:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Initiative der Bundesregierung für einheitliche Regeln in der EU gescheitert Endgültiges Aus für die E-Privacy-Verordnung?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Es gibt weiterhin keinen Konsens bei den E-Privacy-Richtlinien. Was die Verordnung regeln soll, was am deutschen Entwurf umstritten war, weshalb er gescheitert ist und wie es nun weitergeht, erläutert Rechtsanwältin Lisa Pytel.
Seit Januar 2017 diskutiert und entwerfen die verschiedenen Organe der Europäischen Union eine neue E-Privacy-Verordnung. Auch der neuste Entwurf der Bundesregierung, der Anfang November 2020 dem EU-Ministerrat vorgelegt wurde, hat sich, wie auch die vorherigen Entwürfe, nicht als konsensfähig erwiesen. Somit hat das lange Ringen um eine Neuregelung vorerst kein Ende.
Ziel der Verordnung und ihre Neuregelungen
Ziel der Verordnung ist eine Ergänzung der Datenschutzgrundverordnung (DSGVO) im digitalen Bereich. Die E-Privacy-Verordnung wird in ihrem Anwendungsbereich den Regelungen der DSGVO vorgehen und wird insoweit lex specialis zur DSGVO sein. Dabei ist der Anwendungsbereich der E-Privacy-Verordnung aber gerade nicht beschränkt auf die Verarbeitung personenbezogener Daten, sondern regelt die Verarbeitung jeglicher „Daten“ und Informationen im Zusammenhang mit der Nutzung von elektronischen Kommunikationsdiensten. Die Verordnung trifft besondere Regelungen für die Nutzung von Daten, die bei Besuchen von Webseiten anfallen, aber auch im Rahmen von Telekommunikation allgemein sowie bei der Nutzung von E-Mailadressen für Werbezwecke.
Dabei soll die Verordnung, neben den bisherigen Kommunikationskanälen, auch die neuen Over-The-Top Kommunikationsdienste („OTT“-Kommunikationsdienste sind zum Beispiel Skype oder WhatsApp) regeln. Ebenso auf ihre Anbieter, das „Internet der Dinge“ und die Kommunikation von Maschine zu Maschine eingehen. OTT-Kommunikationsdienste fielen bisher – so die Rechtsprechung des EuGH zu Gmail – nicht unter die E-Privacy-Richtlinie.
Nach den bisherigen Entwürfen soll ausdrücklich die elektronische Kommunikation von Endnutzern und die Integrität gespeicherter Informationen auf Endgeräten geschützt werden.
Letztlich sollen sich Verbraucher*innen besser gegen Cookies und andere Tracking-Mechanismen und somit gegen das Nachverfolgen ihrer Internetaktivitäten wehren können. Zusätzlich sollen die Regelungen der E-Privacy-Verordnung über mögliche Bußgelder, die von den Aufsichtsbehörden erlassen werden können, durchgesetzt werden. Die bisherigen Entwürfe verweisen hierzu auf die Regelungen der DSGVO.
Was bisher gilt
Bisher gilt die E-Privacy-Richtlinie aus dem Jahr 2002. Richtlinien müssen, im Gegensatz zu Verordnungen, erst durch die Mitgliedstaaten umgesetzt werden. Der deutsche Gesetzgeber hat dies vor allem im Telemediengesetz (TMG), Gesetz gegen den unlauteren Wettbewerb (UWG) und Telekommunikationsgesetz (TKG) getan. Ergänzend hat die EU die sogenannte Cookie-Richtlinie im Jahr 2009 erlassen. Diese unterscheidet zwischen technisch notwendigen und nicht notwendigen Cookies und regelt die Voraussetzungen, unter denen diese eingesetzt werden können.
Die E-Privacy-Verordnung soll nun dazu beitragen, dass die aufgrund der Richtlinie erlassenen mitgliedstaatlichen Gesetze vereinheitlicht werden und so beim Surfen im Internet EU-weit das gleiche Datenschutz- bzw. Verbraucherschutzniveau gilt.
Bisheriger „Verfahrensgang“
Der erste Entwurf zur E-Privacy-Verordnung stammte von der EU-Kommission und wurde im Januar 2017 veröffentlicht. Geplant war, dass die E-Privacy Verordnung zeitgleich mit der DSGVO zur Anwendung kommt. Die DSGVO findet nun bereits seit Mai 2018 Anwendung, während die E-Privacy-Verordnung weiterhin nicht konsensfähig ist.
Dem Entwurf der Kommission folgte ein Entwurf des EU-Parlaments im Oktober 2017. Diesen folgten wiederum Neu-Entwürfen der verschiedenen Ratspräsidentschaften (beispielsweise Bulgarien im März 2018 und Österreich im Oktober 2018). Die letzten Entwürfe (vor dem Entwurf der Bundesregierung im November 2020) kamen von der finnischen Ratspräsidentschaft. Dieses „Karussell der Nationen“ kommt dadurch zustande, dass die Ratspräsidentschaft jeweils nur für sechs Monate von einem Mitgliedstaat geführt wird. Jedes Jahr führen also zwei verschiedene EU-Mitgliedstaaten den Vorsitz im Rat.
Umstrittene Regelungen
Der bisherige Verfahrensgang und nun das Scheitern des deutschen Entwurfs zeigen, dass die E-Privacy-Verordnung und ihre Inhalte höchst umstritten sind. So möchten einige Staaten den Verbraucherschutz besonders hervorheben und das Setzen von Cookies deutlich erschweren, während andere Staaten und Interessengruppen dies als Eingriff in ihre Berufsfreiheit werten und davon ausgehen, dass eine strikte E-Privacy-Verordnung, Geschäftsmodelle zerstören könnte.
Bereits der zweite Entwurf, der durch das EU-Parlament im Oktober 2017 eingeführt wurde, sah als Grundeinstellung für Browser die sogenannte „Do-Not-Track-Einstellung“ vor. Dies sollte Ausdruck des datenschutzrechtlichen Grundprinzips der „data privacy by design and default“ sein, also Datenschutz durch Gestaltung und die Wahl bestimmter Voreinstellungen. Verbraucher sollten also sich nicht erst aktiv entscheiden müssen, ob sie sich grundsätzlich gegen das Tracking wehren möchten, sondern durch die Voreinstellung sollte es grundsätzlich nicht möglich sein, Nutzer zu tracken. Dies sollte erst nach deren ausdrücklicher Zustimmung, also der Anpassung der Einstellung, machbar sein.
Dieser Entwurf erntete harsche Kritik aus der Wirtschaft, da viele Unternehmen, die digital gestützte Geschäftsmodelle verfolgen, sowie Verlage und die Werbebranche, die ihre Existenz hierdurch bedroht sahen. Im Gegensatz zum „Offline-Einzelhandel“ lebt der Online-Handel vor allem davon, dass er seine Nutzer beziehungsweise deren Gewohnheiten durch geschicktes Tracking beobachten und so für sich nutzen kann. Auch Verlage, die heutzutage vor allem von der Werbung leben, wären hiervon stark betroffen.
Die danach folgenden Entwürfe der unterschiedlichen Mitgliedstaaten wurden immer wieder kritisiert, weil sie entweder zu wirtschaftsliberal oder zu verbraucherfreundlich gestaltet waren.
War der deutsche Entwurf wirtschaftsfeindlich?
Die deutsche Ratspräsidentschaft hat sich zum Ziel gesetzt, einen kompromissfähigen Entwurf beizusteuern, der von beiden Seiten – Wirtschaft und Verbrauchern – akzeptiert werden würde. Letztlich ist dieses Ziel nicht gelungen. Tendenziell schien auch dieser Entwurf für die Abstimmenden zu wirtschaftsfeindlich, wobei Verbraucherverbände den Entwurf teilweise als „noch tragbar“ bezeichneten.
Besonders umstritten, und gleichzeitig verbraucherfreundlich, war im deutschen Entwurf die Streichung der Möglichkeit, Werbung auf berechtigte Interessen zu stützen. Grundsätzlich bedarf es für die Verarbeitung von personenbezogenen Daten einer Erlaubnis. Diese konnte laut den Vorentwürfen beispielsweise die Einwilligung sein oder auch die berechtigten Interessen der Unternehmen. Da es sich bei den berechtigten Interessen um einen auslegungsbedürftigen Rechtsbegriff handelt, ist häufig umstritten, ob eine Verarbeitung noch auf dieser Basis zulässig ist oder nicht doch eine Einwilligung notwendig ist. Die Nutzung von Daten für die Werbung bräuchte danach grundsätzlich die Einwilligung des jeweiligen Nutzers.
Der Entwurf sah allerdings eine Ausnahme für Presseverlage vor. Danach konnte man, unter anderem als Presseverlag, eine Publikumsmessung auch ohne Einwilligung vornehmen. Zur Finanzierung ihrer Angebote sind diese häufig auf Werbung angewiesen. Der deutsche Entwurf war für Presseverlage daher recht großzügig.
Ebenso sah der deutsche Entwurf vor, dass elektronische Kommunikationsmetadaten für statistische oder wissenschaftliche Zwecke ohne Einwilligung verarbeitet werden konnten. Nicht enthalten war allerdings eine Regelung bzw. Pflicht von Kommunikationsdiensteanbietern, die Inhalte der Nutzer (zumindest grob) zu scannen und illegale Inhalte wie die Darstellung von Kindesmissbrauch herauszufiltern. Die Kommission hingegen hätte gerne eine solche Regelung, mit der die Anbieter, wie zum Beispiel Facebook, Gmail, gmx oder andere Kommunikationsanbieter, zur Kontrolle der Inhalte gezwungen werden. Dieser Wunsch geht zurück auf die Initiative zum besseren Schutz von Kindern vor Missbrauch.
Ausblick und was gilt ohne die E-Privacy-Verordnung?
Den nächsten Entwurf wird höchstwahrscheinlich die nun folgende portugiesische Ratspräsidentschaft beisteuern. Ob dieser Entwurf Anklang finden wird, bleibt abzuwarten und ist aufgrund des immer noch sehr zerstrittenen Meinungsfeldes eher nicht zu erwarten.
Der deutsche Gesetzgeber hat bereits im Sommer 2020 angekündigt, im Alleingang ein neues Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) zu erlassen. Dieses soll eine neue Umsetzung der E-Privacy-Richtlinie in deutsches Recht darstellen. Der deutsche Gesetzgeber könnte – soweit die bisherige Richtlinie diesen Spielraum zulässt – die Regelungen aus dem eigenen Entwurf zur E-Privacy-Verordnung auf nationaler Ebene umsetzen.
Bis die E-Privacy-Verordnung oder ein deutscher Ersatz erlassen und zur Anwendung kommen, findet weiterhin die E-Privacy-Richtlinie Anwendung und somit die jeweils nationalen Umsetzungen dieser Richtlinie. In Deutschland bleiben daher zunächst die spezifischen Regelungen im TMG, UWG und TKG anwendbar. Unternehmen sollten sich darauf einstellen, dass dies noch für eine Weile so bleibt. An dieser Stelle kann man Jan Philipp Albrecht zitieren, der im EU-Parlament maßgeblich an der Verfassung der DSGVO mitwirkte und am 20.November 2020 zum erneuten Scheitern des E-Privacy-Verordnungsentwurfs Folgendes per Twitter mitteilte: „I told you from the beginning: The ePrivacy regulation is dead, long live the ePrivacy directive applied alongside with the GDPR.“
(ID:47089539)
:quality(80)/images.vogel.de/vogelonline/bdb/1912300/1912381/original.jpg "Seit Dezember 2021 gilt das TTDSG, aber auch dann sollten Unternehmen in Deutschland die kommende ePrivacy-Verordnung nicht aus den Augen verlieren. (peterschreiber.media - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1941600/1941631/original.jpg "Das Telekommunikation-Telemedien-Datenschutz-Gesetz oder kurz TTDSG ist ein Bundesgesetz zur Anpassung von Datenschutzregelungen an die DSGVO. (gemeinfrei)")