Mit Beschluss der Datenschutz-Grundverordnung (DSGVO) sorgte die Europäische Union ordentlich für Wirbel. Zahlreiche Unternehmen haben sich mit der Umsetzung der neuen Datenschutzvorgaben schwer getan. Wer meint, dass nun erst einmal Schluss sei, täuscht sich. Mit der ePrivacy-Verordnung steht die nächste Mammutaufgabe im betrieblichen Datenschutz an.
Warum eine weitere Datenschutzverordnung?
Die ePrivacy-Verordnung ist der nächste logische Schritt, um die Harmonisierung des Datenschutzes innerhalb der EU voranzutreiben. Ursprünglich sollten die Inhalte der ePrivacy-Verordnung bereits in der DSGVO enthalten sein. Allerdings erntete der erste Entwurf, der im Dezember 2016 vorgestellt wurde, zahlreiche Kritik aus den Reihen der Mitgliedsstaaten. Besonders Wirtschaftsvertreter sprachen sich gegen die aufgeführten Datenschutzmaßnahmen aus, sodass die dieser Bereich aus der DSGVO ausgeklammert wurde.
Als separate Verordnung soll ePrivacy die DSGVO ergänzen. Zugleich dient sie der Ablösung der bestehenden E-Privacy-Richtlinie (2002/58/EG) und Cookie-Richtlinie (2009/136/EG). Offiziell trägt sie folgende Bezeichnung: Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications.
Unterschied zwischen Verordnung und Richtlinie
Wie aus dem Namen hervorgeht, ist ePrivacy eine Verordnung. Damit unterscheidet sie sich von einer Richtlinie erheblich. Während eine EU-Richtlinie als Rahmenwerk dient, welches die einzelnen Mitgliedstaaten in ihr nationales Recht übertragen, gilt eine Verordnung unmittelbar.
Vorschriften rund um die elektronische Kommunikation
Dreh- und Angelpunkt der ePrivacy-Verordnung ist die elektronische Kommunikation. Sie soll die Übermittlung personenbezogener Daten auf relevanten Kanälen regulieren. Das Spektrum solcher Kanäle ist breit gefächert. Es umfasst neben dem Telefon (ob Festnetz oder mobil) insbesondere das Internet, d.h. die Kommunikation via E-Mail oder Messenger. Zugleich ist das Internet der Dinge / Internet of Things (IoT) nicht außer Acht zu lassen, denn selbst Fitness-Tracker oder Sprachassistenten können personenbezogene Daten erfassen und weiterleiten.
Im Fokus stehen nicht nur offensichtlich übermittelte Daten. Die Verordnung betrifft ebenso Daten, deren Übertragung im Hintergrund erfolgt. Dies gilt insbesondere Cookies, die Websites im Hintergrund setzen.
Hieran wird ein wesentlicher Punkt deutlich: Es geht nicht nur darum, wie Menschen untereinander Informationen austauschen. Die Verordnung soll Verbraucher besser schützen, indem sie den elektronischen Austausch personenbezogener Daten reguliert, insbesondere die Weiterleitung solcher Daten an Outsourcing-Partner. Bislang geschieht dies häufig im Hintergrund, ohne dass Betroffene etwas davon mitbekommen.
Welche Unternehmen sind betroffen?
Angesichts der Tatsache, dass mittlerweile fast jedes Unternehmen einzelne Technologien aus dem Feld der elektronischen Kommunikation nutzt, sind nahezu alle Unternehmen betroffen. Das Spektrum der betroffenen Bereiche ist breit gefächert, wie folgende Beispiele verdeutlichen.
Website: Im Regelfall werden auf Websites Cookies eingesetzt, sodass die ePrivacy-Verordnung zu berücksichtigen ist. Betroffen sind somit alle Unternehmen, die eine Website betreiben.
Software: Dasselbe gilt für Software jeglicher Art, die persönliche Daten erfasst oder übermittelt. Unternehmen, die Apps oder auch konventionelle Software entwickeln, müssen sich mit der Thematik befassen.
Internet of Things: Es mehreren sich Geräte / Objekte, die als Schnittstelle zwischen Verbraucher und Unternehmen dienen, um personenbezogene Daten zu übermitteln. Von der ePrivacy-Verordnung betroffen sind Unternehmen, die entsprechende Geräte entwickeln oder einsetzen.
Kraftfahrzeuge: Je nach Definition fallen Autos ebenfalls in den Bereich des Internet of Things. Gerade dort findet derzeit eine enorme Vernetzung statt, die einen umfassenden Austausch von Daten zur Folge hat. Entsprechend kann die ePrivacy-Verordnung auch dort erhebliche Auswirkungen haben.
Zentrale Punkte im Überblick
Die datenschutzrechtliche Regulierung der elektronischen Telekommunikation betrifft verschiedene Bereiche. Hierzu zählen insbesondere solche, die mit Software und Websites in Verbindung stehen.
Cookie- und Tracking-Vorschriften
Die Erfassung personenbezogener Daten soll maßgeblich eingeschränkt werden. Ungefragt sollen Seitenbetreiber nur noch solche Daten via Cookie erfassen dürfen, die für wesentliche Funktionen der Website notwendig sind. Hierzu zählt beispielsweise das Festhalten von Artikeln, die ein Nutzer in den Warenkorb eines Onlineshops legt. Alle anderen Daten mit Personenbezug dürfen nur noch erfasst werden, sofern der Nutzer im Vorfeld seine Einwilligung erteilt hat.
Die geplante Cookie-Regulierung betrifft maßgeblich das Tracking, welches dadurch erschwert wird – vor allem wenn es über verschiedene Websites hinweg erfolgen soll. Insbesondere die digitale Werbewirtschaft wird aufgrund dieser Einschränkungen vor eine große Herausforderung gestellt.
Privatsphäre-Einstellungen
Bei Software, die personenbezogene Daten erfasst oder übermittelt, werden ebenfalls strengere Anforderungen an den Datenschutz gestellt. Ob Webbrowser, Messenger oder Anwendungs-Software: Bereits im Vorfeld, d.h. vor der eigentlichen Nutzung, muss der Nutzer gezielte Einstellungen vornehmen können, um – sofern von ihm gewünscht – die Erfassung und Übermittlung von Daten mit Personenbezug zu unterbinden.
Wann tritt die ePrivacy-Verordnung in Kraft?
Sobald eine EU-Verordnung in Kraft tritt, gilt sie unmittelbar für sämtliche Mitgliedsstaaten. Entsprechend ist es für Unternehmen wichtig, den Zeitpunkt des Inkrafttretens im Auge zu behalten, um sich rechtzeitig vorzubereiten.
Die exakten Inhalte der ePrivacy-Verordnung wurden von der EU-Kommission noch nicht endgültig festgelegt. Somit steht noch kein Zeitpunkt fest, ab welchem die Verordnung in Kraft treten wird. Zugleich ist der genaue Termin schwer zu prognostizieren, weil einzelne Bestandteile der Verordnung noch zur Debatte stehen.
Sobald die Inhalte final stehen, kann der endgültige Beschluss der ePrivacy-Verordnung durch das EU Parlament erfolgen. Damit wird auch der Zeitpunkt des Inkrafttretens bestimmt.
Fazit
Die geplanten Bestandteile der ePrivacy-Verordnung bringen für Unternehmen umfassende Neuerungen mit sich. Überall dort, wo personenbezogene Daten auf elektronischem Wege erfasst oder verarbeitet werden, können Anpassungen notwendig sein. Besonders die Bereiche Website und Software sind für zahlreiche Unternehmen relevant.
Jedoch stehen die finalen Inhalte noch nicht fest, ebenso wurde noch kein Datum bestimmt, ab welchem die Verordnung gilt. Somit ist es derzeit für Unternehmen nur eingeschränkt möglich, sich auf die ergänzenden Regelungen im betrieblichen Datenschutz vorzubereiten. Umso wichtiger ist es, die laufende Entwicklung zu verfolgen, um frühestmöglich informiert zu sein.