E-Privacy-Verordnung: Die DSGVO war erst der Anfang

Inhaltsverzeichnis

1. Was ist die E-Privacy-Verordnung?
2. Was ändert sich durch die E-Privacy-Verordnung?
3. Welche Bußgelder drohen bei Nichteinhaltung der E-Privacy-Verordnung?
4. Was ist überhaupt E-Privacy?
5. Was sind die wichtigsten Bestimmungen?
6. Die 4 wichtigsten Fragen zur E-Privacy-Verordnung
7. Wie sollten sich Unternehmen vorbereiten?

1. Was ist die E-Privacy-Verordnung?

Die ePrivacy-Verordnung (ePVO) soll Privatpersonen und Unternehmen schützen. Sie löst die E-Privacy-Richtlinie ab, die der deutsche Gesetzgeber größtenteils im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) umsetzte. Viele Unternehmer warnen bereits, dass die E-Privacy-Verordnung das digitale Business schwer schädigen wird. Es stünden sogar ganze Geschäftsmodelle vor dem „Aus“. Viele Unternehmen verfolgen die E-Privacy-Verordnung deshalb mit Argwohn. Als EU-Verordnung gilt die ePVO nach ihrem Inkrafttreten sofort innerhalb der gesamten Europäischen Union. Die nationalen Gesetzgeber können über Öffnungsklauseln in manchen Bereichen aber auch eigene Regelungen erlassen.

Anzeige

Die E-Privacy-Verordnung ist eine Art Spezialgesetz, das die DSGVO erweitern soll. Die ePVO bezieht sich auf den Datenschutz in der Privatsphäre und der elektronischen Kommunikation. Sie soll insbesondere die Datenverarbeitung in Betrieben behandeln. Die Datenschützer der EU-Kommission veröffentlichten bereits am 10. Januar 2017 einen ersten Entwurf mit Erwägungsgrund zu jeder Ausführung und einer ausführlichen Stellungnahme. Diesen können Sie hier abrufen:
http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=42678

Die Datenschützer der EU-Kommission sehen die E-Privacy-Verordnung als absolut notwendigen Schritt an. Die technischen und wirtschaftlichen Neuentwicklungen in der Europäischen Union machen in vielen Gebieten Neuregelungen notwendig. Die Verordnung soll insbesondere die Endnutzer einer elektronischen Kommunikation schützen.

2. Was ändert sich durch die E-Privacy-Verordnung?

Die Artikel in der ePrivacy-Verordnung sollen vorhandene Regelungslücken schließen. Die alte E-Privacy-Richtlinie hält den Entwicklungen in der Wirtschaft und der Technik nicht stand. Die Mitgliedsstaaten setzten die Artikel der E-Privacy-Richtlinie in nationale Gesetze um. In Deutschland geschah das über das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG).

Da es sich um eine Verordnung und nicht um eine Richtlinie handelt, ist die ePrivacy-Verordnung nach ihrem Inkrafttreten sofort in allen Mitgliedsstaaten wirksam. Es sind keine nationalen Gesetzgebungsakte erforderlich. Dies soll sicherstellen, dass die EU die Privatsphäre ihrer Bürger und deren personenbezogene Daten effektiv schützen kann.

Beispiel: Es kommen neue Techniken auf, die das Online-Verhalten des Nutzers tracken. Die bisherige Richtlinie erfasst diese Techniken noch nicht.

Die ePrivacy-Verordnung soll sich auf elektronische Kommunikationsdienste beziehen, die ein Anbieter einem Endnutzer bereitstellt. Sie gilt nicht für Kommunikationsdienste, die nicht öffentlich zugänglich sind. Die ePrivacy-Verordnung soll die Vertraulichkeitsstufe der elektronischen Kommunikationsdaten der Endnutzer festlegen. Außerdem soll sie regeln, unter welchen Voraussetzungen die Betreiber elektronischer Kommunikationsnetze Daten speichern dürfen. Die ePrivacy-Verordnung beinhaltet auch Vorgaben für den Telekommunikationssektor. Sie schreibt vor, wie Provider Rufnummern anzeigen und unterdrücken oder Anrufe sperren müssen. Außerdem wird sie verschiedene Themenkomplexe behandeln, beispielsweise:

• Verfahren mit einer unerbetenen Kommunikation
• Direktwerbung über elektronische Kommunikationsdienste
• Informationspflichten über Sicherheitsrisiken

Die ePrivacy-Verordnung wird – ebenso wie die Datenschutz-Grundverordnung – beschreiben, welche Aufgaben die Aufsichtsbehörden haben. Sie sieht auch Sanktionen für Unternehmen vor, die den Vorgaben der Verordnung nicht nachkommen.

3. Welche Bußgelder drohen bei Nichteinhaltung der E-Privacy-Verordnung?

Die ePrivacy-Verordnung wird einen ähnlichen Bußgeldrahmen wie die Datenschutz-Grundverordnung (DSGVO) aufstellen. Im derzeitigen Entwurf behandelt sie im 5. Kapitel Haftungsfragen und Schadensersatz. Die Höhe der Bußgelder hängt von verschiedenen Faktoren ab. Die Aufsichtsbehörde hat hier einen gewissen Handlungsspielraum. Strafen schreiben die Regelungen insbesondere bei folgenden Verstößen vor:

• Ein Unternehmen verstößt gegen den Grundsatz der Vertraulichkeit der Kommunikation.
• Ein Anbieter verarbeitet unbefugt elektronische Kommunikationsdaten.
• Ein Unternehmen verstößt gegen die Löschungsfristen der ePrivacy-Verordnung.

Der derzeitige Entwurf sieht Geldbußen in Höhe von bis zu 20 Millionen Euro vor. Alternativ darf die Aufsichtsbehörde bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen. Die Aufsichtsbehörde soll hier immer den Betrag verhängen, der höher ist.

4. Was ist überhaupt E-Privacy?

Stellen Sie sich E-Privacy zunächst einmal sehr simpel vor: Es ist nichts anderes als eine Ergänzung zur DSGVO. Die Europäische Union möchte personenbezogene Daten in der elektronischen Kommunikation noch besser schützen als bisher. Dies soll die Sicherheit des Nutzers erhöhen. Die DSGVO ist die erste Stufe, die die ePVO ergänzen soll. Die Verordnung bezieht sich auf den Weg personenbezogener Daten; die DSGVO setzt erst an, wenn personenbezogene Daten vorliegen.

Die beiden Verordnungen sollten ursprünglich zeitgleich in Kraft treten. Aufgrund heftiger Gegenwehr aus der Wirtschaft setzte die Europäische Union die ePVO aber erst einmal aus. Die Ratspräsidentschaft Rumäniens und die Europawahlen im Mai 2019 beschäftigen die Parlamente erst einmal und verzögern das Inkrafttreten der Verordnung. Dies verschafft Unternehmen eine kleine Atempause: Sie sollten sich aber schon jetzt auf die zahlreichen Änderungen einstellen. Das „Chaos“, das die DSGVO verursachte, lässt erahnen, was die ePVO anrichten wird.

5. Was sind die wichtigsten Bestimmungen?

Vertreter aus der Wirtschaft versuchen derzeit alles, um die Zustimmung der EU-Kommission zu gewinnen, damit diese die ePVO wirtschaftsfreundlicher gestaltet. Die wesentlichen Inhalte der ePVO sind aber schon jetzt gesetzt. Tritt die Verordnung in Kraft, sind wahrscheinlich die nachfolgenden Punkte besonders relevant.

Das Recht auf „Vergessenwerden“

Die Verordnung möchte dem Nutzer die Möglichkeit geben, dass er eine bereits erteilte Einwilligung alle sechs Monate widerrufen kann. Unternehmen müssen Datenbanken deshalb so anlegen, dass sie jederzeit gezielt einzelne Einträge entfernen können. Dieser Prozess muss dann auch Backups betreffen.

Datenverarbeitung und Datenspeicherung

Die Nutzung von Verarbeitungs- und Speicherfunktionen wie Google Analytics ist unzulässig, sofern der Nutzer nicht ausdrücklich darin einwilligt. Dies setzen Unternehmen schon jetzt bei Cookies, beim Tracking und beim Targeting um. Die ePVO wird hier wohl Ausnahmefälle zulassen, Online Marketing-Mitarbeiter stehen hier aber wohl trotzdem schon sehr bald vor immensen Problemen. Betreiber von Webseiten sollen zukünftig keine Informationen mehr darüber sammeln dürfen, welche Geräte ihre Nutzer verwenden. Die Opt-in-Regelung wird zukünftig wohl auch verpflichtend sein.

Kopplungsverbot

Die EU möchte Kopplungsverbot aus der DSGVO in die neue Verordnung integrieren. Es soll unzulässig sein, dass Webseitenbetreiber bestimmte Inhalte von einer Einwilligung abhängig machen.

Rufnummernunterdrückung

Nutzer sollen ihre Rufnummer ab sofort einfach und kostenlos unterdrücken können. Dies ist in der Praxis aber schon längst der Fall. Die ePVO wird aber wohl regeln, dass Anbieter Informationen wie eine Telefonnummer nur noch dann in Telefonbücher eintragen dürfen, wenn der Besitzer ausdrücklich zustimmt. Auf nationaler Ebene dürfen Staaten dann wohl eine Widerspruchslösung einführen. Dies bedeutet, dass die Einwilligung des Nutzers als erteilt gilt, wenn er nicht widerspricht.

Direktwerbung

Die ePVO erklärt Direktwerbung gegenüber Privatpersonen zukünftig zu einer „unerbetenen Kommunikation“. Dies gilt auch dann, wenn eine Privatperson vorher ein Produkt bei dem Unternehmen kaufte. Dann muss es ihr möglich sein, dass sie zukünftiger Werbung widerspricht.

Privatsphäre-Einstellungen

E-Mail-Provider und Entwickler von Anwendungen wie Browser müssen zukünftig ihre Privatsphäre-Einstellungen überarbeiten. Browser müssen leichter zugänglich und besser optimiert sein. Unbefugte Zugriffe von außen (auch in eine Cloud) dürfen technisch nicht mehr möglich sein. Wie das in der Praxis aussehen wird, ist derzeit noch nicht absehbar.

Sie haben Fragen zur ePrivacy-Verordnung oder brauchen Rechtsberatung zur DSGVO? Gern helfen Ihnen die spezialisierten Rechtsanwälte der Kanzlei Siebert Goldberg weiter! Jetzt anfragen!

Sören SiebertRechtsanwalt

6. Die 4 wichtigsten Fragen zur E-Privacy-Verordnung:

1. Wann tritt die ePrivacy-Verordnung in Kraft?

Die ePrivacy-Verordnung sollte ursprünglich zusammen mit der EU-Datenschutzgrundverordnung in Kraft treten. Sie erscheint aber nun voraussichtlich im Jahr 2020.

2. Gibt es eine Übergangsfrist?

Die ePVO ist eine Verordnung und erlangt deshalb eine sofortige gesetzliche Wirkung. Es wird aber wohl eine Übergangsfrist von mindestens einem Jahr geben.

3. Was bezweckt die ePVO?

Die ePVO soll personenbezogene Daten in der elektronischen Kommunikation schützen. Sie ergänzt die DSGVO dahingehend.

4. Schreiben die Gesetze Bußgelder vor?

Ja, setzen Sie die E-Privacy-Verordnung nicht innerhalb der Übergangsfrist um, schreiben die Regelungen Bußgelder vor. Diese belaufen sich auf bis zu 20 Millionen Euro oder auf bis zu vier Prozent des Umsatzes im vergangenen Geschäftsjahr.

7. Wie sollten sich Unternehmen vorbereiten?

Sie möchten sich nach dem Chaos um die EU-Datenschutzgrundverordnung nun besser auf die E-Privacy-Verordnung vorbereiten? Dann gehen Sie folgendermaßen vor: