsnetze und Kommunikationsdienste. Ein elektronisches Kommunikationsnetz ist ein Übertragungssystem, das die Übertragung von Signalen über Kabel, Funk, optische und andere elektromagnetische Einrichtungen ermöglicht, z.B. das Internet. Elektronische Kommunikationsdienste sind gewöhnlich gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen.

Diese Definitionen sind in dem Vorschlag zur ePrivacy-Verordnung bewusst weit und technologieneutral gewählt. Erfasst sind daher nicht nur herkömmliche Kommunikationsdienste für Sprachtelefonie, SMS und E-Mail, sondern auch Internetzugangsdienste (Browser) und neuere Internetdienste wie z.B. VoIP-Telefonie, Instant-Messaging und webgestützte Dienste wie WhatsApp oder Skype (sog. Over-the-top-Kommunikationsdienste, OTT-Dienste).

Unter die Definition der elektronischen Kommunikationsdienste fallen daher z.B. auch Dienste wie SOFORT Überweisung oder PayPal. Erfasst werden zudem etwa auch öffentlich zugängliche Hotspots, die sich etwa in Kaufhäusern, Einkaufszentren und Krankenhäusern befinden.

Wie wird künftig die Vertraulichkeit der elektronischen Kommunikation sichergestellt?

Die wesentlichen Regelungen, die die Vertraulichkeit der elektronischen Kommunikation bei der Nutzung elektronischer Kommunikationsnetze oder -dienste sicherstellen sollen, befinden sich in Art. 6, Art. 8, Art. 10 und Art. 12 ff. des finalen Vorschlags zur ePrivacy-Verordnung.

(i) Durch Vorgaben zur Verarbeitung elektronischer Kommunikationsdaten

Art. 6 der ePrivacy-Verordnung regelt, wann die Verarbeitung elektronischer Kommunikationsdaten erlaubt ist; nämlich nur dann, wenn dies zur Übermittlung der Kommunikation nötig ist. Kommunikationsmetadaten dürfen nur verarbeitet werden, wenn dies zur Einhaltung verbindlicher Qualitätsanforderung erforderlich, zur Rechnungsstellung oder Erkennung betrügerischer Nutzung nötig ist oder wenn der Nutzer eingewilligt hat. Nur aus diesen Gründen dürfen daher bspw. der Standort des Nutzers und das Datum der Kommunikation verarbeitet werden. Elektronische Kommunikationsinhalte dürfen nur verarbeitet werden, wenn entweder der Dienst vom Nutzer angefordert wurde, dieser eingewilligt hat und die Dienstleistung ohne Verarbeitung vom Anbieter nicht erbracht werden kann.

Zahlungsinformationen, die ein Nutzer etwa über die Oberfläche eines digitalen Zahlungsdienstes wie SOFORT Überweisung eingibt, sind Kommunikationsinhalte und müssen vom Anbieter verarbeitet werden, um den Zahlungsauftrag für den Nutzer abwickeln zu können. 

(ii) Durch die Cookie-Regelung

Art. 8 der ePrivacy-Verordnung enthält die sog. Cookie-Regelung. Jede vom Nutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktion seiner Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen, auch über deren Software und Hardware, ist künftig untersagt. Ausgenommen sind u.a. die Fälle, in denen der Nutzer eingewilligt hat oder der Kommunikationsvorgang ohne Cookies nicht möglich ist. Das Tracking des Surfverhaltens der Nutzer wird durch diese Regelung deutlich erschwert werden.

(iii) Durch den Browser als Gate Keeper

Artikel 10 der ePrivacy-Verordnung regelt die bereitzustellenden Einstellungsmöglichkeiten zur Privatsphäre für in den Verkehr gebrachte Software, die eine elektronische Kommunikation erlaubt. Diese Software (der Browser) muss die Möglichkeit bieten zu verhindern, dass Dritte Informationen aus der Endeinrichtung eines Endnutzers speichern oder bereits dort gespeicherte Informationen verarbeiten. Vorgesehen ist deshalb, dass der Nutzer seine Zustimmung zu Cookies durch allgemeine Voreinstellungen im Browser geben kann. Den Browsern kommt dann eine sog. Gatekeeper-Funktion zu, die das Tracking des Surfverhaltens des Nutzers ebenfalls erschweren wird.

(iv) Durch den Schutz vor unerbetener Kommunikation  

Art. 12 ff. der ePrivacy-Verordnung stellen schließlich Regelungen auf, die den Endnutzer vor unerbetener Kommunikation wie Werbeanrufen oder Werbe-E-Mails schützen. Direktwerbung über elektronische Kommunikationsdienste ist nur zulässig, wenn der Nutzer eingewilligt hat. Dabei muss der Endnutzer über Werbecharakter der Nachricht und Identität des Werbenden so informiert werden, dass er die Einwilligung jederzeit widerrufen kann. Direktwerbeanrufe dürfen nicht mit unterdrückter Nummer durchgeführt werden.

Der Endnutzer muss also in jede Datenverarbeitung und -nutzung freiwillig einwilligen

Soweit die Einwilligung des Endnutzers zur Datenverarbeitung erforderlich ist, verweist die ePrivacy-Verordnung auf die Regelungen der DSGVO. Die Einwilligung des Nutzers muss vor allem freiwillig sein. Bei der Beurteilung der Freiwilligkeit muss dem Umstand Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung von der Einwilligung zu einer Verarbeitung personenbezogener Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. Zudem hat die betroffene Person das Recht, ihre Einwilligung jederzeit für die Zukunft zu widerrufen. Hier wird sich künftig zeigen, wieviel Schlagkraft die ePrivacy-Verordnung haben wird. Wenn – wie bisher – eine allumfassende Einwilligung erforderlich ist, um die jeweiligen Webdienste überhaupt nutzen zu können, wird die ePrivacy-Verordnung ihre Stärke verlieren.

Es kommt noch ein Teil 3!

Nachdem wir nun die Grundlagen erläutert haben, erfahren Sie im dritten Teil der Beitragsreihe, wo die Schnittstelle der Regelungen der ePrivacy-Verordnung und des Finanzaufsichtsrechts liegt.

Die ePrivacy-Verordnung im Finanzaufsichtsrecht

Teil 1: Nach der DSGVO ist vor ePrivacy!

Die Verordnung über Privatsphäre und elektronische Kommunikation (sog. ePrivacy-Verordnung)  sollte eigentlich zusammen mit der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 in Kraft treten. Momentan befindet sie sich aber noch im europäischen Gesetzgebungsverfahren, die Zustimmung des EU-Parlaments steht noch aus. Die Verordnung wird frühestens 2020 in Kraft treten und enthält darüber hinaus voraussichtlich eine Übergangsfrist bis 2022.

Da die ePrivacy-Verordnung aber einen größeren Einschnitt im Datenschutz bringen wird als die DSGVO, die den Markt relativ überraschend traf, wollen wir schon mal einen Blick auf das werfen, was die ePrivacy-Verordnung bringen wird.

Die ePrivacy-Verordnung soll die bisherige e-Datenschutz-Richtlinie ersetzen, die in Deutschland vor allem im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) umgesetzt wurde. Als Verordnung ist die neue Datenschutzregelung unmittelbar geltendes Recht in allen EU-Mitgliedstaaten und gewährleistet dadurch einen einheitlichen Regelungsrahmen. Inhaltlich schützt die ePrivacy-Verordnung vor allem Daten, die bei der Nutzung neuerer Kommunikationsdienste wie z.B. Instant-Messaging-Dienste, webgestützte E-Mail Dienste, Internettelefonie und Personal-Messaging entstehen, während die bisherige e-Datenschutz-Richtlinie nur herkömmliche Telekommunikationsanbieter wie z.B. SMS erfasst. Da immer mehr Zahlungs-und Finanzdienstleistungen auf neuen, digitalen Wegen angeboten werden, wird sich auch die Finanzdienstleistungsbranche mit den Regelungen der ePrivacy-Verordnung auseinander setzen müssen. Da sich die EU-Mitgliedstaaten bis heute nicht auf eine gemeinsame Position hinsichtlich des finalen Vorschlags des Europäischen Parlaments und des Rates vom 10. Januar 2017 (abrufbar hier) geeinigt haben, können die Trilog-Verhandlungen zwischen der Europäischen Kommission, dem Rat und dem Parlament nicht beginnen und das Vorhaben verzögert sich weiter.

Diese Zeit wollen wir nutzen und in einer mehrteiligen Beitragsreihe die ePrivacy-Verordnung und ihre Auswirkungen im Finanzaufsichtsrecht vorstellen. Dieser Beitrag ist der Auftakt und beleuchtet die rechtlichen und gesellschaftlichen Hintergründe der ePrivacy-Verordnung sowie ihr Verhältnis zur DSGVO.

Rechtlicher Hintergrund der ePrivacy-Verordnung

Um den digitalen Binnenmarkt zu stärken, will die EU das Vertrauen von Bürgern und Unternehmen in digitale Dienste und deren Sicherheit erhöhen. Dafür sind umfassende Datenschutzregelungen – wie z.B. die ePrivacy-Verordnung – unerlässlich. Ihren rechtlichen Ursprung hat diese in Artikel 7 der Charta der Grundrechte der Europäischen Union, der das Grundrecht auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation enthält. Die Achtung der Privatsphäre in der Kommunikation ist ein wesentlicher Aspekt dieses Grundrechts. Denn vor allem die elektronische Kommunikation kann hochsensible Daten über die daran beteiligten Personen offenlegen, von persönlichen Erlebnissen, Gefühlen und Erkrankungen bis hin zu politischen Überzeugungen oder Zahlungsgewohnheiten.

Gleiches gilt auch für die Metadaten der elektronischen Kommunikation wie beispielsweise angerufene Nummern, besuchte Websites, geographischer Standort, Uhrzeit, Datum oder Dauer eines getätigten Anrufs. All diese Daten lassen präzise Schlussfolgerungen über das Privatleben der an der elektronischen Kommunikation beteiligten Personen, z.B. in Bezug auf ihre sozialen Beziehungen, Gewohnheiten, ihren Lebensalltag, ihre Interessen und ihren Geschmack zu. Elektronische Kommunikation kann zudem auch Informationen über juristische Personen wie Geschäftsgeheimnisse oder andere sensible Informationen offenlegen, die einen wirtschaftlichen Wert haben.

Unterschiedliche Resonanz bei Verbrauchern und Unternehmen

Angesichts der Sensibilität persönlicher elektronischer Daten und jüngster Datenskandale wie dem Facebook-Cambridge Analytica Skandal, mit dem bekannt wurde, dass personenbezogene Daten von Millionen Facebook-Profilen ohne Zustimmung der betroffenen Personen gesammelt und für politische Zwecke verwendet wurden, ist es nicht verwunderlich, dass sich gerade Verbraucher einen stärkeren Schutz ihrer persönlichen elektronischen Daten wünschen.

In der Begründung des finalen Entwurfs der ePrivacy-Verordnung sind Ergebnisse einer öffentlichen Konsultationen der Europäischen Kommission vom 12. April bis 05. Juli 2016 veröffentlicht.1 Darin sehen 83,4% der teilnehmenden Bürger, Verbraucherschutzverbände und Organisationen der Zivilgesellschaft die Notwendigkeit besonderer Vorschriften für die Vertraulichkeit elektronischer Kommunikationsdaten, während 63,4% der teilnehmenden Unternehmen dem nicht zustimmten. Auch die Ausweitung des Datenschutzes auf neue Kommunikationsdienste wie Instant-Messaging oder VoIP-Telefonie stimmten 76% der Bürger zu, während nur 36,2% der Unternehmen eine solche Ausweitung befürworteten. 

Dass EU-Bürger ein erhöhtes Bedürfnis nach dem Schutz ihrer elektronischen Daten haben, ergibt sich auch aus einer EU-weiten Eurobarometer-Umfrage, die zum Thema Privatsphäre durchgeführt wurde.2 Darin erklärten 78% der Befragten, dass sie es für sehr wichtig halten, dass auf persönliche Daten auf ihrem Computer, Smartphone oder Tablet nur mit ihrer Einwilligung zugegriffen werden kann. 72% halten es für sehr wichtig, dass die Vertraulichkeit ihrer E-Mails und Online-Sofortnachrichten gewährleistet ist und 89% stimmten der Option zu, dass die Standardeinstellungen ihres Browsers eine Weitergabe ihrer Informationen verhindern sollte.

Verhältnis zur DSGVO

Um dem erhöhten Bedürfnis nach dem Schutz von Daten, die bei der Nutzung moderner Kommunikationsmittel und –dienste entstehen, zu entsprechen, ergänzt und präzisiert die ePrivacy-Verordnung  die Regelungen der DSGVO als lex specialis im Hinblick auf elektronische Kommunikationsdaten. Während die DSGVO sich auf den Schutz personenbezogener Daten beschränkt, schütz die ePrivacy-Verordnung umfassend elektronische Daten, unabhängig davon, ob sie personenbezogen sind oder nicht. Alle Fragen der Verarbeitung personenbezogener Daten, die in dem Vorschlag zur ePrivacy-Verordnung nicht spezifisch geregelt sind, werden weiterhin von der DSGVO erfasst. Anders formuliert bedeutet das, dass die DSGVO für Daten relevant ist, wenn sie als solche dem Daten-Endnutzer vorliegen, während sich die ePrivacy-Verordnung um den Weg der Daten zu dem Daten-Endnutzer kümmert.

Ausblick

Allein an dem Regelungsumfang der ePrivacy-Verordnung wird deutlich, dass diese große Auswirkungen auf das digitale Finanzdienstleistungsangebot haben wird. Mehr dazu gibt es demnächst hier auf dem Blog. 


1 Der vollständige Bericht ist abrufbar unter https://ec.europa.eu/digital-single-market/news-redirect/37204.

2 Eurobarometer-Umfrage 443 zum Thema „ePrivacy“ (SMART 2016/079), abrufbar unter https://ec.europa.eu/digital-single-market/en/news/eurobarometer-eprivacy.