Wen die Sanktionen der ePVO treffen können
Die anstehende Erweiterung der DSGVO durch die ePVO würde sich hauptsächlich auf Unternehmen auswirken, die sich im Netz bewegen und dabei die Daten ihrer Nutzer*innen dokumentieren. Sobald die ePVO in Kraft tritt, werden Seitenbesucher*innen weiterhin ausdrücklich nach einer Cookie-Nutzung gefragt werden müssen.
Die konkrete Änderung besteht dabei darin, dass die Nutzer*innen nicht auf jeder Webseite erneut der Verwendung von Cookies zustimmen müssten, sondern diese einmalig beim Öffnen des Browsers erlauben könnten – oder auch nicht. Zur Datennutzung würde es also eine einmalige konkrete Erlaubnis seitens derer brauchen, denen die Daten gehören. (Es gelten Ausnahmen.)
In der Umsetzung bedeutet das für betroffene Unternehmen vor allem Folgen für das Marketing. Denn besonders in diesem Bereich wird die Analyse von persönlichen Daten durchgeführt. Im Falle einer Nichterlaubnis der Cookie-Analyse dürften Unternehmen dann also weiterhin keine Analyse mehr durchführen, das ist auch durch die bisherigen Cookie-Regelungen gesichert.
Was sich durch die ePVO für die Unternehmen aber ändern soll ist, dass es den Nutzer*innen (durch die einmalige Zustimmung oder Ablehnung) signifikant erleichtert wird, ihre Zustimmung zu verweigern. Die Unternehmen werden so insgesamt auf sehr viel weniger Daten zugreifen können. Dies würde die Daten-Analyse erschweren und somit auch die Koordination des Marketings.
Falls diese Einwilligung über ein Cookie-Hinweis-Banner eingeholt werden soll, würden an dessen Ausgestaltung sehr strenge Maßstäbe gesetzt werden. Durch die ePVO müsste außerdem u.a. ein bestimmter Zeitraum für die Datennutzung und -analyse festgelegt und eingehalten werden. Es werden also neue und vermutlich kostspielige Marketingstrategien erarbeitet werden müssen, was die Unternehmen in naher Zukunft vor eine harte Aufgabe stellen könnte.
Weiterhin betroffen sind Messenger Dienste. Auch hier müssten durch das Wirksamwerden der ePVO die Speicherung von Nutzer*innendaten explizit erfragt und erlaubt werden. Außerdem müssten die Nachrichten, die über die Dienste versendet werden, sowie (Video-) Anrufe stärker verschlüsselt werden, um sie besser vor fremdem Zugriff zu schützen.
Wie kann konkret gegen die ePVO verstoßen werden?
Die ePVO ist eine Verordnung. Das bedeutet, dass sie nach dem Inkrafttreten eine sofortige gesetzliche Wirkung erlangt. Zumindest deutsche Unternehmen werden allerdings nicht direkt mit der ePVO konfrontiert werden, da in Deutschland eine mindestens einjährige oder sogar zweijährige Übergangsfrist von der e-Privacy-Richtlinie und der Cookie-Richtlinie der Bundesregierung zur neuen e-Privacy- Verordnung der EU vorgesehen ist. Diese Übergangsfrist bildet die zeitliche Vorgabe, innerhalb derer die Vorgaben der Verordnung durch die Unternehmen und durch andere umgesetzt werden müssen. Wird diese Frist nicht eigehalten, hat man gegen die ePVO verstoßen.
Ebenfalls verstößt ein Unternehmen gegen die ePVO, sobald es personenbezogene Daten von Nutzer*innen ohne deren Genehmigung verarbeitet. Es ist also untersagt, die Daten zu speichern, zu analysieren oder zu teilen. Dies würde gegen den Grundsatz des Vertrauens verstoßen, den die Verordnung festschreibt. Dies ist für die Unternehmen aber nichts neues. Die bisherigen Richtlinien folgen dem gleichen Grundsatz. Dieser fällt durch seine neue Form als Verordnung aber noch stärker ins Gewicht.
Außerdem als Verstoß gewertet wird die Nichteinhaltung der vorgesehenen Löschungsfristen. Diese sollen eine gesonderte Sicherheit der Nutzer*innen gewährleisten und ihnen die Gewissheit geben, dass ihre Daten nicht dauerhaft genutzt werden können.
Eine genauere Auskunft über die Verstöße kann noch nicht gegeben werden, da die Mitgliedsstaaten sich über einen konkreten Gesetzesentwurf noch uneinig sind und sich deshalb weitere Änderungen oder Konkretisierungen ergeben können.
Sanktionen durch die ePVO
Der endgültige Gesetzesentwurf der ePVO steht noch nicht fest. Daher kann es weiterhin zu Änderungen auch bzgl. der Art der Sanktionen durch die ePVO kommen.
Verstöße sollen durch die jeweiligen Aufsichtsbehörden geahndet werden. Die Behörden sollen dabei (wie schon in der DSGVO vorgesehen) einen gewissen Handlungsspielraum haben.
Sicher kann man sich darüber sein, dass es bei Nichteinhaltung der Verordnung zu Bußgeldern kommen wird. Diese sollen sich im bisherigen Rahmen der DSGVO bewegen oder höher sein und können eine Geldmenge von bis zu 20 Million Euro darstellen. Diese maximale Bußgeldhöhe wird vom aktuellen Entwurf der ePVO festgelegt. Andere Gesetzesentwürfe sehen eine alternative Bußgeldbemessung von 4% des weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres vor. Die Aufsichtsbehörden könnten aber auch höhere Beträge verhängen können.
Angesichts dieser strengen Maßnahmen ist es für Unternehmen ratsam, sich schnellstmöglich auf die neuen Richtlinien vorzubereiten. Die ePVO sollte auf jeden Fall im Hinterkopf behalten werden. Beratungen sind beispielsweise durch externe Datenschutzbeauftragte oder Rechtsanwält*innen mit dem Schwerpunkt Datenschutz möglich.
