eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk

EU arbeitet nach der DSGVO nun an der ePrivacy-Verordnung

/von

So, den 25.05.2018 haben wir “hinter uns gebracht” und die Welt ist entgegen aller Befürchtungen weder untergegangen noch stehengeblieben. “Fertig” denkt jetzt vielleicht der Eine oder die Andere, aber: Weit gefehlt. Wir haben jetzt gerade den ersten Teil hinter uns gebracht und vermutlich im nächsten Jahr geht es weiter. Die EU beglückt uns nämlich mit einer weiteren Verordnung, der ePrivacy-Verordnung (ePVO). Wir hatten in der Vergangenheit schon hier dazu berichtet, die Berichterstattung aber in der näheren Vergangenheit vorerst eingestellt, weil sich abzeichnete, dass die ePVO sich verzögern würde und uns die DSGVO zu diesem Zeitpunkt einfach mehr am Herzen lag. Im Hinblick auf den 25.05.2018 hatten alle Unternehmen gerade in den letzten Wochen ordentlich Schwung aufgenommen und haben sich ordentlich ins Zeug gelegt, bis zum Stichtag möglichst umfangreich die Anforderungen der DSGVO umzusetzen. Diesen Schwung gilt es nun zu nutzen und möglichst direkt in die Planung der Projekte für die Umsetzung ePrivacy-Verordnung zu überführen.

Wir können nur spekulieren

Wie in unserem oben erwähnten, fast ein Jahr altem, Artikel beschrieben müssen wir davon ausgehen, dass sich die zukünftig verabschiedete Version deutlich von den bisherigen Verhandlungsergebnissen unterscheiden wird. Daher ist es zum derzeitigen Zeitpunkt sicher nicht zielführend, sich auf konkrete Inhalte vorzubereiten oder diese ggf. in vorauseilendem Gehorsam bereits umzusetzen. In unseren Augen jedoch sehr sinnvoll ist, sich bereits heute mit den Regelungszielen der Verordnung zu beschäftigen, um zu erkennen, wo die Reise wohl hingehen wird.

Aus Richtlinie wird Verordnung

Aber ganz von Anfang: Bereits seit 2002 existiert eine ePrivacy-Richtlinie (keine Verordnung), die in nationales Recht der einzelnen EU-Mitgliedsstaaten umgesetzt wurde und sich in der Bundesrepublik Deutschland beispielsweise in einzelnen Regelungen im Telemediengesetz (TMG) niederschlug. Ergänzt wurde diese Richtlinie im Jahr 2009 durch die Richtlinie mit dem einprägsamen Namen “Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz (Text von Bedeutung für den EWR)”, besser bekannt als sog. Cookie-Richtlinie.

Unter anderem aufgrund der mangelhaften Umsetzung in einzelnen Mitgliedsstaaten soll diese Richtlinie nun durch eine einheitliche, in allen Mitgliedsstaaten direkt geltende Gesetzgebung ersetzt werden. Darüber hinaus wird beispielsweise in der deutschen Gesetzgebung immer noch unterschieden zwischen Telekommunikationsdiensten und Telemediendiensten. Das führt zu der etwas bizarr anmutenden Situation, dass SMS und echte Telefonie den Regelungen des TKG unterliegen, Messenger mit viel umfangreicheren Möglichkeiten der Kommunikation, inkl. zu SMS und Telefonie äquivalenter Dienste, jedoch vom TMG geregelt werden.

Eine Neuregelung ist überfällig

Damit soll nun nach dem Willen der EU Schluss sein und wir halten eine entsprechende Neuregelung auch für dringend notwendig. Seit 2002 (bzw. 2009) hat sich technisch enorm viel getan und die Möglichkeiten der angebotenen Dienste haben sich deutlich weiter entwickelt. Dem muss nun zwingend mit einer Reform der in diesem Bereich veralteten Gesetzgebung Rechnung getragen werden.

Regelungen aus TMG, TKG und UWG werden betroffen sein

Was wird nun die ePVO regeln? 100% sicher können wir uns zum jetzigen Zeitpunkt natürlich noch nicht sein. Es zeichnet sich in den bisher vorliegenden Entwürfen von Rat und Parlament allerdings ab, dass sie neben einer Vereinheitlichung der Anforderungen an Kommunikationsdienstleister aller Art auch umfassende Regelungen zum Thema Werbung über elektronische Kanäle enthalten wird. Darüber hinaus wird es um das Thema Tracking und Profilbildung gehen. Damit wird die ePVO neben TMG und TKG auch in nicht unerheblichem Maße das Gesetz gegen den unlauteren Wettbewerb (UWG) beeinflussen. Dort sind derzeit in § 7 unter der Überschrift “unzumutbare Belästigungen” Regelungen zur Werbung über elektronische Kanäle gegenüber Verbrauchern und sog. Marktteilnehmern (also im B2B-Bereich) enthalten.

Noch strengeres Koppelungsverbot

Interessant ist, dass es Bestrebungen gibt, das bereits aus der DSGVO bekannte Koppelungsverbot im Regelungsbereich der ePVO noch zu konkretisieren, bzw. zu verschärfen. So soll es nach aktuellem Entwurf (des Rats) nicht mehr zulässig sein, bestimmte Inhalte von der Einwilligung beispielsweise zum Setzen bestimmter Cookies abhängig zu machen. Erwägungsgrund 21 enthält zwar eine scheinbare Ermöglichung dessen (“Access to specific website content may still be made conditional on the well-informed acceptance of a cookie or similar device, if it is used for a legitimate purpose”), aber diese berechtigten Interessen dürfen eben nicht sein, Werbung zu machen oder etwas zu verkaufen. Hier geht es eher darum, das berechtigte Interesse auf funktionierende technisch Mechanismen (z. B. Warenkorb oder Sessionverwaltung) auch weiter umsetzen zu dürfen.

Der Tod des Trackings?

Auch Tracking wird im aktuellen Entwurf defacto unmöglich gemacht: Es wird – so wie die Konferenz der Aufsichtsbehörden es vor ca. einem Monat als Positionspapier herausgegeben hatte – von einer Einwilligung abhängig gemacht. Das berechtigte Interesse, welches man unseres Erachtens heute durchaus verargumentieren könnte, fiele damit zukünftig als Rechtsgrundlage weg. In Kombination mit dem Koppelungsverbot bedeutet das, dass Tracking abgelehnt werden können muss und die Webseite dennoch ohne Einschränkungen funktionieren muss.

Die Nutzer wird es vermutlich freuen, für die gesamte Werbeindustrie sind solche Regelungen eine reale Existenzbedrohung.

Werbung über elektronische Kanäle

Aus unserer Sicht wirklich erfreulich sind die strengen Regelungen zum Thema Werbung über elektronische Kanäle. Die für diesen Bereich enthaltenen Regelungen entsprechen zwar in großen Teilen denen, die wir seit Jahren aus dem UWG kennen. Das war mit großen Teilen der Datenschutzgesetzgebung allerdings in der Vergangenheit auch so. Durch die DSGVO standen sie allerdings stärker im Blickpunkt der Unternehmen. Vieles, was seit 8 Jahren oder länger im BDSG stand, wurde nun endlich dadurch, dass es in die DSGVO aufgenommen wurde, von einer breiten Masse der Unternehmen umgesetzt. Wir hoffen, dass es im Bereich der Regelungen des § 7 UWG ähnlich aussieht.

Bußgelder wie in der DSGVO

Ein Weiteres werden sicher die erhöhten Bußgelder für Verstöße tun. Bestand das Hauptrisiko bei Kaltakquise-Anrufen oder unverlangt zugesandten Newslettern in der Vergangenheit darin, abgemahnt zu werden und Anwaltskosten tragen zu müssen, so drohen zukünftig Bußgelder, die dem Rahmen der DSGVO folgen: Bis zu 20 Mio Euro oder 4% des weltweiten Vorjahres-Brutto-Konzernumsatzes, je nachdem, welcher Betrag höher ist.

Risiko! Handeln Sie… JETZT

Damit ergibt sich für die Unternehmen durch die ePVO ein ähnliches Risiko, wie durch die DSGVO. Wir rechnen damit, dass die Umsetzung der ePVO einen ähnlichen Stellenwert in den Unternehmen einnehmen wird, wie in den letzten Monaten die Umsetzung der DSGVO. Allerdings hoffen wir, dass die Unternehmen bei diesem Thema etwas sensibler sind und nicht bis zum letzten Moment warten, um dann in Panik überstürzt loszulegen. Wer sich bereits heute mit den existierenden Entwürfen und mit den Erwägungsgründen beschäftigt, kann zumindest die Themenkomplexe, welche risikobehaftet sind, schon einmal identifizieren. Damit besteht die Möglichkeit, sich in den nächsten Monaten gezielt darauf vorbereiten, ein Umsetzungsprojekt rechtzeitig zu starten.

Wir werden uns weiter mit der ePVO, dem Gesetzgebungsprozess sowie den Auswirkungen beschäftigen. Gerne unterstützen wir Sie bei der Implementierung eines Projekts!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfersSerie zu den neuen Standardvertragsklauseln – Datenübermittlung zwischen Verantwortlichen (C2C)
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bSerie Rechtsgrundlagen: Die Vertragserfüllung oder vorvertragliche Maßnahmen nach Art. 6 Abs. 1 lit. b DSGVO
verschlüsselung supportende windows 7https-Verschlüsselung immer und auf allen Seiten!
dafta 2021Die 45. Datenschutzfachtagung (DAFTA) – wir waren dabei!
aufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi risikoanalyse zawasSerie Rechtsgrundlagen: Wahrnehmung öffentlicher Aufgaben nach Art. 6 Abs. 1 lit. e DSGVO
firmenwagen datenübermittlungEU macht Firmenwagen per Verordnung zu Datenschleudern