ePrivacy-Verodnung: Aktueller Stand

Worauf Unternehmen sich vorbereiten müssen

11.06.2019

Fast ein Jahr ist die Datenschutzgrundverordnung (DSGVO) inzwischen in Kraft. Die notwendigen Anpassungen sind fast überall längst erledigt und neue Verfahren den Unternehmen vertraut. In naher Zukunft werden mit der ePrivacy-Verordnung aber weitere Änderungen auf sie zukommen.

Die ePrivacy-Verordnung ist eine EU-Verordnung, die die DSGVO ergänzen und präzisieren soll. Außerdem wird sie die zurzeit geltende ePrivacy-Richtlinie ablösen, die in Deutschland vor allem im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG) umgesetzt wurde.

Damit wird sie entscheidend beeinflussen, wie Online-Dienste in Zukunft angeboten werden können. Bisher liegt sie allerdings nur als Entwurf vor, da sie sich noch im Gesetzgebungsverfahren befindet. Dennoch tun Unternehmen gut daran, sich jetzt schon zu informieren und auf dem Laufenden zu halten. So bleibt ihnen genug Zeit, sich auf notwendige Anpassungen vorzubereiten.

Anwendungsbereiche der ePrivacy-Verordnung

Die ePrivacy-Verordnung wendet sich an alle Anbieter elektronischer Kommunikation, die ihre Leistungen für Endnutzer in der Europäischen Union bereitstellen. Schützen soll sie die Kommunikationsdaten von natürlichen und juristischen Personen.

Zu den erfassten Kommunikationsvorgängen zählen die Internet-Telefonie, E-Mails, Internetzugänge, Messaging-Dienste und Social Media. Betroffen ist außerdem die Übermittlung von Daten ohne Personenbezug, wie sie zum Beispiel im Internet der Dinge oder bei vernetzten Fahrzeugen umgesetzt wird. Geregelt ist der Anwendungsbereich in Artikel 2 und 3 der ePrivacy-Verordnung.

Im zurzeit vorliegenden Entwurf geht die EU über das Datenschutzniveau der DSGVO hinaus. Demnach wäre künftig bei sämtlichen Prozessen der Datenverarbeitung eine Einwilligung der Nutzer notwendig. Ein berechtigtes Interesse an der Verarbeitung, auf das sich Unternehmen nach den Vorschriften der DSGVO berufen können, ist dabei nicht vorgesehen.

Was nach aktuellem Stand für Unternehmen aus der neuen Regelung folgt

Für Unternehmen bedeutet die ePrivacy-Verordnung nach derzeitigem Stand vor allem einen großen bürokratischen Aufwand. Denn sie benötigen umfangreiche neue Nutzungs- und Geschäftsbedingungen. Sonst könnten von ihnen eingesetzte Internetdienste und Apps nach Inkrafttreten der neuen Regelung nicht mehr in gewohnter Weise genutzt werden.

Das Sammeln und Auswerten von vor allem für das Marketing relevanten Daten wird erheblich erschwert. Auch Produkte aus dem Internet der Dinge entsprechen nicht mehr den gesetzlichen Vorgaben.  

Der Einsatz von Cookies

Besonders beim Einsatz von Cookies werden Unternehmen sich umstellen müssen. Bei diesen Cookies handelt es sich um kleine Dateien, die beim Besuch einer Website auf dem lokalen Rechner gespeichert und beim erneuten Besuch abgerufen werden. Sie erkennen das Nutzerverhalten und sorgen einerseits für ein bequemeres Surfen im Internet, können andererseits aber auch persönliche Daten übermitteln.

Schon jetzt ist daher zum Beispiel bei der Nutzung von Google Analytics zur Messung des Besucherverhaltens eine Anonymisierung zwingend. Außerdem müssen Unternehmen über den Einsatz von Cookies informieren und eine Möglichkeit bieten, der Verwendung zu widersprechen.

Anders als zurzeit wird nach Inkrafttreten der ePrivacy-Verordnung ein Hinweis auf sogenannten Cookie-Bannern sowie in der Datenschutzerklärung wohl nicht mehr ausreichen. Stattdessen müssen die Nutzer dann ausdrücklich zustimmen, dass ein Cookie gesetzt werden darf.

Geregelt ist der Einsatz von Cookies in den Artikeln 8 und 9 des Entwurfs zur ePrivacy-Verordnung. Demnach sollen nur solche Cookies eine Ausnahme darstellen, die für wesentliche Funktionen einer Website notwendig sind und keine Auswirkungen auf die Privatsphäre eines Nutzers haben.

Auch bei vernetzten Geräten, wie sie im Internet der Dinge genutzt werden, könnte die Einwilligung entfallen. Außerdem soll es möglich sein, eine Zustimmung übergreifend für verschiedene Anwendungen eines Anbieters zu geben.

Herausforderungen für Unternehmen

Gerade Unternehmen, die verstärkt Online-Maßnahmen für ihr Marketing nutzen, werden künftig vor einer Herausforderung stehen. Sie müssen damit rechnen, dass zahlreiche Nutzer ihrer Webseiten die Einwilligung zum Setzen von Cookies verweigern. Ermittelte Zugriffszahlen verlieren dadurch ihre Aussagekraft.

Auch Werbemaßnahmen lassen sich mangels genauer Daten dann schwerer gezielt ausspielen. Eine Lösung werden die Unternehmen hier in modernen Verfahren suchen müssen, die nicht auf den Einsatz von Cookies angewiesen sind.

Weitere Aufgaben warten auf Unternehmen, indem sie den Anspruch auf Schutz der Daten ihrer Beschäftigten beachten. Lässt sich nämlich künftig zum Beispiel die Einwilligung zur Nutzung von Cookies durch eine Voreinstellung am Browser oder durch eine übergreifende Zustimmung über verschiedene Anwendungen treffen, kommt es darauf an, wer dies an einem Rechner am Arbeitsplatz festlegt und nach welchen Kriterien dies geschieht.

Inkrafttreten der ePrivacy-Verordnung

Wann genau die ePrivacy-Verordnung in Kraft treten wird, ist zurzeit noch nicht absehbar. Grund dafür ist der noch vorhandene Beratungsbedarf zwischen den EU-Mitgliedstaaten. Vor allem der Einsatz von Cookies sorgt dabei noch für Unstimmigkeiten.

Mit einer endgültigen Fassung der neuen Regelung ist daher voraussichtlich frühestens im Herbst 2019 zu rechnen. Deutschland hält eine zweijährige Übergangsfrist zur Umsetzung für notwendig. Angewendet werden könnte die Verordnung dann wohl im Jahr 2022.

Martina Schäfer, FINIS Kommunikation