Die DSGVO war erst der Anfang: Kaum atmen Unternehmer und Inhaber nach dem DSGVO-Wirbel auf, schon klopft mit der ePrivacy-Verordnung das nächste Datenschutzthema an die Tür. Viele fragen sich jetzt: Wird es mit der EPVO noch schlimmer?
Wir erklären, was hinter der DSGVO-Ergänzung steckt und welche Tücken ePrivacy birgt.
Was ist ePrivacy?
Zu Beginn erst einmal die positive Nachricht: Noch sind längst nicht alle Inhalte und Details der EPVO endgültig beschlossen. Worum es aber prinzipiell geht und welche Anforderungen sich für Unternehmen in naher Zukunft ergeben werden, verraten wir jetzt.
Dann das Grundsätzliche und die Antwort auf die Frage „Was ist ePrivacy“: Vereinfacht gesagt: eine Ergänzung der so beliebten DSGVO. Im Kern geht es darum, personenbezogene Daten in der elektronischen Kommunikation besser zu schützen und die Sicherheit für die Nutzer zu erhöhen. Die Datenschutzgrundverordnung, die im Mai 2018 in Kraft trat, stellt dabei die Basis, die EPVO die nächste Stufe, wobei der Fluss genau andersherum ist. Während die DSGVO erst ansetzt, wenn personenbezogene Daten vorliegen, kümmert sich ePrivacy um den Weg dorthin.
Ursprünglich sollten übrigens beide Verordnungen gemeinsam wirksam werden, im Fall der EPVO scheiterte das Vorhaben jedoch aufgrund der systematischen Konflikte zwischen Datenschutz- und Wirtschaftsinteressen. Und dieser Kampf ist noch lange nicht vorbei. Vertreter der unterschiedlichen Lager verhandeln wie auf dem Basar um jeden Cookie. Wer sich nun zu recht fragt, wann die EPVO inkrafttreten wird, dem sei gesagt: Vor 2019 ist damit nicht zu rechnen. Und auch dann wird es eine mindestens einjährige Übergangsfrist geben. Eventuell kommt es durch die EU-Parlamentswahlen im Mai 2019 aber noch zu bislang unvorhersehbaren Verzögerungen, die Unternehmern eine weitere Atempause verschaffen.
Bestimmungen der ePrivacy-Verordnung
Auch wenn um die Details noch gefeilscht wird und Wirtschaftsvertreter für ihre Unternehmerkollegen kämpfen: Die EPVO wird kommen – so oder so. Und auch ihre wesentlichen Inhalte gelten schon jetzt als gesetzt. Der offizielle EPVO Sachstandsbericht definiert die Verordnung wie folgt: Schutz von Inhalten während des End-to-End-Austauschs zwischen Endnutzern bis zu dem Moment (…), in dem der Empfänger die Kontrolle über den Inhalt erlangt. Ab diesem Moment kommt der Schutz durch die Datenschutz-Grundverordnung zum Tragen.“
Abgeleitet davon, werden vermutlich folgende Punkte mit Inkrafttreten der EPVO zum Tragen kommen:
Datenverarbeitung und -speicherung
Sofern der Nutzer nicht ausdrücklich zustimmt, ist die Nutzung von Verarbeitungs- und Speicherfunktionen (zum Beispiel Server, Google Analytics) nicht zulässig. Das bekannteste Beispiel dafür sind Cookies und das Tracking sowie Targeting. Es soll zwar explizit definierte Ausnahmefälle geben, jedoch stellt allein dieser Punkt alle Online-Marketing-Mitarbeiter vor große Probleme. Webseiten-Betreiber sollen zudem keinerlei Informationen mehr darüber sammeln können, welche Geräte die Nutzer einsetzen. Und: Die Opt-in-Regelung wird Pflicht.
Das „Recht auf Vergessenwerden“
Eine der größten Tücken der ePrivacy-Verordnung. Nutzer sollen alle sechs Monate die Möglichkeit haben, etwaig erteile Einwilligungen zu widerrufen. Ein ordentliches Brett für die Informationsstrukturen von Unternehmen. Denn im Prinzip bedeutet dies nichts anderes, als das alle Datenbanken so angelegt werden müssen, dass jederzeit ganz gezielt einzelne Einträge entfernt werden können. Aber eben nicht nur aus dem aktuellen Bestand, sondern ebenfalls aus Backups.
Lesen Sie für weitere Hintergründe unseren Blogbeitrag zum Recht auf Vergessenwerden nach DSGVO.
Privatsphäre-Einstellungen
Anwendungen wie Browser oder auch E-Mail Programme müssen ihre Privatsphäre-Einstellungen überarbeiten, zugänglicher machen und optimieren. Zudem müssen die Anbieter gewährleisten, dass Zugriffe von außen technisch nicht möglich sind. Wie das jemals gewährleistet werden soll, weiß wohl keiner. Es ist ja nicht so, als würden Softwareentwickler nicht tagtäglich in den Kampf gegen Hacker und Bots ziehen…
Rufnummerunterdrückung
Nutzer sollen die Möglichkeit haben, ihre Rufnummer-Anzeige einfach und kostenlos zu unterdrücken. Wer eine Sekunde innehält, merkt: ist doch schon längst der Fall. Jeder kann in den Einstellungen seines Smartphone die Rufnummer-Unterdrückung aktivieren. Geht schnell, kostet nichts.
Trotzdem scheint das für ePrivacy nicht zu genügen. Zusätzlich sollen Telefonnummern auch nur noch in öffentliche Verzeichnisse wie das Telefonbuch oder das Örtliche eingetragen werden dürfen, wenn die Besitzer ausdrücklich zustimmen.
Hier besteht aber noch die Chance, den Telefonbucheintrag auf nationaler Ebene als Regelfall zu definieren, dem umgekehrt erst ausdrücklich widersprochen werden muss.
Direktwerbung
Direktwerbung wird per Definition zur „unerbetene Kommunikation“ deklariert. Ein ebenso kostenloses wie einfaches Widersprechen muss gemäß EPVO auch dann möglich sein, wenn dem Erhalt der Werbung ein Produktkauf vorausgeht.
EPVO – was Unternehmer jetzt tun sollten
Auch wenn bis zum Inkrafttreten der EPVO noch viel Wasser durch den Rhein fließen wird: bleiben Sie am Ball. Es kann nicht schaden, schon jetzt langfristige Pläne zu machen und einen Datenschutz-Experten zu Rate zu ziehen. Das gilt vor allem für Unternehmen, die im Handel tätig sind, einen eigenen Shop betreiben und/oder Tracking nutzen, um ihre Marketing-Maßnahmen auf das Nutzerverhalten abzustimmen.
Denn eine Sache haben DSGVO und EPVO gemeinsam: die Strafen sind kein Pappenstiel. Bei Verstößen können bis zu 20 Millionen Euro bzw. vier Prozent des Umsatzes fällig werden. Was bezüglich ePrivacy und Co. künftig noch alles auf Unternehmer zukommt, berichten wir bei Zeiten.
Wann kommt die ePrivacy-Verordnung – Update aus November 2019
Noch immer ist die ePrivacy-Richtlinie nicht in Kraft getreten. Ursprünglich sollte sich gemeinsam mit der DSGVO im Mai 2018 wirksam werden, doch schon wenig später wurde das Jahr 2019 als Starttermin für die ergänzende Verordnung genannt. Mittlerweile ist klar: Auch 2019 wird nicht der Termin für den ePrivacy Start sein.
Erst im November wurde ein neuer Entwurf vorgestellt, der sich unter anderem noch einmal dem Thema Cookie-Richtlinie annimmt. So oder so darf man davon ausgehen, dass der Startschuss nicht vor Q2 2020 fällt. Wir halten Sie an dieser Stelle weiter auf dem Laufenden und berichten, sobald der endgültige Termin feststeht.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung