Noch immer sind die Folgen der am 25. Mai 2018 in Kraft getreten europäischen Datenschutzgrundverordnung (DSGVO) für viele Unternehmen und Vereine noch nicht abzusehen. Prozesse schleifen sich erst zu so langsam ein und auch Monate nach der Einführung müssen viele Regelungen erst in schwierigen und langjährigen Gerichtsverfahren zementiert werden.
Dennoch wartet mit der E-Privacy-Verordnung (EPVO) bereits die nächste umfangreiche Regelung des Datenschutzes am Horizont.
Ab 2019 soll die neue Verordnung die alte Richtlinie von 2002 sowie die Cookie-Richtlinie von 2009 ersetzen und die DSGVO ergänzen. Ziel ist die Regulierung digitaler Kommunikationsdienste, wie E-Mail- oder Chatprogramme. Doch ähnlich wie bei der DSGVO könnte auch die EPVO viel mehr Unternehmen und Anwender treffen, als ursprünglich gedacht.
Deutsches Recht für den gesamten EU-Raum
Im Grunde weitet die E-Privacy-Verordnung große Teile des in Deutschland entwickelten Telemediengesetztes und des Gesetzes gegen unlauteren Wettbewerb auf die gesamte EU aus. So dürften bereits in Deutschland aktive Anbieter von digitalen Kommunikationsdiensten, wie Provider oder Hoster keine Probleme haben.
Ebenfalls wie bisher bleibt auch das Gebot der Datensparsamkeit. Anbieter und Dienste dürfen also nur die Kundenkommunikation relevanten Daten erheben und verarbeiten, diese aber nicht zur Erstellung von Marketing-Profilen verwenden.
Als Beispiel dürfen E-Mail-Provider keine Mails scannen, um abschließend personalisierte Werbung an die Nutzer ihrer Services auszuspielen.
Strafen wie bei der DSGVO
Ähnlichkeit hat die EPVO mit der Datenschutzgrundverordnung
beim Strafmaß. So drohen Unternehmen auch hier Strafen von bis zu 20 Millionen Euro, beziehungsweise vier Prozent ihres Jahresumsatzes. Anders als bei der allgemeingültigen DSGVO gibt es bei der E-Privacy-Verordnung jedoch keine Kulanzzeiten oder Goodwill von Behörden.
Kleine Anbieter können also bei Verstößen nicht mehr auf Gnade vor Recht hoffen, sondern müssen sich auf gewaltige Strafen einstellen. Also vor allem bei Kommunikations-Unternehmen, die sich keine eigene Rechtsabteilung leisten, läuft bereits heute der Angstschweiß in Strömen.
Durch eine kleine aber wichtige Regelung innerhalb der EPVO könnten jedoch auch Firmen außerhalb des Kommunikationssektors in das Kreuzfeuer geraten.
Tracking-Cookies müssen abgelehnt werden können!
Immerhin sieht die neue E-Privacy-Verordnung ebenfalls vor, dass Besucher von Webseiten das Tracking über Cookies ablehnen können. Nutzer müssen also gefragt werden, ob sie das Tracking erlauben wollen – oder eben nicht.
Die Funktion der besuchten Homepage darf sich dabei jedoch nicht ändern. Anders als beim bisher üblichen Cookie-Hinweis, den viele einfach wegklicken, muss sich also vor allem beim Tracking technisch einiges ändern. Browser müssen so laut E-Privacy-Verordnung bald die Funktion anbieten, Cookies als Grundeinstellung abzulehnen.
Ausgenommen davon sind lediglich die Cookies, die zum Speichern von Warenkörben in Online-Shops genutzt werden.
Vor allem Verlagen droht ein hoher Verlust
Durch die EPVO dürften aber vor allem ein Markt vor dem Ende stehen: Die Versteigerung und Platzierung personalisierter Onlinewerbung anhand Nutzerauswertungen. Nur ein kleiner Teil der Nutzer dürfte die Standardeinstellung des Browsers dahingehend verändern, dass auch weiterhin Daten gespeichert werden können.
Webseiten, die aktuell Anwender aussperren, wenn ein manuell installierter Blocker das Tracking verhindert, müssen ihre Dienste wieder allen öffnen. Für Werbeanbieter im Internet ist das ein harter Schlag, da mit personalisierter Werbung gewaltige Summen umgesetzt werden. So rechnet der Bundesverband digitale Wirtschaft allein mit einem Verlust von bis zu 500 Millionen Euro, sobald die EPVO eingeführt wird.
Aktuell schließen sich daher immer mehr Verlage zu Allianzen zusammen, welche Inhalte zentralisiert hinter sogenannten Paywalls, also Bezahlschranken, verstecken wollen. So sollen die Verluste im Werbegeschäft ausgeglichen werden.
Noch gibt es einen Starttermin für die E-Privacy-Verordnung
Aktuell gibt es jedoch noch kein festes Startdatum für die E-Privacy-Verordnung. Eigentlich sollte sie zeitgleich mit der DSGVO starten, wurde jedoch bis heute vom EU-Rat noch nicht final verabschiedet.
Noch immer sind sich die Mitgliedsländer uneinig, wie sie mit der ergänzenden Verordnung umgehen sollen. Ein Start vor Ende 2019 ist also eher unwahrscheinlich. Dennoch sollten sich Unternehmen und Firmen bereits heute mit dem Thema E-Privacy beschäftigen. Ansonsten droht ein Chaos, welches schnell zu gewaltigen Strafen führen kann.
Für Interessierte gibt es drei Links, die besonders gut sind und das Thema E-Privacy-Verordnung verständlich erklären:
- Für Fachinteressierte: Privacy Impact Assessment nach ISO/IEC 29134
- Für Techniker: The Architecture of Privacy (English Edition)
- Für Juristen: Datenschutz-Grundverordnung/BDSG
