8
Aug
2017
Europa

Digitaler Binnenmarkt: Was macht eigentlich die ePrivacy Verordnung?

Am 10. Januar 2017 hat die Europäische Kommission ihr Gesetzespaket zur Verwirklichung des digitalen Binnenmarkts auch im Bereich des elektronischen Datenverkehrs präsentiert. In verschiedenen Beiträgen haben wir seinerzeit bereits die Eckpunkte , die Mitteilung zur Schaffung einer europäischen Datenwirtschaft (COM(2017) 9 final) und den Verordnungsentwurf zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Institutionen der Europäischen Union (COM(2017) 8 final) vorgestellt.

Gut ein halbes Jahr später lohnt nun der Blick auf die Entwicklung, welche das ePrivacy Package seitdem genommen hat. In den Fokus rücken möchten wir dabei zunächst den Verordnungsentwurf zum Schutz der Privatsphäre in der elektronischen Kommunikation (COM 2017, 10 final). Die Verordnung soll an die Stelle der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG vom 12. Juli 2002 treten und damit einen weiteren Eckpfeiler für die Achtung der Privatsphäre und des Datenschutzes in der EU darstellen und die Datenschutzgrundverordnung 2016/679/EU (DSGVO) ergänzen.

Stellungnahme der Artikel 29-Gruppe

Seit der Veröffentlichung des Kommissionsentwurfs im Januar 2017 hat es eine Vielzahl von Erörterungen und Stellungnahmen zu diesem gegeben. Den Anfang hat dabei die Artikel 29-Gruppe gemacht, deren Stellungnahme vom 4. April 2017 datiert.

Die Artikel 29-Gruppe begrüßt generell die Wahl der Verordnung als Rechtinstitut, um ein europaweit einheitliches Schutzniveau in diesem Bereich zu erreichen. Die Gruppe plädiert erkennbar für ein weitreichendes Verbot und eng auszulegenden Ausnahmetatbestände. So wird begrüßt, dass der Anwendungsbereich der Verordnung neben Kommunikationsinhalten auch Metadaten erfassen soll. Auch die Einbeziehung von Over-the-Top-Diensten (OTT) wird explizit goutiert. Diese würden aufgrund ihrer Nähe zu den klassischen Kommunikationswegen erhebliche Gefahren für die Privatsphäre und das Recht auf Vertraulichkeit der Kommunikation in sich bergen.

Jedoch werden auch Kritikpunkte angebracht. Diese betreffen im Wesentlichen das Wifi-Tracking, die Bedingungen unter denen die Analyse von Inhalten und Metadaten erlaubt ist, die Standardeinstellungen von „terminal equipment and software“ sowie die Zugangsbeschränkungen von Webseiten. So soll etwa das Wifi-Tracking nur nach Zustimmung des Betroffenen oder in anonymisierter Weise erfolgen dürfen. Eine Analyse von Inhalten und Metadaten soll grundsätzlich unzulässig sein, wenn nicht alle Beteiligten der Kommunikation diesem Vorgehen zugestimmt haben. Zudem sollen die Standardeinstellungen von „terminal equipment and software“ bereits im gewissen Umfang die Privatsphäre schützen und den Nutzern eine Anpassung dieser Einstellungen ermöglichen. Zuletzt soll der Zugang zu Webseiten nicht von der Zustimmung zur Nachverfolgung der Webaktivitäten auf der Webseite abhängig gemacht werden. Dies stelle eine Gefahr für die Freiwilligkeit der Einwilligung dar.

Stellungnahme des Europäischen Datenschutzbeauftragten

Hervorheben möchten wir zudem die 49-seitige Verlautbarung des Europäischen Datenschutzbeauftragten (EDSB) Giovanni Buttarelli vom 24. April 2017. Der EDSB begrüßt in seiner Stellungnahme die erklärte Absicht, ein hohes Schutzniveau sowohl für Inhalte als auch für Metadaten gewährleisten zu wollen. Jedoch wird zugleich angemerkt, dass einige der vorgeschlagenen Vorschriften dieses Ziel gefährden könnten. Insbesondere soll hinsichtlich der zentralen Begriffsbestimmungen nicht auf den Vorschlag für eine Richtlinie über den europäischen Kodex für die elektronische Kommunikation verwiesen werden. Nach Ansicht des EDSB sollten die zentralen Begriffsbestimmungen in der Verordnung selbst geregelt werden. Ein weiteres zentrales Anliegen betrifft die datenschutzrechtliche Einwilligung. Zum einen müsse durch die Verordnung sichergestellt werden, dass die Einwilligung von den tatsächlichen Nutzern eines Dienstes eingeholt wurde, unabhängig davon, ob diese Person identisch mit dem Abonnenten eines solchen Dienstes ist. Zum anderen müsse die Verordnung gewährleisten können, dass die Einwilligung stets freiwillig erfolgt, dass also der Zugang zu Webseiten nicht von einer Einwilligung zur Nachverfolgung der Webaktivitäten abhängig gemacht wird (sogenannte Tracking- oder Cookie Walls).

Der EDSB betont darüber hinaus, dass die Verflechtung von DSGVO und ePrivacy Verordnung nicht zu Schutzlücken für personenbezogene Daten führen dürfe. Es müsse explizit darauf geachtet werden, dass eine nach der Verordnung zulässige Verarbeitung nicht auf Grund einer weitergehenden Erlaubnis nach der DSGVO ausgeweitet werde, ohne die freiwillige Einwilligung des Betroffenen einzuholen. Zudem wird angemahnt, dass der Vorschlag nicht sicherstelle, dass Internet Browser standardmäßig datensparsam eingestellt sind.

Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses

Auch der Europäische Wirtschafts- und Sozialausschuss (EWSA) hat sich am 5. Juli 2017 zu dem Verordnungsentwurf geäußert. Der ESWA begrüßt dabei zunächst die gleichzeitige und unionsweite Einführung eines kohärenten Gesamtregelwerkes, das den Schutz der Rechte natürlicher und juristischer Personen bei der Nutzung digitaler Daten mittels elektronischer Kommunikation zum Ziel hat. Der Ausschuss weist deutlich auf die Gefahren durch Angriffe hin, die sich auf Grund der stetig steigenden Anzahl an Daten ergeben werden bzw. sich heute schon ergeben. Kritisiert wird dagegen, dass es wegen der Komplexität und der Vielzahl an unterschiedlichen Regelungen zum Datenschutz zu einer mangelhaften Umsetzung kommen und der Mehrwert der Beteiligten gering sein werde. Zudem überlasse die Verordnung die Auslegung sehr vieler Bestimmungen den Mitgliedstaaten, insbesondere im Gesundheitsbereich, was der Verordnung einen Richtliniencharakter verleihe und zu einer heterogenen Umsetzung führe.

Der Ausschuss stellt in Frage, ob die beiden mit der Verordnung verfolgten Ziele, namentlich der Schutz natürlicher Personen sowie die Gewährleistung des freien Datenverkehrs, in einem angemessen Verhältnis umgesetzt werden.

Fazit

Auch wenn der Kommissionsentwurf übergreifend positives Feedback erhalten hat, ist beriets jetzt absehbar, dass der fortschreitende Gesetzgebungsprozess wird noch einiges an Änderungen an dem ursprünglichen Vorschlag mit sich bringen wird. Weiteren Abstimmungsbedarf gibt es sicherlich noch mit den Regelungen der DSGVO. Letztlich wird eine Balance zu finden sein zwischen dem Schutz der Privatsphäre des einzelnen und der Ermöglichung moderner digitaler Kommunikation.