Entwurf zur ePrivacy-Verordnung: Bundesratsausschüsse fordern grundsätzliche Überprüfung und Nachbesserung

 

Im Januar 2017 hat die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) veröffentlicht. Mit der neuen ePrivacy-VO soll die geltende ePrivacy-Richtlinie ersetzt werden. Zudem sollen die Regelungen zum Schutz der Privatsphäre im Bereich der elektronischen Kommunikation an die Vorgaben der Datenschutz-Grundverordnung angeglichen und darauf abgestimmt werden.

 

Am 22.5.2017 haben der Ausschuss für Agrarpolitik und Verbraucherschutz, der Ausschuss für Innere Angelegenheiten,
der Rechtsausschuss und
der Wirtschaftsausschuss des Bundesrates ihre Empfehlungen (PDF) zu dem Verordnungsentwurf abgegeben.

 

Im Bundesrat wird der Vorschlag zu ePrivacy-VO am 2.6.2017 im Plenum behandelt und über die Ausschussempfehlungen beraten. Nachfolgend möchte ich einige der immerhin 24 seitigen Empfehlungen der Ausschüsse näher beleuchten:

 

Grundsätzlich begrüßen die Ausschüsse, dass in der Union einfache und klare Regelungen zum Umgang mit personenbezogenen Daten geschaffen werden sollen. Auch wird die Zielsetzung des Verordnungsvorschlags begrüßt, ein hohes Niveau des Schutzes der Privatsphäre für die Nutzerinnen und Nutzer elektronischer Kommunikationsdienste zu schaffen.

 

Jedoch machen die Ausschüsse auch sehr deutlich, dass sie ganz generelle Vorbehalte gegen den Entwurf haben:

 

 Der Bundesrat hält gleichwohl eine grundsätzliche Überprüfung und Nachbesserung des Verordnungsvorschlags auch unter Inkaufnahme von Verzögerungen des Rechtsetzungsverfahrens für unerlässlich, um neben Detailmängeln grundsätzliche Defizite bei der Abgrenzung des Rechtsaktes zur Datenschutz-Grundverordnung, dem notwendigen Ausgleich zwischen dem Schutz der elektronischen Kommunikation und Sicherheitsbelangen sowie der Ausgestaltung des Aufsichtsregimes zu beheben.

 

Abgrenzung zum Anwendungsbereich der Datenschutz-Grundverordnung

 

Nach Auffassung der Ausschüsse ist es erforderlich, den Fortbestand besonderer Regelungen für den Schutz personenbezogener Daten im Rahmen der ePrivacy-VO bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste angesichts des durch die Datenschutz-Grundverordnung geschaffenen umfassenden Rechtsrahmens kritisch zu hinterfragen.

 

Diesbezüglich werden die Ausschüsse dann noch konkreter. Insbesondere sehen sie diese Anforderungen bei den Regelungen des Kapitels II der ePrivacy-VO nicht erfüllt und bitten die Bundesregierung deshalb,

 

sich für eine grundlegende Überarbeitung des Verordnungsvorschlags einzusetzen.

 

Insbesondere halten die Ausschüsse eine umfassende und regelungsspezifische Überarbeitung der Abgrenzung zwischen den allgemeinen Anforderungen der Datenschutz-Grundverordnung und den besonderen Anforderungen des Verordnungsvorschlags als deren Präzisierung und Ergänzung für unerlässlich.

 

Zudem weisen die Ausschüsse auf Widersprüche zu den Vorgaben der Datenschutz-Grundverordnung hin. Nach Auffassung der Ausschüsse lässt die Mehrzahl der Regelungen für Telekommunikationsdienste nicht erkennen, inwieweit sie im Fall personenbezogener Daten die Datenschutz-Grundverordnung als lex specialis verdrängen oder von dieser weiterhin ergänzt werden.

 

Dies führt die Empfehlung der Ausschüsse an einem praxisrelevanten Beispiel aus: Regelungen wie die Anforderungen an „Unerbetene Kommunikation“ (Art. 16 ePrivacy-VO; also insbesondere werbende Ansprachen) führen nach Ansicht der Ausschüsse statt zu einer Ergänzung zu einer Aushöhlung der Regelungen der Datenschutz-Grundverordnung für Direktwerbung im Online- Bereich. Denn durch Art. 16 ePrivacy-VO wird der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung und das spezifische Widerspruchsrecht nach Art. 21 Abs. 2 Datenschutz-Grundverordnung durch ein Einwilligungserfordernis ersetzt, das aber etwa nicht auf automatisierte Anrufsysteme beschränkt ist.

 

Anwendungsbereich

 

Kritisch äußern sich die Ausschüsse auch zum sachlichen Anwendungsbereich. Dieser soll, anknüpfend an das Marktortprinzip der Datenschutz-Grundverordnung, angepasst werden, da Art. 3 Abs. 1 der ePrivacy-VO diesen vorrangig im Hinblick auf Kommunikationsdienste und Endeinrichtungen bestimmt, aber andere verpflichtete Stellen (zum Beispiel Softwareanbieter oder Betreiber öffentlich zugänglicher Verzeichnisse) ausspart.

 

Die ePrivacy-VO soll als Neuerung auch auf elektronische Kommunikation Anwendung finden, die nicht nur zwischen natürlichen Personen stattfindet, sondern auch zwischen juristischen Personen und Maschinen (M2M-Kommunikation) erfolgt. Nach Ansicht der Ausschüsse könnte dies Geschäftsmodelle und Unternehmen im Rahmen von vernetzten Fahrzeugen, automatisierten Lieferketten oder Fuhrparklösungen, unter anderem in der Automobilindustrie und der Logistikbranche, betreffen. Vor diesem Hintergrund fordern die Ausschüsse die Prüfung, ob diese Ausdehnung des Anwendungsbereichs der ePrivacy-VO auf die Übermittlung von M2M-Kommunikation zielführend ist oder

 

ob dadurch heute gängige Abläufe in der europäischen Wirtschaft in Frage gestellt und Spielräume für Innovationen im Bereich Industrie 4.0, dem Internet der Dinge sowie in anderen neuen Geschäftsfeldern zu stark eingeschränkt werden.

 

Tracking

 

Auch dem Thema des On- und Offline-Trackings widmen sich die Ausschüsse. Ihrer Auffassung nach stellen werbefinanzierte Angebote einen integralen Bestandteil der Internetwirtschaft dar. Analysen des Nutzerverhaltens auf Webseiten oder in Apps werden gerade bei mittelständischen Unternehmen häufig durch Dritte (so genannte Third-Party- Cookies) durchgeführt. Die Ausschüsse kritisieren, dass Beschränkungen beim Einsatz von Datenanalysemechanismen künftig dazu führen könnten, dass gerade der Mittelstand auf dem Gebiet der Onlineplattformen massive Wettbewerbsnachteile erleidet.

 

Als Folge fordern die Ausschüsse, dass die Vorschrift des Art. 8 Abs. 1 lit. d) ePrivacy-VO auch auf den Einsatz von Third-Party-Cookies ausgedehnt wird. Dies würde bedeuten, dass keine Einwilligung der betroffenen Nutzer eingeholt werden muss, wie dies derzeit im Vorschlag für den Einsatz von Technologien zur Analyse der Kunden- und Besucherströme vorgesehen ist.

 

Unerbetene Kommunikation

Natürlich befassen sich die Ausschüsse auch mit den Vorgaben zur unerbetenen Kommunikation, also etwa der E-Mail-Werbung und Newslettern. Hier verlangen die Ausschüsse, dass jedenfalls die elektronische Kommunikation im Rahmen eines bestehenden Vertrags (Beispiele: Übermittlung von Rechnungen, Mahnungen, Rückfragen, Zusatzinformationen oder Verbrauchs- oder Messdaten bei Serviceverträgen) oder einer laufenden Kundenbeziehung, weiter uneingeschränkt möglich sein muss und diese Kommunikation gerade nicht unter den Begriff der „unerwünschten Kommunikation“ (Art. 16 ePrivacy-VO) fällt.

Aktueller Stand der geplanten ePrivacy-Verordnung: Mitgliedstaaten sehen viele offene Fragen

Im Januar 2017 hat die Europäische Kommission den Entwurf für eine neue Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation), pdf) veröffentlicht (zu dem ersten Leak des Entwurfs im Dezember 2016, hier mein Beitrag).

Die Verordnung (ePrivacy-VO) soll die geltende Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG in der Fassung durch RL 2009/136/EG) ersetzen, zum Teil neue Regelungen schaffen und inhaltlich mit der Datenschutz-Grundverordnung abstimmen. Grundsätzlich soll diese neue Verordnung zum 25. Mai 2018 anwendbar sein. Ein sehr ambitioniertes Vorhaben.

Der Entwurf wird nun von dem Europäischen Parlament und auch dem Rat der Europäischen Union begutachtet und jeweils eigene Stellungnahmen und Änderungswünsche erarbeitet. Im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres im Europäischen Parlament ist die Abstimmung derzeit zunächst für Oktober 2017 geplant.

Auch der Rat (also die Mitgliedstaaten) befasst sich mit dem Entwurf, dort insbesondere in einer eigenen Arbeitsgruppe für Telekommunikation und Informationsdienste (WP TELE). In dieser Gruppe wurden bisher die Artikel 1 – 8 (von insgesamt 29) des Entwurfs näher besprochen. Hier liegt also noch einiges an Arbeit vor der Arbeitsgruppe.

Doch bereits zum aktuellen Zeitpunkt der Beratungen lassen sich mehrere kritische Themen identifizieren, bei denen die Mitgliedstaaten Diskussions- und ggf. Anpassungsbedarf sehen. Über diesen aktuellen Stand hat nun die Ratspräsidentschaft in einem Bericht (pdf) vom 19. Mai 2017 informiert.

So wird etwa die geplante Zuständigkeit der nationalen Datenschutzbehörden für die Überwachung der Regeln der ePrivacy-VO und deren Durchsetzung kritisch gesehen. Insbesondere sei dies nach Auffassung einiger Mitgliedstaaten nicht unbedingt der passende Weg, um das Problem der uneinheitlichen Durchsetzung der Regelungen in Europa zu lösen.

Zwar wurden die Ziele des Entwurfs in der WP TELE grundsätzlich positiv bewertet, insbesondere ein hohes Schutzniveau für die Privatsphäre zu garantieren. Jede erfordere die angedachte Form der EU-Verordnung einen höheren Detailgrad der Regelungen (als im Fall einer Richtlinie). Aus diesem Grund halten Delegationen der Mitgliedstaaten den angedachten Zeitpunkt der Anwendbarkeit am 25. Mai 2018 daher auch für schlicht unrealistisch.

Zudem besteht aus Sicht der Mitgliedstaaten Klärungsbedarf bei dem Verhältnis und Zusammenspiel der Regelungen mit anderem europäischen Recht, insbesondere der Datenschutz-Grundverordnung.

Ganz konkret kritisieren Delegationen auch den sachlichen Anwendungsbereich der ePrivacy-VO. Die Ausweitung auf over-the-top-Dienste (OTT) erfordere weitere Klärung. Auch existieren offene Fragen mit Blick auf die Ausweitung des Anwendungsbereichs auf die Maschine-Maschine-Kommunikation.

Hier lässt sich bereits erkennen, dass die Kritik der Delegationen im Rat teilweise schon bei den ganz grundsätzlichen Regelungen und Neuerungen (etwa Einbeziehung der OTT Dienste) ansetzt.

Auch die Vorschriften zu den Erlaubnistatbeständen, wann also Kommunikationsdaten verarbeitet werden dürfen, sehen manche Delegationen also zu eng an und fordern mehr Möglichkeiten und Flexibilität.

Auch das Thema „Cookies“ wird von den Mitgliedstaaten analysiert und die Regelungen im Entwurf kritisiert. Einige Delegationen fordern genauere Bestimmungen zu den Ausnahmen vom generellen Verbot der Datenverarbeitung über Cookies und auch das Gerätetracking. Hier soll über eine Liste mit weiteren Ausnahmen (auch von der Einwilligung der Nutzer) nachgedacht werden.