Bald wird eine neue Datenschutzverordnung verabschiedet: die EU ePrivacy-Verordnung. Diese ist direkt mit der EU-DSGVO verbunden und wirkt sich auch auf diese aus. Wir erklären euch hier, was das für euch bedeutet.
Wir alle erinnern uns: Seit dem 25. Mai 2018 finden die Regelungen der EU Datenschutz-Grundverordnung (DS-GVO) Anwendung in den Mitgliedstaaten. Die DS-GVO muss nicht erst in ein nationales Gesetz gegossen werden, sondern gilt ohne weiteres. Dadurch unterscheidet sie sich von der zuvor geltenden EU Datenschutz-Richtlinie. Diese bedurfte noch eines nationalen Umsetzungsaktes, damit sie ihre Wirkung in den Mitgliedstaaten entfalten konnte. Die Verordnung setzt zwar nationales Recht nicht außer Kraft, beansprucht aber vorrangige Anwendung. Das bedeutet, eine nationale Norm, die den Vorgaben der DS-GVO widerspricht, ist zwar nicht außer Kraft gesetzt, darf jedoch nicht mehr angewendet werden. Darauf haben viele, wenn auch noch lange nicht alle, die Daten verarbeiten, reagiert. Insbesondere wurden Websites in großer Zahl überarbeitet und zeitgemäße Datenschutzmaßnahmen ergriffen und die entsprechenden Datenschutzerklärungen auf die Homepage gestellt. Um die EU ePrivacy-Verordnung zu verstehen, werfen wir kurz einen Blick auf den aktuellen Stand der DS-GVO.
Status Quo: DS-GVO wir zu oft noch nicht umgesetzt
Für all jene, die immer noch hinterherhinken, werden nun andere Anreize geschaffen. So ging nun das Bayerische Landesamt für Datenaufsicht (BayLDA) dazu über, Stichprobenkontrollen bei Betrieben durchzuführen. Dass dies keine bösartige Maßnahme ist, zeigt sich auch am Vorgehen: Die Betriebe werden gebeten, einen Fragebogen auszufüllen und zurückzuschicken. Erst wenn bei der Beantwortung der Fragen Hinweise auf Probleme mit Datenschutz entdeckt werden, werden Kontrollen in den Betrieben durchgeführt. Und dazu muss der jeweilige Chef anwesend sein – eine Kontrolle durch die Behörde wird also vorher angekündigt bzw. abgestimmt. Die Prüfschreiben und Informationsblätter können andere Betriebe unter www.lda.bayern.de abrufen, um sich selbst zu bewerten und Missstände zu beheben, oder auch Hilfe anzufordern.
Oftmals haben die Betriebe Probleme damit, zu verstehen, dass eine Einhaltung der DS-GVO ganz in ihrem Interesse (und dem aller Beteiligten) ist. Nachdem die DS-GVO im Jahr 2016 verabschiedet wurde, gab es eine zweijährige Frist bis zum verbindlichen Inkrafttreten, die am 25.05.2018 erreicht war. Obwohl einige Betriebe reagierten und die Vorgaben umsetzten, gibt es immer noch einen großen Handlungsbedarf, der nun durch die Behörden noch sichtbarer gemacht wird. Neben Kontrollen sind bekanntermaßen auch Bußgelder möglich – und die nächste Reform ist auf dem Weg.
Ergänzung der DS-GVO: Die EU ePrivacy Verordnung
Dies ist die sogenannte EU ePrivacy-Verordnung. Sie ergänzt und ersetzt zum Teil die Regelungen der DS-GVO und löst ebenfalls eine nicht mehr zeitgemäße Richtlinie über elektronische Kommunikation ab. Der zunächst vorgelegte Entwurf vom Jahresanfang 2017 sollte zeitlich so das Gesetzgebungsverfahren durchlaufen, dass die neue EU ePrivacy-Verordnung zeitgleich mit dem Anwendbarwerden der DS-GVO in Kraft treten kann. Nach massiver Kritik vor allem im Hinblick auf die durch die ePrivacy-Verordnung im Verhältnis zur DS-GVO aufgeworfenen Unstimmigkeiten und Widersprüchlichkeiten verzögert sich jedoch das Gesetzgebungsverfahren. Am 19.10.2018 wurde zur Vorbereitung eines Treffens der Gruppe Telekommunikation und Informationsgesellschaft des Rates der Europäischen Union ein nochmals geänderter Textvorschlag für die Verordnung vorgelegt.
Wie die DS-GVO zielt die ePrivacy-Verordnung nach diesem letzten Textentwurf auf den Schutz natürlicher Personen ab. Die Einbeziehung auch von juristischen Personen, also von rechtlich selbstständigen Vereinen und Unternehmen, wurde darin gestrichen. In sachlicher Hinsicht soll die EU ePrivacy-Verordnung bei der Nutzung und Bereitstellung elektronischer Kommunikationsdienste schützen und hierzu auf alle Informationen zu den Umständen und dem Inhalt einer Kommunikation anwendbar sein. Enthalten sind auch Regelungen zum Einsatz von Werkzeugen zur Ermittlung und Beobachtung des Verhaltens von Nutzern von Websites z.B. mittels Cookies. Ferner sollen die Bestimmungen angewendet werden auf so genannte „Over-the-Top-Dienste“ wie Internettelefonie – z.B. Skype –, wie Instant-Messaging-Dienste – z.B. WhatsApp – und webgestützte E-Mail-Dienste. Damit dürfte für die Betreiber von Websites die nächste größere Revision ihres Internetauftritts anstehen, wenn die Regelungen der ePrivacy-Verordnung anwendbar werden. Wie bei der DS-GVO ist auch hier ein Übergangszeitraum von 24 Monaten nach Inkrafttreten der EU ePrivacy-Verordnung vorgesehen.
Tipps für Handwerker
Unsere Tipps:
1. Besonnen bleiben und nicht durch von eigenen Interessen geleitete „Experten“ verunsichern lassen! Die Datenschutzaufsichtsbehörden informieren objektiv über die Anforderungen an die Gestaltung der Kommunikationsvorgänge das Unternehmen betreffend. Auf den Websites der Aufsichtsbehörden finden sich alle erforderlichen Informationen, um erkennen zu können, ob ein konkreter Handlungsbedarf entstanden ist.
2. Noch ist die Verordnung nicht verabschiedet und niemand kann sicher vorhersagen, wann sie in Kraft treten wird. Es wird vermutet, dass in den nächsten Wochen die sog. Trilog-Verhandlungen beginnen werden, so dass die Verordnung das Verfahren bis Ende 2019 durchlaufen haben und zu diesem Zeitpunkt in Kraft treten wird. Die vorgesehene Übergangszeit von 24 Monaten, die sich daran anschließt, kann leicht genutzt werden, sich qualifiziert über die konkreten Anforderungen zu informieren.
3. Wenn man sich selbst außer Stande sieht, einen Handlungsbedarf zu identifizieren, sollte man mit dem Berater und dem Dienstleister seines Vertrauens das Gespräch suchen und sie konkret um Hilfe bitten. Alternativ kann man sich zum Thema Datenschutz und Datensicherheit, das immer wichtiger wird, je mehr Daten im ganz normalen Geschäftsbetrieb verarbeitet werden, qualifizieren lassen – sprechen Sie uns an!
Fazit
Durch die EU e-Privacy Verordnung steigt der Druck, die Vorgaben der DS-GVO zu erfüllen, weiter an. Während diese häufig noch nicht vollends forciert wurde, sieht man nun, dass Betriebe verstärkt durch Behörden in die richtige Richtung gelenkt werden. Dabei stehen keine Mahnungen oder Bußgelder im Fokus, sondern das Eigeninteresse der Handwerker und anderer Betriebe. Wird allerdings der Datenschutz zu sehr vernachlässigt, sind auch empfindliche Strafen möglich. Wichtig: Die Handwerksbetriebe haben es selbst in der Hand! Informationen sind immer besser zugänglich und auch Beratungsangebote wie unser IT-Compliance Check sind kostenlos verfügbar. Wer sich dagegen persönlich nicht mit dem Thema beschäftigen möchte, sollte eine tiefergehende Beratung in Anspruch nehmen, die das Unternehmen absichert.
