• Die ePrivacy-Verordnung

Telefonische Erstberatung

Viele Unternehmen innerhalb der EU sind noch mit der Umsetzung der EU-DSGVO beschäftigt, während in Brüssel eine weitere Verschärfung des Datenschutzrechtes geplant wird: Die ePrivavcy-Verordnung.

Sie soll die DSGVO bezüglich der elektronischen Kommunikation ergänzen und das Telekommunikationsgesetz (TKG) sowie das Telemediengesetz (TMG) ablösen. Beide Gesetze stellen die Umsetzung der vorausgegangenen ePrivacy-Richtlinie dar, dessen Nachfolger die ePrivacy-Verordnung wird.

Unternehmen stellt die neue Datenschutzverordnung vor große Herausforderungen. Sie soll den Trend zur Stärkung der informationellen Selbstbestimmung als europäisches Grundrecht fortsetzen. Die Missachtung kann empfindliche Geld- und sogar Haftstrafen nach sich ziehen.

Wir klären auf: Wie sind Sie oder Ihr Unternehmen von der e-Privacy-Verordnung betroffen? Welche Maßnahmen müssen Sie treffen, um gesetzeskonform zu sein? Erfahren Sie alles in unserem umfangreichen Artikel!

Andre Kraus, Rechtsanwalt und Gründer der Anwaltskanzlei, ist Ihr Ansprechpartner in Sachen Gründung, Markenrecht, Reputationsschutz und Unternehmensrecht.

Was ist die ePrivacy-Verordung?

Die Kernpunkte

  • Die ePrivacy-Verordnung ist einen geplantes EU-Gesetz, dass die Anwendung der DSGVO auf den privaten Datenverkehr konkretisieren soll. Im Fokus stehen dabei Cookies und oftmals unfreiwillig kommunizierte Daten von Verbrauchern.

  • Für digital-arbeitende Unternehmen sorgt sie für Umstellungen. Sie wird strenger als die DSGVO wahrgenommen und legt Unklarheiten meistens im Sinne eines höchstmöglichen Datenschutzes aus. Zudem ersetzt sie die aktuelle ePrivacy-Richtlinie.

  • Aktuell herrscht große Rechtsunsicherheit, trotz hoher drohender Strafen. Unternehmen sollten die Entwicklung der ePrivacy-Verordnung im Auge behalten und sich rechtzeitig beraten lassen.

In vielen Unternehmen sind die Umstellungen auf die Anforderungen der DSGVO noch nicht abgeschlossen. Seit Q4 2018 werden allerdings die ersten Bußgelder von Datenschutzbehörden verhängt.

Definition: Was ist die E-Privacy-Verordnung?

Die E-Privacy-Verordnung ist eine Richtlinie der EU. In voller Fassung lautet ihr Name (Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation). Geschaffen wurde sie auf Initiative der EU-Kommission im Januar 2017.

Wie der Name erahnen lässt, soll sie die bereits bestehende E-Privacy-Richtlinie (Richtlinie 2002/58/EG) ersetzen. Diese wurde 2002 ins Leben gerufen und hierzulande durch das Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) realisiert. Sie ist für die meisten Unternehmen bereits fester Bestandteil des unternehmerischen Alltags.

Grund für die Schaffung einer neuen Regelung sei nach Angaben der EU-Kommission die Regulierungslücken, die durch die Weiterentwicklung der Technik entstanden sind.

Wann und wie tritt die E-Privacy-Verordnung in Kraft?

Die E-Privacy-Verordnung (ePVO) tritt als Verordnung in jedem EU-Mitgliedsstaat unmittelbar in Kraft. Es bedarf keiner Umsetzung in nationale Gesetze, sondern sie gilt direkt. Einzelne nationale Anpassungen werden durch sogenannte Öffnungsklauseln ermöglicht. In wie fern der deutsche Gesetzgeber den Rahmen der Verordnung einschränkt, bleibt noch abzuwarten. Bis es zu konkreten praktischen Handlungsanweisungen kommt, dürften Jahre vergehen. Die Gerichte werden in gesetzgeberischer Funktion über einzelne Teilbereiche entscheiden.

Was reguliert die E-Privacy-Verordnung?

Sie stellt ein ergänzendes Spezialgesetz zur EU-DSGVO dar. Da diese grundlegende Datenschutzverordnung einen allgemeinen Rahmen für den zukünftigen Umgang mit Datenschutz von Privatpersonen darstellt, bedürfe es einer Konkretisierung und Präzisierung bezüglich des Umgangs mit elektronischen Kommunikationsdaten betroffener Einzelpersonen. Daher kann die ePVO als praktischer Handlungsfaden ergänzend zur DSGVO verstanden werden.

Besonderes Augenmerk auf Tracking von Nutzeraktivitäten

Ein wichtiger Bestandteil der ePVO ist die Regulierung von Nutzeraktivitäten im Internet. Konkret regeln Art. 2 und 3 des aktuellen Entwurfs die sachliche und territoriale Anwendung. Demnach sind alle elektronischen Kommunikationswege betroffen, die für private Nutzer relevant sind:

  • Internetnutzung
  • Webbasierte Email-Dienste
  • Internettelefonie
  • Instant-Messaging-Dienste (Whatsapp, Skype, Telegram, etc.)
  • Soziale Medien
  • Personal-Messaging (Chats in Facebook, Twitter, Instagram, etc.)

Doch was genau soll sich ändern?

Es geht vor allem um die Nutzung von personenbezogenen Daten für Werbung, die durch die Nutzung der genannten Kommunikationswege entstanden sind. Zudem sollen werbliche Ansprachen auf elektronischen Medien reguliert werden. Festzuhalten ist, dass der bereits aktive §7 Abs. 3 UWG dem Art. 16 Abs. 2 des Entwurfes zur ePVO entspricht. Demnach wäre hier lediglich eine Ausweitung der in Deutschland bereits geltenden Regelung auf den gesamten EU-Raum anstehend.

Änderungen im Umgang mit Cookies

Für die digitale Wirtschaft stellt die ePVO gerade wegen der Neuregelung der Cookies ein Risiko dar. Doch zunächst einmal: Was sind Cookies?

Kurz gesagt: Es handelt sich bei Cookies um kleine Datenschnipsel, die von Internetseiten, aber auch anderen digitalen Diensten, wie Facebook oder WhatsApp, erzeugt werden, um individuelle Nutzerdaten zu speichern. Diese sind in erster Linie praktisch, etwa bei der Speicherung von Passwörtern im Browser, bei individuellen Nutzereinstellungen innerhalb bestimmter Webdienste oder auch das Nutzerverhalten von Usern innerhalb dieser Webdienste.

Letzteres wird von der Digitalbranche häufig genutzt, um personalisierte Werbung auszuspielen. Ist Ihnen schon einmal aufgefallen, dass beispielsweise bei Facebook die Werbeanzeige einer bestimmten Firma angezeigt wurde, nachdem Sie die Webpräsenz der Firma besucht haben? Dafür sind Cookies verantwortlich.

Derartige Cookie-Verwendungen waren es, die zu einer öffentlichen Diskussion geführt haben. Viele Privatnutzer fühlten sich so, als ob sie die Kontrolle über ihre Daten verloren hätten. Dieser Diskurs kann auch als Auslöser für die aktuellen europaweiten Novellierungen des Datenschutzrechts gesehen werden.

Was genau ändert sich?

Auch nach der Einführung der DSGVO ist die Rechtslage bezüglich der Behandlung von Cookies unklar. Seit der Einführung im Mai 2018 stehen dabei zwei rechtlich zulässige Verfahren zur Verfügung:

  • Opt-Out: Der Betroffene (Person von der Daten erhoben werden) hat die Möglichkeit bei der Nutzung der Online-Dienste sich von der Erhebung seiner Daten in Cookie-Form auszutragen. Tut er das nicht, werden seine Daten in Cookie-Form erhoben.
  • Opt-In: Der Betroffene hat die Möglichkeit der Erhebung der Daten zuzustimmen. Erst wenn er aktiv eingewilligt hat, dürfen Daten in Cookie-Format erhoben werden. Wenn er nicht einwilligt, werden auch keine Daten erhoben.

Nach aktuell geltender DSGVO, ist nicht klar, welches Verfahren rechtskonform eingesetzt werden kann. Art. 7 EU-DSGVO sieht bereits jetzt vor, dass eine explizite Einwilligung des Betroffenen notwendig ist. Erwägungsgrund 47 räumt allerdings eine mögliche Ausnahme zur Einholung der Berechtigung durch ein “berechtigtes Interesse” ein.

Datenschutzverbände sind der Meinung, dass bei der Erhebung von Cookies kein berechtigtes Interesse dahinterstehen kann und spricht daher schon jetzt von einem Zwang zum “Opt-In”-Verfahren. Branchenverbände und auch einige Juristen sind anderer Meinung.

Die ePVO soll nun Klarheit schaffen: Nach Art. 9 des aktuellen Entwurf soll die Erhebung von Cookies nur noch durch explizite Einwilligung, also Opt-In zulässig sein.

Erhebliche Folgen für Werbe- und Digitalbranche

Ein großer Kritikpunkt an der ePVO kommt von Seiten der Werbe- und Digitalbranche, sowie von großen Verlagshäusern. Durch den Zwang zur Verwendung des Opt-In-Verfahrens, ist davon auszugehen, dass eine große Anzahl von Internetnutzern und Privatpersonen der Erhebung einer Daten nicht zustimmt.

Gerade Verlagshäuser, die Tages- oder Wochenzeitungen publizieren und auch im Internet bereitstellen, werden erheblich von der neuen ePVO betroffen sein. Diese haben seit Jahren bereits mit sinkenden Einnahmen zu kämpfen. Die langfristige Finanzierung kostenloser Online-Medien wird sich erschweren, da gerade diese von individualisierten Werbeangeboten profitieren.

Zudem sind erhebliche Folgen für das Affliate-Marketing zu erwarten. Alleine in Deutschland setzt diese Branche jährlich über 7,5 Mrd. € um. Durch die zwanghafte Auferlegung des Opt-In-Verfahrens, ist zu erwarten, dass erhebliche Umsatzeinbußen entstehen.

Verschlüsselung der Kommunikation

Stritt ist momentan noch, ob die DSGVO Unternehmen und andere Datenverarbeiter zur Verschlüsselung von elektronischer Kommunikation verpflichtet. Die ePVO soll diese Unklarheit aus dem Weg räumen. Jegliche Art der Verschlüsselung muss dem neusten Stand der Technik entsprechen. Es dürfen keine Hintertüren eingebaut werden. Das betrifft alle Kommunikationswege, wie e-Mails, Messener (Whatsapp und ähnliche) sowie Internet-Telefonie.

Verhinderung von räumlichen Tracking

Ein großer Kritikpunkt gegenüber großer amerikanischer Internet-Konzerne ist aktuell das örtliche Tracking. Es existieren Fälle, bei denen von Nutzern ein Bewegungsprofil erstellt wurde, obwohl diese ihre Einstellungen entsprechend geändert hatten. Die ePVO soll derartigen Praktiken endgültig einen Riegel vorschieben.

Privacy-by-Default-Einstellungen

Die Verpflichtung zur Privacy-by-Default-Einstellungen korrespondiert mit der Verhinderung von räumlichen Tracking und dem Opt-In-Verfahren bei der Verwendung von Cookies. Demnach müssen alle Endgeräte, alle Softwares und digitale Medien zu Beginn der Nutzung standardgemäß die datenschutzfreundlichste Variante eingestellt haben. Erst durch die Einstellung der Nutzer können Aufzeichnungen vorgenommen werden.

Mehr Transparenz von staatlichen Eingriffen

Das Recht auf vertrauliche Kommunikation wird von Ausnahmen aufgrund von Strafverfolgung oder aus Gründen der nationalen Sicherheit begleitet. Allerdings werden im Rahmen der e-Privacy-Verordnung umfassende Dokmentations- und Transparenzpflichten eingeführt. Anbieter, die von staatlichen Behörden zur Freigabe angehalten werden, müssen derartige Eingriffe dokumentieren. Zudem müssen jährliche Statistiken veröffentlicht werden.

Wer ist von der ePrivacy-Verordnung betroffen?

Die Kernpunkte

  • Die Auswirkungen der ePrivavcy-Verordnung sind gravierend. Doch wer ist betroffen? Grundsätzlich sind alle Personen und Organisationen von der ePVO betroffen, die im Rahmen der digitalen Kommunikation, vornehmlich über das Internet, Daten von Privatpersonen erheben.

  • Konkret betroffen sind:

    • Over-the-Top-Dienste
    • Internet-of-Things
    • Browser-Anbieter
    • Webseitenbetreiber
    • Werbebranche
  • Auch ohne Webseite kann Ihr Unternehmen betroffen sein, etwa wenn Sie digital, über E-Mails, kommunizieren. Somit muss sich grundsätzlich fast jedes Unternehmen mit der ePVO beschäftigen.

Die ePVO präzisiert und konkretisiert die Anforderungen an Unternehmen bezüglich der DSGVO. Zahlreiche Organisationen und Unternehmen müssen sich auf Umstellungen vorbereiten. Zudem werden einige, bisher strittige, Rechtsfragen geklärt.

Typische betroffene Organisationen sind:

  • Over-the-Top-Dienste: Kommunikationsdienste, die ohne externen Dienstanbieter auskommen. Dazu gehören etwa Gmail, GMX oder Web.de, aber auch Messenger-Dienste, wie WhatsApp, Skype oder Telegram.
  • Internet-of-Things: Alle Unternehmen und deren Dienste, die unter dem Sammelbegriff “Internet der Dinge” zusammengefasst werden können. Ein praktisches Beispiel wären Paketdienstleister, die Sendungsverfolgung für Kunden anbieten.
  • Browser-Anbieter: Alle Browser-Anbieter, die ihre Dienste Personen innerhalb der EU zur Verfügung stellen, müssen nach Art. 10 des Entwurfes die “Privacy-by-Design”-Vorschriften umsetzen.
  • Webseitenbetreiber: Privatpersonen, Selbstständige und Unternehmen werden von der ePVO berührt, sobald sie eine Webseite betreiben.
  • Marketing: Jegliche Form des digitalen Marketings wird empfindlich von der ePVO berührt werden.

Over-The-Top-Dienste: Wie sind sie betroffen?

Alle digitalen Kommunikationsdienste, die “Over-the-Top”, also mit einem eigenen System agieren und nicht auf externe Dienstanbieter angewiesen sind, sind von der ePVO betroffen.

Besonders relevant wird dies bezüglich der zukünftigen Pflicht zur Verschlüsselung der Kommunikation. Alle Dienste müssen mit einer “Ende-zu-Ende”-Verschlüsselung agieren. Dabei darf nur der Empfänger einer Nachricht den passenden Schlüssel besitzen, sodass nur er die Nachricht entschlüsseln kann. Ein “Abgreifen” von Nachrichten darf demnach nicht mehr möglich sein. Zudem müssen Anbieter dafür Sorge tragen, dass es keine technischen Hintertüren gibt, die ein Aushebeln der Verschlüsselung zulassen.

Für die Weitergabe von erhobenen Daten an Dritte, müssen die Dienste zunächst die explizite Einwilligung der Nutzer einholen. Zudem müssen die Einstellungen der Dienste ohne Änderung oder Beitragen des Nutzers das höchste Maß an Datenschutz vorweisen. Erst durch das aktive Handeln des Nutzers sollen Daten so weitergegeben werden können.

Besonders häufig werden Over-the-Top-Dienste Gegenstand von staatlichen Eingriffen. Sollten staatliche Behörden einen Dienst zur Herausgabe von Daten auffordern, ist nach Einführung der ePVO in transparenter Form Dokumentation zu führen. Alle staatlichen Eingriffe müssen dokumentiert und zum Jahresende in statistischer Form sowie deren Rechtsgrundlage veröffentlicht werden.

Internet-of-Things: Wie müssen sie sich umstellen?

Das Internet-of-Things wird maßgeblich von der ePrivacy-Verordnung berührt. Alle Unternehmen, die damit zusammenhängen, müssen sich auf Umstellungen oder zumindest einen ausführlichen Compliance-Prozess einstellen. Typische Beispiele für Dienstleistungen oder Produkte aus dieser Sparte sind:

  • Paket- und Sendungsverfolgungen im Internet
  •  Smart Home-Systeme
  • Sicherheitssysteme mit Internetanbindung
  • Fitnesstracker und Smartwatches
  • Intelligente Fernseher
  • Autos und deren intelligente Systeme
  • Automatische Zahlvorgänge im Internet oder Offline-Handel

Relevant für Unternehmen, die Dienstleistung und Produkte aus diesem Bereich anbieten, die verschlüsselte Kommunikation, die Privacy-by-Default-Einstellungen, Privacy-by-Design, die Verhinderung von räumlichen Tracking der User sowie explizite Einwilligung zur Datenerhebung und Verarbeitung.

Bei einem einfachen Beispiel einer Smartwatch, müsste der Nutzer zunächst eine ausführliche Datenschutzerklärung lesen und zu vielen Punkten einwilligen, bevor er die vollen Funktionen nutzen kann.

Browser-Anbieter: Was ändert sich für sie?

Da die ePrivacy-Verordnung auch ein großes Augenmerk auf die Verwendung von Cookies legt, müssen Browser-Anbieter sich auf umfangreiche Umstellungen bereit machen. Noch ist es nicht festgelegt, doch es wird diskutiert, ob Browser im Rahmen von “Privacy-by-Default” ihre Systeme so umstellen müssen, dass Nutzer bereits hier über Ihre Cookie-Nutzung entscheiden können.

Für Unternehmen hätte dies den Vorteil, dass ein “Opt-In”-Verfahren keine eigenen Einwilligungen einholen müssen. Die entsprechenden Daten könnten übergeordnet beim Browser abgegriffen werden. Da jede zusätzliche Handlungsaufforderung in der Regel eine negative Auswirkung auf das Nutzerverhalten hat, wären negative Effekte, wie etwa abspringende Besucher, eingedämmt. Schon mit der Einführung der DSGVO konnten derartige Entwicklungen beobachtet werden.

Webseitenbetreiber: Worauf müssen sie achten?

Da Webseitenbetreiber ebenfalls von der ePrivacy-Verordnung betroffen sind, müssen sich alle Unternehmen auf Änderungen einstellen, die eine Webpräsenz haben. Je nach Zweckausrichtung der Webseite können diese Anpassungen Ihr Geschäft mehr oder weniger stark beeinflussen.

Geschäftsmodelle, die auf dem Einsatz von Cookies basieren, wie etwa Affiliate Marketing oder Publisher, die sich mit Werbeanzeigen finanzieren, müssen mit Umsatzeinbußungen rechnen. Werden Internetnutzer vor die Wahl gestellt, verweigern sie in der Regel die Herausgabe persönlicher Daten inklusive der Platzierung von Cookies. Momentan steht noch nicht fest, ob Medienunternehmen nicht mit einer Ausnahme rechnen können.

Unternehmen, die eine Webpräsenz haben oder Content Marketing betreiben, müssen eine Einwilligung für die Verwendung von Cookies für Weboptimierung oder Targeting-Maßnahmen einholen.

Digitales Marketing: Was wird sich ändern?

Die digitale Marketing-Branche wird erheblich von den Auswirkungen der ePrivacy-Verordnung betroffen sein. Besonders im Bereich der personalisierten Werbung, die mittlerweile in vielen Geschäftsmodellen Grundpfeiler und für viele digitale Verlagshäuser eine wichtige Einnahmequelle hat, wird unter der Pflicht zur Einwilligung vom Setzen von Cookies leiden.

Was von vielen Datenschützern als Erfolg interpretiert wird, bringt auch negative Folgen mit sich. So müssen Nutzer mit deutlich mehr irrelevanter Werbung rechnen. Werbung an sich ist nach wie vor eine wichtige Einnahmequelle, gerade für Publishing-Geschäftsmodelle, wie Zeitungen oder größere Blogs.

Welche Risiken drohen?

Die Kernpunkte

  • Bereits mit der DSGVO wurden empfindliche Strafen für Datenschutzvergehen eingeführt. Durch die Konkretisierung der DSGVO in Form der ePrivacy-Verordnung, sowie die zunehmende Anpassung der Unternehmen und Datenschutzbehörden, werden Strafen in Zukunft häufiger verhängt werden.

  • Momentan können Datenschutzbehörden Bußgelder bis zu 20 Millionen € oder 4% des weltweiten Konzernumsatzes verhängen. Dabei wird das größere Strafmaß gewählt. Zudem können Haftstrafen bis zu zwei Jahren bei wiederholten oder vorsätzlichen Verstößen verhangen werden.

  • Zudem drohen nicht nur Risiken von öffentlicher Seite. Auch Wettbewerber oder Verbände können Unternehmen bei der Missachtung der ePrivacy-Verordnung abmahnen oder verklagen.

Als Unternehmer werden Sie unweigerlich von der ePrivacy-Verordnung berührt werden. Während die EU-DSGVO noch viele Unklarheiten offen lässt, wird die ePrivacy-Verordnung konkrete praktische Anweisungen mit sich bringen. Demnach ist zu erwarten, dass die Datenschutzbehörden Verstöße strikter ahnden. Auch Konkurrenten werden die geklärte Rechtssituation nutzen, um gegen Verstöße vorzugehen.

Während manche Risiken durch Datenschutzverstöße im Rahmen der DSGVO noch eher schwebend waren, werden sie nach der Einführung der ePrivacy-Verordnung konkret.

Doch welche Risiken drohen genau?

Bußgelder und Freiheitsstrafen

Gemäß Art. 83 DSGVO können die Datenschutzbehörden Bußgelder verhängen. Da diese als rechtliche Grundlage für die ePrivacy-Verordnung gilt, können für Verstöße dieselben Bußgelder verhängt werden. Somit drohen empfindliche Bußgelder von bis zu 20 Mio. € oder 4% des weltweiten Konzernumsatzes.

Auf nationaler Ebene hat die DSGVO das alte BDSG durch das BDSG (neu) ersetzt. Die DSGVO selber sieht keine Freiheitsstrafen vor. Das deutsche BDSG (neu) hingegen hat in § 42 Abs. 1 und 2 BDSG (neu) festgelegt, dass Freiheitsstrafen verhängt werden können. Je nach Schwere des Verstoßes, sind Haftstrafen von ein bis zu drei Jahren möglich. Derartig schwerwiegende Strafen werden vor allem bei der gewerbsmäßigen illegalen Weitergabe von Daten sowie der illegalen Beschaffung von Daten verhängt.

Wonach bemisst sich das Strafmaß?

Die Datenschutzbehörden können Strafen nach eigenem Vermessen verhängen. Die Kriterien für das Strafmaß finden sich in Art. 83 Abs. 2 (a) bis (k) DSGVO.:

  • Schwere, Art und Dauer des Verstoßes
  • Vorsatz oder Fahrlässigkeit
  • Getroffene Maßnahmen zur Schadensminderung
  • Wiederholung oder Erstverstoß
  • Kooperation mit Datenschutzbehörden, um die Folgen einzudämmen
  • Art des Bekanntwerdens – Selbstanzeige oder Anzeige
  • Kooperationsverhalten bei angeordneten Maßnahmen
  • Sonstige Compliance neben dem Verstoß
  • Vorliegen mildernder Umstände

Wie können Verstöße aufgedeckt werden?

Datenschutzverstöße können bei Unternehmen auf unterschiedlichen Wegen aufgedeckt werden. Grundsätzlich ist jede Person dazu berechtigt, derartige Verstöße bei den Behörden anzuzeigen. Folgende Szenarien sind dabei denkbar:

  • Anzeige durch unzufriedene Mitarbeiter
  • Aufdeckung durch Routineüberprüfung einer Datenschutzbehörde
  • Anzeige durch Kunden oder Interessenten
  • Selbstanzeige
  • Aufdeckung durch Journalisten

Zur Vermeidung: Anwaltlich absichern lassen

Zur Vermeidung von Strafen durch Datenschutzbehörden, hilft nur eine Datenschutzberatung durch einen Anwalt. Wir stehen Ihnen zur Seite, damit Sie sich auf Ihr Geschäft konzentrieren können.

Abmahnungen und Klagen

Neben Geld- und Freiheitsstrafen können Verstöße gegen die ePrivacy-Verordnung drohen Unternehmen Abmahnungen und Klagen. Da die ePVO einige rechtliche Unklarheiten beseitigen wird, die mitunter dazu führen, dass aktuell unter der DSGVO vergleichsweise wenig abgemahnt wird, werden derartige Konflikte häufiger entstehen.

So hat zuletzt das OLG Hamburg entschieden, dass datenschutzrechtliche Verstöße durchaus wettbewerbsrechtlich relevant sein können. Abmahnungen und Klagen sind damit Tür und Tor geöffnet.

Wer kann abmahnen?

Für viele Unternehmer ist erstaunlich, dass nicht nur direkte Wettbewerber abmahnen oder aufgrund von wettbewerbsrechtlichen Verstößen mahnen können. Auch entsprechende Verbände für Wettbewerbsrecht und Verbraucherschutz, haben das Recht aufgrund von Datenschutzbehörden direkt abzumahnen. Anders als die Datenschutzbehörden, wurden diese Verbände zur Verfolgung und Abmahnung derartiger Verstöße gegründet.

Höheres Risiko als Geldstrafe durch Aufsichtsbehörden

Anders als bei Ahndung durch Datenschutzbehörden, muss bei Aufdeckung von Verstößen durch Teilnehmer des Rechtsverkehrs, die zur Abmahnung berechtigt sind, ausnahmslos mit einer Abmahnung gerechnet werden. Wettbewerber sehen sich in der Regel deutlich benachteiligt. Verbände wurden sogar nur zu diesem Zweck gegründet.

Daher muss gerade aus dieser Richtung mit einem erheblichen wirtschaftlichen Risiko gerechnet werden.

Abmahnungen nach UWG

Nach dem Gesetz gegen unlauteren Wettbewerb kann abgemahnt werden, wenn der datenschutzrechtliche Verstoß einen Verstoß gegen eine Marktverhaltensregel i.S.d. § 3a UWG ist. Außerdem sind Abmahnungen bei Irreführung (§ 5 UWG) oder dem Versenden nicht verlangter Werbung (§ 7 UWG) möglich.

Nach Einführung der DSGVO ist bisher unklar, welche Datenschutzverstöße Marktverhaltensregeln widersprechen. Die ePVO hingegen wird durch die Konkretisierung praktischer Anleitungen die DSGVO konkret auslegen. Es ist dadurch mit einer Häufung von Abmahnungen zu rechnen.

Abmahnungen nach Unterlassungsklagegesetz (UKlaG)

Seit 2016 können auch Abmahnungen auf Grundlage des UKlAG, wenn ein datenschutzrechtlicher Verstoß vorliegt. Insbesondere Verbraucherverbände sind nun zur Abmahnung berechtigt. Werden personenbezogene Daten eines Verbrauches ohne dessen Einwilligung aus folgenden Gründen erhoben, kann abgemahnt werden:

  • Werbezwecke
  • Marktforschung
  • Betrieb einer Auskunftei
  • Erstellung von Persönlichkeits- und Nutzungsprofilen
  • Adresshandel
  • Datenhandel

Folgen einer Abmahnung

Eine erhaltene Abmahnung kann unterschiedliche Folgen mit sich bringen. Meistens kostet sie viel Geld.

So kann die abmahnende Partei beispielsweise zum Unterschreiben einer Unterlassungserklärung anhalten, sowie zur Begleichung der Rechtskosten, Zahlung von Schadensersatz oder sogar Gewinnabschöpfung von Erträgen, die im Rahmen des Datenschutzverstoßes erwirtschaftet wurden.

Verlust der Profitabilität

Unternehmen, deren Geschäftsmodell auf dem Platzieren von Cookies basiert, müssen mit einem Verlust ihrer Profitabilität rechnen. Andere Unternehmen, die digitales Marketing zur Kundenakquise nutzen, müssen sich auf höhere Werbekosten und demnach auch auf Gewinneinbußen einstellen. Folgende Marketing-Maßnahmen und Geschäftsmodelle, sind besonders von der ePVO betroffen:

  • Personenbezogene Werbeanzeigen: Facebook-Werbung und Retargeting, Platzieren von FB-Pixel auf Webseite, Retarteging über Native Ads
  • Verlagsmodelle und Online-Publishing: Finanzierung über Vergabe von Werbeplätzen
  • Energiesektor: Verarbeitung von Messdaten
  • Produzierende Industrie: Smart-Home-Anbieter, Hersteller jeglicher IoT-Geräte (Smartwatches, Smartphones, etc.)
  • Alle weiteren datenverarbeitenden Gewerbe

Auch wenn die genauen Vorschriften der ePrivacy-Verordnung noch beschlossen werden, sollten Unternehmen schon jetzt für verschiedene Szenarien planen und evtl. einen Compliance-Plan aufstellen.

Reputationsverlust

Aufgedeckte Datenschutzverstöße können einen erheblichen Reputationsverlust von Unternehmen zur Folge haben. Der EU-Gesetzgeber hat mit den Erneuerungen und Ausweitungen des Datenschutzes auch auf die Wünsche der Bevölkerung und die herrschende Pressemeinung reagiert.

Der Fall Facebook zeigt, welch erhebliche Folgen die öffentliche Aufdeckung von Datenschutzverstößen auf die Reputation eines Unternehmens haben kann. Zudem werden Verbraucher und damit potenzielle Kunden zunehmend für das Thema Datenschutz sensibilisiert.

So wertet die EU-Kommission die DSGVO als Erfolg. “Verbraucher wollen, dass ihre Daten sicher sind. Unternehmen haben erkannt, dass strenger Datenschutz ihnen einen Wettbewerbsvorteil bringt, weil das Vertrauen in ihre Dienste steigt”, so EU-Justizkommissarin Vera Jourová.

Mit der Einführung der konkreten Regeln der ePrivacy-Verordnung, ist anzunehmen, dass der Druck auf Unternehmen steigt und auch Verbraucher Verstöße zunehmend melden werden.

Verlust der Marktstellung

Die vorzeitige Ergreifung von Compliance-Maßnahmen kann sich positiv auf Ihr Unternehmen auswirken. Da die ePVO-Verordnung das Marktgefüge verschieben wird, ist bei verzögertem Handeln Ihre Marktstellung gefährdet.

Umso mehr die digitale Datenverarbeitung Teil Ihres Geschäftsmodells und Gegenstand der ePVO ist, umso größer wird die Veränderung in Ihrem Markt sein. Eine vorzeitige Risiko-Analyse und das Planen von Compliance-Maßnahmen sichert Ihre aktuelle Marktposition.

ePrivacy-Verordnung als Chance verstehen

Unternehmen können die ePrivacy-Verordnung als Chance verstehen. “Unternehmen haben erkannt, dass strenger Datenschutz ihnen einen Wettbewerbsvorteil bringt…”, so EU-Justizkommissarin Vera Jourová.

Die Absicherung des eigenen Geschäftsmodells gegen die Veränderungen der Richtlinie, können positive Auswirkungen auf Reputation und das operative Tagesgeschäft haben. Bereits jetzt haben sich Unternehmen der zunehmenden Sensibilisierung von Verbrauchern angenommen und werben mit Datensicherheit.

Um Ihr Unternehmen langfristig zu sichern und um mit juristischen sowie technologischen Entwicklungen Schritt zu halten, sollten Sie sich der Thematik annehmen.

Hilfestellung

Die Kernpunkte

  • Wie können Sie Ihre Risiken minimieren? Wie müssen Sie tätig werden, um nicht ins Gefängnis zu kommen?

Die ePrivacy-Verordnung birgt nicht zu unterschätzende Risiken für Unternehmer. Bei vorsätzlicher oder grob fahrlässiger Missachtung drohen sogar Freiheitsstrafen! Um sich gegen die Risiken abzusichern, sollten Sie rechtzeitig Rechtsberatung in Anspruch nehmen.

Als erfahrene Kanzlei im Unternehmensrecht begleiten wir unsere Mandanten rechtssicher durch den Compliance-Prozess.

Datenschutzberatung zur ePrivacy-Verordnung

Wir bieten eine umfassende Datenschutzberatung für unsere Mandanten an. Sie sorgen sich um die Folgen der ePrivacy-Verordnung für Ihr Geschäft? Unsere Kanzlei nimmt Ihnen die Sorgen! Für einen rechtssicheren Start in das Zeitalter des Datenschutzes.

1. Kostenlose Erstberatung

Wir bieten Interessenten eine kostenlose Erstberatung an. Dabei analysieren wir Ihr Unternehmen und Geschäftsmodell. Wir zeigen Ihnen Anknüpfungspunkte auf, die Berührungspunkte mit der ePrivacy-Verordnung darstellen. Im Anschluss haben Sie einen groben Überblick darüber, was Sie erwartet.

2. Intensive Datenschutzberatung

Möchten Sie unsere Dienste in Anspruch nehmen, führen wir eine intensive Datenschutzberatung durch. Ihr persönlicher Rechtsanwalt wird sich mit Ihnen auseinandersetzen.

Ihr Beitrag besteht in der Beantwortung aller Fragen, damit wir Ihr Unternehmen und Ihr Geschäftsmodell aus datenschutzrechtlicher Perspektive erfassen können. Im Anschluss hat Ihr Anwalt ein umfassendes Bild Ihres Unternehmens und der Berührungspunkte mit der neuen ePrivacy-Verordnung.

3. Analyse des Ist-Zustandes

Nun wird ihr aktuelles Datenschutzkonzept und Ihr aktueller Umgang mit Daten im Detail bewertet. Wo gibt es besonderen Nachbesserungsbedarf? Wo sind die exakten Berührungspunkte mit der ePrivacy-Verordnung. Wo sind vielleicht schon ausreichende Maßnahmen getroffen worden? Die Analyse kann als erste Bestandsaufnahme verstanden werden.

Die Ergebnisse dienen der Vorbereitung des nächsten Schritts.

4. Ausführlicher Audit

Es findet ein ausführlicher Audit Ihres Unternehmens statt. Unter Umständen ist eine Besichtigung vor Ort notwendig. Wir analysieren jedes Detail und jeden, von der ePrivacy-Verordnung, berührten Teilbereich genau. Jegliche datenverarbeitenden Prozesse werden untersucht, sowohl physisch als auch rein digital. Im Optimalfall wird der Audit dort durchgeführt, wo der Hauptdatenverkehrspunkt Ihres Unternehmens liegt.

5. Erstellung eines Berichts und eines Maßnahmenkatalogs

Basierend auf den Ergebnissen des ausführlichen Audits erstellen wir einen umfangreichen Maßnahmenkatalog. Darin wird vor allem hervorgehoben, welche Schritte getroffen werden müssen, um vom aktuellen Zustand zur Compliance mit der ePrivacy-Verordnung zu gelangen.

6. Umsetzung der Maßnahmen

Die konkreten Handlungsanweisungen werden umgesetzt. Durch die Implementierung neuer und dauerhafter Prozesse, Erreichen Sie den Zustand der Compliance mit der ePrivacy-Verordnung. Nun gehört Ihr Unternehmen zu den modernen Marktteilnehmern, die ihrerseits mit dem Datenschutz werben können.

7. Laufende Betreuung und Beratung

Wir betreuen Sie gerne fortlaufend in Ihren Datenschutzanliegen. Wenn Sie beispielsweise neue Werbemethoden oder neue IT-Prozesse implementieren müssen, sollte ein Datenschutz-Audit stattfinden. So können Sie dauerhaft die Rechtssicherheit Ihrer unternehmerischen Tätigkeit gewährleisten.

Wichtige Fragen

Die Kernpunkte

  • Wann kommt die ePrivacy-Verordnung?

    Was regelt die ePrivacy-Verordnung?

    Was kann sich in der ePrivacy-Verordnung noch ändern?

    Wer ist der Gesetzgeber hinter der ePrivacy-Verordnung?

Wann kommt die ePrivacy-Verordnung?

Ein genaues Datum für das Inkrafttreten der ePrivacy-Verordnung existiert noch nicht. Momentan muss der aktuelle Entwurf noch im EU-Rat diskutiert werden. Zudem stehen im Mai 2019 die Europawahlen an. Dass es vor der Wahl noch eine endgültige Einigung gibt, ist äußerst unwahrscheinlich. Beobachter vermuten, dass erst im Dritten Quartal 2019 eine Entscheidung über den finalen Entwurf getroffen wird.

Sollte sich diese Prognose bewahrheiten, könnte die ePrivacy-Verordnung im 1. oder 2. Quartal 2020 Inkrafttreten.

Was regelt die ePrivacy-Verordnung?

Die ePrivacy-Verordnung wird als Spezialgesetz des EU-Datenschutzrechts angesehen. Die DSGVO ist ein neuer Meilenstein für das Datenschutzrecht gewesen. Im Kern sollte es das informationelle Selbstbestimmungsrecht als europäisches Grundrecht etablieren. Für Deutschland hat sich das Datenschutzrecht nur in Teilen geändert, da die DSGVO sich teilweise am BDSG orientiert.

Da jedoch die Gesetzgebung allgemein gehalten ist, mangelt es an konkreten Handlungsanweisungen für wichtige relevante Datenschutzgebiete. Etwa die Erhebung von Daten zu Werbezwecken, die Verwendung von Cookies und allgemeine Internet-Einstellungen für den privaten Verwender.

Was kann sich in der ePrivacy-Verordnung noch ändern?

Es können durchaus noch Änderungen an der ePrivacy-Verordnung erwartet werden. Besonders betroffene Branchen, wie die digitale Werbebranche oder das “Internet-of-Things” müssen mit erheblichen Umstellungen des eigenen Geschäftsmodells rechnen. Auch die Verlagsbranche muss mit erheblichen Gewinneinbußen rechnen.

Zuletzt konnte diese durch starke Lobbybestrebungen Veränderungen des Leistungsschutzrechtes zum Vorteil der Verlange realisieren. Daher bleibt abzuwarten, ob die ePrivacy-Verordung Gegenstand derartiger Einflussnahme wird. Der entstehende wirtschaftliche Schaden wird zumindest Teil weiterer zukünftiger Diskussionen sein.

Wer ist der Gesetzgeber hinter der ePrivacy-Verordnung?

Die EU selbst möchte auf Anregung der Kommission und des Parlaments konkretisierende Vorschriften erlassen. Die e-Privacy-Verordnung gilt als Richtlinie direkt und bedarf nicht erst einer nationalen Umsetzung. Den Mitgliedsstaaten bleibt es jedoch selbst überlassen, ob sie Anpassungen im nationalen Recht vornehmen müssen.

Sie haben eine allgemeine Frage zum Thema “ePrivacy-Verordnung”? Wir beantworten sie hier kostenlos!

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Erfahrungen & Bewertungen zu KRAUS GHENDLER RUVINSKIJ Anwaltskanzlei
© Copyright - KRAUS GHENDLER RUVINSKIJ Anwaltskanzlei