Die ePrivacy Verordnung zum digitalen Datenschutz – Chancen und Risiken für Unternehmen und Verbraucher

Die ePrivacy Verordnung zum digitalen Datenschutz – Chancen und Risiken für Unternehmen und Verbraucher

Die ePrivacy-Verordnung wird seit vielen Jahren in der EU diskutiert. Sie bezieht sich auf den digitalen Datenschutz und gilt als Spezialgesetz und Erweiterung zur DSGVO. Was Unternehmen wissen sollten, zeigt dieser Artikel

Die moderne Arbeitswelt wird zunehmend digitaler. Vernetzte Technik sorgt dafür, dass Mitarbeiter in Unternehmen in Echtzeit miteinander kommunizieren können, obwohl sie auf verschiedenen Kontinenten leben. Der Mobilfunkstandard 5G erlaubt in Zukunft autonomes Fahren durch ultraschnelle Datenkommunikation und ein modernes Marketing ist ohne Social Media und digitale Kundenansprache nicht vorstellbar.

Die voranschreitende Digitalisierung hat viele Vorteile. Sie spart unter anderem Zeit und finanzielle Mittel und sorgt für eine individuellere Kundenansprache. Gleichzeitig wirft die Digitalisierung viele gesellschaftspolitische Fragen auf und berührt das wichtige und viel diskutierte Thema Datenschutz und ebenso das Arbeitsrecht auf allen Ebenen.

Seit im Mai 2018 die europäische Datenschutzgrundverordnung (DSGVO) eingeführt wurde, sind Punkte wie „OptIn“ und Cookie-Richtlinie, Arbeitnehmerdatenschutz oder das „Recht auf Vergessenwerden“ in aller Munde. Unternehmen sind durch die DSGVO verpflichtet, die geltenden Datenschutzgrundsätze zu beachten und umzusetzen. Das betrifft ebenfalls Personalabteilungen, die im Personalmanagement, in Bezug auf die Mitarbeiterüberwachung oder bei Gehaltsabrechnungen und Krankmeldungen die DSGVO-Grundsätze berücksichtigen müssen.

Zusammen mit der Implementierung der DSGVO sollte 2018 in einem Konvolut die europäische ePrivacy-Verordnung (EPVO) in Kraft gesetzt werden. Ihr Ziel besteht darin, einheitliche Regelungen für den betrieblichen Datenschutz für Europa aufzustellen. Aufgrund zahlreicher Bedenken einzelner Mitgliedsstaaten, Lobbyisten und Wirtschaftsvertreter ist dies bisher nicht geschehen.

Dieser Artikel erklärt, warum sich die Mitgliedsstaaten der EU bis heute nicht auf eine gemeinsame EU-Datenschutzverordnung einigen konnten. Er erklärt im Detail, worum es bei ePrivacy geht und warum gemeinsame Richtlinien in der EU zielführen sind. Darüber hinaus befasst sich die Abhandlung mit der Frage, wo die Abgrenzung zwischen der DSGVO und der ePrivacy-Verordnung zu ziehen ist und wann mit einer Ratifizierung der Verordnung zu rechnen ist.

    DSGVO und ePrivacy-Verordnung – das sind die Unterschiede

    Viele Menschen, die sich nicht im Detail mit den Themen Datenschutz und Datensicherheit beschäftigt haben, machen sich Gedanken, ob es notwendig ist, nach der Einführung der DSGVO ein weiteres europaweit gültiges Datenschutzgesetz zu verabschieden. Blickt man hinter die Kulissen und betrachtet beide Gesetzesvorhaben im Detail, ist schnell erkennbar, dass bei der ePrivacy-Verordnung andere Inhalte eine Rolle spielen als bei der DSGVO.

    Im Artikel 1 der DSGVO werden der Zweck und das Ziel des Gesetzes eindeutig beschrieben. Die DSGVO enthält „Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Sie schützt die Grundrechte und Grundfreiheiten natürlicher Personen und im Besonderen deren Recht auf Schutz personenbezogener Daten.“

    Im Gegensatz zur DSGVO, die den Datenschutz im Allgemeinen thematisiert und als Grundverordnung Richtlinien zu den Themen Datenschutz, Privatsphäre zu personenbezogenen Daten aufgreift, beschäftigt sich die EPrivacy-Verordnung explizit mit dem Bereich der elektronischen Kommunikation.

    Im Detail ergibt sich bei der Gegenüberstellung beider Verordnungen das folgende Bild:

    Datenschutz-GrundverordnungEPrivacy-Verordnung
    Beschreibt einen allgemeingültigen Datenschutz-RahmenBetrifft ausschließlich elektronische Online-Kommunikation
    Fokussiert den Schutz personenbezogenen Daten online und offlineBeschreibt ausschließlich den Onlineschutz von personenbezogenen Daten

    Zusammengefasst präzisiert und professionalisiert die EPVO die DSGVO als Spezialgesetz. Es fokussiert sich ausschließlich auf digitale Medien. Sobald die ePrivacy-Verordnung als Gesetz Gültigkeit hat, werden die spezifischen ePrivacy-Bestimmungen Vorrang gegenüber den allgemeiner gehaltenen Richtlinien der DSGVO haben.

    Durch die ePrivacy-Verordnung wird das wichtige und zukunftsorientierte Thema Online-Datenschutz im Detail und europaweit geregelt, sodass Rechtsunsicherheiten in Bezug auf den Schutz von personenbezogenen Daten der Vergangenheit angehören werden. Beide Verordnungen ergänzen sich gegenseitig. Themen, die die DSGVO nicht aufgreift, thematisiert die ePrivacy-Verordnung. Umgekehrt gilt dieses Prinzip ebenfalls.

    Welche bestehenden Gesetze die ePrivacy-Verordnung ablösen wird

    Seit dem Jahr 2002 ist europaweit der Vorgänger der geplanten ePrivacy-Richtlinie (2002/58/EG) in Kraft. Die Richtlinie regelt im Detail, wie Netzanbieter und Anbieter von Kommunikationsdiensten mit den Daten verfahren müssen, die im Rahmen von Telefonaten oder bei der E-Mail-Kommunikation auflaufen. Telekommunikationsanbieter sind unter anderem zu Privatsphäre-Grundsätzen verpflichtet. Sie müssen Informationen aus Telefonaten und aus der E-Mail-Kommunikation vertraulich behandeln. Erst bei einem begründeten Verdacht dürfen Auskünfte an Behörden erteilt werden.

    Seit 2009 ist ebenfalls eine Cookie-Richtlinie (2009/136/EG) in Kraft, die das Einverständnis zu Cookies im Internet regelt. Als Cookies werden Textdateien bezeichnet, die Informationen über das Surfverhalten von Nutzern im Internetbrowser speichern.

    Sowohl die aktuell geltende ePrivacy-Richtlinie und ebenso die Cookie-Richtlinie soll durch die ePrivacy-Verordnung abgelöst werden. Aus diesem Grund erhält das Gesetz den Titel: “Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications.” Es wird als ePrivacy-Verordnung abgekürzt.

    Info: Aus gesetzgeberischer Sicht besteht ein wesentlicher Unterschied zwischen einer Verordnung und einer Richtlinie. Eine EU-Richtlinie, beispielsweise die Cookie-Richtlinie ist für die Mitgliedsstaaten der EU nicht bindend. Sie kann als Leitschnur dienen und wird von jedem Land in nationales Recht überführt. Eine EU-Verordnung ist im Gegensatz verbindlich. Ähnlich wie die Datenschutz-Grundverordnung muss die ePrivacy-Verordnung ebenfalls ohne Abstriche in allen Mitgliedsstaaten der EU umgesetzt werden, sobald sie rechtskräftig beschlossen wurde.  

    Digitale Fragestellungen, die die ePrivacy-Verordnung abbilden soll

    Die ePrivacy-Verordnung wird sich im Detail mit der elektronischen Kommunikation beschäftigen. In den letzten Jahren hat sich die Möglichkeit, digital zu kommunizieren, von Jahr zu Jahr vergrößert. Während vor Jahren vor allem Telefonate, Besuche auf Internetseiten und E-Mail-Korrespondenz zur elektronischen Kommunikation gezählt wurden, gibt es heute viele weitere Bereiche der digitalen Kommunikation.

    Im Besonderen das Internet hat in den letzten Jahren stark an Relevanz gewonnen. Durch die Möglichkeit, zu jeder Zeit mit mobilen Endgeräten wie Smartphones, Tablets, Fitnesstrackern und Wearables online zu gehen, entstehen unvorstellbare Datenströme. Diese beinhalten eine Unmenge von personenbezogenen Daten. Standortdaten, Informationen zum Nutzer, Bilder, Dokumente und biometrische Messwerte werden in Millisekunden weitergeleitet. Die ePrivacy-Verordnung soll vor allem die Übermittlung und Verarbeitung personenbezogener Daten im Internet regulieren.

    Internet of things und Vernetzung

    Neben der stationären oder mobilen Datenkommunikation und weiteren Kommunikationsdiensten spielen das Internet of things (IoT) und die Vernetzung, beispielsweise in Fahrzeugen, eine wesentliche Rolle für den Datenschutz. Als Internet of Things bezeichnet man die Vernetzung von physischen Objekten, die mit Hilfe von Sensoren und Software über das Internet gesteuert werden. Beispielsweise arbeitet das DLR-Institut für Verkehrssystemtechnik an einem Konzept mit dem Namen „Automated Valet Parking.“ Ziel des Projektes ist eine Verbindung zwischen autonomem Fahren und dem Internet of Things, bei dem Fahrzeug mittels Drohnenüberwachung vollautomatisch eingeparkt werden.

    Andere Beispiele für das Internet of Things sind intelligente Stromnetze, Roboter die Staubsaugen oder den Rasen mähen und die Vernetzung der realen und virtuellen Welt im Rahmen der Industrie 4.0. Bei allen diesen zukunftsweisenden Technologien werden jede Sekunde Daten erzeugt, deren Verarbeitung und Auswertung reguliert werden muss.

    Cookies nehmen in der ePrivacy-Verordnung eine zentrale Bedeutung ein

    Neben den offensichtlich abgefragten Daten und Informationen wird die ePrivacy-Verordnung vor allem die Angaben in den Vordergrund rücken, die unbemerkt als Cookies ausgetauscht werden. Die EPVO wird vor allem die Regeln für Cookies und für das Tracking ausweiten.

    Die derzeitigen Entwürfe sehen zum Beispiel vor, dass Opt-in-Regelungen verpflichtend werden. Seit Implementierung der DSGVO müssen Webseitenbesucher der Speicherung von Cookies zustimmen, bevor sie den Seiteninhalt betrachten können. Diese Pflicht wird weiter verschärft und um den Grundsatz „Privacy by default“ ergänzt. Standardmäßig werden datenschutzfreundliche Voreinstellungen zur Notwendigkeit. Voreinstellungen, die das Abfragen von Cookies von Drittanbietern verschleiern, werden verboten.

    Cookies spielen in der ePrivacy-Verordnung eine wichtige Rolle © DatenschutzStockfoto – Adobe Stock

    Ähnlich wie bei der DSGVO wird die ePrivacy-Verordnung ein „Recht auf Vergessenwerden“ einführen. Nach einer bestimmten Zeitspanne dürfen Endverbraucher im Internet erneut entscheiden, ob sie dem Speichern von Cookies zustimmen. Gleichzeitig besteht für sie gemäß DSGVO zu jeder Zeit die Option, die über sie gespeicherten personenbezogenen Daten einzusehen und eine Löschung zu veranlassen.

    Mit der EPVO wird darüber hinaus unerbetene Kommunikation und Werbung stärker reglementiert und verboten. Unternehmen haben gegenüber den staatlichen Strafverfolgungsbehörden eine Transparenzpflicht, die unter anderem impliziert, alle Informationen über Nutzer offenzulegen. Zusätzlich sind Betriebe, die Kommunikationsdienste anbieten, verpflichtet, Daten nach dem neuesten Stand der Technik zu speichern.

    Aktuell handelt es sich bei den dargestellten Neuerungen und Richtlinien um einen Entwurf, sodass zu erwarten ist, dass sich Details bis zur endgültigen Verabschiedung der Direktive verändern werden.

    Die ePrivacy-Verordnung aus Unternehmenssicht – das ändert sich für Firmen

    Durch die fortlaufend voranschreitende Digitalisierung liegt es auf der Hand, dass nahezu alle Unternehmen in Europa von der ePrivacy-Verordnung betroffen sein werden. Firmen aller Größenordnungen, die eine eigene Unternehmen-Homepage betreiben, werden von der ePrivacy-Verordnung und vor allem von den Cookie-Richtlinien tangiert. Ziel der EPVO wird sein, die Erhebung personenbezogener Daten auf ein Minimum zu beschränken.

    Dies betrifft ebenfalls Software und Apps, die personenbezogene Daten erheben. Erst mit der Einwilligung des Nutzers eines Webshops oder einer App dürfen personenbezogene Daten gespeichert und weiterverarbeitet werden. Ähnlich wie die DSGVO wird die Einführung der EPVO massive Veränderungen im Bereich des betrieblichen Datenschutzes in Unternehmen zur Folge haben.

    Das TTDSG als Zwischenschritt zur ePrivacy-Verordnung

    Bis zur Einführung der DSGVO hat der Gesetzgeber in Deutschland mit dem Inkrafttreten des Telekommunikations-Telemedien-Datenschutzgesetzes (TTDSG) zum 01.12.2021 einen Zwischenschritt für den Datenschutz eingeschoben. Mit dem TTDSG werden die bisher im Telekommunikationsgesetz (TKG) definierten Verordnungen zum Schutz des Fernmeldegeheimnisses und des Datenschutzes sowie die im Telemediengesetz (TMG) enthaltenen Bestimmungen zu einem Stammgesetz zusammengefasst.

    Das TTDSG enthält unter anderem erweiterte Richtlinien zum Einwilligungsmanagement und zu digitalen „Personal Information Management Systems“ (PIMS), mit denen Verbrauchern eine verbesserte Kontrolle über ihre personenbezogenen Daten zugestanden wird. Darüber hinaus werden im TTDSG angepasste Cookie-Richtlinien beschrieben, die sich an den Vorgaben der DSGVO orientieren. Das TTDSG kann als Zwischenschritt zu einer künftigen europaweiten ePrivacy-Verordnung angesehen werden.

    Wann mit der Einführung der ePrivacy-Verordnung zu rechnen ist

    Ursprünglich sollte die ePrivacy-Verordnung zusammen mit DSGVO im Jahr 2018 verabschiedet und in europäisches Recht überführt werden. Dieses Vorhaben scheiterte. Verschiedene Entwurfsversionen der EU-Kommission, der rumänischen und finnischen Ratspräsidentschaft wurden im Europäischen Rat verhandelt, ohne eine gemeinsame Position zu finden. Es folgte ein industriefreundlicher Vorschlag der kroatischen Ratspräsidentschaft und ein Kompromissvorschlag der deutschen Ratspräsidentschaft, die ebenfalls scheiterten.

    Die sogenannten Trilog-Verhandlungen aller drei gesetzgebenden EU-Institutionen verliefen desgleichen ohne endgültiges Ergebnis. Ein Trilog besteht aus einer paritätisch zusammengesetzten Konferenz, an dem die Europäische Kommission, der Rat der Europäischen Union und das Europäische Parlament teilnehmen, um einen Konsens zu einem Gesetzesvorhaben zu erzielen.

    Wann die ePrivacy-Verordnung final in Kraft gesetzt wird, ist aktuell nicht absehbar. Am 10.02.2021 einigte sich der EU-Ministerrat auf eine gemeinsame Position und auf Beratungen über den endgültigen Text des Gesetzesvorhabens in einem weiteren Trilog-Verfahren. Inhalte der aktuellen Verhandlungen sind zum Beispiel:

    • Die Wiedereinführung der Vorratsdatenspeicherung,
    • Die Zulässigkeit von Cookie-Walls und
    • Ausnahmen bei der Verarbeitung personenbezogener Daten ohne Einwilligung der Nutzer.

    Datenschützer sehen in dem Kompromissvorschlag erhebliche Nachteile für Verbraucher und Nutzer von Webseiten, deren personenbezogene Daten weniger Schutz genießen als ursprünglich vorgesehen.

    Bis zur Ratifizierung einer Grundverordnung ePrivacy werden vermutlich Monate oder Jahre vergehen. Es bleibt abzuwarten, ob sich Lobbygruppen und global agierende Konzerne wie Google oder Facebook oder Datenschützer durchsetzen. Bis zur Implementierung der EPVO gilt, dass die DSGVO sowie nationale Gesetze wie das TTDSG den Rahmen für den betrieblichen Datenschutz und für die Verarbeitung personenbezogener Daten in Online- und Offline-Bereichen darstellen.

    FAQ: Häufig gestellte Fragen zum Thema „e-Privacy-Verordnung“

    Welche Datenschutzbestimmungen werden sich mit der Einführung der ePrivacy-Verordnung ändern?

    Die ePrivacy-Verordnung wird sich, anders als die DSGVO im Detail mit der elektronischen Kommunikation beschäftigen. Sie fokussiert sich vor allem auf Cookie-Regelungen und die Verarbeitung personenbezogener Daten im Internet oder in Apps und Software.

    Wann wird die Einführung der europäischen ePrivacy-Verordnung erwartet?

    Aktuell ist nicht absehbar, wann bei der ePrivacy-Verordnung ein europaweiter Kompromiss gefunden wird. Die unterschiedlichen Interessen der einzelnen Mitgliedsstaaten, globaler Konzerne und Lobbygruppen zögern die Verhandlungen seit Jahren hinaus. Im Februar 2021 einigte sich der EU-Ministerrat allerdings auf eine gemeinsame Position und auf Beratungen über den endgültigen Text des Gesetzesvorhabens in einem weiteren Trilog-Verfahren. Dies macht Hoffnung, dass das Gesetz mittelfristig beschlussfähig ist.