ePrivacy-Verordnung: Was kommt auf Unternehmen zu?

Die digitale Kommunikation ist ein zentraler Bestandteil des modernen Geschäftsalltags. Doch mit der rasanten Entwicklung neuer Technologien steigen auch die Anforderungen an den Datenschutz. Während das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG) aktuell den rechtlichen Rahmen für Unternehmen in Deutschland bildet, steht mit der ePrivacy-Verordnung bereits die nächste Generation von Datenschutzbestimmungen in den Startlöchern. 

Was müssen Unternehmen jetzt tun, um compliant zu bleiben und was bringt die Zukunft? Dieser Artikel bietet einen Überblick über die wichtigsten Regelungen und deren Bedeutung für den Arbeitsalltag.

Was ist die ePrivacy Verordnung?

Die ePrivacy-Verordnung (ePVO) ist eine geplante europäische Gesetzgebung, die den Schutz der Vertraulichkeiten der elektronischen Kommunikation sowie den Umgang mit personenbezogenen Daten im digitalen Umfeld regeln soll. Sie wird die bestehende ePrivacy-Richtlinie von 2002 ersetzen und als Ergänzung zur Datenschutz-Grundverordnung (DSGVO) fungieren. Während die DSGVO den allgemeinen Schutz personenbezogener Daten behandelt, konzentriert sich die ePrivacy-Verordnung auf die spezifischen Aspekte der digitalen Kommunikation, wie zum Beispiel die Verwendung von Cookies, Tracking-Technologien, Online-Werbung, elektronische Kommunikationsdienste und Metadaten. Die ePVO wird nach ihrer Verabschiedung direkt in allen EU-Mitgliedstaaten gelten. Im Gegensatz zur ePrivacy-Richtlinie, die national umgesetzt werden musste, ist die Verordnung unmittelbar anwendbar.

Worauf zielt die ePrivacy-Verordnung ab?

Die ePrivacy-Verordnung zielt darauf ab, die Vertraulichkeit der elektronischen Kommunikation zu gewährleisten und den Datenschutz im digitalen Raum erheblich zu verbessern. Sie legt dabei besonderen Fokus auf bestimmte Aspekte des digitalen Austauschs und stellt sicher, dass sensible Daten und Nutzerinformationen besser geschützt werden. Im Kern verfolgt die Verordnung folgende wesentliche Ziele:

• Erweiterung der Datenschutzregeln auf neue Kommunikationsdienste: Die ePVO soll auch Dienste wie WhatsApp, Facebook Messenger und Skype regulieren, die bisher nicht vollständig von der ePrivacy-Richtlinie erfasst werden.
• Schutz der Kommunikationsinhalte und Metadaten: Metadaten, die Informationen wie AutorInnen, erstelltes Datum oder Standort enthalten, sollen besser geschützt werden. Ohne ausdrückliche Einwilligung der NutzerInnen sollen diese Daten anonymisiert oder gelöscht werden, es sei denn, sie sind für bestimmte Zwecke wie die Abrechnung erforderlich.
• Vereinfachte Regelungen für Cookies: Die Verordnung zielt darauf ab, die Flut an Cookie-Einwilligungsanfragen zu reduzieren und benutzerfreundlichere Möglichkeiten zur Akzeptanz oder Ablehnung von Cookies über die Browsereinstellungen zu schaffen.
• Erweiterter Schutz vor unerwünschten Werbenachrichten (Spam): Die Verordnung sieht strengere Regeln gegen unaufgeforderte elektronische Kommunikation per E-Mail, SMS oder automatisierten Anrufmaschinen vor.
• Stärkung der Kontrolle durch die NutzerInnen: NutzerInnen sollen transparenter über die Datenverarbeitung informiert und in die Lage versetzt werden, fundierte Entscheidungen zu treffen. 
• Harmonisierung der Vorschriften in der EU: Ähnlich wie die DSGVO soll auch die ePrivacy-Verordnung ein einheitliches Regelwerk für alle EU-Mitgliedstaaten schaffen.

Der aktuelle Stand der ePrivacy-Verordnung

Die Verhandlungen zur ePrivacy-Verordnung ziehen sich bereits seit mehreren Jahren hin. Ursprünglich war geplant, die ePVO zeitgleich mit der DSGVO im Mai 2018 in Kraft treten zu lassen. Das wurde jedoch aufgrund von Meinungsverschiedenheiten zwischen den EU-Mitgliedstaaten und InteressenvertreterInnen immer wieder verzögert.

Einige der Hauptstreitpunkte betreffen den Einsatz von Cookies, die Regelungen für digitale Direktwerbung sowie den Umgang mit Kommunikationsdaten und Metadaten. Unternehmen, speziell in der Werbebranche und im Bereich digitaler Dienstleistungen, stehen den geplanten strengen Regelungen kritisch gegenüber, da sie befürchten, dass diese ihre Geschäftsmodelle erheblich beeinflussen könnten.

Trotz dieser Herausforderungen gibt es Fortschritte. Der Rat der Europäischen Union hat im Februar 2021 eine Kompromissversion der Verordnung angenommen, die als Grundlage für die weiteren Verhandlungen mit dem Europäischen Parlament dient. Diese sogenannte „Trilog-Verhandlung“ zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Rat der EU ist der letzte Schritt im Gesetzgebungsprozess. Allerdings bleibt unklar, wann genau die Verhandlungen abgeschlossen sein werden und wann die ePrivacy-Verordnung schließlich in Kraft treten kann.

Unternehmen sollten dennoch vorbereitet sein, da die ePrivacy-Verordnung weitreichende Auswirkungen auf den Umgang mit Nutzerdaten, Tracking-Technologien und digitaler Werbung haben wird. Bis zur endgültigen Verabschiedung gelten weiterhin die Regelungen der ePrivacy-Richtlinie sowie die DSGVO als Grundlage für den Datenschutz im digitalen Raum.

ePrivacy-Verordnung, ePrivacy-Richtlinie, DSGVO, TDDG – Was gilt wann?

Die ePrivacy-Verordnung, die ePrivacy-Richtlinie und das Telekommunikation-Digitale-Dienste-Datenschutz-Datenschutz-Gesetz (TDDDG) stehen in einem engen Zusammenhang, da sie alle Regelungen zum Datenschutz in der elektronischen Kommunikation betreffen, jedoch auf verschiedenen Ebenen angesiedelt sind und unterschiedliche Geltungsbereiche haben.

ePrivacy-Richtlinie

Die ePrivacy-Richtlinie (auch bekannt als „Cookie-Richtlinie“) ist ein europäisches Gesetz, das seit 2002 die Privatsphäre und den Schutz personenbezogener Daten in der elektronischen Kommunikation regelt. Sie ergänzt die damalige Datenschutzrichtlinie (jetzt ersetzt durch die DSGVO) und legt fest, wie Unternehmen elektronische Kommunikationsdaten nutzen dürfen. Die Richtlinie fordert unter anderem die Einwilligung der NutzerInnen für die Verwendung von Cookies und regelt den Schutz von Kommunikationsinhalten und -metadaten. Da es sich um eine Richtlinie handelt, musste sie von den Mitgliedstaaten in nationales Recht umgesetzt werden, was zu unterschiedlichen Regelungen in den einzelnen Ländern führte.

ePrivacy-Verordnung

Die ePrivacy-Verordnung soll die ePrivacy-Richtlinie ersetzen und diese in Form eines direkt anwendbaren EU-Gesetzes modernisieren. Die Verordnung zielt darauf ab, die Datenschutzregeln für die elektronische Kommunikation an die DSGVO anzupassen und für alle EU-Länder einheitliche Standards zu schaffen. Sie erweitert den Geltungsbereich auf neue Kommunikationsdienste wie WhatsApp oder Facebook Messenger und regelt detaillierter den Einsatz von Cookies und die Verarbeitung von Kommunikationsdaten. Die ePrivacy-Verordnung wird nach ihrer Verabschiedung in allen EU-Mitgliedstaaten unmittelbar gelten, ohne dass eine nationale Umsetzung erforderlich ist.

DSGVO

Die DSGVO, die 2018 in Kraft trat, regelt den allgemeinen Schutz personenbezogener Daten in der gesamten EU. Sie legt fest, wie Unternehmen Daten verarbeiten dürfen und welche Rechte Betroffene haben. Sie ist der rechtliche Rahmen, der für alle Arten personenbezogener Daten gilt.

Die ePrivacy-Verordnung und die DSGVO ergänzen sich, um den Datenschutz in der EU umfassend zu regeln. Während die DSGVO den allgemeinen Schutz personenbezogener Daten abdeckt, konzentriert sich die ePrivacy-Verordnung speziell auf den Schutz der Privatsphäre in der elektronischen Kommunikation. Als Spezialregelung geht die ePrivacy-Verordnung der DSGVO in diesen Bereichen vor und regelt insbesondere den Umgang mit Kommunikationsdiensten, die Verarbeitung von Metadaten sowie die Verwendung von Cookies. Zusammen sorgen beide Regelwerke für einheitliche und hohe Datenschutzstandards in der gesamten EU.

Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)

Das TDDDG, das seit Dezember 2021 in Deutschland gilt, integriert die deutschen Regelungen zur Umsetzung der ePrivacy-Richtlinie in einem Gesetz. Es vereinheitlicht die datenschutzrechtlichen Vorgaben für Telekommunikations- und Telemediendienste und regelt unter anderem die Einwilligungspflichten für den Einsatz von Cookies und Tracking-Technologien. Es setzt die bisherige ePrivacy-Richtlinie in nationales Recht um und stellt sicher, dass die deutschen Regelungen mit den EU-Vorgaben übereinstimmen.

Zusammenhang

Der Zusammenhang zwischen den Regelwerken liegt darin, dass die ePrivacy-Richtlinie und das TDDDG derzeit die rechtlichen Rahmenbedingungen für den Datenschutz in der elektronischen Kommunikation auf europäischer und nationaler Ebene festlegen. Die ePrivacy-Verordnung soll zukünftig diese beiden Regelungen ersetzen und harmonisieren, indem sie die Anforderungen an den Schutz von Kommunikationsdaten EU-weit einheitlich regelt. Das TDDDG ist somit eine Übergangslösung, die die ePrivacy-Richtlinie in Deutschland umsetzt, bis die ePrivacy-Verordnung in Kraft tritt und die nationalen Gesetze ablöst.Mehr über die Anforderungen des TDDDG und Cookie-Regelungen können Sie hier erfahren. Insbesondere für Mitarbeitende im Marketing ist es entscheidend, umfassend in aktuellen Datenschutzvorgaben geschult zu sein, um Online-Marketing rechtssicher und compliant zu gestalten.

Was müssen Unternehmen aktuell beachten?

Aktuell gilt für Unternehmen in Deutschland das TDDDG, das die Anforderungen der ePrivacy-Richtlinie in nationales Recht umsetzt. Unternehmen sollten sich darauf fokussieren, die Regelungen des TDDDG und der DSGVO einzuhalten, insbesondere in Bezug auf:

1. Cookie-Einwilligung: Unternehmen müssen sicherstellen, dass sie vor dem Einsatz von Cookies und ähnlichen Technologien die ausdrückliche Einwilligung der NutzerInnen einholen. Das betrifft insbesondere Tracking-Cookies, die für Marketing- oder Analysezwecke verwendet werden.
2. Datenschutzkonforme Kommunikation: Die Verarbeitung von Kommunikationsdaten (z. B. E-Mails, Metadaten) muss datenschutzkonform erfolgen. Ohne die ausdrückliche Zustimmung der NutzerInnen dürfen diese Daten nur in eng begrenzten Fällen verarbeitet werden, wie etwa für Abrechnungszwecke.
3. Datensicherheit: Unternehmen sollten Maßnahmen zur Sicherung der Kommunikationsinhalte und -metadaten ergreifen, um unberechtigte Zugriffe zu verhindern.
4. Transparente Datenschutzhinweise: Klare und verständliche Datenschutzerklärungen sind notwendig, um NutzerInnen über die Datenerhebung, -verarbeitung und -speicherung zu informieren.
5. Vorbereitung auf die ePrivacy-Verordnung: Auch wenn die ePrivacy-Verordnung noch nicht in Kraft ist, sollten Unternehmen die Entwicklung im Blick behalten und sich auf zukünftige Anpassungen vorbereiten, z. B. durch Schulungen der Mitarbeitenden im Datenschutz und die Überarbeitung interner Datenschutzrichtlinien.

Fazit

Die ePrivacy-Verordnung stellt einen wichtigen Schritt dar, um den Schutz der Privatsphäre und die Sicherheit der elektronischen Kommunikation in einer zunehmend digitalen Welt zu verbessern. Sie wird den rechtlichen Rahmen, den derzeit das TDDDG und die ePrivacy-Richtlinie abdecken, modernisieren und an die Anforderungen der heutigen Technologien anpassen. Unternehmen sollten sich jedoch nicht zurücklehnen, sondern die derzeit geltenden Regelungen des TDDDG und der DSGVO strikt umsetzen, um schon jetzt compliant zu bleiben und künftige Umstellungen reibungslos zu meistern.

Die Einführung der ePrivacy-Verordnung mag sich verzögern, doch ihr Einfluss wird weitreichend sein. Die zukünftigen Vorschriften werden den Umgang mit Cookies, Tracking-Technologien und Kommunikationsdaten erheblich strenger regeln. Es ist daher entscheidend, dass Unternehmen die Entwicklungen im Blick behalten und sich bereits jetzt auf die kommenden Veränderungen vorbereiten, um ihre Geschäftsmodelle weiterhin datenschutzkonform gestalten zu können.