10 min Zuletzt auktualisiert: 29.06.2023

ePrivacy Verordnung: Kommt 2023 endlich der Schutz der elektronischen Kommunikation?

Titel graphic_ePrivacy-01

Von der DSGVO haben mittlerweile schon alle gehört. Durch die Europäische Datenschutz-Grundverordnung (DSGVO) wird seit 2018 jedes in der EU tätige Unternehmen und jede Organisation zum Datenschutz verpflichtet. Was nicht alle wissen ist, dass mit ihr ursprünglich auch die ePrivacy Verordnung (oder kurz: ePVO) den umfassenden Datenschutz in Europa normieren sollte. Leider ist daraus bisher nichts geworden, denn die ePVO scheiterte daran, dass sich die EU-Staaten nicht auf einen gemeinsamen Gesetzesentwurf einigen konnten. Dabei fehlte insbesondere beim Thema Tracking der gemeinsame Konsens. 

Die gute Nachricht: Inzwischen haben die Verhandlungen zur ePrivacy Verordnung wieder Fahrt aufgenommen. Ein Kompromissvorschlag zum Gesetzesentwurf ist aktuell Gegenstand der sogenannten Trilog-Verhandlungen zwischen dem Rat der Europäischen Union, der EU-Kommission und dem Europaparlament. Damit könnte die ePVO schon 2023 in Kraft treten und nach einer Übergangsfrist von 24 Monaten in Deutschland ab 2025 verbindliche Wirkung entfalten.

Was ist die ePrivacy Verordnung?

Wie die DSGVO soll auch die ePrivacy Verordnung den Datenschutz in Europa einheitlich normieren. Dabei ist die ePVO nicht als Ersatz, sondern als Ergänzung zur DSGVO zu verstehen. Allerdings gelten ihre Bestimmungen juristisch als „lex specialis”, also als Sondergesetz. Damit hat die ePVO als Gesetz Vorrang gegenüber der DSGVO – sobald sie wirksam in Kraft getreten ist. 

Regelungsgegenstand der ePrivacy Verordnung ist die elektronische Kommunikation. Ihr Schutz soll ähnlich umfassend sein wie der Schutz von personenbezogenen Daten durch die DSGVO. Ebenfalls soll die Verordnung den Einsatz von Cookies regeln, also kleinen Textdateien, die ein präzises Tracking der User erlauben. Auch hierzu fehlt es bisher an einer entsprechenden Regelung. 

Kernpunkte der ePrivacy Verordnung

Zu den Inhalten der ePVO zählen vor allem folgende Kernpunkte:

  1. Erweiterung des „Rechts auf Vergessenwerden“ bzw. des Rechts auf Löschung: Nach Art. 17 DSGVO haben Betroffene das Recht, von den Verantwortlichen die sofortige Löschung der eigenen Daten zu verlangen. Die ePrivacy Verordnung soll dieses Recht erweitern. Demnach haben Betroffene dann das Recht, Einwilligungen im Halbjahresrhythmus zu widerrufen. 
  2. Verbot der Direktwerbung: Die ePrivacy Verordnung untersagt die Direktwerbung von Unternehmen gegenüber Verbrauchenden. Während die DSGVO hier über das sogenannte „berechtigte Interesse“ noch ein Schlupfloch für die Direktwerbung bietet, wird dieses durch die ePVO final geschlossen.
  3. Stärkung der Privatsphäre: Browser oder Apps müssen privatsphärenfreundlich eingestellt sein. Dies gilt für sämtliche Produkte und Anwendungen, durch die User auf Dienste oder Websites zugreifen können. 
  4. DSGVO-Kopplungsverbot: Schon die DSGVO enthält in Art. 7 Abs. 4 das sogenannte Kopplungsverbot. Dieses ist grundsätzlich auch in der ePrivacy Verordnung vorgesehen. Durch dieses Verbot darf die Nutzung bestimmter Services oder Inhalte nicht an die Einwilligung der Betroffenen geknüpft werden.
  5. Erweiterung der Datenschutzregeln: Durch die ePVO soll künftig auch die Vertraulichkeit der Kommunikation gewährleistet sein, wenn diese über einen Over-the-Top-Kommunikationsdienst (kurz: OTT-Dienst) stattfindet. Dazu gehört beispielsweise die Messenger-Telefonie über WhatsApp oder auch Skype. Die Kommunikation über OTT-Dienste fällt bisher nicht in den Anwendungsbereich der DSGVO.

Wodurch unterscheidet sich die ePrivacy Verordnung von der DSGVO?

Die DSGVO gilt auf europäischer Ebene vor allem als allgemeines Gesetz rund um den Datenschutz. Demgegenüber ist die ePrivacy Verordnung speziell darauf ausgerichtet, die agierenden Personen im Bereich der elektronischen Kommunikation zu schützen. Sie konzentriert sich in den einzelnen Vorgaben daher vor allem auf digitale Medien. 

Die größten Unterschiede zwischen ePVO und DSGVO sind daher:

  • Anwendungsbereich: Während die DSGVO den Datenschutz für analoge und digitale Prozesse vorgibt, beschränkt sich die ePVO ausschließlich auf elektronische Kommunikation.
  • Schutzbereich: Die DSGVO schützt ganz allgemein alle personenbezogenen Daten. Die ePrivacy Verordnung präzisiert dagegen den Schutzbereich und schützt diese beim Einsatz und Gebrauch elektronischer Kommunikation.

Welche Schnittstellen ergeben sich im Verhältnis zum TTDSG?

Während auf europäischer Ebene noch über die ePrivacy Verordnung verhandelt wird, ist in Deutschland bereits am 01. Dezember 2021 das Telekommunikations-Telemedien-Datenschutzgesetz (kurz: TTDSG) in Kraft getreten.

Dabei handelt es sich um die nationale Umsetzung der e-Privacy-Richtlinie (kurz: ePR) der EU. Das TTDSG entfaltet allerdings nur so lange verbindliche Wirkung, bis die ePVO als unmittelbar geltendes EU-Recht in Kraft tritt. 

Grundsätzlich gibt aber bereits das TTDSG datenschutzrechtliche Anforderungen im Bereich Telekommunikation und Telemedien vor. Besondere Bedeutung kommt hierbei § 25 TTDSG zu. Demnach sind für den Einsatz von Cookies und anderen Tools, die für den Betrieb einer Webseite nicht zwingend erforderlich sind, wirksame Einwilligungen der User einzuholen. Die Einwilligungen sind dabei an den Wirksamkeitserfordernissen der DSGVO zu messen und müssen freiwillig, bestimmt, informativ, unmissverständlich und ausdrücklich erfolgen sowie zu jeder Zeit widerrufbar sein.

Warum ist die ePrivacy Verordnung bisher gescheitert?

Die ePVO sollte ursprünglich die europäische ePrivacy Richtlinie ablösen. Diese gilt schon seit 2002, wurde 2009 umfassend modifiziert und normiert datenschutzrechtliche Vorgaben im Bereich der Telekommunikation. 

Obwohl sich bei der DSGVO die EU-Mitgliedstaaten auf einen gemeinsamen Gesetzesentwurf einigen konnten, scheiterten die Verhandlungen bei der ePrivacy Verordnung über Jahre hinweg. Dies lag hauptsächlich an der fehlenden Einigung in Bezug auf den Einsatz von Cookies und unaufgeforderter elektronischer Werbung. Während einige Mitgliedstaaten eine strenge Regelung forderten, lehnten andere Länder (z.B. Deutschland) dies ab. Auch auf gesellschaftlicher Ebene gab es kontroverse Diskussionen über die Regelungsinhalte der kommenden ePVO. Erst am 10. Februar 2021 gab es eine gemeinsame Position und damit auch die Möglichkeit einer neuen Verhandlungsrunde unter der Ratspräsidentschaft von Frankreich.

Was ist für Unternehmen aktuell relevant?

Für Unternehmen und Organisationen, die mit der Erhebung und Verarbeitung von personenbezogenen Daten zu tun haben, hat die DSGVO nach wie vor höchste Relevanz. Sie gilt bei allen Tätigkeiten, bei denen sie eine Rolle spielen. 

Die Notwendigkeit, personenbezogenen Daten einen umfassenden Schutz zukommen zu lassen, ist nicht nur auf europäischer Ebene von Bedeutung. Datenschutz ist mittlerweile zum globalen Thema geworden und nicht wenige außereuropäische Länder orientieren sich bei der nationalen Gesetzgebung am Beispiel der Europäischen Datenschutz-Grundverordnung.

Wie bereits erwähnt, gilt neben der DSGVO seit Dezember 2021 auch das bereits erwähnte TTDSG, durch welches für Unternehmen diverse Anforderungen im Bereich des Datenschutzes gelten. Diese sorgen bei Betroffenen für mehr Sicherheit in Bezug auf die eigenen Daten.

Obwohl die DSGVO schon seit 2018 gilt, kommt es nach wie vor in vielen Unternehmen zu Verstößen gegen die datenschutzrechtlichen Vorgaben.  

Um sich vor hohen Strafen und nicht zuletzt auch heiklen Imageschäden zu schützen, sollten sich Unternehmen und Organisationen frühzeitig darum kümmern, Ihre Mitarbeitenden in Sachen Datenschutz zu schulen. Denn erst, wenn die gesamte Belegschaft mit Daten umzugehen weiß, ist ein umfangreicher Schutz gegeben. Zwar sieht die DSGVO derzeit von einer expliziten Pflicht zur Datenschutz-Schulung ab, eine indirekte Pflicht zur Schulung ist aber mindestens anzunehmen. Diese folgt aus Art. 5 Abs. 2 DSGVO, wo die allgemeine Nachweispflicht des Verantwortlichen zur Einhaltung der datenschutzrechtlichen Vorgaben normiert wird.

Nehmen Sie die Schulung Ihrer Mitarbeitenden jetzt in Angriff – am besten mit dem interaktiven, flexiblen und nachhaltigen E-Learning „Datenschutz für Mitarbeitende“ von lawpilots.   

Ausblick: Wann ist realistisch mit der ePrivacy Verordnung zu rechnen?

Die neuen Verhandlungen zur ePrivacy Verordnung dauern zum jetzigen Zeitpunkt immer noch an. Eine Einigung ist aller Voraussicht nach dennoch in diesem Jahr zu erwarten. Unternehmen sollten sich bereits  auf die neuen Datenschutzvorgaben einstellen und bei Inkrafttreten schnellstmöglich handeln. Allerdings ist auch für das Inkrafttreten der ePVO eine Übergangsfrist von 24 Monaten vorgesehen. Bis zur finalen Anwendung der Vorschriften in Deutschland wird es also noch mehrere Jahre dauern. Nichtsdestotrotz sollten Sie schon jetzt proaktiv und nachhaltig in die Schulung und Sensibilisierung Ihrer Mitarbeitenden investieren, um möglichen Verstößen schon vor Wirksamwerden der neuen Regelungen entgegenzuwirken.

Fazit

Die ePrivacy Verordnung ist ein weiterer Baustein auf dem Weg zum umfassenden Datenschutz auf europäischer Ebene. Durch die angestoßenen Trilog-Verhandlungen ist dennoch nicht so bald mit einem Gesetz zu rechnen. Genau diesen zeitlichen Puffer sollten Sie nutzen, um Ihre Beschäftigten schon jetzt auf die anstehenden Regelungen und neuen Anforderungen vorzubereiten und für das Thema Datenschutz maximal zu sensibilisieren. 

E-Learning für mehr Datenschutz im Unternehmen

Stellen Sie sich vor, es ist Datenschutzschulung und alle wollen hin. Unser DSGVO-E-Learning macht genau das möglich. Dialogspiele, interaktive Elemente, Erklärvideos und Experteninterviews schaffen bei Ihren Mitarbeitenden in nur 45 Minuten ein nachhaltiges Datenschutzbewusstsein.

Unsere Auszeichnungen

DBA Siegel

Unsere Partner


lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6362191958496 von 5 Sternen 2570 Bewertungen auf ProvenExpert.com