Allgemein, Fachbeiträge, Datenschutzrecht

ePrivacy EU

Die europäische E-Privacy-Verordnung. Die 8 wichtigsten Antworten für Unternehmen in der Schweiz

Die ePrivacy-Verordnung der EU heisst offiziell: Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation.


Sie hat das Ziel, mehr Transparenz und Sicherheit für die Internet-Nutzer zu schaffen. Die neue Verordnung soll die alte ePrivacy-Richtlinie (Richtlinie 2002/58/EG) ersetzen. Für Werbetreibende und Webseitenbetreiber wird die neue Richtlinie von grosser Bedeutung sein. Auch für Unternehmen in der Schweiz.

Wo finde ich den Entwurf der ePrivacy-Verordnung?

 

Die Verordnung, die aktuell als Entwurf vorliegt, finden Sie hier.

 

Weil einzelne Arbeitsgruppen der EU Stellungnahmen und Änderungsvorschläge zum Entwurf verfasst haben, wird sich dieser Text allerdings noch ändern.

 

 

Welches Ziel hat die ePrivacy-Verordnung?

 

Die EU hat im Jahr 2002 die E-Privacy-Richtlinie (auch ePrivacy-Richtlinie, EPRL) erlassen. Diese wurde 2009 durch die Cookie-Richtlinie (2009/136/EG) ergänzt.

 

Die neue ePrivacy-Verordnung (ePVO) soll die alte E-Privacy-Richtlinie (Richtlinie 2002/58/EG) und die Cookie-Richtlinie ersetzen. Für Werbetreibende und Webseitenbetreiber ist die neue Verordnung von grosser Bedeutung. Auch für Unternehmen in der Schweiz.

 

Die ePVO ist als eine Art Datenschutzrecht für den Umgang mit personenbezogenen Daten im Online-Bereich. Sie soll Internetznutzer und ihre Daten schützen und den Cookie-Urwald vereinfachen. Deshalb werden die Regeln für den Umgang mit Cookies vereinfacht. Die Anforderungen an die Datensicherheit für Kommunikationsdienste (WhatsApp, Facebook Messenger, etc.) werden strenger.

 

 

Was ist der Stand der ePrivacy-Richtlinie und wann tritt diese in Kraft?

 

Im Dezember 2016 erliess die EU-Kommission einen Entwurf der neuen ePrivacy-Richtlinie. Dieser Entwurf wurde überarbeitet. Weil auch dieser Entwurf noch nicht auf grosse Zustimmung stiess, erschien im Jahr 2017 der zweite Entwurf.

 

Auch danach war man sich über den Inhalt weiterhin uneinig. Deshalb gingen einige Änderungsvorschläge ein. Im September 2017 erliess der Präsident des EU-Rates einen weiteren Entwurf. Am 5. Oktober 2017 nahm schliesslich der Europäische Datenschutzbeauftragte Stellung (Link) zum Entwurf.

 

Die neue ePrivacy-Richtlinie hätte gleichzeitig mit der Europäischen Datenschutz-Grundverordnung (DSGVO) in Kraft treten sollen. Weil es zu Verzögerungen kam, konnte dieses Ziel aber nicht erreicht werden.

 

Am 26. Oktober 2018 hat sich die “Arbeitsgruppe Telekommunikation und Informationssicherheit” mit dem Entwurf des Präsidenten des EU-Rates auseinandergesetzt. Danach wollte die EU einen Statusbericht veröffentlichen und bekanntgeben, wie es mit der ePVO weiterläuft. Aktuell ist dieser Bericht noch nicht publiziert.

 

Wir gehen davon aus, dass die ePVO erst Mitte 2020 in Kraft treten wird.

 

 

Zuerst war es eine EU-Richtlinie. Nun wird es neu eine EU-Verordnung geben. Warum?

 

Der aufmerksame Leser hat festgestellt, dass aus der Richtlinie eine Verordnung wird.

 

Bei der Richtlinie müssen die Mitgliedstaaten eigene Gesetze in Kraft setzen, damit die Richtlinie wirksam wird. Das ist bei der Verordnung anders. Die Verordnung gilt in der EU als direkte Gesetzgebung. Die Mitgliedstaaten können eigene Gesetze erlassen und die Verordnung in die eigene Gesetzgebung implementieren. Tun sie dies nicht, ist die Verordnung dennoch direkt anwendbar.

 

Die EU macht aus der Richtlinie eine Verordnung, weil die Richtlinie von einigen Mitgliedstaaten nicht oder ungenügend umgesetzt wurde.

 

 

Was ändert sich im Umgang mit Cookies?

 

Ein Cookie ist eine Textdatei mit Informationen. Die Textdatei ermöglicht es dem Webserver, einen Anwender wiederzuerkennen und Einstellungen (IP, Herkunftsort, Betriebssystem, etc.) zu speichern. Die Verwendungsmöglichkeiten reichen von Einkaufslisten in Onlineshops bis hin zur personalisierten Website.

 

Nach der neuen ePVO setzt die Verwendung von Cookies die Zustimmung des Website-Besuchers voraus. Ohne Einverständnis des Website-Besuchers dürfen nur noch Cookies verwendet werden, die keine Auswirkungen auf seine Privatsphäre haben. Das ist zum Beispiel der Fall, wenn Cookies nur eingesetzt werden, um die Anzahl Besucher auf der Website zu analysieren. Auch die Auswertung der Besuchszeiten auf den einzelnen Websites darf ohne Zustimmung des Website-Besuchers erfolgen.

 

Cookies, die eingesetzt werden, um das Verhalten des Website-Users zu analysieren, bedürfen der ausdrücklichen Zustimmung (unambiguous consent) des Website-Users. Dasselbe gilt, wenn der Betreiber der Website Cookies einsetzt, um den Website-User wiederzuerkennen (sog. Retargeting).

 

Die ePVO wird die Anbieter von Internet-Browsern (Internet Explorer, Firefox, Safari, etc.) zwingen, dem Internetnutzer detailliertere Cookie-Einstellungen zu ermöglichen. Jeder Browser wird zukünftig einen “Do-Not-Track-Mechanismus” haben. Der Browser wird die Cookies von direkt besuchten Websites erkennen und diese je nach Einstellung des Website-Users zulassen. Gleichzeitig muss der Browser die Cookies von Drittanbietern (sog. Third Party Cookies) automatisch erkennen und blockieren.

 

Der Browser wird damit zum Mastercookie. Deshalb werden die heute auf fast jeder Website anzutreffenden Cookie-Banner unter der ePVO nicht mehr vorgeschrieben.

 

Weitere nützliche Informationen finden Sie auf der Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

 

 

Was droht, wenn ich die ePrivacy-Verordnung nicht einhalte?

 

Wenn die Regelungen der ePVO nicht eingehalten werden, drohen Bussen. Weil die ePVO gleichzeitig mit der DSGVO hätte in Kraft treten sollen, ist der Bussenkatalog der ePVO mit dem Bussenkatalog der DSGVO identisch. Das heisst, es drohen Bussen bis zu 4% des weltweiten Vorjahresumsatzes bzw. bis zu 20 Millionen Euro.

 

Die Höhe dieser Bussen ist erschreckend. Deshalb werden die Bussgelder von Beratern oft zur Angstmacherei verwendet. Weniger Erwähnung findet die Tatsache, dass die Aufsichtsbehörden auch Verwarnungen aussprechen können und deshalb nicht bei jedem Verstoss mit hohen Bussen gerechnet werden muss. Das ändert indes nichts daran, dass die Regelungen der ePVO ernst zu nehmen sind und einer frühzeitigen Implementation bedürfen.

 

 

Ist die ePrivacy-Verordnung der EU für meine Firma in der Schweiz relevant?

 

Die ePVO richtet sich primär an Betreiber von Websites und Browser. Sobald Ihre Firma eine Website betreibt, die Cookies verwendet, ist die ePVO für Ihre Firma relevant.

 

Der Anwendungsbereich der ePVO ist mit dem Anwendungsbereich der DSGVO deckungsgleich. Daher empfiehlt es sich, unseren Blogbeitrag “Ist die Datenschutz-Grundverordnung für meine Firma relevant?” zu lesen.

 

 

Was ist zu tun?

 

Für Firmen in der Schweiz ist es noch zu früh für konkrete Handlungsanweisungen. Noch zu unklar ist wann die ePVO  kommen wird und was deren Inhalt ist.

 

Da die Europäische Datenschutz-Grundverordnung (DSGVO)  bereits in Kraft ist und dort in einigen Fällen die Einsetzung eines internen Datenschutzbeauftragten vorgeschrieben wird, empfehlen wir Ihnen, genau dies zu tun: Ernennen Sie eine interne Person zum Datenschutzbeauftragten.

 

Diese Person sollte sich in den Gebieten Datenschutzrecht und Datensicherheit wohl fühlen. Der Datenschutzbeauftragte soll die Entwicklung der ePVO im Auge behalten.

 

Fehlt Ihnen eine solche Person, kann der interne Datenschutzbeauftragte auch durch einen externen Datenschutzexperten besetzt werden.

 

Möchten Sie in Bezug auf die ePrivacy-Richtlinie auf dem Laufenden gehalten werden? Dann tragen Sie sich für unseren Newsletter ein.

AUTOR

Benjamin Domenig

M.A. HSG in Law and Economics
Rechtsanwalt, Partner

Haben Sie Fragen?

Kontaktiere mich

Neueste Blogeinträge

Die besondere Stellung der Aussendienstmitarbeiter

Die besondere Stellung der Aussendienstmitarbeiter

Der erhöhte Schutz, den das Arbeitsgesetz bietet, gilt nicht für alle Arbeitnehmer. Das Arbeitsgesetz fin...

Zum Post

Datenschutzprobleme mit Zoom und anderen Anbietern?

Datenschutzprobleme mit Zoom und anderen Anbietern?

In Corona-Zeiten wird ein grosser Teil der Besprechungen und Sitzungen im Geschäftsalltag über Audio- und...

Zum Post

Schutz- und Hygienekonzept

Schutz- und Hygienekonzept

Gemäss der Änderung der COVID-19-Verodnung 2 vom 16. April 2020 dürfen Coiffeur Geschäfte oder Bau- und G...

Zum Post

Was ist beim Kauf und Verkauf von Aktien zu beachten?

Was ist beim Kauf und Verkauf von Aktien zu beachten?

Aktien werden regelmässig gekauft und verkauft. Bei kleinen und mittleren Unternehmen (KMU) werden Aktien...

Zum Post