Worum geht's?
Einige Unternehmen stemmten die Mammut-Aufgabe „DSGVO“ mit Bravour. Andere hinken noch gewaltig hinterher. Doch nun klopft schon das nächste Datenschutzthema an die Tür. Die ePrivacy-Verordnung sollte ursprünglich zusammen mit der DSGVO erscheinen. Nun kommt diese aber wohl frühestens Ende 2023, tendenziell eher später. Doch wie weit ist das Gesetzgebungsverfahren derzeit? Sollten Unternehmen schon jetzt erste Maßnahmen ergreifen? Was passiert, wenn Sie als Unternehmen die ePrivacy-Verordnung verschlafen?
1. Was ist die ePrivacy-Verordnung?
Die ePrivacy-Verordnung (ePVO, auch: ePrivacy-VO oder E-Privacy-Verordnung) soll Privatpersonen und Unternehmen schützen. Sie löst die E-Privacy-Richtlinie (auch Datenschutzrichtlinie für elektronische Kommunikation genannt) ab, die der deutsche Gesetzgeber größtenteils im Digitale-Dienste-Gesetz (ehemals Telemediengesetz) und Telekommunikationsgesetz (TKG) umsetzte. Viele Unternehmer warnen bereits, dass die ePrivacy-Verordnung das digitale Business schwer schädigen wird. Es stünden sogar ganze Geschäftsmodelle vor dem „Aus“.
Die Unternehmen verfolgen die ePrivacy-Verordnung deshalb mit Argwohn. Nach dem Inkrafttreten der ePrivacy-Verordnung ist bisher eine 24-monatige Übergangsfrist innerhalb der gesamten Europäischen Union vorgesehen, bevor die Verordnung gelten kann.
GUT ZU WISSEN
Die ePrivacy-Verordnung ist eine Art Spezialgesetz, das die DSGVO erweitern soll. Die ePrivacy-VO bezieht sich auf den Datenschutz in der Privatsphäre und der elektronischen Kommunikation. Sie soll insbesondere die Datenverarbeitung in Betrieben behandeln. Die Datenschützer der EU-Kommission veröffentlichten bereits am 10. Januar 2017 für die ePrivacy-Verordnung einen ersten Entwurf mit Erwägungsgrund zu jeder Ausführung und einer ausführlichen Stellungnahme.
Die Datenschützer der EU-Kommission sehen die E-Privacy-Verordnung als absolut notwendigen Schritt an. Die technischen und wirtschaftlichen Neuentwicklungen in der Europäischen Union machen in vielen Gebieten Neuregelungen notwendig. Die Verordnung soll insbesondere den Schutz der Endnutzer einer elektronischen Kommunikation gewährleisten.
2. Was ändert sich durch die E-Privacy-Verordnung?
Die Artikel in der ePrivacy-Verordnung sollen vorhandene Regelungslücken schließen, ohne über die Vorschriften der DSGVO hinauszugehen. Die alte E-Privacy-Richtlinie hält den Entwicklungen in der Wirtschaft und der Technik nicht stand. Die Mitgliedsstaaten setzten die Artikel der E-Privacy-Richtlinie in nationale Gesetze um. In Deutschland geschah das über das Digitale-Dienste-Gesetz (DDG (ehemals TMG)) und das Telekommunikationsgesetz (TKG).
WUSSTEN SIE'S?
Da es sich um eine Verordnung und nicht um eine Richtlinie handelt, ist die ePrivacy-Verordnung nach ihrem Inkrafttreten und der Übergangsfrist von zwei Jahren in allen Mitgliedsstaaten wirksam. Es sind keine nationalen Gesetzgebungsakte erforderlich. Dies soll sicherstellen, dass die EU die Privatsphäre ihrer Bürger und deren personenbezogene Daten effektiv schützen kann.
Beispiel: Es kommen neue Techniken auf, die das Online-Verhalten des Nutzers tracken. Die bisherige Richtlinie erfasst diese Techniken noch nicht.
Was soll die ePrivacy-VO beinhalten?
Die ePrivacy-Verordnung soll sich auf elektronische Kommunikationsdienste beziehen, die ein Anbieter einem Endnutzer bereitstellt. Beispielsweise sollen für Over-the-Top-Kommunikationsdienste wie WhatsApp und Skype die Datenschutzregeln erweitert werden. So soll die alltägliche Kommunikation über diese Dienste für den Nutzer sicherer und vertraulicher gemacht werden. Die ePrivacy-VO gilt nicht für Kommunikationsdienste, die nicht öffentlich zugänglich sind.
Außerdem soll sie regeln, unter welchen Voraussetzungen die Betreiber elektronischer Kommunikationsnetze Daten speichern dürfen. Die ePrivacy-Verordnung beinhaltet auch Vorgaben für den Telekommunikationssektor. Sie schreibt vor, wie Provider Rufnummern anzeigen und unterdrücken oder Anrufe sperren müssen.
-
Verfahren mit einer unerbetenen Kommunikation
-
Direktwerbung über elektronische Kommunikationsdienste
-
Informationspflichten über Sicherheitsrisiken
Die ePrivacy-Verordnung wird – ebenso wie die Datenschutz-Grundverordnung – beschreiben, welche Aufgaben die Aufsichtsbehörden haben. Sie sieht auch Sanktionen für Unternehmen vor, die den Vorgaben der Verordnung nicht nachkommen.
3. Politischer Exkurs: Wann tritt die ePrivacy-Verordnung in Kraft?
Vorgesehen war eigentlich, dass die ePrivacy-VO gleichzeitig mit der DSGVO, also am 25. Mai 2018, in Kraft tritt. Obwohl die Europäische Kommission im Januar 2017 einen Entwurf beim Europa-Parlament vorgelegt hat, stagnierten die Verhandlungen. Bis Mitte 2020 konnte keine Einigung erzielt werden.
Im Februar 2021 konnten sich die Mitgliedstaaten mit dem Rat einigen. Der nächste Schritt sind die Trilog-Verhandlungen. Diese laufen seit Mai 2021 und sind bislang (Stand: Juni 2023) noch immer nicht abgeschlossen.
Ein Blick in die Zukunft zeigt, dass die ePrivacy-Verordnung (aktueller Stand) nicht vor Ende 2023 in Kraft treten wird. Das bedeutet, dass durch die 2-jährige Übergangsfrist, die E-Privacy-Verordnung nicht vor Ende 2025 Anwendung finden wird.
Sobald frischer Wind in die Entwicklungen kommt und sich beim Inkrafttreten der ePrivacy-Verordnung etwas tut, werden wir Sie selbstverständlich darüber informieren. Dieser Artikel wird fortlaufend für Sie aktualisiert.
4. Welche Bußgelder drohen bei Nichteinhaltung der E-Privacy-Verordnung?
Die ePrivacy-Verordnung wird einen ähnlichen Bußgeldrahmen wie die Datenschutz-Grundverordnung (DSGVO) aufstellen. Im derzeitigen Entwurf behandelt sie im 5. Kapitel Haftungsfragen und Schadensersatz. Die Höhe der Bußgelder hängt von verschiedenen Faktoren ab. Die Aufsichtsbehörde hat hier einen gewissen Handlungsspielraum.
-
Ein Unternehmen verstößt gegen den Grundsatz der Vertraulichkeit der Kommunikation.
-
Ein Anbieter verarbeitet unbefugt elektronische Kommunikationsdaten.
-
Ein Unternehmen verstößt gegen die Löschungsfristen der ePrivacy-Verordnung.
Der derzeitige Entwurf sieht Geldbußen in Höhe von bis zu 20 Millionen Euro vor. Alternativ darf die Aufsichtsbehörde bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen. Die Aufsichtsbehörde soll hier immer den Betrag verhängen, der höher ist.
Denken Sie daran, dass seit dem 1. Dezember 2021 die Bußgeldvorschriften des TDDDG (ehemals TTDSG) gelten. Sie können auch vor dem Inkrafttreten der ePrivacy Verordnung bereits Bußgelder kassieren und abgemahnt werden.
5. Was sind die wichtigsten Bestimmungen?
Vertreter aus der Wirtschaft versuchen derzeit alles, um die Zustimmung der EU-Kommission zu gewinnen, damit diese die ePrivacy-VO wirtschaftsfreundlicher gestaltet. Die wesentlichen Inhalte der ePrivacy-Verordnung sind aber schon jetzt gesetzt. Tritt die Verordnung in Kraft, sind wahrscheinlich die nachfolgenden Punkte besonders relevant.
Das Recht auf „Vergessenwerden“
Die Verordnung möchte dem Nutzer die Möglichkeit geben, dass er eine bereits erteilte Einwilligung alle sechs Monate widerrufen kann. Unternehmen müssen Datenbanken deshalb so anlegen, dass sie jederzeit gezielt einzelne Einträge entfernen können. Dieser Prozess muss dann auch Backups betreffen.
Datenverarbeitung und Datenspeicherung
Die Nutzung von Verarbeitungs- und Speicherfunktionen wie Google Analytics ist unzulässig, sofern der Nutzer nicht ausdrücklich darin einwilligt. Dies setzen Unternehmen schon jetzt bei Cookies, beim Tracking und beim Targeting um. Die ePrivacy-VO wird hier wohl Ausnahmefälle zulassen, Online Marketing-Mitarbeiter stehen hier aber wohl trotzdem schon sehr bald vor immensen Problemen. Betreiber von Webseiten sollen zukünftig keine Informationen mehr darüber sammeln dürfen, welche Geräte ihre Nutzer verwenden. Die Opt-In-Regelung wird zukünftig wohl auch verpflichtend sein.
Kopplungsverbot
Die EU möchte das Kopplungsverbot aus der DSGVO in die neue Verordnung integrieren. Es soll unzulässig sein, dass Webseitenbetreiber bestimmte Inhalte von einer Einwilligung abhängig machen.
Rufnummernunterdrückung
Nutzer sollen ihre Rufnummer ab sofort einfach und kostenlos unterdrücken können. Dies ist in der Praxis aber schon längst der Fall. Die ePrivacy-Verordnung wird aber wohl regeln, dass Anbieter Informationen wie eine Telefonnummer nur noch dann in Telefonbücher eintragen dürfen, wenn der Besitzer ausdrücklich zustimmt. Auf nationaler Ebene dürfen Staaten dann eine Widerspruchslösung einführen. Dies bedeutet, dass die Einwilligung des Nutzers als erteilt gilt, wenn er nicht widerspricht.
Direktwerbung
Die E-Privacy-Verordnung erklärt Direktwerbung gegenüber Privatpersonen zukünftig zu einer „unerbetenen Kommunikation“. Dies gilt auch dann, wenn eine Privatperson vorher ein Produkt bei dem Unternehmen kaufte. Dann muss es ihr möglich sein, dass sie zukünftiger Werbung widerspricht.
Privatsphäre-Einstellungen
E-Mail-Provider und Entwickler von Anwendungen wie Browser müssen zukünftig ihre Privatsphäre-Einstellungen überarbeiten. Browser müssen leichter zugänglich und besser optimiert sein. Unbefugte Zugriffe von außen (auch in eine Cloud) dürfen technisch nicht mehr möglich sein. Wie das in der Praxis aussehen wird, ist derzeit noch nicht absehbar.
Vertraulichkeit der elektronischen Kommunikation
Besonders für Over-the-Top-Kommunikationsdienste wie WhatsApp oder Skype soll die ePrivacy-Verordnung eine vertrauliche Kommunikation gewährleisten. Dieser Punkt ist besonders wichtig, da die DSGVO diese Art der Kommunikation bisher nicht beinhaltet.
Sie haben Fragen zur ePrivacy-Verordnung oder brauchen Rechtsberatung zur DSGVO? Gern helfen Ihnen die spezialisierten Rechtsanwälte der Kanzlei Siebert Lexow Lang weiter! Jetzt anfragen!
6. Gibt es Kritik an der ePrivacy-Verordnung?
Natürlich kommt kein neues Gesetz ohne Gegenwind. Vor allem Betreiber von Online-Shops und Webseiten sowie Unternehmen, die Online-Marketing betreiben, bemängeln die ePrivacy-VO. Sie gehen davon aus, dass Nutzer durch die vielen Einwilligungen, die sie erteilen müssen, überfordert sein könnten.
Größten Kritikpunkt stellt allerdings die Finanzierung von Online-Medien dar. Viele Webseiten sind derzeit werbefinanziert und darauf angewiesen, Werbung auf Ihrem Blog oder Ihrer Nachrichtenseite zu schalten. Diese Anzeigen basieren auf personalisierten gesammelten Daten durch Tracking-Cookies. Dies wäre nach Inkrafttreten der ePrivacy-Verordnung nur nach ausdrücklicher Zustimmung des Nutzers möglich.
Obwohl vorgesehen ist, dass die ePrivacy-Verordnung die DSGVO nur ergänzt, gehen Verbände davon aus, dass die ePrivacy-VO der DSGVO widersprechen könnte. Dies könnte vor allem zur Rechtsunsicherheit führen. Außerdem wies bereits das BMWK (Bundesministerium für Wirtschaft und Klimaschutz) darauf hin, dass das TDDDG (ehemals TTDSG) nach Inkrafttreten der E-Privacy-Verordnung entsprechend angepasst werden müsste. Auch hier würde sich ein Hin-und-Her der rechtlichen Bestimmungen ergeben.
7. FAQ: Die 4 wichtigsten Fragen zur E-Privacy-Verordnung:
8. Checkliste: Wie sollten sich Unternehmen vorbereiten?
- Beratung durch einen Datenschutzbeauftragten
- Halten Sie sich an die DSGVO, vor allem wenn Sie personenbezogene Daten erheben und verarbeiten.
- Seit Dezember 2021 galt das TTDSG und nun das TDDDG. Halten Sie sich bis zum Inkrafttreten der ePrivacy-VO an diese Regelungen.
- Machen Sie sich nicht verrückt! Die ePrivacy-Verordnung kommt. Aber sie kommt nicht von jetzt auf gleich. Durch die Übergangsfrist haben sie insgesamt zwei Jahre Zeit, um alle Regelungen umzusetzen.
- Zurück zur Übersicht: "Datenschutz"
- Recht auf informationelle Selbstbestimmung (Grundgesetz)
- BDSG-neu
- Kopplungsverbot
- Privacy Shield (nicht mehr gültig!)
- TMG
- TDDDG (ehemals TTDSG)
- EU-US Data Privacy Framework
- Hinweisgeberschutzgesetz
- Digital Service Act - EU-Gesetz über digitale Inhalte
- Digitale Dienste Gesetz (DDG)
- Data Governance Act (DGA)