Spezialisten im Bereich Gesellschaftsrecht, Immobilienrecht, Kapitalmarktrecht, Pharma- und Arztneimittelrecht und Private Equity / Venture Capital.

Worauf sich Unternehmen nach der DSGVO nun vorbereiten müssen

Jul 17, 2018 | Aktuelles |

Während ein Großteil der Unternehmen noch mit der Umsetzung des aus der DSGVO resultierenden (teils administrativen) Anpassungsbedarfs beschäftigt ist, wird auf europäischer Ebene bereits intensiv über das nächste Regulatorium verhandelt: die e-PrivacyVO.

Die e-PrivacyVO soll neue Regeln für digitale Medien und elektronische Kommunikationsdienste schaffen und dabei die bisher geltende e-PrivacyRL (2002/58/EG) und die ergänzende Cookie-Richtlinie (2009/136/EG) ablösen.

Cookies

Wie auch nach den Bestimmungen der DSGVO, soll die Einwilligung nach der e-PrivacyVO eine zentrale Legitimationsform darstellen. So soll es beispielsweise Unternehmen künftig nicht mehr erlaubt sein, Daten ohne die Einwilligung des Nutzers für kommerzielle Zwecke weiterzuverarbeiten. In Zukunft wird also das Setzen von Cookies einer ausdrücklichen Einwilligung bedürfen. Aber keine Regel ohne Ausnahme: Gleichzeitig sieht die e-PrivacyVO für technisch notwendige Cookies Erleichterungen vor.

Verhältnis zur DSGVO

Intention des Verordnungsgebers ist es, ein konsistentes Gesamtgefüge zu schaffen; so soll die e-PrivacyVO an das Regelwerk der DSGVO anknüpfen. Ursprünglich war geplant, dass die e-PrivacyVO gemeinsam mit der DSGVO am 25. Mai 2018 anzuwenden ist. Bei den Verhandlungen über die e-PrivacyVO kam bzw. kommt es bis dato zu Verzögerungen, sodass die dieselbe nach wie vor noch nicht in Geltung steht. Die ausstehende Beschließung der e-PrivacyVO eröffnet allerdings im Hinblick auf die DSGVO zum jetzigen Zeitpunkt ein gewisses Spannungsfeld.

Nach dem Willen des Verordnungsgebers soll bis zur Anwendbarkeit der e-PrivacyVO der DSGVO grundsätzlich als lex specialis vor der e-PrivacyRL zukommen (Art 95 DSGVO, ErwG 173 DSGVO). Art 95 DSGVO konkretisiert diesen Anwendungsvorrang und spricht der e-PrivacyRL nur dann Vorrang zu, wenn sie speziellere Regelungen als die DSGVO vorsieht. Insofern besteht kein pauschaler Anwendungsvorrang der DSGVO, sondern bedarf es stets einer Prüfung im Einzelfall, ob der Anwendungsbereich der DSGVO oder aber jener der e-PrivacyRL eröffnet ist und welche Regelung im Hinblick auf die verfolgten Ziele spezieller ist.

Dies wirft insbesondere im Hinblick auf die Verwendung von Cookies die Frage auf, ob das in der e-PrivacyRL vorgesehene Einwilligungserfordernis die Anwendbarkeit der DSGVO dahingehend bestimmt, dass jede Form von Cookies bereits zum jetzigen Zeitpunkt eine Einwilligung verlangt.

Am 26. April 2018 hat in Deutschland die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ihre Position zur Anwendbarkeit des Telemediengesetzes (TMG) als nationales Gesetz neben der Datenschutzgrundverordnung (DSGVO) veröffentlicht und dabei unter einem dargelegt, der Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und zur Erstellung von Nutzerprofilen eingesetzt werden, bedürften jedenfalls einer vorherigen Einwilligung.

Der EuGH wurde zu dieser Rechtsfrage im Wege eines Vorabentscheidungsersuchens bereits befasst (Rs. 673/17 Planet 49). Solange eine Entscheidung noch nicht ergangen ist, sehen sich Unternehmen mit einer zunehmenden Rechtsunsicherheit bei Verwendung von Cookies konfrontiert.