Umsetzung der E-Privacy-Verordnung im Mai 2018 zusammen mit der DSGVO geplant

Die EU-Datenschutz-Grundverordnung (DSGVO) wird am 25. Mai 2018 wirksam und löst die Richtlinie RL 95/46 EG ab, die in Deutschland in Form des Bundesdatenschutz-gesetzes (BDSG) und anderen datenschutzrechtlichen Vorschriften umgesetzt wurde.

Weitere Änderungen, die deutliche Auswirkungen auf das Datenschutzrecht haben werden, stehen durch die geplante E-Privacy-Verordnung an. Diese soll die E-Privacy-Richtlinie aus dem Jahr 2002 (RL 2002/58/EG) und die sogenannte Cookie-Richtlinie (RL 2009/136/EG) ablösen.

Der erste Entwurf für die E-Privacy-Verordnung wurde von der EU-Kommission im Januar 2017 vorgelegt. Der Abschluss der Verhandlungen mit EU-Rat und EU-Parlament ist bis spätestens Mai 2018 geplant, da die E-Privacy-Verordnung zusammen mit der DSGVO wirksam werden soll.

Die E-Privacy-Verordnung stellt den geltenden Rechtsrahmen für elektronische Kommunikationsnetze und -dienste dar. Sie ist also – wie bisher auch – von den klassischen Telekommunikationsanbietern und Anbietern von Zugangssoftware (Browser, Apps) und Webseitenbetreibern (z.B. Unternehmenspräsenzen, Webshops) zu beachten. Von der Verordnung neu erfasst werden soll die „Over-The-Top-Communication“ (OTT), darunter sind internetbasierte Kommunikationsformen, wie Voice-Over IP, Instant Messaging, webbasierte Mail-Dienste und Social Media Plattformen zu verstehen.

Aus dem Entwurf ergibt sich, dass die neue Verordnung an die DSGVO anknüpfen und deren Regelungsbereich spezifisch ergänzen wird.

Übergangsfristen zur Anpassung der Datenschutzorganisation
Sowohl die DSGVO als auch die E-Privacy-Verordnung werden das deutsche Datenschutzrecht umkrempeln. Für die DSGVO gilt eine zweijährige Übergangsfrist, die den Unternehmen die Möglichkeit bietet, die erforderlichen Maßnahmen zur Anpassung der Datenschutzorganisation strukturiert umzusetzen. Dem Vorhaben, sich frühzeitig auf die Veränderungen einzustellen, stehen derzeit jedoch noch der fehlende, konkrete gesetzliche Rahmen in Form des neuen Bundesdatenschutzgesetzes entgegen. Das neue Bundesdatenschutzgesetz (BDSGneu) ergänzt die DSGVO und setzt die für den nationalen Gesetzgeber möglichen Regelungsspielräume der DSGVO um.

Ein weiteres Problem ergibt sich aus der DSGVO selbst, da sie teilweise breiten Interpretationsspielraum bietet. Die Artikel-29-Gruppe, das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, hat daher zur Unterstützung verschiedene Guidelines angekündigt, die wertvolle Hilfestellungen für die Ausrichtung der betrieblichen Datenschutzorganisation liefern können.

Für die rechtskonforme Umsetzung der E-Privacy-Verordnung werden die betroffenen Dienste- und Netzanbieter vor noch größere Herausforderungen gestellt. Aufgrund der vermutlich sehr kurzen Übergangsfrist von nur wenigen Monaten verbleibt ihnen nur ein sehr kurzer Zeitraum, um ihre Dienste und Anwendungen an die neuen, EU-weit verbindlichen Datenschutzbestimmungen anzupassen. (js)

Erschienene Guidelines der Artikel-29-Gruppe:

  • Recht auf Datenübertragbarkeit
  • Datenschutzbeauftragter
  • Zuständigkeit der federführenden Aufsichtsbehörde

Für April/ Mai 2017 angekündigte Guidelines der Artikel-29-Gruppe:

  • Einwilligung und Profilbildung/ consent and profiling (Artt. 7, 22 DSGVO)
  • Darstellung der Transparenzanforderungen unter der DSGVO/ transparency (Art. 12 DSGVO)
  • Transfer von personenbezogenen Daten in Drittländer/ data transfers to third countries (Art. 44ff. DSGVO)
  • Anzeigepflicht bei Datenschutz-Verstößen/ data breach notifications (Art. 32f. DSGVO)

Quellen:

it-daily-net vom 04.02.2017: EU-DSGVO und die e-Privacy-Verordnung

Heuking vom 27.01.2017: Artikel 29 Datenschutzgruppe veröffentlicht Aktionsplan 2017

Article 29 Working Party vom 22.11.2016: Guidelines („Data Portability“/ WP 242, „DPOs“/ WP 243, „Guidelines on the lead supervisory authority“/ WP 244)

LDI: Leitlinien der Art. 29-Gruppe zur EU DSGVO

Presseerklärung der Working Party 29 (WP 29): Aktionsplan 2017