ePrivacy-Verordnung: Die große kleine Schwester der DSGVO

Die Datenschutzreform wird weitergehen – Unternehmen sollten die Pause sinnvoll nutzen.

Keyfacts

  • Die ePrivacy-VO soll die DSGVO ergänzen. Sie schützt aber nicht nur personenbezogene Daten, sondern die elektronische Kommunikation als solche.
  • Einwilligungen werden noch wichtiger als unter der DSGVO, denn bei Verstößen drohen hohe Bußgelder.
  • Die neuen Regeln werden voraussichtlich nicht vor 2021 gelten.
Barbara Scheben
  • Partnerin, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

Ursprünglich sollten sie gemeinsam in Kraft treten: die Datenschutz-Grundverordnung (DSGVO) und die „Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation“, kurz ePrivacy-VO. Doch während die DSGVO schon ihren ersten Geburtstag gefeiert hat, steckt die ePrivacy-VO noch immer im Gesetzgebungsverfahren fest. Sie liegt derzeit nur als Entwurf der EU-Kommission von 2017 vor. Nun drängt der Europäische Datenschutzausschuss auf eine schnellstmögliche Verabschiedung.

Die Verordnung soll die DSGVO für den Bereich elektronische Kommunikation „präzisieren und ergänzen“. Diese Beschreibung klingt danach, als sei die ePrivacy-VO die „kleine Schwester“ der DSGVO. Doch die mit ihr verbundenen Herausforderungen sollte die Digitalwirtschaft nicht unterschätzen.

Viel mehr als nur eine Ergänzung

Die ePrivacy-VO wird die ePrivacy-Richtlinie aus dem Jahr 2002 ablösen. Diese konnte mit der technischen Entwicklung nicht mehr Schritt halten. So gehören etwa Internettelefonie oder Instant Messaging längst zum Alltag, werden aber von der Richtlinie gar nicht erfasst. Eines der Kernanliegen ist es daher, solche sog. „Over-The-Top-Dienste“ ebenfalls in die Regulierung einzubeziehen.

Auch sonst ist der Anwendungsbereich denkbar weit gefasst: Die ePrivacy-VO regelt nicht nur die Verarbeitung von Daten, die bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste anfallen, sondern auch den Gebrauch von Informationen, die sich auf die Endgeräte der Nutzer beziehen oder von diesen verarbeitet werden. Erfasst sind damit u. a. Cookies sowie On- und Offline-Tracking.

Die Reform soll das Vertrauen in die digitale Kommunikation stärken. Geschützt werden daher die Informationen zu Inhalten und Umständen der Kommunikation – unabhängig davon, ob personenbezogen oder nicht, ob juristische oder natürliche Personen betreffend, und sogar unabhängig davon, ob tatsächlich Menschen miteinander kommunizieren oder lediglich Maschinen.

Bußgelder wie in der DSGVO

Der VO-Entwurf hat daher ein heftiges Ringen um Grundsatzinteressen ausgelöst. Während Daten- und Verbraucherschützer auf strikte Regelungen bestehen, fürchten andere um die Zukunft der künstlichen Intelligenz und des Internets der Dinge.

Dort, wo sich die Anwendungsbereiche von DSGVO und ePrivacy-VO überschneiden, soll Letztere Vorrang haben. Gleichwohl hält der Gesetzgeber das Schutzniveau der DSGVO aufrecht. In Regelungsbereichen wie Aufsicht, Haftung und Sanktionen zieht die ePrivacy-VO mit der Grundverordnung gleich: Es sollen dieselben Aufsichtsbehörden zuständig sein, und bei Verstößen drohen die bereits aus der DSGVO bekannten Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes.

Ohne Einwilligung geht nicht mehr viel

Insbesondere in einem zentralen Punkt soll die ePrivacy-VO nach aktuellem Stand strikter sein als die DSGVO, nämlich bei der Frage, wann eine Datenverarbeitung überhaupt erlaubt ist. Der derzeitige Entwurf stellt hierfür, mehr noch als die DSGVO, die Einwilligung der Nutzer in den Mittelpunkt. Die Erlaubnistatbestände der ePrivacy-VO sind deutlich enger gefasst.

Diese setzen, abgesehen von der Einwilligung, in erster Linie voraus, dass die Datenverarbeitung „nötig“ ist – etwa für den Kommunikationsvorgang selbst oder die Bereitstellung eines Dienstes. Die Frage, was nötig ist und was nicht, wird zukünftig einiges Diskussionspotenzial bieten.

Die Atempause nutzen

Noch ist offen, wie die ePrivacy-VO nach Abschluss des Gesetzgebungsverfahrens konkret ausgestaltet sein wird. Ein finaler Entwurf wird nicht vor Ende 2019 erwartet. Geltung erlangen dürften die Regelungen voraussichtlich erst im Jahr 2021 oder 2022.

Die Verzögerung bringt somit den betroffenen Unternehmen noch eine kleine Atempause. Die Erfahrungen mit der DSGVO haben jedoch gezeigt, dass der Umsetzungsaufwand von vielen unterschätzt wurde. Für große Teile der Digitalwirtschaft ist die ePrivacy-VO von enormer Bedeutung. Unternehmen sollten daher die Zeit nutzen, um sich frühzeitig auf die künftigen Anforderungen einzustellen.

Barbara Scheben
  • Partnerin, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.