www.beck.de
Sie waren hier: http://www.beck.de/main/Index/?site=ZD&toc=ZD.60&docid=402196

EAID: Die ePrivacy-Verordnung auf der Zielgeraden?

ZD-Aktuell 2018, 04281   Soweit der europäische Datenschutz thematisiert wird, ist in vielen Fällen die EU-Datenschutzgrundverordnung (DS-GVO) das alleinige Diskussionsthema. Mit ihrer Veranstaltung „Die ePrivacy-Verordnung auf der Zielgeraden?“ am 23.11.2017 in den Räumlichkeiten der Europäischen Akademie Berlin (EAB) adressierte die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) eine Thematik, die zahlreiche Bereiche des digitalen europäischen Binnenmarkts betrifft, zurzeit aber in der öffentlichen Wahrnehmung noch nicht in einem ausreichenden Maße wahrgenommen wird.

Dies stellte auch der Vorsitzende der EAID, Peter Schaar, bei seiner Begrüßung der Teilnehmer fest. Ein gegenwärtig diskutierter, möglicher Anwendungsfall der ePrivacy-VO sei z.B. das „Internet der Dinge“, so Schaar, denn auch hierbei handle es sich um Fälle der digitalen Kommunikation, die zwischen den miteinander vernetzten technischen Einheiten stattfinde. Gerade auf Grund ihres weit zugeschnittenen Anwendungsbereichs erfasse die neue EU-Verordnung die Datenverarbeitung einer Vielzahl möglicher Betroffener, woraus auch die erhebliche Bedeutung des Rechtsakts für die Wirtschaft der EU resultiere.

 

Der erste Referent im Anschluss an die Einführung war Dr. Alexander Dix, stellvertretender Vorsitzender der EAID. Dix stellte in aller Kürze die wesentlichen Eckpunkte des geplanten EU-Rechtsakts vor. Schon immer sei es ein Anliegen der Kommission gewesen, den europäischen Datenschutz zu komplettieren, dies geschehe nunmehr mit der ePrivacy-VO, die inhaltlich den besonderen Risiken begegne, die durch die elektronische Kommunikation entstünden und nicht vollständig durch die DS-GVO abgedeckt werden könnten. Dix stellte den bisherigen Verlauf des europäischen Gesetzgebungsverfahrens vor: Der Kommissionsvorschlag von Januar 2017 sei mittlerweile im Europäischen Parlament (EP) umfassend beraten worden, das EP habe dazu einen Bericht beschlossen und den Auftrag erteilt, in den Trilog mit den anderen EU-Institutionen einzutreten. Zudem habe das EP zahlreiche Änderungsvorschläge zum ursprünglichen Kommissionsentwurf unterbreitet, hierbei sei auch die Kritik der Art. 29-Datenschutzgruppe am Kommissionsentwurf aufgegriffen worden. Insgesamt sei bei den Vorschlägen des Parlaments festzustellen, dass sie nicht nur die Praktikabilität der Verordnung erhöhen würden, sondern dass auch die wirtschaftlichen Interessen der Unternehmen eine angemessene Berücksichtigung fänden, so z.B. über den risikobasierten Ansatz. Eine diesbezüglich oftmals geäußerte Kritik laufe folglich ins Leere. Im Rat hingegen seien die Beratungen über die ePrivacy-VO noch nicht so weit gediehen, hier werde erst für Dezember 2017 ein erster Zwischenbericht erwartet. Von einem Inkrafttreten der Verordnung sei nach dem derzeitigen Planungsstand des Gesetzgebungsverfahrens erst für Herbst 2019 auszugehen. In der inhaltlichen Diskussion um den Verordnungsentwurf stehe momentan vor allem die Frage des Anwendungsbereichs des EU-Rechtsakts im Mittelpunkt. Hier bestehe Übereinstimmung darüber, dass die ePrivacy-VO als Spezialregelung für die elektronische Kommunikation neben die DS-GVO trete, gleichzeitig habe die ePrivacy-VO inhaltlich aber auch einen weiteren Anwendungsbereich als die DS-GVO, da Letztere nur den Schutz von Daten mit einem Personenbezug umfasse, die ePrivacy-VO speziell aber auch den Schutz der Daten juristischer Personen adressiere.

 

Im Anschluss an Dix referierte Prof. Dr. Martin Selmayr, Kabinettschef von EU-Kommissionspräsident Jean-Claude Juncker. Selmayr legte zunächst anhand verschiedener statistischer Erhebungen dar, weshalb die elektronische Kommunikation in der EU einen hohen Stellenwert genießt. Deutlich wurde dabei vor allem, dass sich moderne IuK-Anwendungen durch nahezu alle Lebensbereiche bewegen und deshalb sowohl Privatpersonen wie gleichermaßen auch Unternehmen erfassen. Ferner ist laut Selmayr davon auszugehen, dass sich der Anteil elektronischer Kommunikationsmedien in den kommenden Jahren weiter signifikant erhöhen wird. Die Vielfältigkeit der elektronischen Kommunikationsmittel spiegele sich schlussendlich auch in der komplexen Anwendung der Vorschriften zur ePrivacy wider. Ein Anwendungsbeispiel betreffe den Fall, in welchem das Gesetzgebungsverfahren der ePrivacy-VO zum Zeitpunkt des Inkrafttretens der DS-GVO noch nicht abgeschlossen sei. Da die Mitgliedstaaten jedoch die ePrivacy-RL umgesetzt hätten, müsse dies theoretisch dazu führen, dass die spezialgesetzlichen nationalen Regelungen in den jeweils einschlägigen Sachbereichen gegenüber der Grundverordnung vorrangig anzuwenden wären. Jedoch sei nicht in allen Mitgliedstaaten eine richtlinienkonforme Umsetzung der ePrivacy-RL erfolgt, sodass dieses Subsidiaritätsverhältnis hierdurch wieder obsolet werde. Dabei bezog sich Selmayr ausdrücklich auf die bekannte Haltung der Kommission, nach der das TMG nicht mit der ePrivacy-RL vereinbar ist. Zum jetzigen Zeitpunkt sei laut Selmayr nicht zu vermuten, dass die ePrivacy-VO tatsächlich pünktlich zum 25.5.2018 in Kraft tritt. Dies hätte zur Folge, dass die DS-GVO in Ermangelung spezialgesetzlicher Regelwerke grundsätzlich für alle Aspekte der elektronischen Kommunikation Geltung beanspruchen könne. Zwar gebe es somit keinen rechtsfreien Raum, jedoch seien die Regelungen der DS-GVO – eben weil es sich nicht um eine Spezialregelung handelte – sehr weit gefasst und für eine Vielzahl von Fällen anwendbar. Dies führe i.E. zu Rechtsunsicherheit. Ratsam sei es deshalb, das weitere Gesetzgebungsverfahren zur ePrivacy-VO möglichst effizient voranzutreiben. Hierzu gehöre insbesondere, dass keine weiteren inhaltlichen Debatten zu Themen und Fragestellungen geführt werden, die schon durch die DS-GVO geklärt worden seien. In diesem Zusammenhang sei schließlich auch zu erwähnen, dass die ePrivacy-VO nicht allzu komplex werden dürfe, da es sich bei ihr eben nicht um ein vollständiges Datenschutzgesetz handele, sondern lediglich um eine Spezialregelung mit dem Schwerpunkt auf dem elektronischen Kommunikationsverkehr.

 

Der dritte Referent der Veranstaltung war Dr. Claus Ulmer, Konzerndatenschutzbeauftragter der Deutschen Telekom AG. Grundsätzlich sehe man von Seiten der TK-Diensteanbieter die europäische Entwicklung hin zur ePrivacy-VO kritisch, so Ulmer, und habe sich im Vorfeld die Frage gestellt, warum die DS-GVO nicht ausreichend sei, um Sachverhalte der elektronischen Kommunikation zu regeln; diese hätte man z.B. noch um einige zusätzliche Spezialregelungen für Metadaten ergänzen können. Mit diesem Vorstoß sei man jedoch weder bei der Kommission noch beim EP durchgedrungen. Gegenüber der bisherigen ePrivacy-RL sei aber zumindest vorteilhaft, dass mit dem Rechtsetzungsinstrument der Verordnung die einheitliche Rechtsanwendung für elektronische Kommunikationsdienste in ganz Europa sichergestellt werden könne. Kritik übte Ulmer auch daran, dass die bisherigen Entwürfe der ePrivacy-VO die Heranziehung berechtigter Interessen als Verarbeitungsgrundlage für Metadaten ausschlössen. Auch müsse es möglich bleiben, nach dem Vorbild des TMG pseudonymisierte Daten nach Information des Nutzers und mit Opt-out-Möglichkeit weiter zu verarbeiten. Schließlich setzte sich Ulmer für eine Übergangsfrist von einem Jahr für die Umsetzung der ePrivacy-VO nach ihrer Verabschiedung ein, wie sie das EP vorgeschlagen hat.

 

Über Skype zugeschaltet äußerte sich schließlich Jan-Philip Albrecht (MdEP), der Verhandlungsführer des EP bei der DS-GVO, zu dem Thema. Er nannte die Grundverordnung das „Flaggschiff“ der EU-Datenschutzgesetzgebung, das notwendigerweise durch die ePrivacy-VO ergänzt werden müsse. Geschehe dies nicht oder nicht rechtzeitig, dann würden sehr unterschiedliche nationale Spezialregelungen im Lichte der Grundverordnung auszulegen sein, was zu erheblicher Rechtsunsicherheit führe. Das EP habe sich mit seinen Vorschlägen zur ePrivacy-VO an der entsprechenden RL orientiert und insbesondere sicherstellen wollen, dass es nicht zu einer Absenkung des Schutzniveaus gegenüber der Grundverordnung komme. Das Parlament habe vor allem den Gesichtspunkt der Privacy-by-Default bei den Browser-Voreinstellungen eingeführt und damit die Position der Nutzer gegenüber den Tracking-Strategien der Anbieter stärken wollen. Die Trilog-Verhandlungen würden von der deutschen Abgeordneten Birgit Sippel für das Parlament geführt, nachdem die estnische Berichterstatterin Marija Lauristin ihr Mandat niedergelegt habe. Albrecht drückte die Hoffnung aus, dass es alsbald unter der bulgarischen Präsidentschaft (1. Jahreshälfte 2018) zu einer gemeinsamen generellen Ausrichtung im Rat komme. Trete die ePrivacy-VO nicht – wie von der Kommission vorgeschlagen - zum 25.5.2018 in Kraft, so entstehe gleichwohl kein rechtsfreier Raum, sondern die Grundverordnung gelte auch für elektronische Kommunikation (allerdings ohne die Spezialregelungen der ePrivacy-VO). Albrecht widersprach zudem der These, die ePrivacy-VO würde zu einer Überforderung der Nutzer durch verstärkte Einwilligungserfordernisse beitragen. Schon die Kommission habe für weitgehende Ausnahmen vom Einwilligungserfordernis gesorgt. Gerade die Wirtschaft müsse ein besonderes Interesse an einem baldigen Inkrafttreten der ePrivacy-VO haben, um Wettbewerbsverzerrungen etwa zu Gunsten von Messenger-Diensten wie WhatsApp durch den gegenwärtigen Rechtszustand zu beenden. Sowohl datenschutzfreundliche Messenger-Anbieter wie das Unternehmen Wire als auch die Anbieter der französischen Suchmaschine Qwant hätten sich dezidiert für eine Verabschiedung der ePrivacy-VO ausgesprochen.

 

In der anschließenden lebhaften Diskussion wurden den Referenten zahlreiche auch kritische Fragen gestellt. Sowohl Selmayr als auch Albrecht betonten dabei übereinstimmend die große Bedeutung einer baldigen Verabschiedung der ePrivacy-VO für Nutzer wie auch für die Kommunikationswirtschaft. Selmayr widersprach dem Eindruck, dass die Aufsichtsbehörden in Europa auf Grund ihrer Ausstattung gar nicht in der Lage sein würden, den neuen Rechtsrahmen umzusetzen. Allein in Irland sei die Aufsichtsbehörde mit 50 zusätzlichen Stellen ausgestattet worden. Im künftigen Europäischen Datenschutzausschuss würde eine gewisse „peer pressure“ entstehen, die zur gleichmäßigen und angemessenen Ausstattung aller Aufsichtsbehörden in Europa beitragen könne. Die Pflicht der Mitgliedstaaten, ihre Aufsichtsbehörden angemessen auszustatten, sei zudem einklagbar. Abschließend gab er der Erwartung Ausdruck, dass gerade die Unternehmen der europäischen Kommunikationswirtschaft ihren Aktivitäten künftig von sich aus verstärkt den Slogan „Vorsprung durch Compliance“ statt „Vorsprung durch Rechtsbruch“ zu Grunde legen würden.

 

 

Dr. Alexander Dix ist ehemaliger Berliner Beauftragter für Datenschutz und Informationsfreiheit und Mitglied im Vorstand der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID).

Dr. Dennis-Kenji Kipker ist wissenschaftlicher Geschäftsführer am Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen und Mitglied im Vorstand der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID).



Copyright © Verlag C. H. Beck 1995-2018
Alle Rechte vorbehalten.
Vervielfältigung nur mit Genehmigung des Verlages.