E-Privacy Forordning: Hvad er det næste for dig?

Mario Steinberg Senest opdateret den 21. oktober 2020
8 Min.
E-Privacy Forordning: Dette kommer til dig
Senest opdateret den 21. oktober 2020

Selv om "E-Privacy Regulation" ikke forventes at blive vedtaget før 2020, kaster den allerede sin skygge. I denne artikel vil jeg gerne give Dem et overblik over forordningen om e-databeskyttelse, den aktuelle juridiske situation for brugen af sporingsværktøjer, og hvordan den kan ændre sig under EPVO. I sidste ende vil jeg gerne kort forklare, hvorfor den nye forordning efter min mening er vigtig. Men gå ikke i panik: Ligesom verden i modsætning til alle forudsigelser ikke gik ned med GDPR den 25.05.2018, kan dette ikke forventes for anvendelsen af e-privacy-forordningen.

I. Forordningen om e-databeskyttelse

1. Hvad er forordningen om e-databeskyttelse?

Forordningen om e-databeskyttelse (EPVO) er et udkast til Europa-Kommissionens forordning,som i øjeblikket drøftes på europæisk plan, og som fastsætterdirektivet om beskyttelse af privatlivets fred (direktiv2002/58/EF, senest ændret ved direktiv 2009/136/EF; E-Privacy-RL) og tilpasse den til det aktuelle aktuelle aktuelle niveau (f.B.eks. er de nuværende såkaldte over-the-top-tjenester, dvs. IP-baserede kommunikationstjenester, ikke omfattet af E-Privacy-RL).

Som en europæisk forordning vil EPVO ansøge direkte og direkte i hele EU. I modsætning til direktivet om e-databeskyttelse vil det ikke afhænge af de enkelte medlemsstaters gennemførelse i national ret. I øvrigt har denne gennemførelse af E-Privacy-RL i national ret aldrig fundet sted i Tyskland, for så vidt angår databeskyttelseslovgivningen, som er relevant for webstedsoperatører.

2. Hvad er formålet med forordningen om e-databeskyttelse?

Forordningen om e-databeskyttelse har til formål at beskytte kommunikationshemmeligheden og fortroligheden og integriteten af brugernes terminaludstyr.

Kort sagt skal brugerne beskyttes mod at blive udspioneret, når de besøger et websted eller bruger en e-mail eller messenger-tjeneste uden deres viden.

I modsætning til GDPR er ikke kun fysiske personer (mennesker), men også juridiske personer (virksomheder og foreninger) beskyttet. Forordningen om e-databeskyttelse præciserer og supplerer GDPR med hensyn til elektroniske kommunikationsdata, som er personoplysninger.

3. Hvad regulerer forordningen om e-databeskyttelse?

Forordningen om e-databeskyttelse regulerer ikke kun kommunikation via (klassisk) taletelefoni, tekstbeskeder (SMS) og e-mail, men også kommunikation via VoIP-telefoni, messengertjenester og webbaserede e-mail-tjenester. Det gælder også for den stadig vigtigere maskine-til-maskine kommunikation (nøgleordet "Internet of Things").

EPVO lægger særlig vægt på, hvordan oplysninger lagres eller sendes, anmodes om eller behandles af brugernes terminalenheder (f..B. pc'er og smartphones). Dette skyldes, at følsomme personoplysninger (e.B. e-mails og meddelelser, billeder, kontakt- og placeringsdata gemmes på disse terminaler. Derfor bør brugere af terminalenheder beskyttes mod brug af sporingsværktøjer til hemmeligt at overvåge deres aktiviteter uden deres viden (.B f.eks. cookies, browserfingeraftryk og lignende teknologier til sporing af brugeradfærd).

4. Hvornår kommer forordningen om e-databeskyttelse?

Oprindeligt var det hensigten, at forordningen om e-databeskyttelse skulle træde i kraft samtidig med GDPR. Europa-Kommissionen havde allerede offentliggjort sit udkast til EPVO i begyndelsen af januar 2017. Da Europa-Parlamentet og Rådet for Den Europæiske Union imidlertid også er involveret i lovgivningsprocessen, er mange af bestemmelserne i forordningen om e-databeskyttelse stadig under politisk drøftelse. På grund af lovgivningsprocessens kompleksitet forventes forordningen om e-databeskyttelse ikke at træde i kraft i 2019. Desuden vil der i lighed med GDPR sandsynligvis være en overgangsperiode, før EPVO rent faktisk vil finde anvendelse.

II. Retlig situation for brug af sporingsværktøjer

1. Hvad er sporingsværktøjer?

Sporingsværktøjer har til formål at gøre internetbrugernes adfærd forståelig: Hvor ofte bruges et websted, som en bestemt bruger eller en messengertjeneste har adgang til (hvis en bestemt brugers adfærd "analyseres", er det så ikke længere et rent analyse- og statistikværktøj, men et sporingsværktøj)? Hvad er indholdet af sendte meddelelser? Hvilke varer søges og bestilles i en webshop? Hvilke konti på sociale medier er du logget ind på? Er der klikket på og købt en tilknyttet vare (affiliate marketing)?

Dataene indsamles ikke kun, når du besøger hjemmesiden, eller når du bruger tjenesten, men ofte i lang tid ud over. Da cookies, tællepixel osv., der er angivet på terminalenheden, normalt ikke slettes, når tjenesten stoppes. De forbliver ofte på brugerens enhed i flere måneder og fortsætter med at sende data, uden at brugeren er opmærksom på dette.

I mange tilfælde indsamles og behandles de data, der indhentes på denne måde, ikke kun af tjenesteudbyderen selv, men videregives ofte også til tredjeparter.

Som et resultat oprettes et stort antal brugerprofiler, uden at brugeren er opmærksom på det.

2. Hvor er brugen af sporingsværktøjer i øjeblikket reguleret?

Indledende bemærkning: Denne del er tvangsformuleret på en lovlig måde. Hvis du ikke er interesseret i disse finesser, kan du læse videre uden problemer på 3.

I Tyskland er kravene til elektroniske informations- og kommunikationstjenester reguleret af Telemedia Act (TMG). Telemedialoven trådte i kraft i 2007 og blev senest ændret i september 2017. E-Privacy-RL, som blev ændret i 2009, og som regulerer opbevaring og adgang til oplysninger, der er lagret i brugerens terminalenhed i artikel 5, stk. 3, er imidlertid ikke blevet formelt omsat til tysk lovgivning. Baggrunden er, at forbundsregeringen ikke fandt dette nødvendigt på grund af de forordninger, der allerede er indeholdt i TMG's § 15, stk. 3. Desuden er databeskyttelsesbestemmelserne i Telemedia Act (§ 4, § 11 ff. TMG), som regulerer tjenesteydernes forpligtelser, ikke blevet tilpasset GDPR.

Konsekvensen heraf er, at lovvalgsreglen i artikel 95 GDPR, som regulerer forholdet mellem GDPR og direktivet om e-databeskyttelse, ikke finder anvendelse. Da direkte anvendelse af E-Privacy-RL også er udelukket (EU-direktiver gælder ikke direkte og direkte i modsætning til europæiske forordninger), er GDPR's prioritetfortsat.

Det betyder, at da GDPR har været i kraft, dvs. siden den 25. maj 2018, er retsgrundlaget for tjenesteydernes behandling af personoplysninger udelukkende artikel 6, stk. 1, i GDPR. de tilsvarende bestemmelser i Telemedia Act har ikke været gældende siden da.

Dette forventes ikke at ændre sig, før forordningen om e-databeskyttelse er i kraft.

3. Hvad er den nuværende juridiske situation for brugen af sporingsværktøjer?

Det nuværende retsgrundlag for brugen af sporingsværktøjer er artikel 6 sek. Det betyder, at sporingsværktøjer normalt kun kan bruges, hvis

  • behandlingen er nødvendig for at beskytte den registeransvarliges eller tredjemands legitime interesser, medmindre den registreredes interesser eller grundlæggende rettigheder og grundlæggende frihedsrettigheder, som kræver beskyttelse af personoplysninger, er fremherskende, navnlig når den registrerede er et barn (artikel 6, stk. 1, nr. 1, litra f GDPR)

Eller

  • den registrerede har givet sit samtykke til behandling af personoplysninger om ham eller hende til et eller flere specifikke formål (artikel 6, stk. 1, nr. 1 (en GDPR).

>> nærmere oplysninger om tjenesteyderens legitime interesser

Hvis en tjenesteudbyder har altoverskyggende legitime interesser i brugen af sporingsværktøjer, kræves der ikke nogen brugers samtykke.

På en hjemmeside, for eksempel, ville et afkrydsningsfelt være overflødigt. Webstedsoperatøren bør kun informere om de sporingsværktøjer, der anvendes i databeskyttelseserklæringen.

Tjenesteyderens legitime interesser kan være reelle, økonomiske og ideelle.

Ofte vil det naturligvis handle om økonomiske interesserHandle. Disse kan f.eks. bestå i at opbevare kundens indkøbskurv i en onlinebutik eller ved at gemme webskrifttyper, korttjenester og sociale medier Plugins skal medtages. Men også webanalyse- og statistikværktøjer om sidebesøgende eller brugen af reklamesporinger skal betragtes som legitime interesser.

Hvis den respektive databehandling er nødvendig for at beskytte disse legitime interesser, skal disse afvejes mod brugerens interesser eller grundlæggende rettigheder og frihedsrettigheder. Disse omfatter beskyttelse mod økonomiske ulemper, retten til respekt for privatlivet og kommunikation i overensstemmelse med artikel 7 i Den Europæiske Unions charter om grundlæggende rettigheder (GRCh),den grundlæggende ret til databeskyttelse i henhold til artikel 8 iGRCh og retten til informationsmæssig selvbestemmelse.

Når man afvejer de respektive interesser, er det frem for alt virkningen af den tilsigtede databehandling og dens sårbarhed over for misbrug, der er vigtig. Desuden skal der bl.a. tages hensyn til brugerens rimelige forventninger til tjenesten, og om han med rimelighed kan forudse, at den påtænkte databehandling kan finde sted.

Det er undertiden vanskeligt at afgøre, om tjenesteyderens (eller en tredjeparts) legitime interesser eller brugerens interesser er fremherskende.

Det skal bemærkes, at tjenesteyderen skal godtgøre, at dens legitime interesser har forrang. Hvis dette bevis ikke lykkes i tilfælde af en tvist, var indsamlingen af data ulovlig, og tjenesteudbyderen må forvente en bøde.

Interesseafvejning bør derfor være forståelig for tilsynsmyndighederne og veldokumenteret.

>> oplysninger om brugerens samtykke

Hvis tjenesteudbyderen ikke kan basere integrationen af et sporingsværktøj på en legitim interesse, er brugerens samtykke obligatorisk.

Betingelserne for et effektivt samtykke er fastsat i artikel 7 i GDPR. Det drejer sig om:

  • Forståelig form;
  • klart og enkelt sprog;
  • forskellighed fra andre situationer
  • forudgående henvisning til fortrydelsesretten til enhver tid
  • Overholdelse af forbuddet mod kobling (dvs. at en tjeneste ikke må gøres betinget af, at der gives samtykke til behandling af personoplysninger, der ikke er relateret til tjenesten).

Samtykke kan også gives stiltiende, dvs. gennem afgørende handling. Der kræves dog altid udtrykkeligt samtykke, hvis særlige kategorier af personoplysninger behandles (se artikel 9, stk. 2, litra a), i GDPR).

Det skal også bemærkes, at samtykke til enhver tid kan tilbagekaldes. Derfor skal databehandling udelades fra det tidspunkt, hvor den registrerede trækker sit samtykke tilbage.

I øjeblikket indhentes samtykke til indstilling af cookies og lignende teknologier på websteder normalt af et såkaldt "afkrydsningsfelt", hvor brugeren aktivt skal markere (opt-in).

Hvis ikke kun teknisk nødvendige cookies er indstillet, er en lapidary meddelelse i et såkaldt "cookie banner", som derefter kun bekræftes ved at klikke på en "OK" knap, ikke tilstrækkelig.

Under alle omstændigheder skal brugerne informeres om de sporingsværktøjer, der bruges i privatlivspolitikken.

4. Hvad er den forventede juridiske situation for brugen af sporingsværktøjer?

Det udkast til forordning om e-databeskyttelse, som Europa-Kommissionen offentliggjorde i begyndelsen af januar 2017, drøftes stadig politisk. Den indeholder udtalelser fra Det Europæiske Databeskyttelsesudvalg og Den Europæiske Tilsynsførende for Databeskyttelse,ændringsforslag fra Europa-Parlamentet og debatoplæg fra Rådet for Den Europæiske Union.

Det er derfor uklart, hvad den nøjagtige ordlyd af forordningen om e-databeskyttelse vil være.

I lyset af de seneste tids igangværende "dataskandaler" arbejder især databeskyttelseseksperter imidlertid i stigende grad på at sikre, at EPVO ikke lever op til det nuværende beskyttelsesniveau for direktivet om e-databeskyttelse og GDPR.

F.eks. fremførte Det Europæiske Databeskyttelsesråd i et dokument fra maj 2018, at fortroligheden af elektronisk kommunikation kræver særlig beskyttelse, der skal gå ud over GDPR. Tjenesteyderens legitime interesser bør derfor ikke længere være et retsgrundlag for behandling af indhold og metadata i elektronisk kommunikation.

Hvis denne visning er fremherskende, bør sporingsværktøjer kun anvendes efter forudgående samtykke fra brugeren (e.B. ved hjælp af et afkrydsningsfelt).

III. Hvorfor forordningen om e-databeskyttelse er en god ting

I modsætning til alle ulemperne er EPVO en fornuftig og længe ventet forordning. Når alt kommer til alt, bør den teknisk mulige fuldstændige overvågning af vores brugeradfærd ikke blot accepteres på denne måde.

Det er derfor godt, hvis webstedsoperatører og tjenesteudbydere på forhånd skal give klare og gennemsigtige oplysninger om, hvilke data der indsamles, når de besøger et websted, eller hvornår de bruger en tjeneste, og hvem de videregives til hvilke formål. Dette er den eneste måde for besøgende og brugere at beslutte, om det virkelig er værd at afsløre deres data ved at besøge webstedet eller bruge tjenesten.

Som webstedsoperatør behøver du dog ikke at stikke hovedet i sandet nu. Som en øjeblikkelig foranstaltning er det bedst at kontrollere, om du kan basere alle tjenester på dit websted på en legitim interesse eller samtykke fra brugerne. Hvis ikke, bør du indhente de manglende samtykker fra brugerne. Derudover skal du frem for alt præsentere dine sporingsaktiviteter gennemsigtigt i privatlivspolitikken.

Så snart den endelige tekst til E-Privacy Regulation er kendt, skal du først kontrollere, om og eventuelt fra hvornår du har brug for at indhente yderligere samtykker. For at du kan gennemføre alt dette og alt andet, der er nødvendigt i fred, er det værd at holde sig til forordningen om e-privatliv.

Post billede: Scott Webb [Pexels]

Lignende artikler

Kommentarer til denne artikel

Skriv svar på en

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *.