Mit der DSGVO sollte eigentlich auch die ePrivacy-Verordnung in Kraft treten. Jedoch war der Druck durch die digitale Wirtschaft zu groß und die Vorstellungen in den EU-Ländern zu unterschiedlich. Aber: Die ePrivacy-Verordnung wird kommen und Unternehmen sollten sich rechtzeitig darauf vorbereiten.
Was ist die E-Privacy-Verordnung?
Die Verordnung über Privatsphäre und elektronische Kommunikation (ePVO, kurz ePrivacy-Verordnung) sollte ursprünglich mit der DSGVO erscheinen. Bisher gilt in der Europäischen Union die E-Privacy-Richtlinie, die jedes EU-Land selbst umsetzen musste. Deutschland setzte die Richtlinie zum großen Teil als Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) um. Jedoch sind die Regelungen veraltet, die Entwicklungen in der digitalen Wirtschaft sind zu rasant. Dadurch gibt es in den gesetzlichen Regelungen viele Leerstellen, die Fragen offen lassen.
Besonders brisant und weitreichend ist die Thematik von Tracking und Targeting: Welche Daten dürfen Unternehmen erheben und speichern – und welches Mitspracherecht haben Privatpersonen. Die E-Privacy-Verordnung soll diese Fragen beantworten und so die Rechte von Privatpersonen, aber auch Unternehmen schützen. Da es sich dann um eine EU-Verordnung und nicht um eine Leitlinie handelt, gilt die E-Privacy-Verordnung sofort nach dem Inkrafttreten im ganzen EU-Raum. Die nationalen Gesetzgeber können nur über Öffnungsklauseln leicht nachjustieren.
Wie wird sich die E-Privacy-Verordnung auswirken?
Ein Grund, warum die E-Privacy-Verordnung nicht mit der DSGVO in Kraft getreten ist, war der Druck der Wirtschaft. Diese setzt alles daran, Einfluss auf die Ausgestaltung der Verordnung zu nehmen, damit die gesetzlichen Regelungen nicht zu streng werden. Es wird befürchtet, dass digitale Business-Zweige schwere Einbußen hinnehmen werden müssen oder bestimmte Methoden ganz verboten werden.
Datenschutz-Expertinnen und Datenschutz-Experten sowie die Datenschützer der EU-Kommission sehen jedoch eine absolute Notwendigkeit, der digitalen Wirtschaft und ihrem Vorgehen mittels einer Verordnung einen gesetzlichen strukturieren Rahmen zu geben. Das soll den Beteiligten auch die notwendige Rechtssicherheit geben, die bisher fehlt.
Was sind die Inhalte der E-Privacy-Verordnung?
Die ePrivacy-Verordnung soll die Einrichtung und Anwendung von elektronischen Kommunikationsdiensten regeln, die Anbieter den Endnutzern bereitstellen.
Neben den klassischen Telekommunikationsdiensten soll mit der ePrivacy-Verordnung auch der Datenschutz in Messenger- und VoIP-Diensten wie etwa WhatsApp, Skype und Threema, in E-Mail-Diensten wie Gmail und Posteo sowie sogenannten Machine-to-Machine-Kommunikation („M2M“) konkret angegangen werden.
Advertiser und Datenschutzbeauftragte werden mit dem Inkrafttreten vor die Herausforderung gestellt werden, die technischen und organisatorischen Grundlagen für die Umsetzung der Verordnung zu realisieren.
Da die Abstimmung zwischen den EU-Ländern aktuell auf Eis liegt, ist noch nicht klar, was genau die Inhalte der ePrivacy-Verordnung sein werden. Aber es gibt Tendenzen und wichtige Themen, die sicher darin behandelt werden. Dazu gehörden die folgenden:
- Recht auf „Vergessenwerden“: Bisher ist es Endverbrauchern nur schwer bis gar nicht möglich, auf schnellem Weg eine Einwilligung zur Datenverarbeitung zu widerrufen. In Zukunft soll es möglich sein, seine Einwilligung alle sechs Monate widerrufen zu können. Unternehmen müssen deshalb die technischen Grundlagen dafür schaffen, dass die Löschung von Einwilligungen und der Nachweis über die Löschung in Datenbanken datenschutzkonform durchgeführt werden kann.
- Datenverarbeitung und Datenspeicherung: Eine der größten rechtlichen Grauzonen ist aktuell die Nutzung von Verarbeitungs- und Speicherfunktionen. Wann braucht es für Cookies eine Opt-in-Funktion, wann reicht eine Opt-out-Funktion? Wie funktioniert datenschutzkonformes Tracking und Targeting? Diese drängenden Fragen soll die ePrivacy-Verordnung beantworten. Mit der Verordnung soll es auch nicht mehr erlaubt sein, Informationen über die verwendeten Gerätetypen der Nutzerinnen und Nutzer zu sammeln, zudem soll die Opt-in-Regelung verpflichtend werden.
- Kopplungsverbot: Bereits jetzt gibt es faktisch ein Kopplungsverbot, dass sich durch die Auslegung bestimmten Passagen der DSGVO erschließt. In der ePrivacy-Verordnung soll noch einmal bestärkt werden, dass bestimmte Angebote auf Websites nicht von der Einwilligung in die Datenerhebung abhängig gemacht werden dürfen.
- Rufnummernunterdrückung: Nutzerinnen und Nutzern soll es in Zukunft noch einfacher möglich sein, ihre Rufnummer kostenlos zu unterdrücken. Eintragungen in Telefonbücher sollen nur noch nach ausdrücklicher Einwilligung der betroffenen Person möglich sein. Es wird vielleicht über Landesrecht geregelt, dass eine Widerspruchslösung ausreichend ist.
- Direktwerbung: Direktwerbung wird mit der ePrivacy-Verordnung schwieriger werden, denn Nutzerinnen und Nutzer müssen zukünftig jederzeit die Möglichkeit haben, der Zusendung von Direktwerbung – auf welchem Weg auch immer – widersprechen zu dürfen.
- Privatsphäre-Einstellungen: Mit der ePrivacy-Verordnung soll die Privatsphäre von Personen gestärkt werden. In diesem Sinne sollen beispielsweise Browser wie Google Chrome, Firefox oder Safari bereits von Beginn an datenschutzfreundlich eingestellt sein, damit u. a. keine Daten für Werbezwecke erhoben werden, sobald der Browser verwendet wird
Welche Bußgelder bei Verstößen gegen die E-Privacy-Verordnung?
Unternehmen die gegen die ePrivacy-Verordnung verstoßen, können ähnliche Bußgeldhöhen wie bei Verstößen gegen die DSGVO erwarten. Datenschutzbehörden werden einen gewissen Handlungsspielraum bei der Behandlung von Verstößen haben, in jedem Fall wird es bei den folgenden Verstößen Strafen geben:
- Verstöße gegen den Grundsatz der Vertraulichkeit der Kommunikation
- unbefugtes Verarbeiten von elektronischen Kommunikationsdaten
- Verstoß gegen die Löschungsfristen der ePrivacy-Verordnung
Gibt es eine Übergangsfrist?
Die ePrivacy-Verordnung gilt sofort nach dem Inkrafttreten, jedoch wird es für Unternehmen wohl eine Übergangsfrist von mindestens einem Jahr geben. Jedoch hat bereits die Übergangszeit beim Inkrafttreten der DSGVO – die eine Übergangszeit von zwei Jahren hatte – gezeigt, wie aufwändig und langwierig es sein kann, die technischen und organisatorischen Grundlagen für die Umsetzung der Neuregelungen zu schaffen. Unternehmen sollten sich also frühestmöglich auf die Umsetzung der ePrivacy-Verordnung vorbereiten.
ShapeMinds
Wie sollten sich Unternehmen vorbereiten?
Da der inhaltliche Rahmen der ePrivacy-Verordnung bereits steht, sollten sich Unternehmen im besten Falle bereits jetzt damit auseinandersetzen, was die Verordnung für das eigene wirtschaftliche Handeln bedeutet. Gibt es einen internen Datenschutzbeauftragten, sollten diesem alle notwendigen Möglichkeiten eröffnet werden, um sich in die Thematik einzuarbeiten und die notwendigen Schritte einzuleiten. Das können Datenschutz-Schulungen für Mitarbeiter sein oder das Hinzurufen von externen Datenschutz-Beratern.
Wer keinen internen Datenschutzbeauftragten hat, sollte sich in jedem Fall von Datenschutzexperten beraten lassen oder zumindest eine Online-Schulung für Datenschutz durchführen, die auf die ePrivacy-Verordnung abgestimmt ist.