EU einen Schritt weiter auf dem Weg zur Reform des elektronischen Datenschutzes

Rund vier Jahre nachdem die EU-Kommission den Vorschlag einer neuen e-Privacy-Verordnung veröffentlicht hat, haben sich die Regierungen der EU-Mitgliedsstaaten auf eine gemeinsame Position verständigt und der Europäische Rat hat einen neuen Verordnungsvorschlag vorgelegt. Die Verordnung soll Nutzern im Internet und beim Gebrauch elektronischer Kommunikationsmittel einen größeren Schutz ihrer Privatsphäre ermöglichen und die Datenschutz-Grundverordnung (DSGVO) konkretisieren.

Die ePrivacy-Verordnung hätte ursprünglich zur gleichen Zeit wie die DSGVO in Kraft treten sollen, dies scheiterte jedoch an einer fehlenden Einigung über die neuen Regeln innerhalb der EU. Der neue Vorschlag wird nun in den sogenannten „Trilog“ gehen, er wird also zwischen dem Rat und dem Europäischen Parlament unter Beteiligung der Kommission verhandelt.

Die ePrivacy-Verordnung wird die bestehende ePrivacy-Richtlinie aus dem Jahr 2002, aktualisiert im Jahr 2009, ersetzen, da diese neuen Technologien in vielerlei Hinsicht nicht mehr gerecht wird. Im Hinblick auf die technologische Entwicklung soll die neue Verordnung „zukunftstauglich“ sein: Die EU möchte, dass auch zukünftige Technologien von ihr abgedeckt werden. Ausdrücklich soll sie beispielsweise elektronische Kommunikation im Wege der Machine-to-Machine-Communication oder im Internet der Dinge erfassen.

Wie die DSGVO wird die Verordnung, anders als die bisherige Richtlinie, in den EU Mitgliedsstaaten direkt anwendbar sein und muss nicht erst in nationales Recht umgesetzt werden.

Die neuen Vorschriften sollen festlegen, in welchen Fällen Diensteanbieter elektronische Kommunikationsdaten verarbeiten oder Zugang zu Daten erhalten dürfen, die auf den Geräten der Endnutzer gespeichert sind. Es geht um Schlagworte wie Cookies, Tracking und Browser Fingerprinting, also um die elektronische Fährte, die jeder Nutzer im Netz hinterlässt und die Frage, wie viele dieser Daten durch Unternehmen und Behörden ausgelesen und verwertet werden dürfen.

Nach dem Entwurf würde die Verordnung für Anbieter von elektronischen Kommunikationsdiensten und -netzwerken gelten, für Anbieter von öffentlich zugänglichen Verzeichnissen wie Adress- und Telefonverzeichnissen und für Personen und Organisationen, die Direktwerbung über elektronische Kommunikationswege betreiben. Die Anforderungen und Pflichten der e-Privacy-Verordnung gelten, wenn sich die Nutzer der elektronischen Kommunikation in der EU befinden, unabhängig vom Standort des Diensteanbieters.

Der Vorschlag des Europäischen Rates betont die Vertraulichkeit elektronischer Kommunikation. Im Grundsatz soll die Verarbeitung sowohl von Inhalten als auch von Metadaten nur mit Einwilligung des Nutzers oder in den in der Verordnung genannten Fällen zulässig sein.

Tatsächlich eröffnet die Verordnung nach dem Entwurf aber insbesondere bei Metadaten potentiell weitreichende Verarbeitungsbefugnisse auch ohne Einwilligung der Nutzer, einschließlich einer Verarbeitung pseudonymisierter Daten für statistische Zwecke und für Zwecke, für die die Daten nicht erhoben wurden (Weiterverarbeitung).  Der Entwurf des Rates geht insoweit deutlich über die Vorschläge der Kommission und des Parlaments hinaus und wird dafür bereits von Lobbygruppen kritisiert. Es bleibt abzuwarten, ob es bei diesen eher großzügigen Regelungen bleibt. 

Ähnliches gilt für die Nutzung von Verarbeitungs- und Speichermöglichkeiten der Endnutzergeräte sowie von Informationen, die darin gespeichert sind. So soll –  in Grenzen – gestattet sein diese auszuwerten, um die Zugriffe auf eine Website zu analysieren (Statistik-Cookies).

Im Bereich der Direktwerbung über elektronische Kommunikationsmittel fällt auf, dass lediglich bei Endnutzern, die „natürliche Personen“ sind, grundsätzlich eine Einwilligung erforderlich sein soll. Der Gegensatz zur „natürlichen Person“ (Mensch) ist nach dem Text des Entwurfs die „juristische Person“ (Organisationen). Regelungen in Bezug auf letztere sollen den Mitgliedsstaaten überlassen bleiben.

Das könnte bedeuten, dass eine elektronische Kommunikation mit Adressaten unter ihrer beruflichen Adresse, je nach Land, weitgehend frei möglich sein wird. Auch Einschränkungen in Bezug auf Sprachanrufe sieht der Entwurf kaum vor. Sofern ein Unternehmen Kontaktinformationen eines Endnutzers im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat, soll es diese auch weiterhin für die Direktwerbung ähnlicher Waren oder Dienstleistungen nutzen dürfen – auch ohne Einwilligung.            

Viele Details der Verordnung scheinen noch unklar: Der Entwurf erklärt bei verschiedenen Aspekten die DSGVO für anwendbar, die praktische Umsetzbarkeit ist aber fraglich. So soll auch bei Organisationen eine Einwilligung in die Datennutzung und -verarbeitung nötig sein. Für diese Einwilligungen sollen die Regeln der DSGVO, mit den nötigen Anpassungen, angewendet werden. Nationale gesetzliche Bestimmungen dazu, wann eine Organisation durch ein Individuum wirksam vertreten werden kann (Vertretungsmacht), sollen jedoch unberührt bleiben. Ob letztlich für eine Organisation nur eine Einwilligung gegeben werden soll oder aber mehrere, sich gegebenenfalls widersprechende Einwilligungen gegeben werden können, wird nicht deutlich.

Die DSGVO bezieht die Notwendigkeit von Einwilligungen zudem auf Menschen als „Datensubjekte“ („Eigentümer ihrer eigenen persönlichen Daten“). Die Regelungen in dem Entwurf der ePrivacy-Verordnung deuten aber darauf hin, dass eine Einwilligung auch auf ein Gerät bezogen werden kann. Wird das Gerät von mehreren Menschen genutzt, wäre eine Zuordnung nicht mehr möglich. Weitere Fragen stellen sich beispielsweise hinsichtlich der Zulässigkeit von Offline-Tracking, in Bezug auf Updates, sowie auf die Frage, unter welchen Umständen die Nutzung eines Dienstes davon abhängig gemacht werden kann, dass der Endnutzer seine Einwilligung erteilt.

Schließlich schreibt der Vorschlag des Rates, anders als der der Kommission und des Parlaments, nicht vor, dass die Mitgliedsstaaten die Aufsicht über die Einhaltung der ePrivacy-Verordnung den gleichen Behörden übertragen müssen, die für die Aufsicht über die Einhaltung der DSGVO zuständig sind. Stattdessen soll diese Aufgabe auch anderen Behörden übertragen werden können. Dies könnte die Harmonisierung  jedenfalls in solchen Fällen, in denen personenbezogene Daten betroffen sind, erschweren.     

Für Rechtsbehelfe, Haftung und Sanktionen verweist die Verordnung im Entwurf wesentlich auf die Bestimmungen der DSGVO. Damit wären bei Verstößen unter Umständen auch exorbitant hohe Bußgelder möglich. 

Der Vorschlag des Europäischen Rates hat bereits verschiedene Lobbygruppen auf den Plan gerufen. Es bleibt abzuwarten, wie sich dieser im Rahmen des Trilogs entwickeln wird. Jedenfalls wird die finale Verordnung innerhalb von 20 Tagen nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft treten, was den Startschuss zu einer zweijährigen Frist markiert, bis sie effektiv angewendet wird. Diese Frist sollten die betroffenen Organisationen dann für die Anpassung nutzen.