Von der DSGVO haben mittlerweile schon alle gehört. Durch die Europäische Datenschutz-Grundverordnung (DSGVO) wird seit 2018 jedes in der EU tätige Unternehmen und jede Organisation zum Datenschutz verpflichtet. Was nicht alle wissen ist, dass mit ihr ursprünglich auch die ePrivacy Verordnung (oder kurz: ePVO) den umfassenden Datenschutz in Europa normieren sollte. Leider ist daraus bisher nichts geworden, denn die ePVO scheiterte daran, dass sich die EU-Staaten nicht auf einen gemeinsamen Gesetzesentwurf einigen konnten. Dabei fehlte insbesondere beim Thema Tracking der gemeinsame Konsens.
Die gute Nachricht: Inzwischen haben die Verhandlungen zur ePrivacy Verordnung wieder Fahrt aufgenommen. Ein Kompromissvorschlag zum Gesetzesentwurf ist aktuell Gegenstand der sogenannten Trilog-Verhandlungen zwischen dem Rat der Europäischen Union, der EU-Kommission und dem Europaparlament. Damit könnte die ePVO schon 2023 in Kraft treten und nach einer Übergangsfrist von 24 Monaten in Deutschland ab 2025 verbindliche Wirkung entfalten.
Wie die DSGVO soll auch die ePrivacy Verordnung den Datenschutz in Europa einheitlich normieren. Dabei ist die ePVO nicht als Ersatz, sondern als Ergänzung zur DSGVO zu verstehen. Allerdings gelten ihre Bestimmungen juristisch als „lex specialis”, also als Sondergesetz. Damit hat die ePVO als Gesetz Vorrang gegenüber der DSGVO – sobald sie wirksam in Kraft getreten ist.
Regelungsgegenstand der ePrivacy Verordnung ist die elektronische Kommunikation. Ihr Schutz soll ähnlich umfassend sein wie der Schutz von personenbezogenen Daten durch die DSGVO. Ebenfalls soll die Verordnung den Einsatz von Cookies regeln, also kleinen Textdateien, die ein präzises Tracking der User erlauben. Auch hierzu fehlt es bisher an einer entsprechenden Regelung.
Zu den Inhalten der ePVO zählen vor allem folgende Kernpunkte:
Die DSGVO gilt auf europäischer Ebene vor allem als allgemeines Gesetz rund um den Datenschutz. Demgegenüber ist die ePrivacy Verordnung speziell darauf ausgerichtet, die agierenden Personen im Bereich der elektronischen Kommunikation zu schützen. Sie konzentriert sich in den einzelnen Vorgaben daher vor allem auf digitale Medien.
Die größten Unterschiede zwischen ePVO und DSGVO sind daher:
Während auf europäischer Ebene noch über die ePrivacy Verordnung verhandelt wird, ist in Deutschland bereits am 01. Dezember 2021 das Telekommunikations-Telemedien-Datenschutzgesetz (kurz: TTDSG) in Kraft getreten.
Dabei handelt es sich um die nationale Umsetzung der e-Privacy-Richtlinie (kurz: ePR) der EU. Das TTDSG entfaltet allerdings nur so lange verbindliche Wirkung, bis die ePVO als unmittelbar geltendes EU-Recht in Kraft tritt.
Grundsätzlich gibt aber bereits das TTDSG datenschutzrechtliche Anforderungen im Bereich Telekommunikation und Telemedien vor. Besondere Bedeutung kommt hierbei § 25 TTDSG zu. Demnach sind für den Einsatz von Cookies und anderen Tools, die für den Betrieb einer Webseite nicht zwingend erforderlich sind, wirksame Einwilligungen der User einzuholen. Die Einwilligungen sind dabei an den Wirksamkeitserfordernissen der DSGVO zu messen und müssen freiwillig, bestimmt, informativ, unmissverständlich und ausdrücklich erfolgen sowie zu jeder Zeit widerrufbar sein.
Die ePVO sollte ursprünglich die europäische ePrivacy Richtlinie ablösen. Diese gilt schon seit 2002, wurde 2009 umfassend modifiziert und normiert datenschutzrechtliche Vorgaben im Bereich der Telekommunikation.
Obwohl sich bei der DSGVO die EU-Mitgliedstaaten auf einen gemeinsamen Gesetzesentwurf einigen konnten, scheiterten die Verhandlungen bei der ePrivacy Verordnung über Jahre hinweg. Dies lag hauptsächlich an der fehlenden Einigung in Bezug auf den Einsatz von Cookies und unaufgeforderter elektronischer Werbung. Während einige Mitgliedstaaten eine strenge Regelung forderten, lehnten andere Länder (z.B. Deutschland) dies ab. Auch auf gesellschaftlicher Ebene gab es kontroverse Diskussionen über die Regelungsinhalte der kommenden ePVO. Erst am 10. Februar 2021 gab es eine gemeinsame Position und damit auch die Möglichkeit einer neuen Verhandlungsrunde unter der Ratspräsidentschaft von Frankreich.
Für Unternehmen und Organisationen, die mit der Erhebung und Verarbeitung von personenbezogenen Daten zu tun haben, hat die DSGVO nach wie vor höchste Relevanz. Sie gilt bei allen Tätigkeiten, bei denen sie eine Rolle spielen.
Die Notwendigkeit, personenbezogenen Daten einen umfassenden Schutz zukommen zu lassen, ist nicht nur auf europäischer Ebene von Bedeutung. Datenschutz ist mittlerweile zum globalen Thema geworden und nicht wenige außereuropäische Länder orientieren sich bei der nationalen Gesetzgebung am Beispiel der Europäischen Datenschutz-Grundverordnung.
Wie bereits erwähnt, gilt neben der DSGVO seit Dezember 2021 auch das bereits erwähnte TTDSG, durch welches für Unternehmen diverse Anforderungen im Bereich des Datenschutzes gelten. Diese sorgen bei Betroffenen für mehr Sicherheit in Bezug auf die eigenen Daten.
Obwohl die DSGVO schon seit 2018 gilt, kommt es nach wie vor in vielen Unternehmen zu Verstößen gegen die datenschutzrechtlichen Vorgaben.
Um sich vor hohen Strafen und nicht zuletzt auch heiklen Imageschäden zu schützen, sollten sich Unternehmen und Organisationen frühzeitig darum kümmern, Ihre Mitarbeitenden in Sachen Datenschutz zu schulen. Denn erst, wenn die gesamte Belegschaft mit Daten umzugehen weiß, ist ein umfangreicher Schutz gegeben. Zwar sieht die DSGVO derzeit von einer expliziten Pflicht zur Datenschutz-Schulung ab, eine indirekte Pflicht zur Schulung ist aber mindestens anzunehmen. Diese folgt aus Art. 5 Abs. 2 DSGVO, wo die allgemeine Nachweispflicht des Verantwortlichen zur Einhaltung der datenschutzrechtlichen Vorgaben normiert wird.
Nehmen Sie die Schulung Ihrer Mitarbeitenden jetzt in Angriff – am besten mit dem interaktiven, flexiblen und nachhaltigen E-Learning „Datenschutz für Mitarbeitende“ von lawpilots.
Die neuen Verhandlungen zur ePrivacy Verordnung dauern zum jetzigen Zeitpunkt immer noch an. Eine Einigung ist aller Voraussicht nach dennoch in diesem Jahr zu erwarten. Unternehmen sollten sich bereits auf die neuen Datenschutzvorgaben einstellen und bei Inkrafttreten schnellstmöglich handeln. Allerdings ist auch für das Inkrafttreten der ePVO eine Übergangsfrist von 24 Monaten vorgesehen. Bis zur finalen Anwendung der Vorschriften in Deutschland wird es also noch mehrere Jahre dauern. Nichtsdestotrotz sollten Sie schon jetzt proaktiv und nachhaltig in die Schulung und Sensibilisierung Ihrer Mitarbeitenden investieren, um möglichen Verstößen schon vor Wirksamwerden der neuen Regelungen entgegenzuwirken.
Die ePrivacy Verordnung ist ein weiterer Baustein auf dem Weg zum umfassenden Datenschutz auf europäischer Ebene. Durch die angestoßenen Trilog-Verhandlungen ist dennoch nicht so bald mit einem Gesetz zu rechnen. Genau diesen zeitlichen Puffer sollten Sie nutzen, um Ihre Beschäftigten schon jetzt auf die anstehenden Regelungen und neuen Anforderungen vorzubereiten und für das Thema Datenschutz maximal zu sensibilisieren.
Unser Datenschutz-Schulungen schaffen durch Dialogspiele, interaktive Elemente, Erklärvideos und Experteninterviews ein nachhaltiges Datenschutzbewusstsein bei Ihren Mitarbeitenden.