Geplante e-Privacy-Verordnung - Auswirkungen für Unternehmen | Compliance

Ulrich Hottelet
Freier Journalist mit Schwerpunkt IT-Themen

Geplante e-Privacy-Verordnung - Auswirkungen für Unternehmen — Bild: pixabay

Die e-Privacy-Verordnung der EU soll personenbezogene Daten in der elektronischen Kommunikation schützen. Sie löst die e-Privacy-Richtlinie ab, die der deutsche Gesetzgeber größtenteils im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) umgesetzt hatte. Welche Auswirkungen hat dies auf Unternehmen?

Die technischen und wirtschaftlichen Entwicklungen machen in vielen Gebieten Neuregelungen notwendig. Ursprünglich sollte die e-Privacy-Verordnung zusammen mit der DSGVO in Kraft treten. Die EU-Kommission veröffentlichte bereits 2017 einen ersten Entwurf. Aufgrund heftiger Gegenwehr aus der Wirtschaft setzte die EU die Verabschiedung aber erst einmal aus. Viele Unternehmen warnen, dass die Regelung ihr digitales Geschäft schädigen wird. Seit anderthalb Jahren liegt die Reform auf Eis, weil sich die Mitgliedsstaaten nicht einigen können.

Wir fragten Claus-Dieter Ulmer, Konzerndatenschutzbeauftragter der Deutschen Telekom, nach den Auswirkungen der geplanten Verordnung für Unternehmen in und außerhalb der Telekommunikationsbranche.

e-Privacy-Verordnung eigentlich unnötig?

Haufe Online-Redaktion: Wie beurteilen Sie die geplante e-Privacy-Verordnung?

Ulmer: Da die EU-Datenschutz-Grundverordnung (DSGVO) eine gute Grundlage für den Datenschutz darstellt, ist die e-Privacy-Verordnung als Sonderregelung eigentlich unnötig. Sie hätte in die DSGVO aufgenommen werden sollen. Nun hat der Gesetzgeber die alte Richtlinie aus den Jahren 2000/2002 in eine Verordnung gegossen. Technische Weiterentwicklungen hat er dabei nicht berücksichtigt. Positiv ist allerdings, dass es eine Verordnung und nicht wieder eine Richtlinie wird, weil sie als einheitliche Regelung auch für außereuropäische Anbieter gilt. Wichtig ist, dass es nicht zu einer unterschiedlichen Auslegung durch die Aufsichtsbehörden kommt.

Jeder Webseiten-Betreiber ist von der e-Privacy-Verordnung betroffen

Haufe Online-Redaktion: Inwiefern ist die Verordnung auch für Unternehmen außerhalb der Telekommunikationsbranche relevant?

Ulmer: Eigentlich ist jeder Webseiten-Betreiber betroffen, vor allem wenn er mit Cookies, Tracking und Profiling arbeitet. Bei der Nutzung von Cookies ist zur Werbeanalyse und für das Tracking künftig die Einwilligung nötig, zur Reichweitenmessung und Vertragserfüllung aber nicht. Bisher reicht nach den deutschen Regelungen das Opt-out aus.

e-Privacy-Verordnung - wie können sich Unternehmen vorbereiten

Haufe Online-Redaktion: Was sollten die Webseiten-Betreiber beachten?

Ulmer: Unternehmen sollten klären, wie sie mit Dienstleistern bei Cookies und Tracking zusammenarbeiten, um auf die Verordnung vorbereitet zu sein. Wahrscheinlich wird es erst Ende dieses Jahres oder erst 2020 eine Einigung in den Verhandlungen geben und es wird eine zweijährige Übergangsfrist vereinbart. Direktmarketing wird erlaubt sein, wenn die Kontaktdaten des Kunden durch einen Kauf von ihm bekannt sind.

Konsequenzen der e-Privacy-Verordnung

Haufe Online-Redaktion: Welche Geschäftsmodelle würde eine strikte Verordnung verhindern oder erschweren?

Ulmer: Die sinnvolle und effiziente Weiterentwicklung der Infrastruktur. Digitale 5G-Geschäftsmodelle, zum Beispiel autonomes Fahren, würden verhindert, wenn der Nutzer nicht einwilligt. Auch Infos in Katastrophenfällen würden verhindert, ebenso wie das Indoor-Tracking im Kaufhaus. Zurzeit ist das pseudonyme Verfolgen erlaubt, künftig wäre die Einwilligung nötig. Die e-Privacy-Verordnung ist wichtig, denn sie wird voraussichtlich ungefähr zehn Jahre lang gelten. Starke technische Lösungen, analog zu Leitplanken im Straßenverkehr, sind besser als pauschale Verbote.

Haufe Online-Redaktion: Kann die Verordnung das Tracking verhindern oder erschweren?

Ulmer: Anwendungen über die Diensterbringung hinaus werden erschwert. Der Europäische Gerichtshof wird Cookie-Banner in der heutigen Form wahrscheinlich so für unzulässig erklären. Die Vorteile des Trackings müssen den Nutzern schmackhaft gemacht werden. Zwischen Nutzern und Unternehmen muss es faire Rahmenbedingungen geben.

Haufe Online-Redaktion: Was sind die strittigsten Punkte in den EU-Verhandlungen?

Ulmer: Es geht um die Möglichkeit der sicheren, pseudonymisierten Weiterverarbeitung von Metadaten und den Umgang mit dem Indoor-Tracking. Nicht strittig ist zur Zeit die Cookie-Lösung, wonach die Diensterbringung ohne Einwilligung erfolgen kann, Tracking aber der Einwilligung bedarf. Die Werbelobby könnte dagegen allerdings nach der Europawahl mobilisieren.

e-Privacy-Verordnung - Knackpunkte bei den Verhandlungen

Haufe Online-Redaktion: Was ist der wichtigste Knackpunkt in den Verhandlungen?

Ulmer: Das ist die Weiterverarbeitung der Telekommunikations-Verbindungsdaten. Ist dazu die Einwilligung des Nutzers oder die Anonymisierung nötig? Falls ja, werden dadurch Geschäftsmodelle verhindert. Die Telekom bietet den Dienst Motionlogic an und stellt dabei anonyme Bewegungsdaten von größeren Kundengruppen zur Verfügung. Das ist jedoch nicht genau genug. Wir plädieren dafür, die Pseudonymisierung nach Artikel 6 Absatz 4 DSGVO entsprechend in die e-Privacy-Verordnung zu übernehmen. In der aktuellen Fassung schreibt sie dagegen nur die Anonymisierung von Daten und die Einwilligung des Nutzers vor.

Ist Pseudonymisierung besser als Anonymisierung?

Haufe Online-Redaktion: Warum wäre die Pseudonymisierung besser als die Anonymisierung für Sie?

Ulmer: Manche Services können wir erst dann bieten, wenn nicht nur Informationen über eine anonyme Nutzergruppe vorliegen, sondern wenn wir bestimmte Daten dem Einzelnutzer zuordnen können, den wir zuvor pseudonymisiert haben. So kann man unterschiedliche Datensätze einem einzelnen Nutzer zuordnen, ohne wissen zu müssen, wer der Nutzer konkret ist. Anonymität ist laut Gesetzgeber übrigens gegeben, wenn der technische Aufwand für die Rückbeziehung auf eine Einzelperson zu hoch ist. Bei der Anonymisierung müssen wir für die Verarbeitung keine Einwilligung einholen. Nur die Pseudonymisierung bietet zusätzlich die Möglichkeit, nach vorliegender Einwilligung eine Person zu identifizieren, um ihr weitere Services anbieten zu können. Das ist zum Beispiel bei der Parkplatzsuche hilfreich. Da es bei Motionlogic um den Verkehrsfluss in Echtzeit geht, brauchen wir die Daten nicht lange. Wir benötigen zur Leitung des Verkehrsflusses nur die Vergleichs-Gesamtheit.

Haufe Online-Redaktion: Funktioniert die Pseudonymisierung wasserdicht, das heißt können die Nutzer wirklich nicht identifiziert werden?

Ulmer: Nicht, wenn die Nutzer das nicht wollen und zustimmen. Im Gegensatz zur Anonymisierung kann bei dieser Art der Datenverfremdung der Bezug zu Ihrer Identität wiederhergestellt werden. Der spezielle Schlüssel dazu wird sehr gut versteckt – nur wir wissen, wo. Die Angst vor Missbrauch sollte uns nicht dabei blockieren, neue digitale Geschäftsmodelle zu entwickeln. Natürlich mit sicheren technischen Lösungen für Datenschutz und Datensicherheit.

Vielen Dank für das Gespräch.

Die Fragen stellte Ulrich Hottelet, freier Journalist mit Schwerpunkt IT-Themen

Meistgelesene beiträge

Neueste beiträge

DSGVO-Verstoß allein kein Grund für Schadensersatz

07.05.2024
Europäische Umweltagentur veröffentlicht erste Europäische Klimarisikobewertung

30.04.2024
32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024