Heute hat der Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) im Europäischen Parlament den Vorschlag für eine neue ePrivacy-Verordnung durch die Europäische Kommission beraten. Der Entwurf des Berichts des LIBE-Ausschusses stammt vom 9. Juni 2017 (PDF). Im Entwurf werden teilweise umfassende Änderungen am ursprünglichen Entwurf der Kommission vorgeschlagen. Die Abstimmung über den Entwurf für den Bericht im Europäischen Parlament steht noch aus.
Ganz konkret möchte ich hier kurz auf einen interessanten Vorschlag des LIBE-Ausschusses hinweisen. Mit Änderungsantrag 82 soll der ursprüngliche Art. 8 Abs. 1 ePrivacy-VO um einen Buchstaben d b erweitert werden. In Art. 8 Abs. 1 geht es um den Schutz der Endeinrichtungen von Nutzern und in diesen Endeinrichtungen gespeicherten Informationen. Ganz praktisch geht es also insbesondere um Endgeräte, in denen sich entweder digital Information ablegen lassen oder die auch selbst Informationen erzeugen und aus diesen Informationen ausgelesen werden können. Beispielhaft seien hier etwa Mobiltelefone oder auch Computer, die ans Internet angeschlossen sind, genannt. In Art. 8 Abs. 1 ePrivacy-VO werden recht strenge Anforderungen daran gestellt, wann Informationen aus den Endeinrichtungen überhaupt erhoben werden dürfen. Nach Art. 8 Abs. 1 ist eine solche Erhebung von Informationen grundsätzlich untersagt, außer einer der in Abs. 1 genannten Gründe liegt vor.
Einleitend ist zudem darauf hinzuweisen, dass Art. 8 Abs. 1 einen sehr weiten Anwendungsbereich hat, da es in diesem nicht etwa (wie sonst überwiegend in der ePrivacy-VO) um Kommunikationsdaten geht, sondern ganz allgemein von „Informationen“ gesprochen wird. Einen ähnlich weiten Anwendungsbereich hat derzeit auch der Art. 5 Abs. 3 der noch geltenden ePrivacy-Richtlinie (sogenannte Cookie-Richtlinie).
Mit dem Änderungsantrag 82 schlägt nun der Entwurf des Berichts vor, dass eine neue gesetzliche Erlaubnis in Art. 8 Abs. 1 aufgenommen wird, wann Informationen aus Endgeräten erhoben werden dürfen. Nach Art. 8 Abs. 1 Buchstabe d b soll dies der Fall sein, wenn es im Rahmen von Arbeitsverhältnissen nötig ist, wenn erstens der Arbeitgeber bestimmte Einrichtungen bereitstellt, zweitens der Arbeitnehmer der Nutzer dieser Einrichtung ist und drittens der Eingriff für die Funktionsweise der Einrichtung für den Arbeitnehmer zwingend notwendig ist. Die Regelung gilt also nicht für „Bring Your Own Device“ Konstellationen.
Zunächst liest sich diese Ausnahme so, als ob sie Arbeitgebern grundsätzlich eine Überwachung der Tätigkeiten der Arbeitnehmer im Hinblick auf die Nutzung von bereitgestellten Endgeräten, wie etwa PCs und Mobiltelefon, erlauben würde. Betrachtet man sich diese vorgeschlagene Regelung jedoch genauer, ist zu beachten, dass der „Eingriff“ (gemeint ist hier wohl der Zugriff auf die Endeinrichtungen der Arbeitnehmer als Nutzer; vgl. diesbezüglich etwa Erwägungsgrund 20) für die Funktionsweise der Endeinrichtung für den Arbeitnehmer zwingend notwendig ist. Der Eingriff bzw. der Zugriff auf die Endeinrichtungen und dort gesammelte Informationen darf also ausschließlich dann erfolgen, wenn die so mögliche Erhebung von Informationen für die Funktionsweise der technischen Einrichtung zwingend notwendig ist und dies auch nur, wenn dies für den Arbeitnehmer zwingend notwendig ist. Es geht also hier nicht darum, dass der Arbeitgeber argumentieren könnte, er müsse Zugriff auf die Endeinrichtungen seine Arbeitnehmer haben, um etwa die Nutzung der von ihm bereitgestellten Endgeräte überprüfen zu können. Denn diesen Zugriff könnte man als nicht zwingend notwendig für die Funktionsweise der Einrichtung ansehen. Dies ist zumindest eine mögliche Auslegung des Änderungsantrags.
Sollte man den Änderungsantrag so lesen, so würde dies aber gleichzeitig bedeuten, dass andere Optionen zum Zugriff auf Informationen in Endgeräten im Arbeitsverhältnis ausgeschlossen sind (außer natürlich, ein anderer Erlaubnistatbestand in Art. 8 Abs. 1 wäre erfüllt, wie etwa die Einwilligung des Arbeitnehmers).
Insbesondere brisant ist die Aufnahme dieses Erlaubnistatbestandes zum Zugriff auf Endgeräte im Arbeitsverhältnis und der Erhebung von Informationen aus den Endgeräten auch deshalb, weil man sich noch vor Augen halten muss, dass die derzeit verhandelte die ePrivacy-VO Spezialregelungen gegenüber der 25 Mai 2018 unmittelbar anwendbaren Datenschutz-Grundverordnung (DSGVO) bereithält. Soweit also ein Sachverhalt von den Regelungen der die ePrivacy-VO abgedeckt ist, wird die DSGVO verdrängt. Und hier noch einmal der Hinweis: Art. 8 Abs. 1 gilt schon bei der Erhebung von „Informationen“. Es müssen keine personenbezogenen Daten vorliegen (wie im Rahmen der DSGVO).
Nimmt man nun, wie in Änderungsantrag 82 vorgesehen, eine spezielle Situation aus dem Arbeitsverhältnis in die ePrivacy-VO auf und regelt dort, was in Bezug auf Informationen in Endgeräten für den Arbeitgeber gestattet ist, bedeutet dies gleichzeitig, dass ein Rückgriff auf Erlaubnistatbestände der DSGVO nicht mehr möglich ist. Dies betrifft insbesondere auch Art. 88 der DSGVO, in dem es um die Datenverarbeitung im Beschäftigungsverhältnis geht und der im Rahmen des neuen BDSG in Deutschland in ähnlicher Weise wie der bisher geltende § 32 BDSG umgesetzt werden soll. Art. 8 Abs. 1 lit. d b ePrivacy-VO würde Art. 88 DSGVO und damit auch dem BDSG vorgehen. Man könnte sich als Arbeitgeber also nicht auf eine Interessenabwägung zur Verarbeitung personenbezogener Daten von Arbeitnehmern berufen, wie dies in § 26 BDSG (neu) vorgesehen ist, soweit die ePrivacy-VO den Sachverhalt abschließend und spezieller regelt.
Man wird abwarten müssen, ob der hier dargestellte Änderungsantrag tatsächlich in dieser Form zum einen im in der finalen Stellungnahme des Europäischen Parlaments Niederschlag findet. Zum anderen wird dann auch noch der Rat der Europäischen Union seine Stellungnahme zum Entwurf der Verordnung verhandeln und beschließen. Inwiefern also tatsächlich die hier dargestellte Regelung zum Zugriff auf Informationen in Endgeräten im Arbeitsverhältnis am Ende Realität wird, lässt sich derzeit noch nicht mit absoluter Gewissheit abschätzen. Im Hinterkopf sollte man jedoch zumindest behalten, dass im Europäischen Parlament der Wunsch besteht, diese Situation in der ePrivacy-VO zu regeln.