ePrivacy-Verordnung

Wann kommt die ePrivacy-Verordnung und was müssen Unternehmen bis dahin datenschutzrechtlich regeln?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(41 Bewertungen, 2.95 von 5)

Das Wichtigste in Kürze

  • Die ePrivacy-Verordnung soll die gesetzlichen Lücken der DSGVO schließen und sie ergänzen.
  • Bislang (Stand: Juni 2023) ist die ePrivacy-VO nicht in Kraft getreten. Die Verhandlungen laufen noch, sodass die Verordnung nicht vor Ende 2023 rechtsverbindlich wird.
  • Trotz der anschließenden Übergangsfrist von zwei Jahren, sollten Unternehmen bereits einige Vorkehrungen schaffen, um keine Bußgelder zu kassieren.

Worum geht's?

Einige Unternehmen stemmten die Mammut-Aufgabe „DSGVO“ mit Bravour. Andere hinken noch gewaltig hinterher. Doch nun klopft schon das nächste Datenschutzthema an die Tür. Die ePrivacy-Verordnung sollte ursprünglich zusammen mit der DSGVO erscheinen.  Nun kommt diese aber wohl frühestens Ende 2023, tendenziell eher später. Doch wie weit ist das Gesetzgebungsverfahren derzeit? Sollten Unternehmen schon jetzt erste Maßnahmen ergreifen? Was passiert, wenn Sie als Unternehmen die ePrivacy-Verordnung verschlafen?

1. Was ist die ePrivacy-Verordnung?

Die ePrivacy-Verordnung (ePVO, auch: ePrivacy-VO oder E-Privacy-Verordnung) soll Privatpersonen und Unternehmen schützen. Sie löst die E-Privacy-Richtlinie (auch Datenschutzrichtlinie für elektronische Kommunikation genannt) ab, die der deutsche Gesetzgeber größtenteils im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) umsetzte. Viele Unternehmer warnen bereits, dass die ePrivacy-Verordnung das digitale Business schwer schädigen wird. Es stünden sogar ganze Geschäftsmodelle vor dem „Aus“.

Die Unternehmen verfolgen die ePrivacy-Verordnung deshalb mit Argwohn. Nach dem Inkrafttreten der ePrivacy-Verordnung ist bisher eine 24-monatige Übergangsfrist innerhalb der gesamten Europäischen Union vorgesehen, bevor die Verordnung gelten kann.

GUT ZU WISSEN

Die ePrivacy-Verordnung ist eine Art Spezialgesetz, das die DSGVO erweitern soll. Die ePrivacy-VO bezieht sich auf den Datenschutz in der Privatsphäre und der elektronischen Kommunikation. Sie soll insbesondere die Datenverarbeitung in Betrieben behandeln. Die Datenschützer der EU-Kommission veröffentlichten bereits am 10. Januar 2017 für die ePrivacy-Verordnung einen ersten Entwurf mit Erwägungsgrund zu jeder Ausführung und einer ausführlichen Stellungnahme.

Die Datenschützer der EU-Kommission sehen die E-Privacy-Verordnung als absolut notwendigen Schritt an. Die technischen und wirtschaftlichen Neuentwicklungen in der Europäischen Union machen in vielen Gebieten Neuregelungen notwendig. Die Verordnung soll insbesondere den Schutz der Endnutzer einer elektronischen Kommunikation gewährleisten.

2. Was ändert sich durch die E-Privacy-Verordnung?

Die Artikel in der ePrivacy-Verordnung sollen vorhandene Regelungslücken schließen, ohne über die Vorschriften der DSGVO hinauszugehen. Die alte E-Privacy-Richtlinie hält den Entwicklungen in der Wirtschaft und der Technik nicht stand. Die Mitgliedsstaaten setzten die Artikel der E-Privacy-Richtlinie in nationale Gesetze um. In Deutschland geschah das über das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG).

WUSSTEN SIE'S?

Da es sich um eine Verordnung und nicht um eine Richtlinie handelt, ist die ePrivacy-Verordnung nach ihrem Inkrafttreten und der Übergangsfrist von zwei Jahren in allen Mitgliedsstaaten wirksam. Es sind keine nationalen Gesetzgebungsakte erforderlich. Dies soll sicherstellen, dass die EU die Privatsphäre ihrer Bürger und deren personenbezogene Daten effektiv schützen kann.

Beispiel: Es kommen neue Techniken auf, die das Online-Verhalten des Nutzers tracken. Die bisherige Richtlinie erfasst diese Techniken noch nicht.

Was soll die ePrivacy-VO beinhalten?

Die ePrivacy-Verordnung soll sich auf elektronische Kommunikationsdienste beziehen, die ein Anbieter einem Endnutzer bereitstellt. Beispielsweise sollen für Over-the-Top-Kommunikationsdienste wie WhatsApp und Skype die Datenschutzregeln erweitert werden. So soll die alltägliche Kommunikation über diese Dienste für den Nutzer sicherer und vertraulicher gemacht werden. Die ePrivacy-VO gilt nicht für Kommunikationsdienste, die nicht öffentlich zugänglich sind.

Außerdem soll sie regeln, unter welchen Voraussetzungen die Betreiber elektronischer Kommunikationsnetze Daten speichern dürfen. Die ePrivacy-Verordnung beinhaltet auch Vorgaben für den Telekommunikationssektor. Sie schreibt vor, wie Provider Rufnummern anzeigen und unterdrücken oder Anrufe sperren müssen.

Themenkomplexe ePrivacy-VO
Außerdem wird sie verschiedene Themenkomplexe behandeln, beispielsweise:
  • Verfahren mit einer unerbetenen Kommunikation

  • Direktwerbung über elektronische Kommunikationsdienste

  • Informationspflichten über Sicherheitsrisiken

 

Die ePrivacy-Verordnung wird – ebenso wie die Datenschutz-Grundverordnung – beschreiben, welche Aufgaben die Aufsichtsbehörden haben. Sie sieht auch Sanktionen für Unternehmen vor, die den Vorgaben der Verordnung nicht nachkommen.

3. Politischer Exkurs: Wann tritt die ePrivacy-Verordnung in Kraft?

Vorgesehen war eigentlich, dass die ePrivacy-VO gleichzeitig mit der DSGVO, also am 25. Mai 2018, in Kraft tritt. Obwohl die Europäische Kommission im Januar 2017 einen Entwurf beim Europa-Parlament vorgelegt hat, stagnierten die Verhandlungen. Bis Mitte 2020 konnte keine Einigung erzielt werden.

Im Februar 2021 konnten sich die Mitgliedstaaten mit dem Rat einigen. Der nächste Schritt sind die Trilog-Verhandlungen. Diese laufen seit Mai 2021 und sind bislang (Stand: Juni 2023) noch immer nicht abgeschlossen.

Ein Blick in die Zukunft zeigt, dass die ePrivacy-Verordnung (aktueller Stand) nicht vor Ende 2023 in Kraft treten wird. Das bedeutet, dass durch die 2-jährige Übergangsfrist, die E-Privacy-Verordnung nicht vor Ende 2025 Anwendung finden wird.

Sobald frischer Wind in die Entwicklungen kommt und sich beim Inkrafttreten der ePrivacy-Verordnung etwas tut, werden wir Sie selbstverständlich darüber informieren. Dieser Artikel wird fortlaufend für Sie aktualisiert.

4. Welche Bußgelder drohen bei Nichteinhaltung der E-Privacy-Verordnung?

Die ePrivacy-Verordnung wird einen ähnlichen Bußgeldrahmen wie die Datenschutz-Grundverordnung (DSGVO) aufstellen. Im derzeitigen Entwurf behandelt sie im 5. Kapitel Haftungsfragen und Schadensersatz. Die Höhe der Bußgelder hängt von verschiedenen Faktoren ab. Die Aufsichtsbehörde hat hier einen gewissen Handlungsspielraum.

Bußgelder
Strafen schreiben die Regelungen insbesondere bei folgenden Verstößen vor:
  • Ein Unternehmen verstößt gegen den Grundsatz der Vertraulichkeit der Kommunikation.

  • Ein Anbieter verarbeitet unbefugt elektronische Kommunikationsdaten.

  • Ein Unternehmen verstößt gegen die Löschungsfristen der ePrivacy-Verordnung.

 

Der derzeitige Entwurf sieht Geldbußen in Höhe von bis zu 20 Millionen Euro vor. Alternativ darf die Aufsichtsbehörde bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen. Die Aufsichtsbehörde soll hier immer den Betrag verhängen, der höher ist.

Denken Sie daran, dass seit dem 1. Dezember 2021 die Bußgeldvorschriften des TTDSG gelten. Sie können auch vor dem Inkrafttreten der ePrivacy Verordnung bereits Bußgelder kassieren und abgemahnt werden.

Sören Siebert
Sören SiebertRechtsanwalt

5. Was sind die wichtigsten Bestimmungen?

Vertreter aus der Wirtschaft versuchen derzeit alles, um die Zustimmung der EU-Kommission zu gewinnen, damit diese die ePrivacy-VO wirtschaftsfreundlicher gestaltet. Die wesentlichen Inhalte der ePrivacy-Verordnung sind aber schon jetzt gesetzt. Tritt die Verordnung in Kraft, sind wahrscheinlich die nachfolgenden Punkte besonders relevant.

Das Recht auf „Vergessenwerden“

Die Verordnung möchte dem Nutzer die Möglichkeit geben, dass er eine bereits erteilte Einwilligung alle sechs Monate widerrufen kann. Unternehmen müssen Datenbanken deshalb so anlegen, dass sie jederzeit gezielt einzelne Einträge entfernen können. Dieser Prozess muss dann auch Backups betreffen.

Datenverarbeitung und Datenspeicherung

Die Nutzung von Verarbeitungs- und Speicherfunktionen wie Google Analytics ist unzulässig, sofern der Nutzer nicht ausdrücklich darin einwilligt. Dies setzen Unternehmen schon jetzt bei Cookies, beim Tracking und beim Targeting um. Die ePrivacy-VO wird hier wohl Ausnahmefälle zulassen, Online Marketing-Mitarbeiter stehen hier aber wohl trotzdem schon sehr bald vor immensen Problemen. Betreiber von Webseiten sollen zukünftig keine Informationen mehr darüber sammeln dürfen, welche Geräte ihre Nutzer verwenden. Die Opt-In-Regelung wird zukünftig wohl auch verpflichtend sein.

Kopplungsverbot

Die EU möchte das Kopplungsverbot aus der DSGVO in die neue Verordnung integrieren. Es soll unzulässig sein, dass Webseitenbetreiber bestimmte Inhalte von einer Einwilligung abhängig machen.

Rufnummernunterdrückung

Nutzer sollen ihre Rufnummer ab sofort einfach und kostenlos unterdrücken können. Dies ist in der Praxis aber schon längst der Fall. Die ePrivacy-Verordnung wird aber wohl regeln, dass Anbieter Informationen wie eine Telefonnummer nur noch dann in Telefonbücher eintragen dürfen, wenn der Besitzer ausdrücklich zustimmt. Auf nationaler Ebene dürfen Staaten dann eine Widerspruchslösung einführen. Dies bedeutet, dass die Einwilligung des Nutzers als erteilt gilt, wenn er nicht widerspricht.

Direktwerbung

Die E-Privacy-Verordnung erklärt Direktwerbung gegenüber Privatpersonen zukünftig zu einer „unerbetenen Kommunikation“. Dies gilt auch dann, wenn eine Privatperson vorher ein Produkt bei dem Unternehmen kaufte. Dann muss es ihr möglich sein, dass sie zukünftiger Werbung widerspricht.

Privatsphäre-Einstellungen

E-Mail-Provider und Entwickler von Anwendungen wie Browser müssen zukünftig ihre Privatsphäre-Einstellungen überarbeiten. Browser müssen leichter zugänglich und besser optimiert sein. Unbefugte Zugriffe von außen (auch in eine Cloud) dürfen technisch nicht mehr möglich sein. Wie das in der Praxis aussehen wird, ist derzeit noch nicht absehbar.

Vertraulichkeit der elektronischen Kommunikation

Besonders für Over-the-Top-Kommunikationsdienste wie WhatsApp oder Skype soll die ePrivacy-Verordnung eine vertrauliche Kommunikation gewährleisten. Dieser Punkt ist besonders wichtig, da die DSGVO diese Art der Kommunikation bisher nicht beinhaltet.

Sie haben Fragen zur ePrivacy-Verordnung oder brauchen Rechtsberatung zur DSGVO? Gern helfen Ihnen die spezialisierten Rechtsanwälte der Kanzlei Siebert Lexow weiter! Jetzt anfragen!

Sören Siebert
Sören SiebertRechtsanwalt

6. Gibt es Kritik an der ePrivacy-Verordnung?

Natürlich kommt kein neues Gesetz ohne Gegenwind. Vor allem Betreiber von Online-Shops und Webseiten sowie Unternehmen, die Online-Marketing betreiben, bemängeln die ePrivacy-VO. Sie gehen davon aus, dass Nutzer durch die vielen Einwilligungen, die sie erteilen müssen, überfordert sein könnten.

Größten Kritikpunkt stellt allerdings die Finanzierung von Online-Medien dar. Viele Webseiten sind derzeit werbefinanziert und darauf angewiesen, Werbung auf Ihrem Blog oder Ihrer Nachrichtenseite zu schalten. Diese Anzeigen basieren auf personalisierten gesammelten Daten durch Tracking-Cookies. Dies wäre nach Inkrafttreten der ePrivacy-Verordnung nur nach ausdrücklicher Zustimmung des Nutzers möglich.

Obwohl vorgesehen ist, dass die ePrivacy-Verordnung die DSGVO nur ergänzt, gehen Verbände davon aus, dass die ePrivacy-VO der DSGVO widersprechen könnte. Dies könnte vor allem zur Rechtsunsicherheit führen. Außerdem wies bereits das BMWK (Bundesministerium für Wirtschaft und Klimaschutz) darauf hin, dass das TTDSG nach Inkrafttreten der E-Privacy-Verordnung entsprechend angepasst werden müsste. Auch hier würde sich ein Hin-und-Her der rechtlichen Bestimmungen ergeben.

7. FAQ: Die 4 wichtigsten Fragen zur E-Privacy-Verordnung:

1. Wann tritt die ePrivacy-Verordnung in Kraft?

Ursprünglich sollte die ePrivacy-Verordnung zusammen mit der EU-Datenschutzgrundverordnung in Kraft treten. Die Verhandlungen zwischen EU-Kommission, Ministerrat und Parlament laufen derzeit allerdings noch, sodass mit einem Inkrafttreten vor Ende 2023 nicht zu rechnen ist.

2. Gibt es eine Übergangsfrist?

Die Übergangsfrist nach Inkrafttreten der ePrivacy-VO beträgt 24 Monate. In dieser Zeit sollten Unternehmen spätestens alle Regelungen umgesetzt haben.

3. Was bezweckt die E-Privacy-Verordnung?

Die ePVO soll personenbezogene Daten in der elektronischen Kommunikation schützen. Sie ergänzt die DSGVO dahingehend.

4. An welches Gesetz müssen sich Unternehmen halten?

Sobald die ePrivacy-Verordnung in Kraft tritt, müssen sich Unternehmen sowohl an die Regelungen der ePVO als auch an die Regelungen der DSGVO halten. Die E-Privacy-Verordnung soll allerdings die bereits vorhandenen Regelungen aus der Datenschutzgrundverordnung weiter präzisieren, sodass die beiden Verordnungen nicht in Konflikt miteinander geraten.

Die ePrivacy-Verordnung wird allerdings Vorrang vor der DSGVO haben. Das liegt daran, dass die DSGVO allgemeiner gehalten ist. Die ePrivacy-VO ist speziell für das Internet geschaffen worden und schützt diesen Bereich daher präziser.

8. Checkliste: Wie sollten sich Unternehmen vorbereiten?

So sind Unternehmen zwecks ePrivacy-VO rechtssicher unterwegs:
Checkliste
  • Beratung durch einen Datenschutzbeauftragten
  • Halten Sie sich an die DSGVO, vor allem wenn Sie personenbezogene Daten erheben und verarbeiten.
  • Seit Dezember 2021 gilt das TTDSG. Halten Sie sich bis zum Inkrafttreten der ePrivacy-VO an diese Regelungen.
  • Machen Sie sich nicht verrückt! Die ePrivacy-Verordnung kommt. Aber sie kommt nicht von jetzt auf gleich. Durch die Übergangsfrist haben sie insgesamt zwei Jahre Zeit, um alle Regelungen umzusetzen.

 

Caroline Schmidt
Caroline Schmidt, B.A.
Legal Writerin & SEO-Redakteurin

Caroline Schmidt hat Medienbildung studiert und ein einjähriges Volontariat in der Online-Redaktion eines Berliner Legal-Tech-Unternehmens absolviert. Sie ist seit über drei Jahren als Legal Writerin tätig und hat in verschiedenen Rechtsbereichen, darunter dem Arbeitsrecht, Schreiberfahrungen gesammelt. Seit 2022 ist sie als Legal Writerin und SEO-Redakteurin Teil des eRecht24-Redaktionsteams.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Lion
Wie verhält es sich bei einem passwort geschützem Bereich? Ich biete elektronische Postfächer an. Der Kunde muss vorher sowohl die AGB als auch die Datenschutzerlärung anhaken um den Account zu nutzen, tut er das nicht, so erhält er auch keinen Account. Ohne Werbung lassen sich diese Accounts schlicht nicht finanzieren, muss ich denn jetzt wirklich neben der Einweilligung der Datenschutzerkl ärung nochmal eine extra Einwilligung einholen um google Adsense mit Cookies im Account bereitzustellen ....das ist doch Quatsch, ohne Einwilligung bekommt der Kunde doch erst gar keinen Account.
11
Ralph Soika
Die E-Privacy-Verordnung als auch die DSGVO regelt nichts anderes als den vertrauenswürdigen Umgang mit personenbezogen en Daten. Dies sollte heute eigentlich eine Selbstverständlichkeit sein. Leider ist dem nicht so - deshalb die Gesetzgebung. Wie kann man dem als Unternehmen oder Organisation dem begegnen? - Im Grunde ganz einfach: Es geht darum, wie man mit den persönlichen Daten eines Kunden oder potentiellen Geschäftspartner s umgeht. Natürlich benötigt man diese Daten um eine Geschäftsbeziehu ng aufzubauen. Das ist auch weiterhin kein Verbrechen. Es geht darum, diese Daten auch für den potentiellen Geschäftspartner transparent zu machen. Das gelingt aber dann, wenn man ein klares und transparentes Verfahren - nach innen wie auch nach außen - definiert, und dieses für einen potentiellen Partner auch nachvollziehbar macht. Transparenz ist hier das Stichwort. Geschäftsprozess management Systeme helfen eben diese Lücke zu schließen. Über einen Geschäftsprozess wird definiert wie Datenverarbeitu ng gehandhabt wird, welche Ziele man verfolgt und welchen Nutzen das für den Kunden bringt. Open Source Software wie Imixs-Office-Workflow (https://www.office-workflow.de) hilft Unternehmen genau diese Prozesse zu managen und für Kunden transparent zu machen. Das ganze ist im Grunde trivial.....Viele Grüße
11
B. Karavul
Sehr geehrter Herr Blasi,wenn Sie eine Mandantenfähige Datenschutzmana gementsoftware suchen dann prüfen Sie doch das DS Cockpit von Pricona https://www.pricona.de, vermutlich passt das genau zu Den Anforderungen. Viele Grüße Viele Grüße
10
Giovanni Blasi
Sehr geehrte Damen und Herren Ich bin externer Datenschutzbeau ftragter von ca 30 klein Unternehmen und bin immernoch auf der suche nach einem Datenschutzmana gemt Software, daher meine frage ist Ihr PRIVE Mandanten fähig und wenn ja was würde das dann kosten, ich bin bereits als erecht24 Prämium Mitglied angemeldet,Mit freundlichen Grüßen
9

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details