E-sekretessregler: Vad är nästa steg för dig?

8 Min.
E-sekretessregler: Detta kommer till dig
Senast uppdaterad den

Även om förordningen om "e-integritet" inte förväntas antas förrän 2020 kastar den redan sin skugga. I den här artikeln skulle jag vilja ge er en översikt över förordningen om e-integritet, den nuvarande rättsliga situationen för användningen av spårningsverktyg och hur den skulle kunna förändras inom ramen för EPVO. I slutändan vill jag kort förklara varför den nya förordningen enligt min åsikt är viktig. Men inte panik: precis som världen, i motsats till alla förutsägelser, är PUL den 25.05.2018 är detta inte att vänta för tillämpningen av e-integritetsförordningen.

Ⅰ.. Förordningen om e-integritet

1. Vad är förordningen om e-integritet?

Förordningen om integritet och elektronisk integritet (EPVO) är en europeisk Förslag till förordning av Europeiska kommissionen, direktivet om integritet och elektronisk kommunikation, som har varit i kraft sedan 2002, (Direktiv 2002/58/EG, senast modifierad av Direktiv 2009/136/EG; E-Privacy-RL) och anpassa den till den aktuella tekniken (t.ex. för närvarande så kallade over-the-top-tjänster, dvs IP-baserade kommunikationstjänster, omfattas inte av E-Privacy-RL).

Som en europeisk förordning kommer EPVO att tillämpas direkt och direkt i hela Eu ropeiska unionen. Till skillnad från direktivet om integritet och elektronisk kommunikation kommer det inte att vara beroende av att de enskilda medlemsstaterna införlivar det i nationell lagstiftning. För övrigt har detta införlivande av E-Privacy-RL i nationell lagstiftning aldrig ägt rum i Tyskland när det gäller den dataskyddsrättsliga del som är relevant för webbplatsoperatörer.

2. Vad är syftet med förordningen om integritet och elektronisk integritet?

Förordningen om e-integritet syftar till att skydda konfidentialiteten för kommunikation och sekretessen och integriteten hos användarnas terminalenheter.

Enkelt uttryckt bör användarna skyddas från att spioneras på när de besöker en webbplats eller använder en e-post eller messenger-tjänst utan deras vetskap.

Till skillnad från PUL , inte bara fysiska personer (människor), men också juridiska personer (företag och föreningar) skyddas. Förordningen om integritet och elektronisk integritet förtydligar och kompletterar PUL uppgifter om elektronisk kommunikation, vilket är personuppgifter.

3. Vad reglerar förordningen om integritetsskydd?

E-integritetsförordningen reglerar inte bara kommunikation genom (klassisk) rösttelefoni, textmeddelanden (SMS) och e-post, utan även kommunikation via VoIP-telefoni, messenger-tjänster och webbaserade e-posttjänster. Det gäller också för den allt viktigare maskin-till-maskin-kommunikation (nyckelordet "Sakernas Internet").

Epvo ägnar särskild uppmärksamhet åt hur information lagras eller skickas, begärs eller bearbetas av användarnas terminalenheter (t.ex. datorer och smartphones). Detta beror på att känsliga personuppgifter (t.ex. e-post och meddelanden, bilder, kontakt- och lokaliseringsuppgifter) lagras på dessa terminaler. Därför bör terminalenhetsanvändare skyddas från användning av spårningsverktyg för att i hemlighet övervaka sin verksamhet utan deras vetskap (t.ex. cookies, fingeravtryck i webbläsaren och liknande teknik för att spåra användarnas beteende).

4. När kommer förordningen om e-integritet?

Ursprungligen var avsikten att förordningen om integritetsskydd skulle PUL träder i kraft. Europeiska kommissionen hade redan offentliggjort sitt förslag till Epvo i början av januari 2017. Men eftersom Europaparlamentet och Europeiska unionens råd också deltar i lagstiftningsprocessen är många av bestämmelserna i förordningen om e-integritet fortfarande under politisk diskussion. På grund av lagstiftningsprocessens komplexitet förväntas förordningen om elektronisk integritet inte träda i kraft under 2019. Dessutom kommer det sannolikt att likna PUL övergångsperiod till dess att EPVO faktiskt gäller.

E-postpostlådor RAIDBOXES

II. Rättslig situation för användning av spårningsverktyg

1. Vad är spårningsverktyg?

Spårningsverktyg är avsedda att göra beteendet hos Internet-användare begripliga: Hur ofta används en webbplats av en viss användare eller en messenger-tjänst (om beteendet hos en viss användare "analyseras", är det inte längre ett rent analys- och statistikverktyg, utan ett spårningsverktyg)? Vad är innehållet i skickade meddelanden? Vilka föremål genomsöks och beställs i en webshop? Vilka konton på sociala medier är du inloggad på? Är en länkad post klickade och köpt (affiliate-marknadsföring)?

Uppgifterna samlas in inte bara när du besöker webbplatsen eller när du använder tjänsten, men ofta under en lång tid längre bort. Eftersom cookies, räkna pixlar etc. som på terminalenheten vanligtvis inte tas bort när tjänsten stoppas. De finns ofta kvar på användarens enhet i flera månader och fortsätter att skicka data utan att användaren är medveten om detta.

I många fall samlas de uppgifter som erhålls på detta sätt inte bara in och behandlas av tjänsteleverantören själv, utan vidarebefordras ofta också till tredje part.

Därför skapas ett stort antal användarprofiler utan att användaren är medveten om det.

2. Var är användningen av spårningsverktyg för närvarande reglerad?

Inledande anmärkning: Denna del är med våld formulerad på ett lagligt sätt. Om du inte är intresserad av dessa nyanser, kan du läsa vidare utan problem vid 3.

I Tyskland har kraven på elektroniska informations- och kommunikationstjänster i Telemedia lagen (TMG) Reglerade. Telemedialagen trädde i kraft 2007 och ändrades senast i september 2017. E-Privacy-RL, som ändrades 2009 och som reglerar lagring och tillgång till information som lagras i användarens terminalenhet i artikel 5.3, har dock inte formellt införlivats i tysk lagstiftning. Bakgrunden är att förbundsregeringen inte ansåg att detta var nödvändigt på grund av de bestämmelser som redan finns i avsnitt 15.3 i TMG. Bestämmelserna om uppgiftsskydd i telemedielagen (4 § och 11 § följande: TMG) som reglerar tjänsteleverantörernas skyldigheter, uppfyller inte PUL Anpassade.

Följden av detta är att lagvalsstandarden i artikel 95 PUL , vilket förbättrar förhållandet mellan PUL och e-integritetsdirektivet är inte tillämpligt. Eftersom en direkt tillämpning av E-Privacy-RL också är uteslutet (EU-direktiv, till skillnad från EU-förordningar, inte gäller direkt och direkt) Tillämpningsprioritet för PUL .

Detta innebär att eftersom tillämpningen av PUL , dvs. PUL är; motsvarande bestämmelser i telemedialagen inte har varit tillämpliga sedan dess.

Detta förväntas inte ändras förrän förordningen om integritet och elektronisk integritet är i kraft. PUL under förutsättning att de har samma mål.

3. Vilken är den nuvarande rättsliga situationen för användningen av spårningsverktyg?

Den nuvarande rättsliga grunden för användning av spårningsverktyg är Art. PUL . Detta innebär att spårningsverktyg vanligtvis endast kan användas om antingen

  • behandling för att bevara legitima intressen den registeransvarige eller en tredje part, såvida inte den registrerades intressen eller grundläggande fri- och rättigheter, som kräver skydd av personuppgifter, dominerar, särskilt när den registrerade är ett barn (artikel 6.1.1) PUL )

Eller

  • den registrerade har Samtycke behandling av personuppgifter som rör dem för ett eller flera specifika ändamål (artikel 6.1.1) PUL ).

>> Uppgifter om tjänsteleverantörens legitima intressen

Har en tjänsteleverantör övergripande legitima intressen för användning av spårningsverktyg krävs inget samtycke från användaren.

På en webbplats, till exempel, skulle en kryssruta vara överflödig. Webbplatsoperatören bör endast informera om de spårningsverktyg som används i dataskyddsdeklarationen.

Tjänsteleverantörens legitima intressen kan vara verkliga, ekonomiska och idealiska.

Ofta kommer det naturligtvis att ekonomiska intressenAgera. Dessa kan till exempel bestå i att lagra kundens kundvagn i en onlinebutik eller genom att lagra webbteckensnitt, korttjänster och sociala medier Plugins som ska ingå. Men även webbanalys och statistikverktyg om sidbesökare eller användning av reklamtrackers ska betraktas som legitima intressen.

Om respektive databehandling är nödvändig för att skydda dessa legitima intressen måste dessa vägas mot användarens intressen eller grundläggande fri- och rättigheter. Dessa omfattar skydd mot ekonomiska nackdelar, rätten till respekt för privatlivet och kommunikation i enlighet med artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna (GRCh), den grundläggande rätten till uppgiftsskydd i enlighet med artikel 8 i GRCh och rätten till självbestämmande för information.

Vid avvägningen av respektive intressen är det framför allt effekten av den avsedda databehandlingen och dess sårbarhet för missbruk som är viktig. Dessutom måste det beaktas bland annat vilka rimliga förväntningar användaren har på tjänsten rimligen kan förutse att den avsedda databehandlingen får äga rum.

Om tjänsteleverantörens (eller en tredje parts) legitima intressen eller användarens intressen råder är ibland svårt att avgöra i enskilda fall.

Det bör noteras att tjänsteleverantören måste visa att dess legitima intressen råder. Om detta bevis inte lyckas i händelse av en tvist, var insamlingen av uppgifter olaglig och tjänsteleverantören måste förvänta sig böter.

Intresseavvägningen bör därför Begriplig vara och Väldokumenterade Bve.

FREE DEV Program RAIDBOXES

>> Information om användarens samtycke

Om tjänsteleverantören inte kan basera integrationen av ett spårningsverktyg på ett berättigat intresse är användarens samtycke obligatoriskt.

Villkoren för ett effektivt samtycke anges i artikel 7 PUL Reglerade. Dessa är:

  • Begriplig form;
  • ett tydligt och enkelt språk.
  • distinkthet från andra situationer.
  • förhandshänvisning till ångerrätten när som helst.
  • Iakttagande av förbudet mot koppling (dvs. att en tjänst inte får villkoras av att samtycke beviljas till behandling av personuppgifter som inte har med tjänsten att göra).

Samtycke kan också ges underförstått, dvs genom avgörande åtgärder. Det krävs dock alltid uttryckligt samtycke när särskilda kategorier av personuppgifter behandlas (se artikel 10. PUL ).

Det bör också noteras att samtycke kan återkallas när som helst. Därför måste databehandling utelämnas från det att den registrerade återkallar sitt samtycke.

För närvarande får samtycke för inställning av cookies och liknande teknik på webbplatser vanligtvis av en så kallad "kryssruta", där användaren aktivt måste markera (opt-in).

Om inte endast tekniskt nödvändiga cookies ställs in, är ett lapidary meddelande i en så kallad "cookie banner", som sedan bara bekräftas genom att klicka på en "OK"-knapp, inte tillräckligt.

I vilket fall som helst måste användarna informeras om de spårningsverktyg som används i sekretesspolicyn.

4. Vilken är den förväntade rättsliga situationen för användningen av spårningsverktyg?

Rapporten, som offentliggjordes av Europeiska kommissionen i början av januari 2017, Förslag till förordning om e-integritet fortfarande i den politiska diskussionen. Det finns bland annat åsikter om Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen, ändringsförslag som lagts fram av Europaparlamentet och diskussionsunderlag från Europeiska unionens råd.

Det är därför oklart vilken formulering av förordningen om integritet och elektronisk integritet kommer att bli.

Mot bakgrund av den senaste tidens pågående "dataskandaler" arbetar dock framför allt uppgiftsskyddsombuden i allt högre grad för att se till att EPVO inte faller efter den nuvarande skyddsnivån för direktivet om integritet och elektronisk kommunikation och PUL Kvar.

Europeiska dataskyddsstyrelsen i ett papper från maj 2018 att konfidentialiteten för elektronisk kommunikation kräver särskilt skydd, vilket inte är PUL måste gå ut. Tjänsteleverantörens legitima intressen bör därför inte längre vara en rättslig grund för behandling av innehåll och metadata för elektronisk kommunikation.

Om denna vy råder bör spårningsverktyg endast användas efter användarens föregående medgivande (t.ex. med hjälp av en kryssruta).

III. Varför förordningen om integritetsskydd är bra

I motsats till alla olägenheter är EPVO en förnuftig och sedan länge försenad förordning. När allt kommer om bör den tekniskt möjliga fullständiga övervakningen av vårt användarbeteende inte bara accepteras på detta sätt.

Det är därför bra om webbplatsoperatörer och tjänsteleverantörer i förväg måste tillhandahålla tydlig och öppen information om vilka uppgifter som samlas in när de besöker en webbplats eller när de använder en tjänst och till vem den vidarebefordras för vilka ändamål. Detta är det enda sättet för webbplatsbesökare och användare att avgöra om besöka webbplatsen eller använda tjänsten är verkligen värt att avslöja sina data.

Men som en webbplats operatör, behöver du inte sticka huvudet i sanden nu. Som en omedelbar åtgärd är det bäst att kontrollera om du kan basera alla tjänster på din webbplats på ett legitimt intresse eller samtycke från användarna. Om inte, bör du få de saknade medgivanden från användarna. Dessutom bör du framför allt presentera dina spårningsaktiviteter öppet i sekretesspolicyn.

Så snart den slutliga texten i e-integritetsförordningen är känd bör du först kontrollera om och eventuellt från när du behöver inhämta ytterligare medgivanden. Så att ni kan genomföra allt detta och allt annat som krävs i fred är det värt att hålla fast vid förordningen om e-integritet.

Post bild: Scott Webb [Pexels]

Mario Steinberg är jurist och specialistjurist för förvaltningsrätt vid LIEB. Advokater. Hans fokus ligger på rådgivning inom dataskyddsrätt & IT-säkerhetsrätt. Han är också en av grundarna av konsultnätverket "forma din organisation", som ger råd till företag inom områdena it, regelefterlevnad och juridisk design.

Liknande artiklar

Kommentarer om den här artikeln

Skriv en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är * Markerade.