Logo der activeMind AG

Wann kommt die ePrivacy-Verordnung?

Inhalt

Die Einführung der ePrivacy-Verordnung wird schon seit Anfang 2017 aktiv im europäischen Gesetzgebungsverfahren vorangetrieben. Ursprünglich sollte die ePrivacy-Verordnung zusammen mit der EU-Datenschutz-Grundverordnung (DSGVO) in Kraft treten, da sie diese durch speziellere Regelungen bezüglich elektronischer Kommunikationsdaten ergänzt und präzisiert. Während die DSGVO seit dem 25. Mai 2018 gilt, lässt die ePrivacy-Verordnung weiter auf sich warten. Aktuelle Entwicklungen deuten jedoch darauf hin, dass es hierbei bald wichtige Änderungen geben könnte.

Update: Wie Anfang Dezember 2019 bekannt wurde, muss der derzeitige Entwurf für die ePrivacy-Verordnung als gescheitert betrachtet werden. Mehr Informationen …

Zur Erinnerung: Was ist die ePrivacy-Verordnung?

Zum einen soll die ePrivacy-Verordnung ein hohes Schutzniveau der Privatsphäre für alle Nutzer elektronischer Kommunikationsdienste schaffen, zum anderen gleiche Wettbewerbsbedingungen für alle Marktteilnehmer gewährleisten.

In den letzten Jahren haben sich technische und wirtschaftliche Entwicklungen auf dem Markt vollzogen, die die Verabschiedung einer solchen Verordnung notwendig erscheinen lassen. Anstatt herkömmliche Kommunikationsdienste zu nutzen, verlassen sich Verbraucher und Unternehmen zunehmend auf neue Internetdienste, wie z.B. VoIP-Telefonie, Instant Messaging und webgestützte E-Mail-Dienste. Solche sogenannten Over-the-Top-Kommunikationsdienste werden in der EU derzeit aber noch nicht durch Regelungen zur elektronischen Kommunikation erfasst. Die bisher geltende ePrivacy-Richtlinie von 2002 konnte mit der technischen Entwicklung nicht mehr Schritt halten. Darauf soll mit der Vorordnung reagiert werden. Funktional gleiche oder vergleichbare Dienste wie zum Beispiel WhatsApp und SMS hätten dann auch einen gleichen rechtlichen Rahmen, was bisher nicht der Fall ist.

Weitere wichtige Regelungsaspekte, die von der ePrivacy-Verordnung betroffen sein werden, sind unter anderem:

  • neben dem Inhalt der Kommunikation auch Metadaten, wie z.B. Uhrzeiten, Datum oder Ort die mit der Kommunikation verknüpft sind;
  • Cookies und andere Trackingtechnologien, wie sie auf vielen Websites zu finden sind (z.B. Google Analytics oder Facebook Pixel);
  • die Vertraulichkeit der Kommunikation über Hotspots;
  • die E-Marketing-Kommunikation, die bisher in § 7 Abs. 3 UWG geregelt ist.

In einem gesonderten Ratgeber zur Vorbereitung auf die ePrivacy-Verordnung finden Sie eine ausführlichere Darstellung der Verordnungsinhalte.

Für welche Unternehmen ist die ePrivacy-Verordnung relevant?

Ähnlich wie die Einführung der DSGVO wird auch die Einführung der ePrivacy-Verordnung weitreichende Auswirkungen auf den unternehmerischen Alltag haben. Um das angestrebte hohe Schutzniveau für elektronische Kommunikationsdaten gewährleisten zu können, werden betroffene Unternehmen verpflichtet, einen umfangreichen Maßnahmenkatalog umzusetzen. Analog zur DSGVO soll auch in der ePrivacy-Verordnung ein generelles Verarbeitungsverbot personenbezogener Daten vorliegen wenn nicht eine gesetzliche Ausnahme vorliegt – das sogenannte Verbot mit Erlaubnisvorbehalt.

Hiervon betroffen sind nahezu alle Unternehmen und nicht nur solche, die elektronische Kommunikation als Produkt anbieten. Denn es reicht schon, eine eigene Website zu betreiben (Cookies) oder auch nur Mitarbeitern mittels Browser Zugang zum Internet zu gewährleisten (Privatsphäre-Voreinstellungen, Art. 10 ePrivacy-Verordnung).

Auch die bisher in § 7 Abs. 3 UWG geregelte gewerbliche Ansprache mittels elektronischer Kommunikation soll inhaltsgleich in Art. 16 Abs. 2 der ePrivacy-Verordnung übernommen werden. Jedoch können dann mögliche Bußgelder wegen eines Verstoßes deutlich höher ausfallen als bisher.

Im Ergebnis wird die ePrivacy-Verordnung ein strenger Regelungskatalog sein, der in seinem Anwendungsbereich Vorrang vor anderen Rechtsvorschriften hat. Insbesondere auch vor den allgemeineren Vorschriften der DSGVO! Ebenso tritt nationales Recht hinter einer EU-Verordnung zurück. Konkret bedeutet dies, dass die bisherigen Regelungen im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG), die mitunter eine Umsetzung der ePrivacy-Richtlinie von 2002 darstellen, durch die neue Verordnung abgelöst werden.

Aktueller Stand des Gesetzgebungsverfahrens

Nach den neuesten Verlautbarungen aus dem Gesetzgebungsvorgang rückt die Verabschiedung der ePrivacy-Verordnung immer näher. Gerade unter dem Aspekt, dass die Verordnung dann direkt in allen EU-Staaten gilt und nicht erst durch nationales Recht umgesetzt werden muss, ist das Thema von hoher Relevanz für alle Betroffenen.

Die wesentlichen Punkte scheinen inzwischen inhaltlich ausgehandelt zu sein. Darunter fallen insbesondere alle oben aufgeführten Aspekte der Verordnung. Die Kritik der Digitalverbände und Interessenvertreter der Digitalwirtschaft, die eine Lockerung der Vorschriften zugunsten von Werbetreibenden fordern, wird vom Gesetzgeber vermutlich vernachlässigt. Das Schutzniveau soll nicht aufgeweicht werden.

Diskussionsbedarf besteht vor allem noch im Hinblick auf zwei Punkte:

  • Im Bereich neuer Technologien im Kontext Machine-to-Machine-Communication, Internet-of-Things (IoT) und Künstliche Intelligenz soll die ePrivacy-Verordnung zukunftssicher gestaltet werden.
  • Regelungen, die eine Datenverarbeitung zu Zwecken des Auffindens, Löschens und Meldens von kinderpornographischem Material erlauben sollen.

Diese Punkte waren in einem Kompromissvorschlag des EU-Ratsvorsitzes vom Februar 2019 und in einem Sachstandsbericht von Ende Mai 2019 die noch offenen Hauptdiskussionspunkte.

Wann tritt die ePrivacy-Verordnung in Kraft und wird anwendbar?

In seiner achten Sitzung am 13. März 2019 forderte der Europäische Datenschutzausschuss den europäischen Gesetzgeber erneut auf, die ePrivacy-Verordnung schnellstmöglich zu verabschieden. Mit weiteren großen Verzögerungen sollte man daher nicht rechnen.

Gemäß aktuellem Entwurf wird die ePrivacy-Verordnung 24 Monate nach ihrem Inkrafttreten anwendbar. Mit einer verbindlichen Anwendbarkeit der ePrivacy-Verordnung ist deshalb frühestens Ende 2021 zu rechnen.

Die Einführung der ePrivacy-Verordnung kann allerdings einiges an Aufwand bedeuten. Wichtig ist es daher, rechtzeitig vorzusorgen und frühzeitig mit der Umsetzung zu beginnen. Ansonsten droht die Gefahr, dass Produkte und Dienstleistungen nach Inkrafttreten der Verordnung nicht mehr angeboten werden dürfen oder hohe Bußgelder verhängt werden. Nach dem aktuellsten Entwurf sind Bußgelder in Höhe von bis zu 20 Millionen Euro oder alternativ bis zu vier Prozent des weltweit erzielten Jahresumsatzes möglich.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten und wir sorgen dafür, dass Sie rechtzeitig alle Verarbeitungen auf die ePrivacy-Verordnung anpassen können!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.