21.05.19
uppdaterad den 05.12.23
Mario Steinberg
0 Kommentarer
Tabell
Lagändring om integritet och elektronisk kommunikation i EU

E-Privacy Regulation: Vad har du att vänta dig?

Även om "förordningen om integritet och elektronisk kommunikation" (ePrivacy-förordningen) inte förväntas antas förrän senare under 2020, kastar den redan sin skugga. I den här artikeln vill jag ge dig en översikt över vad ePrivacy-förordningen handlar om, hur den nuvarande rättsliga situationen för användning av spårningsverktyg ser ut och hur detta kan förändras under EPVO. I slutet kommer jag kortfattat att förklara varför jag tycker att den nya förordningen är viktig. Men få inte panik: Precis som världen, i motsats till alla förutsägelser, inte kommer att förändras med ikraftträdandet av PUL den 25 maj 2018, är detta inte heller att vänta för giltigheten av ePrivacy-förordningen.

I. Förordningen om integritet och elektronisk kommunikation

1 Vad är förordningen om integritet och elektronisk kommunikation?

Förordningen om integritet och elektronisk kommunikation (EPR) är ett förslag till förordning som för närvarande diskuteras på EU-nivå av Europeiska kommissionen, och som är avsett att ersätta direktivet om integritet och elektronisk kommunikation(direktiv 2002/58/EG, senast ändrat genom direktiv 2009/136/EG; direktivet om integritet och elektronisk kommunikation), som har varit i kraft sedan 2002, och anpassa det till det aktuella tekniska läget (t.ex. omfattas så kallade over-the-top-tjänster, dvs. IP-baserade kommunikationstjänster, för närvarande inte av direktivet om integritet och elektronisk kommunikation).

Som en europeisk förordning kommer GDPR att gälla direkt och omedelbart i hela Europeiska unionen. Till skillnad från direktivet om integritet och elektronisk kommunikation kommer den inte att vara beroende av att införlivas i nationell lagstiftning av de enskilda medlemsstaterna. För övrigt har detta införlivande av ePrivacy-direktivet i nationell lagstiftning aldrig ägt rum i Tyskland när det gäller den del av dataskyddet som är relevant för webbplatsoperatörer.

2. Vad är syftet med förordningen om integritet och elektronisk kommunikation?

Förordningen om integritet och elektronisk kommunikation syftar till att skydda kommunikationens konfidentialitet samt konfidentialiteten och integriteten hos användarnas slutenheter.

Enkelt uttryckt bör användare skyddas från att spioneras på när de besöker en webbplats eller använder ett e-postmeddelande eller messenger-tjänst utan deras vetskap.

I motsats till PUL skyddas inte bara fysiska personer (personer) utan även juridiska personer (företag och föreningar). Förordningen om integritet och elektronisk kommunikation preciserar och kompletterar PUL när det gäller uppgifter om elektronisk kommunikation, som är personuppgifter.

3. Vad regleras i förordningen om integritet och elektronisk kommunikation?

ePrivacy-förordningen reglerar inte bara kommunikation via (traditionell) rösttelefoni, textmeddelanden (SMS) och e-post, utan även kommunikation via VoIP-telefoni, messenger-tjänster och webbaserade e-posttjänster. Den gäller också för kommunikation mellan maskiner, som blir allt viktigare (nyckelordet "sakernas internet").

EPVO ägnar särskild uppmärksamhet åt hur information lagras eller skickas, begärs eller behandlas av användarnas slutenheter (t.ex. datorer och smartphones). Detta beror på att känsliga personuppgifter praktiskt taget alltid lagras på dessa slutenheter (t.ex. e-post och meddelanden, bilder, kontakt- och platsdata). Användare av slutenheter bör därför skyddas från spårningsverktyg som används för att i hemlighet övervaka deras aktiviteter utan deras vetskap (t.ex. cookies, fingeravtryck i webbläsare och liknande teknik för att spåra användarbeteende).

4 När kommer förordningen om integritet och elektronisk kommunikation?

Den ursprungliga avsikten var att ePrivacy-förordningen skulle träda i kraft samtidigt som PUL . Europeiska kommissionen hade redan publicerat sitt utkast till ePrivacy-förordningen i början av januari 2017. Men eftersom Europaparlamentet och Europeiska unionens råd också måste delta i lagstiftningsprocessen, är många bestämmelser i förordningen om integritet och elektronisk kommunikation för närvarande fortfarande föremål för politisk diskussion. På grund av lagstiftningsprocessens komplexitet är det osannolikt att ePrivacy-förordningen kommer att träda i kraft under 2019. Dessutom kommer det sannolikt att finnas en övergångsperiod, liknande den för PUL , tills ePrivacy-förordningen faktiskt träder i kraft.

II Rättslig situation för användning av spårningsverktyg

1. Vad är spårningsverktyg?

Spårningsverktyg är avsedda att göra Internetanvändarnas beteende begripligt: Hur ofta används en webbplats som nås av en viss användare eller en messenger-tjänst (om beteendet hos en viss användare "analyseras", är det inte längre ett rent analys- och statistikverktyg, utan ett spårningsverktyg)? Vad är innehållet i skickade meddelanden? Vilka föremål genomsöks och beställs i en webbshop? Vilka konton på sociala medier är du inloggad på? Är en länkad artikel klickad och köpt (affiliate-marknadsföring)?

Uppgifterna samlas in inte bara när du besöker webbplatsen eller när du använder tjänsten, men ofta under lång tid därefter. Eftersom de cookies, räknepixlar etc. som ställts in på terminalenheten vanligtvis inte raderas när tjänsten stoppas. De finns ofta kvar på användarens enhet i flera månader och fortsätter att skicka data utan att användaren är medveten om detta.

I många fall samlas de uppgifter som erhållits på detta sätt inte bara in och behandlas av tjänsteleverantören själv, utan överförs ofta också till tredje part.

Som ett resultat skapas ett stort antal användarprofiler utan att användaren är medveten om det.

2. Var regleras användningen av spårningsverktyg för närvarande?

Preliminär anmärkning: Denna del formuleras med tvång på ett lagligt sätt. Om du inte är intresserad av dessa subtiliteter kan du läsa vidare utan problem vid 3.

I Tyskland regleras kraven för elektroniska informations- och kommunikationstjänster i Telemediengesetz (TMG ). Telemedielagen trädde i kraft 2007 och ändrades senast i september 2017. Direktivet om integritet och elektronisk kommunikation, som ändrades 2009 och som i artikel 5.3 reglerar lagring av och tillgång till information som lagras på användarens slutenhet, har dock inte formellt införlivats i tysk lagstiftning. Bakgrunden till detta är att förbundsregeringen inte ansåg att detta var nödvändigt på grund av de bestämmelser som redan finns i § 15 (3) TMG. Dataskyddsbestämmelserna i Telemediengesetz (§ 4; §§ 11 ff. TMG), som reglerar tjänsteleverantörernas skyldigheter, har inte heller anpassats till PUL .

Följden av detta är att konfliktregeln i art. 95 PUL, som reglerar förhållandet mellan PUL och ePrivacy-direktivet, inte är tillämplig. Eftersom en direkt tillämpning av ePrivacy-direktivet inte heller är aktuell (till skillnad från europeiska förordningar är europeiska direktiv inte direkt och omedelbart tillämpliga), har PUL fortsatt företräde.

Detta innebär att eftersom tillämpningen av PUL , dvs. sedan den 25 maj 2018, rättslig grund för tjänsteleverantörernas behandling av personuppgifter uteslutande artikel 6.1 PUL är; motsvarande bestämmelser i telemedialagen har inte varit tillämpliga sedan dess.

Detta förväntas inte ändras förrän förordningen om integritet och elektronisk integritet har trädde i kraft: i nu fall kommer EPVO:s regler att följa de relevanta reglerna i PUL förutsatt att de eftersträvar samma mål.

"*" visar obligatoriska fält

Jag vill prenumerera på nyhetsbrevet för att få information om nya bloggartiklar, e-böcker, funktioner och nyheter om WordPress. Jag kan återkalla mitt samtycke när som helst. Observera vår integritetspolicy.
Det här fältet är avsett för validering och bör inte ändras.

3. Vilken är den nuvarande rättsliga situationen för användningen av spårningsverktyg?

Den nuvarande rättsliga grunden för användning av spårningsverktyg är Art. PUL . Detta innebär att spårningsverktyg vanligtvis bara kan användas om antingen

  • Behandlingen är nödvändig för ändamål som rör den registeransvariges eller en tredje parts berättigade intressen, utom då dessa intressen väger tyngre än den registrerades intressen eller grundläggande fri- och rättigheter som kräver skydd av personuppgifter, särskilt om den registrerade är ett barn (artikel 6.1 första stycket f PUL).

Eller

  • Den registrerade har gett sitt samtycke till behandling av personuppgifter som rör honom eller henne för ett eller flera specifika ändamål (artikel 6.1 första stycket led a PUL).

>> närmare uppgifter om tjänsteleverantörens legitima intressen

Om en tjänsteleverantör har övervägande legitima intressen i användningen av spårningsverktyg krävs inte användarens samtycke.

På en webbplats, till exempel, skulle en kryssruta vara överflödig. Webbplatsoperatören bör endast informera om de spårningsverktyg som används i dataskyddsdeklarationen.

Tjänsteleverantörens legitima intressen kan vara verkliga, ekonomiska och idealiska.

Ofta handlar det naturligtvis om kommersiella intressen. Det kan t.ex. handla om att spara kundens varukorg i en onlinebutik eller att integrera webbteckensnitt, karttjänster och plugins för sociala medier på en webbplats. Men även webbanalys och statistikverktyg om webbplatsbesökare eller användning av reklamtrackers räknas som berättigade intressen.

Om respektive databehandling är nödvändig för att skydda dessa legitima intressen, måste dessa vägas mot användarens intressen eller grundläggande rättigheter och friheter. Hit hör skydd mot ekonomiska nackdelar, rätten till respekt för privatlivet och kommunikation i enlighet med artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna (CFR), den grundläggande rätten till dataskydd i enlighet med artikel 8 i CFR och rätten till informellt självbestämmande.

Vid avvägningen mellan de olika intressena är effekterna av den avsedda databehandlingen och dess känslighet för missbruk särskilt viktiga. Dessutom måste användarens rimliga förväntningar på tjänsten och huruvida användaren rimligen kan förutse att den avsedda databehandlingen kan äga rum också beaktas.

Huruvida tjänsteleverantörens (eller en tredje parts) legitima intressen eller användarens intressen råder är ibland svårt att avgöra i enskilda fall.

Det bör noteras att tjänsteleverantören måste visa att dess legitima intressen har företräde. Om detta bevis inte lyckas i händelse av en tvist var insamlingen av uppgifter olaglig och tjänsteleverantören måste förvänta sig böter.

Intresseavvägningen bör därför vara begriplig för tillsynsmyndigheterna och väl dokumenterad.

>> detaljerad information om användarens samtycke

Om tjänsteleverantören inte kan basera integreringen av ett spårningsverktyg på ett legitimt intresse är användarens samtycke obligatoriskt.

Villkoren för ett effektivt samtycke anges i artikel 7 PUL Reglerade. Dessa är:

  • Förståelig form;
  • tydligt och enkelt språk;
  • skilt från andra situationer,
  • förhandsreferens till ångerrätten när som helst,
  • Iakttagande av kopplingsförbudet (dvs. att en tjänst inte får villkoras av att samtycke till behandling av personuppgifter som inte har med tjänsten att göra med dem medgivande) inte följs.

Samtycke kan också ges underförstått, dvs. genom avgörande åtgärder. Uttryckligt samtycke krävs dock alltid när särskilda kategorier av personuppgifter behandlas (se artikel. PUL ).

Det bör också noteras att samtycke kan återkallas när som helst. Därför måste databehandling utelämnas från det ögonblick som den registrerade återkallar sitt samtycke.

För närvarande erhålls samtycke till inställningen av cookies och liknande teknik på webbplatser vanligtvis genom en så kallad "kryssruta", där användaren aktivt måste markera (opt-in).

Om inte endast tekniskt nödvändiga cookies sätts, är ett kortfattat meddelande i en så kallad "cookie banner", som sedan bara bekräftas genom att klicka på en "OK"-knapp, inte tillräckligt.

I vilket fall som helst måste användarna informeras om de spårningsverktyg som används i sekretesspolicyn.

4. Vilken är den sannolika rättsliga situationen för användningen av spårningsverktyg?

Det utkast till förordning om integritet och elektronisk kommunikation som Europeiska kommissionen offentliggjorde i början av januari 2017 är för närvarande fortfarande föremål för politisk diskussion. Bland annat finns det yttranden från Europeiska dataskyddskommittén och Europeiska datatillsynsmannen, ändringsförslag från Europaparlamentet och diskussionsunderlag från Europeiska unionens råd.

Det är därför oklart vad den exakta ordalydningen i förordningen om integritetsskydd kommer att bli.

Mot bakgrund av den senaste tidens pågående "dataskandaler" arbetar dock särskilt dataskyddsster i allt högre grad för att se till att Europaparlamentet inte hamnar på efterkälken när det gäller den nuvarande skyddsnivån för direktivet om integritet och PUL Kvar.

I ett dokument som publicerades på Mai 2018 hävdade Europeiska dataskyddsstyrelsen att sekretessen för elektronisk kommunikation kräver särskilt skydd som måste gå längre än PUL . Därför bör tjänsteleverantörens legitima intressen inte längre vara en rättslig grund för behandling av innehåll och metadata för elektronisk kommunikation i framtiden.

Om denna uppfattning skulle råda får spårningsverktyg endast användas med användarens föregående samtycke (t.ex. med hjälp av en kryssruta).

III Varför förordningen om integritet och elektronisk kommunikation är bra

I motsats till alla olägenheter är EPVO en förnuftig och försenad förordning. När allt kommer runt bör den tekniskt möjliga fullständiga övervakningen av vårt användarbeteende inte bara accepteras på detta sätt.

Det är därför bra om webbplatsoperatörer och tjänsteleverantörer måste tillhandahålla tydlig och transparent information i förväg om vilka uppgifter som samlas in när man besöker en webbplats eller när man använder en tjänst och till vem den vidarebefordras för vilka ändamål. Detta är det enda sättet för webbplatsbesökare och användare att bestämma om det verkligen är värt att avslöja deras data om du besöker webbplatsen eller använder tjänsten.

Som webbplatsoperatör behöver du dock inte sticka huvudet i sanden nu. Som en omedelbar åtgärd är det bäst att kontrollera om du kan basera alla tjänster som är integrerade på din webbplats på ett legitimt intresse eller användarens samty cke. Om så inte är fallet bör du inhämta det samtycke som saknas. Dessutom bör du framför allt presentera dina spårningsaktiviteter på ett transparent sätt i din integritetspolicy.

Så snart den slutliga texten i ePrivacy-förordningen är känd bör du särskilt kontrollera om och, i så fall, från när du behöver få ytterligare samtycke. Det är värt att hålla sig uppdaterad om ePrivacy-förordningen så att du kan genomföra detta och allt annat som krävs i lugn och ro.

Utvalda bilder: Scott Webb [Pexels]

Tyckte du om artikeln?

Med din recension hjälper du oss att förbättra vårt innehåll ytterligare.

Mario Steinberg

Mario Steinberg är advokat och specialistjurist för förvaltningsrätt på advokatbyrån LIEB. Advokater. Hans verksamhet fokuserar på dataskyddsrätt, IT-säkerhetsrätt och IT-rätt.

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.