Ursprünglich sollten sie gemeinsam in Kraft treten: die Datenschutz-Grundverordnung (DSGVO) und die „Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation“, kurz ePrivacy-VO. Doch während die DSGVO schon seit 2018 unmittelbar anzuwenden ist, steckt die ePrivacy-VO noch immer im Gesetzgebungsverfahren fest. Die EU-Mitgliedsstaaten konnten sich bis heute nicht auf einen gemeinsamen Gesetzesentwurf einigen.
Die Verordnung soll die DSGVO für den Bereich elektronische Kommunikation „präzisieren und ergänzen“. Diese Beschreibung klingt danach, als sei die ePrivacy-VO die „kleine Schwester“ der DSGVO. Man kann die ePrivacy-VO als eine Konkretisierung der DSGVO verstehen. Doch die mit ihr verbundenen Herausforderungen sollte die Digitalwirtschaft nicht unterschätzen.
Viel mehr als nur eine Ergänzung
Die ePrivacy-VO wird die ePrivacy-Richtlinie aus dem Jahr 2002 ablösen. Diese konnte mit der technischen Entwicklung nicht mehr Schritt halten. So gehören etwa Internettelefonie oder Instant Messaging längst zum Alltag, werden aber von der Richtlinie gar nicht erfasst. Eines der Kernanliegen ist es daher, solche sog. „Over-The-Top-Dienste“ ebenfalls in die Regulierung einzubeziehen.
Auch sonst ist der Anwendungsbereich denkbar weit gefasst: Die ePrivacy-VO regelt nicht nur die Verarbeitung von Daten, die bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste anfallen, sondern auch den Gebrauch von Informationen, die sich auf die Endgeräte der Nutzer:innen beziehen oder von diesen verarbeitet werden. Erfasst sind damit u. a. Cookies sowie On- und Offline-Tracking.
Die Reform soll das Vertrauen in die digitale Kommunikation stärken. Geschützt werden daher die Informationen zu Inhalten und Umständen der Kommunikation – unabhängig davon, ob personenbezogen oder nicht, ob juristische oder natürliche Personen betreffend, und sogar unabhängig davon, ob tatsächlich Menschen miteinander kommunizieren oder lediglich Maschinen.
Bußgelder wie in der DSGVO
Der VO-Entwurf hat daher ein heftiges Ringen um Grundsatzinteressen ausgelöst. Während Daten- und Verbraucherschützer auf strikte Regelungen bestehen, fürchten andere um die Zukunft der künstlichen Intelligenz und des Internets der Dinge.
Dort, wo sich die Anwendungsbereiche von DSGVO und ePrivacy-VO überschneiden, soll Letztere Vorrang haben. Gleichwohl hält der Gesetzgeber das Schutzniveau der DSGVO aufrecht. In Regelungsbereichen wie Aufsicht, Haftung und Sanktionen zieht die ePrivacy-VO mit der Grundverordnung gleich. Verstöße sollen durch die jeweiligen Aufsichtsbehörden geahndet werden. Es droht eine maximale Bußgeldhöhe von bis zu Euro 20 Millionen oder, wie bereits aus der DSGVO bekannt, von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres.
Ohne Einwilligung geht nicht mehr viel
Insbesondere in einem zentralen Punkt soll die ePrivacy-VO nach aktuellem Stand strikter sein als die DSGVO, nämlich bei der Frage, wann eine Datenverarbeitung überhaupt erlaubt ist. Der derzeitige Entwurf stellt hierfür, mehr noch als die DSGVO, die Einwilligung der Nutzer:innen in den Mittelpunkt. Die Erlaubnistatbestände der ePrivacy-VO sind deutlich enger gefasst. Den Nutzer:innen soll es erheblich erleichtert werden, die Zustimmung zu verweigern. Zudem müssen Nachrichten sowie (Video-) Anrufe stärker verschlüsselt werden, um sie besser vor fremdem Zugriff zu schützen.
Diese setzen, abgesehen von der Einwilligung, in erster Linie voraus, dass die Datenverarbeitung „nötig“ ist – etwa für den Kommunikationsvorgang selbst oder die Bereitstellung eines Dienstes. Die Frage, was nötig ist und was nicht, bietet weiterhin Diskussionspotenzial.
Die Atempause nutzen
Noch ist offen, wie die ePrivacy-VO nach Abschluss des Gesetzgebungsverfahrens konkret ausgestaltet sein wird. Die Verzögerung bringt somit den betroffenen Unternehmen noch eine kleine Atempause. Die Erfahrungen mit der DSGVO haben jedoch gezeigt, dass der Umsetzungsaufwand von vielen unterschätzt wurde. Für große Teile der Digitalwirtschaft ist die ePrivacy-VO von enormer Bedeutung. Unternehmen sollten daher die Zeit nutzen, um sich frühzeitig auf die künftigen regulatorischen Vorgaben vorzubereiten und diese fristgerecht umzusetzen.