Freuen Sie sich auch schon darauf, wenn das ewige Hin- und Her um die ePrivacy-Verordnung irgendwann ein Ende hat? Schließlich begleitet uns die Diskussion um eine europaweite, einheitliche Regelung in Bezug auf elektronische Kommunikation nicht erst seit gestern. Aber nun kommt Bewegung ins Spiel: Der Europarat hat kürzlich (Mitte Februar 2021) einen neuen Entwurf beschlossen. Dieser wird nun im nächsten Schritt im Europaparlament diskutiert und dann vielleicht doch noch irgendwann ein finaler Verordnungstext verabschiedet.
Der erste Impuls vieler Marketers: erstmal abwarten. Ob das diesmal wirklich angebracht ist und welche Neuerungen ordentlich für Aufruhr sorgen könnten, erfahren Sie hier.
Zudem alle Infos zu:
- dem aktuellen Stand und möglichen zukünftigen Entwicklungen
- dem Unterschied zwischen DSGVO und ePrivacy Richtlinie
- den Vorbereitungen, die Unternehmen jetzt schon treffen können
ePrivacy Verordnung: aktueller Stand und Entwicklung
++ NEWS ++ Der aktuelle Entwurf und was Datenschützer dazu sagen
Sollte der neue Entwurf in seiner derzeitigen Fassung in Kraft treten, wäre dies ein herber Rückschlag für Datenschützer. So bemängelt beispielsweise der BfDI, dass dies sowohl die Wiedereinführung der Datenvorratsspeicherung bedeute, als auch sogenannte “Cookie Walls” wieder zulässig machen würde. Zudem würde z.B. die Möglichkeit für Nutzer, ihre Einwilligung in die Verarbeitung ihrer persönlichen Daten jederzeit zu widerrufen, wegfallen – und auch die Datenschutzfolgenabschätzung würde gestrichen. Des Weiteren fehlt ein Artikel aus den Entwürfen von Kommission und Parlament, der Einwilligungs-Management über den Browser ermöglichen und so den Schutz der Privatsphäre zur Standardeinstellung machen sollte. Auch ein Rückgriff auf die Garantien der Datenschutz-Grundverordnung (DSGVO) sei ausgeschlossen. Nicht zuletzt ermögliche diese Version der ePrivacy-Verordnung, dass personenbezogene Daten ohne ausdrückliche Nutzer Einwilligung zu anderen Zwecken weiterverarbeitet werden könnten – ein schwerwiegender Eingriff in die Grundrechte europäischer Bürger.
Übrigens: Deutschland und Österreich enthielten sich laut eines Berichts des Magazins politico.eu bei der Verabschiedung des Entwurfs. Die breite Mehrheit der EU-Staaten unterstützte allerdings den portugiesischen Vorschlag.
Fakt ist: Die ePrivacy-Verordnung ist (Stand Anfang 2021) noch nicht in Kraft. Die europäischen Mitgliedsstaaten sind sich über die genaue Ausgestaltung uneins, auch wenn es neuerdings aufgrund des neuen Entwurfs Bewegung gibt.
Ein Rückblick: Ursprünglich sollte die Verordnung parallel zum DSGVO-Start im Jahr 2018 ihre Wirkung entfalten, hätte dann allerdings bereits 2016 beschlossen werden müssen.
Seitdem hat sich der Start der ePrivacy-Verordnung immer wieder verschoben, Ende 2019 stand sie sogar vor dem Aus. Der Grund: Differenzen zwischen den EU-Staaten etwa über Regeln bezüglich Nutzer-Tracking, Cookies und dem Umgang mit Verbindungs- sowie Standortinformationen.
Anfang 2021 ist die Verordnung also immer noch in der Schwebe. Die portugiesische Ratspräsidentschaft unter dem Vorsitz von Augusto Santos Silva hat kurz nach ihrem Amtsantritt im Januar 2021 einen Neuentwurf der ePrivacy-Verordnung vorgelegt, der durch den EU-Rat beschlossen wurde.
Doch selbst wenn der Entwurf alle EU-Gremien passieren und in eine Verordnung umgesetzt werden sollte, dauert es noch bis die ePrivacy-Verordnung ihre Wirkung entfaltet.
Die ePrivacy-Verordnung als Erweiterung der DSGVO: Unterschiede und Gemeinsamkeiten
Ursprünglich sollte die ePrivacy-Verordnung parallel zur DSGVO am 25. Mai 2018 in Kraft treten und Aspekte beleuchten, die in dieser nicht umfassend beleuchteten werden. Die ePrivacy-Verordnung befindet sich Stand Anfang 2021 hingegen noch als Entwurf in der Debatte. Was beide Regelungen verbindet? Es handelt sich dabei um Verordnungen.
Verordnungen gelten für alle Mitgliedsstaaten gleichermaßen und unmittelbar. Eine nochmalige Umsetzung in nationales Recht hat hier nicht zu erfolgen. Sie dienen daher der Vereinheitlichung von Regeln in allen europäischen Staaten. Verordnungen bilden einen starken Kontrast zu Richtlinien, bei denen die einzelnen Nationalstaaten stärker selbst festlegen können wie sie die EU-Regeln umsetzen.
Eine weitere Überschneidung ist der Fokus auf Datenschutz, wobei es in diesem Punkt gleichzeitig den größten Unterschied gibt: Während die DSGVO in allen Lebensbereichen Anwendung findet, ist die ePrivacy-Verordnung ausschließlich auf den digitalen Raum beschränkt.
Im Vergleich: DSGVO und ePrivacy-VO
| DSGVO | ePrivacy-VO |
Art | Verordnung | Verordnung |
Rechtsbereich | Datenschutz | Datenschutz |
Anwendungsbereich | sowohl online als auch offline | ausschließlich online/elektronische Kommunikation |
In Kraft | ja, seit 25. Mai 2018 | nein |
Online Version | L_2016119DE.01000101.xml (europa.eu) | aktueller Entwurf: pdf (europa.eu) (vom 10. Februar 2021) |
ePrivacy Verordnung vs ePrivacy Richtlinie
Aktuell gilt die ePrivacy Richtlinie aus 2002, die häufig auch als “EU-Cookie-Gesetz” bezeichnet wird und übersetzt “Datenschutzrichtlinie für elektronische Kommunikation” („e-Datenschutz-Richtlinie“) heißt.
2009 wurde die Richtlinie um den ergänzende “Cookie”-Paragraphen erweitert (RL 2009/136/EG). Neu hinzugekommen ist etwa der Abschnitt (Art. 5 Abs. 3), der eine informierte Einwilligung zur Verarbeitung von Nutzerinformationen erforderlich macht:
“Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“
Grundsätzlich sollen beide Regelungen zur Einhaltung des Datenschutzes bei der elektronischen Kommunikation führen.
Richtlinien sind im Unterschied zu Verordnungen allerdings nicht eins zu eins in nationales Recht zu überführen. Daher können Länder-Umsetzungen deutlich abweichen – wie der Begriff Richtlinie bereits vermuten lässt. Die Folge daraus? Es ergeben sich Rechtsunsicherheiten für Unternehmen, die ihre Dienste über die Ländergrenzen hinweg anbieten.
In Deutschland wird die ePrivacy Richtlinie etwa über das jüngst vom Kabinett beschlossene und neu überarbeitete Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) manifestiert.
Worin liegt eigentlich der Unterschied zwischen der ePrivacy Verordnung und der Richtlinie?
Generell gilt: Die Verordnung soll eine zeitgemäße Regulierung bringen, etwa für die immer populärer werdenden Messenger-Dienste wie WhatsApp – und zwar EU-weit einheitlich. Während die Richtlinie bereits in Kraft ist, ist es die Verordnung noch nicht. Geplant ist, dass die ePrivacy-Verordnung die E-Privacy-Richtlinie ablöst.
Im Vergleich: ePrivacy Richtlinie und ePrivacy-VO
| ePrivacy Richtlinie | ePrivacy-VO |
Art | Richtlinie | Verordnung |
Rechtsbereich | Datenschutz | Datenschutz |
Anwendungsbereich | ausschließlich online/elektronische Kommunikation | ausschließlich online/elektronische Kommunikation |
In Kraft | ja, seit 2002 bzw. 2009 (in erweiterter Form); abweichende Umsetzung in den Nationalstaaten | nein |
Online Version | EU: Link Deutsches Telekommunikations- (Entwurf) | aktueller Entwurf: pdf (europa.eu) (vom 10. Februar 2021) |
Welche Vorbereitungen sollten Unternehmen für die ePrivacy-VO treffen?
Da immer wieder kleine und größere Änderungen bei den Entwürfen der ePrivacy Verordnung vorgenommen werden, fallen bestimmte Aspekte weg oder es werden neue Inhalte ergänzt.
Ein Beispiel:
Nach Experten-Einschätzung sind bei dem aktuellen Februar-Entwurf Passagen vorzufinden, die “invasives Tracking” offenlässt. Frühere Entwürfe enthielten diesbezüglich bereits deutlich schärfere Regeln. Sich im Detail mit allen Änderungen zu befassen, macht für mittelständische Unternehmen wohl wenig Sinn. Hier reicht der Blick auf den generellen Wasserstand – und folgende Punkte:
- Nutzer Tracking & Cookies
- Verbindungs- sowie Standortdaten
- Umgang mit Metadaten
Da die Verordnung noch keine beschlossene Sache ist, bleibt ausreichend Zeit sich mit diesen drei Aspekten zu befassen. Ohnehin gibt es eine zweijährige Übergangszeit, um den Akteuren am Markt Möglichkeit zur Umsetzung zu geben und die Verordnung “direkt” in die nationalen Gesetze zu überführen. Vorausgesetzt, dass die ePrivacy-Verordnung Mitte 2021 beschlossen wird, würde sie erst 2023 ihre Wirkung entfalten.
Und dennoch: Sobald die ePrivacy-Verordnung beschlossen wurde, sollten Unternehmen sich zeitnah auf deren Umsetzung vorbereiten, um zu vermeiden, dass sich ähnlich wie beim Inkrafttreten der DSGVO eine Torschlusspanik wenige Wochen vor Fristende einstellt.
Wann und mit welchen Vorgaben genau die ePrivacy-Verordnung in Kraft tritt, steht noch in den Sternen. Was in Zukunft aber sicherlich immer mehr in den Fokus von Marketers rückt, ist das Thema Cookieless-Marketing. Online-Marketer sollten die Zeit nutzen, um sich eine geeignete Strategie zu überlegen, wie sie künftig auch ohne Cookies Nutzer mit Inhalten erreichen.
Wie sich das am besten umsetzen lässt, erfahren Sie in unserem Guide: Online Marketing | 2021 ohne Cookies? 3 DSGVO-konforme Strategien (usercentrics.com)