ePrivacy-Verordnung - Die wichtigsten Fakten
Author Rechtsanwalt Dr. Tobias Beltle

ePrivacy-Verordnung: Die wichtigsten Fakten

Veröffentlicht am Categories Blog Tags

Kaum hat sich für Unternehmen die Phase der ersten Unsicherheit durch die Datenschutzgrundverordnung (DSGVO) etwas entspannt, klopft mit der ePrivacy-Verordnung (ePVO) schon die nächste Datenschutz-Regelung an die Tür.

Aktuell läuft die Abstimmung zwischen Kommission, Rat und Parlament.  Dass die e-Privacy-Verordnung zusätzlich zur DSGVO kommen wird, dürfte aller Voraussicht nach nur noch eine Frage der Zeit sein.

Schon jetzt ist deshalb klar: Vor allem für Software-Hersteller, App-Entwickler oder Anbieter von Online-Marketing, aber auch für Unternehmen, Firmen und Betrieben allgemein, wird sich bei Einführung der ePrivacy-Verordnung einiges ändern.

Wir erklären, was auf ihr Unternehmen zukommt und worauf Sie achten sollten.

Was ist die ePrivacy-Verordnung?

Die ePrivacy-Verordnung (ePVO) ist eine im Gesetzgebungsverfahren befindliche EU-Verordnung und soll den Schutz von Grundrechten und Grundfreiheiten natürlicher und juristischer Personen bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste in der Europäischen Union regeln.

Die neue ePrivacy-Verordnung ist ein sog. „Lex specialis“, also ein spezielles Gesetz, das dem allgemeinen Gesetz vorgeht. Die ePrivacy-Verordnung präzisiert somit die allgemeinen Vorschriften der Datenschutz-Grundverordnung, um ein einheitliches Datenschutzrecht in der EU zu erreichen.

ePrivacy-Richtlinie wird zur EU-Verordnung

Um das Zusammenspiel zwischen der ePrivacy-Richtlinie und der DSGVO zu vereinfachen, hat die EU-Kommission beschlossen, aus der Richtlinie eine Verordnung zu machen, um gemeinsam mit der DSGVO europaweit einheitliche Datenschutz-Regelungen einzuführen.

Im Unterschied zu Richtlinien, die von jedem Mitgliedsstaat noch in nationales Recht umgesetzt werden müssen und daher oft abweichende Regelungen enthalten, sind EU-Verordnungen Gesetze und gelten direkt nach Inkrafttreten gleichermaßen in allen Mitgliedsstaaten.

Die neue Verordnung ersetzt nach Abschluss des Gesetzgebungsverfahrens und Inkrafttreten die derzeit geltende ePrivacy Richtlinie (2002/58/EG) sowie die ergänzende Cookie-Richtlinie (2009/136/EG).

Mit Einführung der ePrivacy-VO sind diese Bestimmungen vorrangig gegenüber der Datenschutz-Grundverordnung zu behandeln.

Aktueller Stand der ePrivacy-Verordnung

Ursprünglich sollte die ePVO zeitgleich mit der Anwendbarkeit der DSGVO am 25.05.2018 in Kraft treten, die Einführung wurde allerdings aufgrund des ambitionierten Zeitplans zurückgestellt.

Aktuell befindet sich die Verordnung somit in der Entwurfsphase und es ist noch nicht abzusehen, wann sich EU-Parlament, EU-Kommission und EU-Ministerrat auf einen gemeinsamen Verordnungstext einigen können.

Am 19.10.2018 hat die österreichische Ratspräsidentschaft einen revidierten Verordnungsentwurf eingebracht, der das angestrebte Schutzniveau der ePrivacy-Verordnung allerdings erheblich absenkt, was erneut zu Diskrepanzen innerhalb der Mitgliedsstaaten führen könnte. Mit einer Einigung wird daher frühestens Ende 2019/Anfang 2020 gerechnet.

In Anlehnung an die Datenschutz-Grundverordnung soll eine zweijährige Übergangsfrist vom Zeitpunkt der Rechtsverbindlichkeit bis zur verpflichtenden Anwendung dafür Sorge tragen, dass Unternehmen genügend Zeit zur Umsetzung bleibt.

Da der Entwurf noch den Rat der Europäischen Union sowie das EU-Parlament passieren muss, ist folglich nicht vor 2021/2022 mit einer Anwendungsverpflichtung zu rechnen.

Bis zur endgültigen Inkraftsetzung gelten weiterhin die Bestimmungen der Datenschutz-Grundverordnung, das Telekommunikationsgesetz (TKG) sowie das Telemediengesetz (TMG) – insbesondere die „Cookie-Regelungen“ des § 15 Absatz 3 (TMG).

Ziele der ePrivacy-Verordnung

Die ePrivacy-Verordnung soll

  • Klarheit bei der Verarbeitung personenbezogener Daten von Verbrauchern schaffen und für Transparenz sorgen
  • Umgang mit Datenschutz vereinfachen (Privacy by default)
  • das Vertrauen der Bürger in die elektronische Kommunikation stärken
  • europaweit strengere Neuregelungen zum Schutz personenbezogener Daten von Verbrauchern implementieren.

Welche Branchen sind betroffen?

Die ePrivacy-Verordnung soll – anders als die DSGVO erweitert – für alle natürlichen und juristischen Personen (Unternehmen, Vereine, etc.) gelten. Große und mittlere Unternehmen, aber auch viele kleinere Betriebe und Firmen nutzen heutzutage elektronische Kommunikationsdaten, z.B. zur Bearbeitung von Kundenanfragen oder aus Werbezwecken. Grundsätzlich wird die ePrivacy – Verordnung maßgebliche Veränderungen für all jene bringen, die

  • Online-Kommunikationsdienste anbieten (z. B. Website),
  • Online- und Offline-Tracking verwenden(z. B. Google Analytics) oder
  • elektronisches Direktmarketing (z. B. Newsletter) betreiben.

Hier sollten sich Unternehmen – beziehungsweise die verantwortlichen Geschäftsleitungen sowie interne und betriebliche Datenschutzbeauftragte – rechtzeitig auf weitgehende Änderungen gefasst machen und sich frühzeitig mit den möglichen Auswirkungen der ePrivacy-Verordnung auseinandersetzen.

Darüber hinaus ersetzt die ePrivacy-Verordnung die bisherigen datenschutzrechtlichen Regelungen im Gesetz gegen unlauteren Wettbewerb (UWG), Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG). Damit ist sie auch für gegenständliche Kommunikationsformen wie etwa Telefongespräche, Internetzugänge, Instant-Messaging-Dienste, E-Mails, Internet-Telefonie oder Personal-Messaging von Relevanz, während hier die spezifischen Neuregelungen gering ausfallen.

Achtung: Hohe Bußgelder – Herausforderungen für Unternehmen

Zwar sind noch nicht alle Inhalte und Details der ePVO endgültig beschlossen und in Stein gemeißelt. Die grundlegenden Anforderungen stehen aber prinzipiell fest und somit auch, welche Herausforderungen bzw. Auswirkungen sich für Unternehmen in naher Zukunft ergeben werden. Orientiert man sich am Strafrahmen der DSGVO, sind Geldbußen von bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes eines Unternehmens denkbar.

Grundsätzlich gilt: Keine Datenverarbeitung ohne Einverständnis

Dass Daten ohne Einverständnis nicht verarbeitet werden dürfen ist durch die DSGVO bereits geregelt. Die ePrivacy-Verordnung erstreckt diesen Schutz nun auf elektronische Kommunikationsdaten und damit letztlich auf den gesamten Bereich der „digitalen Daten“, auch im Bereich von Unternehmen und damit gerade auch für den Mittelstand. Denn die ePVO soll als Spezialgesetz zur Datenschutz-Grundverordnung (DSGVO / GDPR) diese im Hinblick auf elektronische Kommunikationsdaten, die als personenbezogene Daten einzustufen sind, präzisieren und ergänzen. Alle Fragen der Verarbeitung personenbezogener Daten, die in der ePVO nicht spezifisch geregelt sind, werden wie bisher auch weiterhin von der DSGVO erfasst.

Die wichtigsten Änderungen beispielhaft im Überblick:

  1. Weitergabe personenbezogener Daten innerhalb von Apps
    Kommunizieren Apps mit anderen Apps oder unterschiedliche Tools innerhalb einer App miteinander, werden personenbezogene Daten aufgrund der DSGVO zwar so verarbeitet, dass sie unpersönlicher werden, sie bleiben allerdings elektronische Kommunikationsdaten. Daher müssen Tools entkoppelt werden. Eine standardmäßige Personalisierung von vornherein ist nicht mehr möglich.
  2. Zugriff auf Sensordaten bei Benutzung der App
    Apps greifen auf unterschiedlichste durch Sensoren des Endgeräts erhobene Daten zu. Viele Anbieter nutzen diese um werberelevante Informationen zu erlangen, um die Leistung der App auf dem spezifischen Endgerät zu verbessern oder um neue Produkte zu entwickeln. Voraussichtlich kann auch diese Erhebung weiterhin nur mir Einwilligung des Endnutzers erfolgen.
  3. Einfacher Schutz vor Online-Tracking (Do Not Track)
    Voraussichtlich ist die Zustimmung oder Ablehnung zum Online-Tracking künftig durch eine Option im Internet – Browser generell möglich. So können Endnutzer durch die Do Not Track-Funktion den Einsatz von Cookies, welche für ihre Privatsphäre von Relevanz sind, grundsätzlich für alle Fälle untersagen.
  4. Privatsphäre-Einstellungen, Privacy by default (Browser, Smartphone-Betriebssystemen)
    Optionen wie die „Do Not Track – Funktion“ sollen voraussichtlich bereits in den Werkseinstellungen aktiviert sein um weniger technikaffine Menschen, die Datenschutzoptionen schlichtweg nicht selbst aktivieren können, im Internet nicht schutzlos zu lassen.
  5. Umgang mit Cookies
    Cookies, welche die Privatsphäre des Nutzers nicht beeinträchtigen, dürfen künftig voraussichtlich ohne dessen Information oder Zustimmung eingesetzt werden. Demgegenüber wird der Einsatz von nutzerrelevanten Cookies zwingend der ausdrücklichen Zustimmung bedürfen. Eine sog.  „Opt – out“ – Funktion ist dann nicht mehr ausreichend.
  6. Recht auf „Vergessenwerden“
    Durch e-Privacy erhalten Nutzer voraussichtlich alle sechs Monate das Recht, ihre gesammelten Daten vollends löschen zu lassen. Viele Anbieter werden deshalb ihre Daten – Infrastruktur erneuern müssen, da Einträge künftig ganz gezielt und auch aus Backup – Datenbanken gelöscht werden müssen.
  7. Direktwerbung
    Direkt auf den individuellen Endverbraucher abzielende Werbung (z.B. Direct Mailing) wird voraussichtlich weiterhin generell zur „unerbetenen Kommunikation“ erklärt und ist deshalb nur mit Einwilligung erlaubt. In Deutschland ändert sich am status quo nichts, da § 7 UWG bereits „unzumutbare Belästigung“ untersagt.
  8. Einschränkungen für das Offline-Tracking
    Über WLAN und Bluetooth – Signale von Smartphones lassen sich Kunden auch in der realen Welt tracken. Durch das Auslesen individueller Gerätekennungen (z.B. MAC – Adresse) in Geschäftsräumen, Einkaufszentren oder Flughäfen werden Bewegungsprofile, Besuchszeiten und Interessen erfasst. Dies wird in Zukunft voraussichtlich  weiterhin nur noch mit Einwilligung möglich sein, sofern die Erhebung dazu geeignet ist, Kunden individuell zu überwachen.
  9. Recht auf Verschlüsselung, Ende-zu-Ende-Verschlüsselung
    Telefon-Anbieter müssen bei Verschlüsselung der Kommunikation den „neuesten Stand der Technik“ anwenden. Die e-Privacy-VO sieht das auch für „Over the top-Dienste“ – wie z.B. WhatsApp oder ähnliche Dienste – vor. Damit wird die „Ende-zu-Ende-Verschlüsselung“ zum Schutz der Privatsphäre obligatorisch.

Fazit

Zusätzlich zur bereits am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung (DSGVO) bringt auch die e-Privacy Verordnung bei Inkrafttreten noch weitergehende grundlegende und tiefgreifende Veränderungen im Datenschutz. Gerade Unternehmen und ihre betrieblichen bzw. internen Datenschutzbeauftragten sollten sich daher rechtzeitig auf die Anpassung von Produkten, IT-Prozessen, IT-Recht und IT-Infrastruktur oder Datenschutzvereinbarungen einstellen. Als Spezialisten im Datenschutzrecht stehen wir ihnen mit unserem Beratungsportfolio gerne zur Verfügung.

Haben Sie Fragen oder benötigen Sie weitere Informationen?
Rechtsanwalt Dr. Tobias Beltle berät Sie gerne.

Rechtsanwalt Dr. Tobias Beltle ist Fachanwalt für gewerblichen Rechtsschutz, Fachanwalt für Informationstechnologierecht (IT-Recht) und Mediator. Er ist in seiner anwaltlichen Tätigkeit spezialisiert in den Bereichen des gewerblichen Rechtsschutzes und des IT-Rechts.

Alle Beiträge von Rechtsanwalt Dr. Tobias Beltle anzeigen