EU-Datenschutz-Grundverordnung

E-Privacy-Verordnung: Änderungen dringend erforderlich

DIHK, Mitteilung vom 21.09.2017

Die EU-Datenschutz-Grundverordnung schafft ein einheitliches Datenschutzniveau in der Europäischen Union. Die EU-Kommission will dies mit der E-Privacy-Verordnung nun für Kommunikation via Telefon, Internet, Messaging, E-Mails oder Internet-Telefonie ergänzen und präzisieren. Die Verordnung wird derzeit im Europäischen Parlament diskutiert und soll voraussichtlich gemeinsam mit der Datenschutz-Grundverordnung im Mai 2018 in Kraft treten.

Keine eigene Regelung notwendig

Die Datenschutz-Grundverordnung gilt für alle personenbezogenen Daten. Sie umfasst damit auch die Informationen, die durch Telekommunikation anfallen. Eine eigene Verordnung wäre also unnötig. Sie könnte vielmehr Geschäftsmodelle, die nach der Datenschutz-Grundverordnung zulässig wären, rechtlich unmöglich machen.

Kein einheitliches Datenschutzniveau

Die Datenschutz-Grundverordnung sorgt für einen starken Datenschutz. Der zusätzliche Vorschlag der Kommission geht jedoch noch darüber hinaus. Bisher gilt für die Verwendung von Cookies, die Nutzungsprofile auf pseudonymer Basis erstellen, die sogenannte Opt-out-Lösung. Danach reicht es aus, dass Unternehmen beim Aufruf der Webseite hierüber in der Datenschutzerklärung informieren und den Nutzern eine Widerspruchsmöglichkeit einräumen. Diese Regelung will die EU-Kommission ersatzlos streichen. Wer weiterhin Nutzungsprofile erstellen möchte, braucht dafür künftig vorher die ausdrückliche Zustimmung des Nutzers. Eine Ausnahme bilden lediglich Cookies für Konfigurationszwecke und für die Warenkorbfunktion beim Online-Shopping. Für die Unternehmen, die unter die E-Privacy-Verordnung fallen - und das sind fast alle - ist der Niveauunterschied unverständlich. Betrieben wird es damit erschwert, die neuen Datenschutzanforderungen umzusetzen.

Kein eindeutiger Anwendungsbereich

Der Entwurf der E-Privacy-Verordnung betrifft nicht nur die reine Telekommunikation. Sie gilt auch für Daten, die zwar auf dem Telekommunikationsweg übermittelt werden, aber keinerlei Personenbezug haben - wie zum Beispiel Maschine-zu-Maschine-Kommunikation. Wenn Unternehmen auch für diese Datenübermittlungen die strengen Regeln des Entwurfs einhalten müssen, behindert das die Entwicklung von Wirtschaft 4.0 - ohne dass dadurch der Datenschutz gestärkt würde.

Zudem behält sich die EU-Kommission vor, den Anwendungsbereich der Verordnung noch weiter zu konkretisieren. Damit werden Unternehmen erst nach und nach erkennen können, ob sie unter den Anwendungsbereich der Verordnung fallen und zusätzlich Geld investieren müssen, um die Anforderungen einzuhalten. Sie stehen aber bereits durch die Datenschutz-Grundverordnung ohnehin vor erheblichen Herausforderungen organisatorischer und technischer Art.

Umsetzung dennoch rechtzeitig angehen

Die E-Privacy-Verordnung enthält zudem - ebenso wie die Datenschutz-Grundverordnung - Öffnungsklauseln, die es den EU-Mitgliedstaaten ermöglichen, eigene ergänzende datenschutzrechtliche Regelungen aufzustellen. Daran wird bereits parallel gearbeitet. Was gut gemeint ist, führt zu Datenschutz-Wirrwarr und hilft deshalb den Unternehmen nicht weiter. In jedem Fall sind Unternehmen gut beraten, sich rechtzeitig mit den neuen Datenregeln zu beschäftigen. Denn bei Missachtung drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Quelle: DIHK