ePrivacy-VO – Was lange währt, wird endlich gut?
Seit Beginn des Gesetzgebungsverfahrens sorgt die ePrivacy-VO für Furore. Die Entwürfe zur ePrivacy-VO sind zum Teil derart umstritten, dass immer wieder Stimmen laut werden, die bisherigen Entwürfe seien grundsätzlich zu überdenken oder gar das Gesetzgebungsverfahren einzustellen. Auch Parlamentarier beklagen, dass das Verhandeln um die ePrivacy-VO zu einer der massivsten Lobby-Kampagnen geworden sei. Dies mag mitunter einer von vielen Gründen sein, weshalb das Gesetzgebungsverfahren seit den Entwürfen der Kommission vom 10.01.2017 und des Parlaments vom 23.10.2017 ins Stocken geraten ist.
Aktueller Stand des Gesetzgebungsverfahrens
Nachdem längere Zeit kein Fortschritt zu verzeichnen war, veröffentlichte die Working Party Tele unter der Finnischen Ratspräsidentschaft im Oktober 2019 gleich drei Entwürfe zur ePrivacy-VO. Das Gesetzgebungsverfahren hat folglich wieder Fahrt aufgenommen. Damit rückt die ePrivacy-VO immer näher. Nach vorsichtigen Prognosen ist mit einem Inkrafttreten der neuen Verordnung jedoch nicht vor Ende 2020 zu rechnen. Ob es wie bei der DS-GVO eine Übergangsfrist von 24 Monaten geben wird, ist noch unklar. Die Vorschläge im Gesetzgebungsverfahren reichen von 12 bis 24 Monaten. Im Zweifel ist jedoch von einer kürzeren Übergangsfrist auszugehen. Übergangsfristen dienen in erster Linie dazu, den Mitgliedsstaaten einen ausreichenden Zeitraum einzuräumen, um die mitgliedsstaatlichen Regelungsgebote und -spielräume umzusetzen. Doch dieser Spielraum ist nach den Entwürfen der ePrivacy-VO äußerst gering. Im Vergleich zur DS-GVO, die den Mitgliedsstaaten eine Vielzahl an Regelungsgeboten und -spielräumen einräumt, enthalten die Entwürfe zur ePrivacy-VO lediglich 3 Öffnungsklauseln.
Doch auch eine 2-jährige Übergangsfrist vermag die Hürden bei der Umsetzung der neuen Verordnung nicht schmälern. Die Erfahrungen mit der DS-GVO haben gezeigt, dass auch eine Übergangsfrist von zwei Jahren bei weitem nicht ausreicht, um alle Anforderungen zum Stichtag umzusetzen. Umso wichtiger erscheint es, sich frühestmöglich mit den neuen Anforderungen der ePrivacy-Verordnung vertraut zu machen. Auch wenn einige Regelungen kontrovers diskutiert werden, so sind die bereits veröffentlichten Entwürfe derart konkret, dass klare Tendenzen erkennbar sind.
Sinn und Zweck
Die DS-GVO fordert den Gesetzgeber auf, die bisher geltende ePrivacy-RL zu überarbeiten, um Kohärenz mit der DS-GVO zu gewährleisten. Die ePrivacy-VO soll die DS-GVO ergänzen und präzisieren. Die neue Verordnung enthält Vorschriften zum Schutz von Grundrechten und Grundfreiheiten natürlicher und juristischer Personen bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste und regelt insbesondere die Rechte auf Achtung des Privatlebens und der Kommunikation gem. Art. 7 GRCh und den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gem. Art. 8 GRCh.
Voreilig wird die ePrivacy-VO als lex specialis zur DS-GVO bewertet. Dabei wird verkannt, dass die ePrivacy-VO in vielerlei Hinsicht über den Anwendungsbereich der Grundverordnung hinausgeht und einen eigenständigen Regelungsbereich enthält. Dies ergibt sich unter anderem daraus, dass die ePrivacy-VO nicht nur natürliche Person schützt, sondern den Schutzbereich auch auf juristische Personen erweitert. Darüber hinaus ist die ePrivacy-VO nicht nur auf die Anwendung personenbezogener Daten beschränkt, sondern umfasst auch nicht personenbezogene Daten z.B. bei der Maschine-zu-Maschine-Kommunikation.
Viel zu häufig wird die Diskussion um die ePrivacy-VO auf das Einwilligungserfordernis bei der Einbindung von Dritteninhalten beschränkt. Der sachliche Anwendungsbereich der ePrivacy-VO geht weit über den der DS-GVO hinaus, indem sie nicht nur für die Verarbeitung von elektronischen Kommunikationsdaten gilt, sondern auch Regelungen für den Umgang mit Informationen auf Endeinrichtungen enthält.
Kein ausreichender Schutz durch DS-GVO
Zu Beginn des Gesetzgebungsverfahrens führte die EU-Kommission eine Konsultation durch, bei der die beteiligten Akteure u.a. dazu Stellung nehmen sollten, ob es neben der DS-GVO überhaupt noch einer weitergehenden Regelung für den Bereich der elektronischen Kommunikation bedarf. Die Konsultation ergab, dass spezielle Regelungen für den Bereich der elektronischen Kommunikation erforderlich sind. Die Regelungen der DS-GVO seien nicht ausreichend, um die Vertraulichkeit der Kommunikation zu gewährleisten.
Darüber hinaus ergab das Konsultationsverfahren, dass Vorschriften zum Schutz der elektronischen Kommunikation in Form einer Richtlinie ungeeignet sind. Die Gründe dafür liegen nicht nur in einer unzureichenden und teils unterschiedlichen Umsetzung durch die Mitgliedsstaaten. Auch die Vollzugspraxis der zuständigen Aufsichtsbehörden war in der Vergangenheit uneinheitlich. Ein harmonisierter Rechtsrahmen für den Bereich der elektronischen Kommunikation bestand nicht.
Doch der Zweck der neuen Verordnung besteht nicht nur darin, einen einheitlichen Rechtsrahmen und Vollzug für den Bereich der elektronischen Kommunikation sicherzustellen. Die bisher geltenden Regelungen der ePrivacy-Richtlinie werden der rasanten technologischen Entwicklung nicht mehr gerecht. Nicht nur internetbasierte Kommunikationsdienste, so genannte Over-The-Top-Dienste (OTT-Dienste), wie Messenger oder E-Mail sind vom Anwendungsbereich der Richtlinie ausgenommen. Auch weitere neuartige Anwendungsbereiche wie Connected Car oder Internet of Things, insbesondere Smart-Home-Anwendungen, werden vom Anwendungsbereich der ePrivacy-RL bisher nicht erfasst. Dies führt zu gravierenden Schutzlücken für die Anwender, sodass auch vor diesem Hintergrund eine Anpassung der ePrivacy-RL an die technologische Fortentwicklung geboten ist.
Kapitel 1 – Allgemeine Bestimmungen
1. Schutzbereich
Art. 1 der ePrivacy-VO regelt nicht nur den Datenschutz, in dem die Verordnung Regelungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gem. Art. 8 GRCh trifft. Sie enthält auch Vorschriften zum Schutz von Grundrechten und Grundfreiheiten natürlicher und juristischer Personen bei elektronischen Kommunikationsdiensten. Dazu zählt insbesondere das Recht auf Achtung des Privatlebens und die Vertraulichkeit der Kommunikation gem. Art. 7 GRCh.
Bereits an dieser Stelle ist der wesentliche Unterschied zur DS-GVO erkennbar. Die ePrivacy-VO soll die Vertraulichkeit der Kommunikation gewährleisten. Sämtliche Kommunikationspartner müssen darauf vertrauen können, dass Dritte nicht unbefugt Kenntnis vom Inhalt oder den Umständen, dass Dritte der Kommunikation erlangen.
Die Bedeutung des in Art. 7 GRCh verankerten Grundrechts ergibt sich insbesondere bei der Betrachtung konkreter Einzelfälle. Geschäftsgeheimnisse eines Unternehmens, die Recherche eines investigativen Journalismusverbands oder ein Telefonat zwischen einem Mandanten und einem Rechtsanwalt sind nur wenige Beispiele, bei denen offensichtlich ist, dass der persönliche Schutzbereich der Vertraulichkeit der Kommunikation nicht nur natürliche Personen umfasst, sondern auch juristische Personen. Die genannten Beispiele verdeutlichen zugleich, dass die Vertraulichkeit der Kommunikation unabdingbar für die Wahrung anderer Grundrechte ist. Weder Grundrechte wie die unternehmerische Freiheit gem. 16 GRCh noch die Freiheit der Meinungsäußerung und Informationsfreiheit gem. Art. 11 GRCh können umfassend gewahrt werden, wenn die Grundrechtsträger nicht darauf vertrauen können, dass die Inhalte und Umstände ihrer Kommunikation Dritten verborgen bleiben.
2. Räumlicher Anwendungsbereich
Der räumliche Anwendungsbereich entspricht dem der DSGVO. Auch der ePrivacy-VO liegt das Marktortprinzip zugrunde. Der räumliche Anwendungsbereich ist eröffnet, wenn der Anbieter elektronischer Kommunikationsdienste innerhalb der EU niedergelassen ist oder sich der elektronische Kommunikationsdienst an einen Endnutzer in die Union richtet.
Dies hat in der Praxis weitreichende Konsequenzen. Internetbasierte Kommunikationsdienst wie z.B. Messenger oder E-Mail sind in der privaten wie auch geschäftlichen Kommunikation nicht mehr wegzudenken, weil Nutzer zu geringen Kosten oder sogar kostenlos auf der ganzen Welt miteinander verbunden sind.
Das Marktortprinzip der neuen Verordnung führt dazu, dass die Anforderungen der ePrivacy-VO von nahezu jedem Betreiber von Kommunikationsdiensten weltweit zu beachten sind. Für die Anwendbarkeit genügt es bereits, dass nur ein Kommunikationsteilnehmer innerhalb der EU einen Messenger verwendet, um beispielsweise mit einem Nutzer in Asien oder Afrika Nachrichten zu senden. Im Ausland beliebte Messenger wie Viper, Kakao Talk oder WeChat unterliegen somit künftig den Anforderungen der ePrivacy-VO.
Dies erscheint durchaus ein erstrebenswertes Ergebnis zu sein, um zu verhindern, dass Schutzlücken bei der elektronischen Kommunikation bestehen. Die Kehrseite dieses überbordenden Anwendungsbereichs wird in erster Linie Defizite im Vollzug sein. Zwar erklärt die ePrivacy-VO die Regelungen zur Zusammenarbeit und Kohärenz der DS-GVO für anwendbar. Dies hilft jedoch nicht über den Vollzug bei Staaten außerhalb der EU hinweg. Bereits die förmliche Zustellung eines Beschlusses in einen Drittstaat dauert in der Regel mehrere Monate. In Drittstaaten ohne Vollzugsabkommen mit der EU oder einzelnen Mitgliedsstaaten scheint die Durchsetzung der ePrivacy-VO nahezu aussichtslos.
Diese Problematik ist jedoch nicht spezifisch für die ePrivacy-VO. Dieselben Schwierigkeiten ergeben sich schon heute beim Vollzug der DS-GVO.
3. Definitionen
Die ePrivacy-VO enthält in den Entwürfen lediglich 43 Erwägungsgründe und 29 Artikel. Damit ist sie im Gegensatz zur DS-GVO im Hinblick auf den Umfang eine überschaubare Verordnung. Der geringe Umfang der ePrivacy-VO ist zugleich auch eine ihrer Schwächen. Die neue Verordnung enthält nur wenige Definitionen und verweist im Wesentlichen auf die Begriffsbestimmungen der DS-GVO sowie auf den Kodex für die elektronische Kommunikation. Dies führt dazu, dass die Verordnung aus sich heraus schwerfällig zu lesen ist.
Kapitel 2 – Schutz der elektronischen Kommunikation
Das Kapitel 2 enthält die Kernvorschriften der neuen Verordnung. Um die besondere Bedeutung der Vertraulichkeit der Kommunikation zu betonen, greift Art. 5 ePrivacy-VO (E) den Grundsatz auf und verbietet jede Art von Eingriffen in die elektronische Kommunikation wie z.B. das Mithören, Abhören, Speichern oder jede andere Art des Abfangens oder Überwachens der Kommunikation. Dies gilt nicht nur für die Verarbeitung von Kommunikationsdaten, sondern auch für Daten, die sich auf Endeinrichtungen beziehen oder in ihnen verarbeitet werden. Damit erweitert die ePrivacy-VO den Schutzbereich erneut, indem auch Daten, die sich im Herrschaftsbereich des Nutzers befinden, geschützt werden. Daraus folgt, dass nicht nur der Verarbeitungsvorgang, sondern auch die Integrität des Endgeräts geschützt wird.
1. Rechtmäßige Verarbeitung elektronischer Kommunikationsdaten
Die Verarbeitung von elektronischen Kommunikationsdaten ist in Art. 6 ePrivacy-VO (E) geregelt. Die Vorschrift richtet sich nur an Betreiber von Kommunikationsdiensten. Wer keine Kommunikationsdienste anbietet, kann sich nicht auf die Rechtsgrundlagen des Art. 6 berufen, mit der Folge, dass jede Verbreitung von Kommunikationsdaten verboten ist.
Die Vorschrift zur rechtmäßigen Verarbeitung umfasst nur Kommunikationsdaten. Darunter fallen sowohl Kommunikationsinhalts- als auch Metadaten. Zu den Metadaten gehören alle Daten, die für die Diensterbringung notwendig sind und Rückschluss auf die Umstände der Kommunikation erlauben, wie z.B. angerufene Nummern, besuchte Websites, der geografische Standort, Uhrzeit, Datum und Dauer eines von einer Person getätigten Anrufs. Nach dem Willen des Gesetzgebers sind Metadaten ebenso schützenswert wie die Inhalte der Kommunikation, da sich aus den Metadaten präzise Schlussfolgerungen über das Privatleben der Kommunikationspartner ziehen lassen, z.B. in Bezug auf ihre sozialen Beziehungen, Gewohnheiten und Lebensalltag oder Interessen.
Aufgrund des hohen Schutzbedarfs der Kommunikationsdaten ist eine Verarbeitung nur unter engen Voraussetzungen zulässig. So ist die Verarbeitung im Wesentlichen nur rechtmäßig, wenn dies zur Diensterbringung, Abrechnung, Betrugsprävention oder aus Gründen der Datensicherheit erforderlich ist oder eine Einwilligung vorliegt. Eine Verarbeitung aufgrund berechtigter Interessen ist nicht vorgesehen.
Für die Anforderungen der Einwilligung verweist die ePrivacy-VO auf die Vorschriften der DS-GVO. Die ohnehin schon großen Hürden bei der Einholung einer wirksamen Einwilligung werden bei der Verarbeitung von Kommunikationsinhaltsdaten noch weiter erhöht. Für den Fall, dass keine Rechtgrundlage in Betracht kommt und der Betreiber Kommunikationsinhaltsdaten verarbeiten will, bedarf es der Einwilligung aller Kommunikationsteilnehmer.
Dies dürfte in der Praxis nur dann keine besonderen Schwierigkeiten verursachen, wenn beispielsweise der Betreiber einen Messenger-Dienst als App anbietet und eine Kommunikation unter den Nutzern nur über diese App möglich ist.
Anders hingegen wären Fälle bei unterschiedlichen Webmaildiensten zu beurteilen. Will der Betreiber des Webmaildienstes Inhaltsdaten aufgrund einer Einwilligung verarbeiten, gelingt es ihm zwar ohne weiteres, eine Einwilligung bei dem Nutzer einzuholen, der bei ihm ein Webmailkonto z.B. bei Gmail führt. Die Kommunikationspartner des Nutzers, die nicht zugleich auch Nutzer desselben Webmaildienstes sind, weil sie z.B. ein E-Mail-Konto bei T-Online führen, können nicht ohne weiteres eine Einwilligung erteilen. Auch diese Konstellation zeigt, dass die Umsetzung der ePrivacy-VO keinesfalls leicht gelingen dürfte.
Soweit die ePrivacy-VO spezielle Regelungen für die Verarbeitung von personenbezogenen Daten, insbesondere von Kommunikationsdaten, enthält, genießt sie als lex specialis Anwendungsvorrang gegenüber der DS-GVO. Ein Rückgriff auf die allgemeinen Rechtsgrundlagen gem. Art. 6 DS-GVO, insbesondere der Interessenabwägung gem. Art. 6 Abs. 1 lit. f) DS-GVO, bleibt verwehrt.
2. Speicherung und Löschung
Nach den Vorschriften zum rechtmäßigen Umgang mit Kommunikationsdaten enthält die ePrivacy-VO konkrete Regelungen zur Speicherung und Löschung elektronischer Kommunikationsdaten. Nach Art. 7 der Entwürfe ist der Betreiber eines elektronischen Kommunikationsdienstes verpflichtet, die Kommunikationsdaten zu löschen oder zu anonymisieren, sobald die Daten für die Bereitstellung des Dienstes nicht mehr benötigt werden.
Wie auch die DS-GVO enthält die ePrivacy-VO keine Definition zum Begriff der Anonymisierung. Eine Begriffsdefinition wäre jedoch zur Klarstellung und Bestimmtheit der Anforderungen erforderlich. Im Zusammenhang mit der Verarbeitung von elektronischen Kommunikationsdaten unterliegen einige Betreiber und Verantwortliche nach wie vor dem Irrglauben, dass das Entfernen von Klardaten oder eindeutigen Meinungen des Nutzers in jedem Fall zu einer Anonymisierung des Datensatzes führe.
Das Entfernen von Klardaten, aber auch die Kürzung der IP-Adresse oder der Mac-Adresse, führen nicht zu einer Anonymisierung des kompletten Datensatzes. Zwar könne isoliert betrachtet ein einzelnes Datum durch Kürzung oder Anwendung eines Hash-Verfahrens unter bestimmten Voraussetzungen derart verändert werden, dass der Nutzer nur unter unverhältnismäßigen Aufwand identifiziert werden kann. Bei der Beurteilung, ob personenbezogene Daten anonymisiert wurden und somit aus dem Anwendungsbereich der DS-GVO und ePrivacy-VO fallen, genügt nicht die isolierte Betrachtung eines Datums. Ein Datensatz besteht nicht nur aus einer IP-Adresse oder der MAC-Adresse, sondern in der Regel aus einer Vielzahl von Nutzungsdaten.
Enthält ein Datensatz weitere eindeutige Kennungen, so genügt es nicht, ein einzelnes Datum zu anonymisieren. Entscheidend ist, ob der gesamte Datensatz anonym ist.
3. Opt-In oder Opt-Out
Neben den restriktiven Vorschriften zur Verarbeitung von Kommunikationsdaten gehört Art. 8 zu den umstrittensten Regelungen der neuen Verordnung.
Hiernach ist grundsätzlich jede Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, untersagt. Welche Ausnahmen von diesem Grundsatz gelten werden, ist derzeit noch nicht absehbar.
Der Entwurf der Kommission sah vor, dass Informationen auf Endeinrichtungen lediglich verarbeitet werden dürfen, wenn dies zur Durchführung eines elektronischen Kommunikationsvorgangs oder zur Bereitstellung eines Dienstes der Informationsgesellschaft nötig ist, der Nutzer seine Einwilligung erteilt hat oder dies zur Reichweitenmessung erforderlich ist. Der Entwurf des Parlaments griff diese restriktiven Regelungen auf und konkretisierte die Bedingungen für eine rechtmäßige Reichweitenmessung. Demnach ist eine Reichweitenmessung ausschließlich eine statistische Analyse, die nur vom Betreiber selbst oder einer unabhängigen Webanalyseagentur durchgeführt werden darf. Dabei ist sicherzustellen, dass die Daten nur in aggregierter Form verarbeitet werden und Dritte keinen Zugang zu den Daten haben. Jede weitergehende Verarbeitung, die nicht den abschließend genannten Zwecken dient, bedarf einer Einwilligung.
Auch die Entwürfe der WP Tele führen die strenge Einwilligungslösung fort.
Die praktischen Folgen dieser Opt-In-basierten Lösung sind weitreichend. Nahezu jede Form der individualisierten oder zielgruppenorientierten Werbung bei Online-Angeboten wäre in der heutigen Form kaum denkbar. Dies hat unmittelbare Auswirkungen auf Werbenetzwerken aber auch Werbetreibende, deren Geschäftsmodelle ganz oder überwiegend von der Werbefinanzierung abhängen.
Sinn und Zweck der Einwilligungslösung ist es, dem Nutzer die Entscheidungsbefugnis über sein Nutzungsverhalten zurückzugeben. Der Nutzer soll frei entscheiden können, ob und wenn ja, in welcher Form er für welche Zwecke bei der Verwendung von Apps, Websites, Messenger und sonstigen web-basierten Angeboten verfolgt wird.
Der Gesetzgeber wählt offensichtlich den Weg des Opt-In und verlangt bei einer Vielzahl von Datenverarbeitungen im Web die Einwilligung des Nutzers. Unbestritten ist, dass die derzeitige Praxis der „Cookie-Banner“, intransparenten Datenverarbeitung und aggressiven Erstellung von Nutzungsprofilen eine enorme Beeinträchtigung der Nutzer darstellt.
Der Nutzer hat unter den derzeit praktizierten Verfahren weder eine reale Chance, den weitreichenden Umfang des dienst- oder geräteübergreifenden Tracking zu erfassen, noch hat er eine Chance, sich der Verarbeitung zu entziehen. Dennoch ist fraglich, ob die ePrivacy-VO diesen Umstand mit den Mitteln einer harten Opt-In-Lösung zugunsten des Nutzers verbessern wird.
Unabhängig davon, wie die endgültige Fassung des Art. 8 ePrivacy-VO formuliert sein wird, kann der Konflikt zwischen den Interessen und Bedürfnissen des Nutzers auf der einen Seite und denen der Verantwortlichen und Betreibers auf der anderen Seite nicht aufgelöst werden.
Der Nutzer ist es gewohnt, kostenlose Inhalte im Web zu konsumieren, ohne auf Benutzerfreundlichkeit zu verzichten. Die permanente Abfrage einer Einwilligung oder der Einsatz von Tracking-Walls laufen diesen Interessen zuwider. Auch der Betreiber wird in der Regel aus wirtschaftlichen Gesichtspunkten nicht auf Tracking-Tools oder die Einbindung sonstiger Drittanbieter verzichten. Dies gilt unabhängig davon, ob das Recht ein Opt-In oder Opt-Out vorsieht.
4. Einwilligung über Browsereinstellungen
Um dennoch ansatzweise einen Ausgleich zwischen den Interessen der Nutzer und denen der Betreiber zu erzielen, sah der Vorschlag des Parlaments in Art. 10 vor, dass der Nutzer seine Einwilligung einmalig für die gesamte Nutzung über seine Privatsphäre-Einstellungen geben könne. Diese Regelung wurde jedoch in den Entwürfen des Rats ersatzlos gestrichen.
Dabei wäre eine Lösung über die Einstellungen des Browsers oder über das Betriebssystem für beide Seiten vorteilhaft gewesen. Der Nutzer würde aus seiner „Klick-Routine“ befreit und könnte einmalig entscheiden, ob und wenn ja, für welche Zwecke er ein Tracking zulässt. Der Betreiber hingegen könnte auf „Cookie-Banner“ verzichten, die den Nutzer überfrachten und teils ohnehin leerlaufen, weil Datenverarbeitungen stattfinden, bevor der Nutzer eine freie Entscheidung treffen konnte.
Doch genau an dieser Stelle zeigt sich, welche Interessenkonflikte in der digitalen Welt bestehen. Softwareanbieter, die über Nutzereinstellungen eine wirksame Einwilligung für einen anderen Betreiber einholen, profitieren in keiner Weise davon. Es fehlt ein Anreiz, um diese Regelungen durchzusetzen. Auch offenbart ein Blick über den Tellerrand des Datenschutzes hinaus, dass es im Kern der Diskussion um kartellrechtliche Fragestellungen geht, die mit den Mitteln des Datenschutzes nur bedingt zu lösen sind.
Solange es einige wenige Unternehmen gibt, die sowohl ein eigenes Werbenetzwerk betreiben als auch Betreiber einer Suchmaschine sind, zugleich aber auch Anbieter eines Browsers und Betriebssystemhersteller, wird es in absehbarer Zeit kein Marktgleichgewicht geben. Wer das Internet beherrscht, sei es durch die Bereitstellung von Inhalten oder das Betreiben von Cloud-Computing-Services, entscheidet auch über die Spielregeln des Marktes.
5. Regelungen zum Beschäftigtendatenschutz
Eine weitere Besonderheit der ePrivacy-VO sind Vorschriften für besondere Verarbeitungssituationen. So enthält der Entwurf des Parlaments eine Vorschrift zum Beschäftigtendatenschutz. Hiernach darf der Arbeitgeber Informationen auf Endeinrichtungen der Arbeitnehmer verarbeiten, wenn dies zur Erfüllung der arbeitsrechtlichen Pflichten des Arbeitnehmers erforderlich ist und keine Überwachung des Arbeitnehmers erfolgt. Würde diese Regelung verbindliches Recht werden, wäre die Rechtsprechung in Bezug auf die Stellung des Arbeitgebers als TK-Anbieter endgültig überholt.
6. Offline-Tracking
Darüber hinaus enthält die ePrivacy-VO eine Regelung zum Offline-Tracking. Beim Offline-Tracking können Standorte, Laufwege, Verweildauer und weitere Informationen über Besucher im Einzelhandel, in Fußgängerzonen oder auf Veranstaltungsgeländen erfasst werden. Dies gelingt über unterschiedliche Tracking-Technologien wie z.B. das Wifi- oder Bluetooth-Tracking, bei dem Signale des mobilen Endgeräts eines Besuchers verarbeitet werden.
In vielen Einsatzszenarien wird weder über die Datenverarbeitung informiert, noch erfolgt das Offline-Tracking aufgrund einer Rechtsgrundlage oder einer Einwilligung. Diesen Missstand erkannte der Gesetzgeber und formulierte Anforderungen für ein rechtmäßiges Offline-Tracking. Hiernach ist das Offline-Tracking nur zulässig, wenn der Besucher hinreichend informiert wird und das Tracking ausschließlich zum Zweck einer statistischen Zählung erfolgt.
Kapitel 3 – Kontrolle über die elektronische Kommunikation
Das 3. Kapitel der ePrivacy-VO enthält Regelungen, die im Wesentlichen nur für Betreiber von klassischen Telekommunikationsdiensten relevant sind. Darunter fallen Vorschriften zur Anzeige der Rufnummer des Anrufers, die Rufnummernunterdrückung, die Sperrung eingehender Anrufe oder öffentlich zugängliche Verzeichnisse wie z.B. das Telefonbuch oder die Gelben Seiten in Deutschland.
1. Direktwerbung
Von besonderer Relevanz ist die Vorschrift zur unerbetenen Kommunikation. Art. 16 der Entwürfe regelt Telefonanrufe und die Nutzung elektronischer Kommunikationsdienste für Werbezwecke.
Nach den Entwürfen ist Direktwerbung über elektronische Nachrichten nur nach vorheriger Einwilligung des Nutzers zulässig. Dies gilt sowohl für natürliche als auch juristische Personen. Einer Einwilligung bedarf es nicht, wenn nur für eigene Produkte oder Dienstleistungen geworben wird, die Kontaktdaten im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung erhalten wurden und der Kunde der Nutzung seiner Daten für Werbezwecke nicht widersprochen hat, obwohl er zuvor auf sein Widerspruchsrecht hingewiesen wurde.
Im Hinblick auf Direktwerbeanrufe sehen die Entwürfe zur ePrivacy-VO eine Öffnungsklausel für die Mitgliedsstaaten vor. Im Falle von Direktwerbeanrufen können die Mitgliedsstaaten Abweichungen vom Einwilligungserfordernis vorsehen. Demnach wären Direktwerbeanrufe bei Nutzern zulässig, die dem Erhalt solcher Kommunikation nicht widersprochen haben. Die Mitgliedsstaaten müssen sicherstellen, dass der Nutzer die Möglichkeit hat, über eine Robinson-Liste Direktwerbeanrufen zu widersprechen. Über eine einheitliche Widerspruchsliste soll gewährleistet werden, dass der Nutzer nur ein einziges Mal sein Widerspruchsrecht ausüben muss.
Diese Regelung steht im Widerspruch zur bisherigen Praxis in Deutschland, nach der für Direktwerbeanrufe bei Verbrauchern und sonstigen Marktteilnehmern gem. Art. 7 Abs. 2 Nr. 2 UWG die Einwilligung erforderlich ist.
Die vorgeschlagenen Regelungen der ePrivacy-VO zum Direktmarketing entsprechen im Wesentlichen Art. 13 ePrivacy-RL.
Neu ist, dass die Vorschriften zur Direktwerbung nicht nur auf elektronische Post, d.h. E-Mails, beschränkt sind, sondern jede Form von Nachrichten erfassen, die über elektronische Kommunikationsmittel verschickt werden. Dazu gehören auch Nachrichten über Messenger oder Push-Nachrichten in Apps.
2. Informationspflicht bei Sicherheitsrisiken
Die Entwürfe zur ePrivacy-VO enthalten auch eine zusätzliche Informationspflicht gem. Art. 17 ePrivacy-VO (E) über anerkannte Sicherheitsrisiken, die für Betreiber von elektronischen Kommunikationsdiensten gilt. Hiernach ist der Betreiber von elektronischen Kommunikationsdiensten verpflichtet, den Nutzer über Sicherheitsrisiken zu informieren.
Diese Informationspflicht geht über die allgemeinen Hinweise zur Verarbeitung von Daten gemäß Art. 12 ff. DS-GVO hinaus und soll die Nutzer beispielsweise im Falle von Angriffswellen wie bei der Schadsoftware Emotet warnen und den Nutzern Hinweise zum Selbstschutz geben.
Diese spezielle Informationspflicht ist vor dem Hintergrund der zunehmenden Bedrohungslage bei elektronischen Kommunikationsdiensten durchaus gerechtfertigt. Unklar bleibt jedoch für den Rechtsanwender das Verhältnis zu den weiteren Transparenzanforderungen, insbesondere den Melde- und Benachrichtigungspflichten gemäß Art. 33, 34 DS-GVO. Art. 17 ePrivacy-VO (E) enthält weder Mindestanforderungen zum Inhalt der Informationspflicht noch eine konkrete Frist, innerhalb derer die Information zu erteilen ist. Auch eine Definition des Begriffs Sicherheitsrisiko fehlt, sodass der Betreiber elektronischer Kommunikationsdienste aufgrund der unbestimmten Norm seiner Verpflichtung nur schwer nachkommen dürfte. Damit läuft die Vorschrift in der Praxis leer. Diese Problematik wurde im Arbeitsentwurf der WP Tele erkannt, mit der Folge, dass die Informationspflicht bei Sicherheitsrisiken ersatzlos gestrichen wurde.
Kapitel 4 – Aufsichtsbehörden
Kapitel 4 regelt die unabhängigen Aufsichtsbehörden und die Durchsetzung der Regelungen. Für die Überwachung und Durchsetzung der ePrivacy-VO sollen die unabhängigen Aufsichtsbehörden zuständig sein, die auch für den Vollzug der DS-GVO zuständig sind. Um eine einheitliche Rechtsanwendung und einen einheitlichen Vollzug zu gewährleisten, sollen die Aufsichtsbehörden zusammenarbeiten. Darüber hinaus findet das Kohärenz-Verfahren der DS-GVO Anwendung.
Auf den ersten Blick erscheint es folgerichtig, die Regelungen der DS-GVO zur Zusammenarbeit und Kohärenz der Aufsichtsbehörden entsprechend anzuwenden. Bei näherer Betrachtung wird jedoch deutlich, dass Konflikte im Vollzug unausweichlich sind.
Dies gilt beispielsweise in Mitgliedstaaten mit föderalen Strukturen und sektoralen Aufsichtsbehörden wie Deutschland. Neben der Vielzahl an Datenschutzaufsichtsbehörden des Bundes und der Länder zählen auch die spezifischen Aufsichtsbehörden u.a. für den Rundfunk und die Kirchen zu den zuständigen Aufsichtsbehörden nach der ePrivacy-VO. Im Bereich der elektronischen Kommunikation wäre darüber hinaus auch die Bundesnetzagentur als Aufsichtsbehörde im Sinne der ePrivacy-Verordnung zuständig.
Der nationale Gesetzgeber wäre erneut verpflichtet, umfassende Zuständigkeitsbestimmungen im nationalen Recht zu schaffen, um sicherzustellen, dass bei der Vielzahl der Aufsichtsbehörden Zuständigkeitskonflikte vermieden werden und die Handlungsfähigkeit der Behörden gewährleistet ist. Insbesondere bedarf es einer geänderten Vorschrift zur sachlichen Zuständigkeit des BfDI.
1. Zuständige Behörden innerhalb Deutschlands
Grundsätzlich sind die Landesaufsichtsbehörden gem. Art. 83 f. GG für den Vollzug der ePrivacy-VO zuständig. Für den Bereich der Telekommunikation wurde der Vollzug gem. § 115 Abs. 4 TKG bisher dem BfDI übertragen. Diese Zuständigkeitsregelung des BfDI dürfte für den Vollzug der ePrivacy-VO nicht ohne weiteres übertragbar sein. Schon heute ergeben sich Zuständigkeitskonflikte beim Vollzug der DS-GVO, der ePrivacy-RL und dem TKG in Bezug auf OTT-Dienste.
Zuletzt hatte die Entscheidung des EuGH in Sachen Gmail Auswirkungen auf die Zuständigkeit der deutschen Aufsichtsbehörden. Der EuGH äußerte sich in Sachen Gmail zu der Frage, ob es sich bei Webmaildiensten um Telekommunikationsdienste i.S.d. TKG handelt, und verneinte diese Frage.
Dies hat zur Folge, dass – mangels Anwendbarkeit des TKG – die Zuständigkeitsregel des § 115 Abs. 4 TKG nicht greift und es bei dem Grundsatz verbleibt, dass die Datenschutzaufsichtsbehörden der Länder für den Vollzug zuständig sind. Der EuGH führte in seiner Entscheidung aus, dass der von Gmail erbrachte Dienst „nicht ganz oder ganz überwiegend in der Übertragung von Signalen über elektronische Kommunikationsnetze besteht“. Diese Erwägungen sind auch auf andere OTT-Dienste, wie z.B. Messenger, übertragbar, da sie auf technischer Ebene der Funktionsweise von Webmaildiensten entsprechen. Daraus ergibt sich bereits nach geltendem Recht die Zuständigkeit der Datenschutzaufsichtsbehörden der Länder. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) beurteilte dies anders und kam zu dem Ergebnis, dass Messenger auch nach der Entscheidung des EuGH als Telekommunikationsdienste i.S.d. TKG angesehen werden können. Dies hat zur Folge, dass der BfDI für Messenger-Dienste weiterhin zuständig ist (§ 115 Abs. 4 TKG).
Zusammenfassend ergibt sich bereits nach heutiger Rechtslage die Notwendigkeit, das komplexe Zuständigkeitsgefüge der nationalen Aufsichtsbehörden innerhalb Deutschlands anzupassen.
2. Unabhängige Aufsichtsbehörden
Wie auch die DS-GVO hebt die ePrivacy-VO die unabhängige Stellung der Aufsichtsbehörden hervor. Die Unabhängigkeit ist nur gewährleistet, wenn die Aufsichtsbehörden gem. Art. 52 Abs. 2 DS-GVO völlig weisungsfrei handeln können. Nur eine völlige Weisungsfreiheit garantiert, dass die Aufsichtsbehörden ihre Befugnisse ohne direkte oder indirekte Beeinflussung wahrnehmen können.
Die Unabhängigkeit dürfte jedenfalls im Hinblick auf die Bundesnetzagentur zu überprüfen sein. Sowohl das Bundesministerium für Wirtschaft und Energie als auch das Bundesministerium für Verkehr und digitale Infrastruktur können der Bundesnetzagentur Weisungen erteilen (§ 117 TKG). Darüber hinaus unterliegt die Bundesnetzagentur der parlamentarischen Kontrolle. Das Gesetz über die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen sieht in § 5 vor, dass ein Beirat einzuberufen ist. Der Beirat besteht aus jeweils 16 Mitgliedern des Deutschen Bundestages und 16 Vertretern oder Vertreterinnen des Bundesrates und wirkt gem. § 120 TKG an Entscheidungen der Bundesnetzagentur mit.
Es bleibt abzuwarten, wie der nationale Gesetzgeber die Zuständigkeit künftig regeln und die Unabhängigkeit der Aufsichtsbehörden sicherstellen wird.
Kapitel 5 – Rechtsbehelfe, Haftung und Sanktionen
Um einen Einklang mit der DS-GVO zu gewährleisten, verweist die ePrivacy-VO vollständig auf die Vorschriften des 8. Kapitels der DS-GVO zu Rechtsbehelfen, Haftung und Sanktionen. Demnach stehen jedem Endnutzer sowie jeder Einrichtung oder Organisation unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs die Rechte gemäß Art. 77 ff. DS-GVO zu. Der Endnutzer hat das Recht, bei einer Aufsichtsbehörde eine Beschwerde einzureichen. Befasst sich die Aufsichtsbehörde nicht mit der Beschwerde oder informiert sie den Beschwerdeführer nicht innerhalb von drei Monaten über den Stand der Bearbeitung der Beschwerde, so unterliegt dies einer gerichtlichen Überprüfung.
1. Interessenskollision im Vollzug
Das Beschwerderecht kann im Einzelfall zu Interessenskollisionen bei den Aufsichtsbehörden führen, was anhand des folgenden Beispiels verdeutlicht wird:
Ein Unternehmen bietet für die Kontaktaufnahme mit Kunden die Kommunikation über einen Messenger-Dienst an. Der verwendete Messenger-Dienst nutzt die Kommunikationsdaten u.a. für Werbezwecke und behält sich vor, die Daten auch an Dritte weiterzuleiten. Für diese Verarbeitungstätigkeiten liegt weder eine Rechtsgrundlage noch eine wirksame Einwilligung aller Kommunikationsteilnehmer vor. Dennoch entscheidet sich das Unternehmen bewusst dafür, den Messenger-Dienst wegen seiner hohen Verbreitung weiter zu nutzen.
Die Kunden des Unternehmens sind nicht nur Nutzer des Messenger-Dienstes und unterliegen somit dem Schutzbereich der ePrivacy-VO, sondern sie sind auch Betroffene nach der DS-GVO. Das Unternehmen fällt ebenfalls in den Schutzbereich der ePrivacy-VO und kann sein Beschwerderecht wegen unzulässiger Verarbeitung der Kommunikationsdaten gegenüber den Aufsichtsbehörden geltend machen.
Andererseits ist das Unternehmen auch Verantwortlicher im Sinne der DS-GVO in Bezug auf die verwendeten Kommunikationsmittel. Der Unternehmer muss sicherstellen, dass seine Kommunikation mit den Betroffenen den Vorschriften der DS-GVO und der ePrivacy-VO entspricht.
Bei einem vergleichbaren Fall kam die zuständige Aufsichtsbehörde zu dem Ergebnis, dass ein Unternehmen gegen die DS-GVO verstößt, wenn es einen rechtswidrigen Messenger-Dienst verwendet.
In dem Fallbeispiel ist der Unternehmer einerseits Verantwortlicher nach der DS-GVO und Adressat der datenschutzrechtlichen Vorgaben, deren Verstoß sanktioniert werden kann. Zugleich ist der Verantwortliche durch die ePrivacy-VO geschützter Kommunikationsteilnehmer. Wie dieser Konflikt in der aufsichtlichen Vollzugspraxis aufgelöst werden kann, bleibt abzuwarten.
2. Aufgaben und Befugnisse
Wie auch die DS-GVO regelt die ePrivacy-VO, dass der Europäische Datenschutzausschuss, bestehend aus Vertretern der Aufsichtsbehörden eines jeden Mitgliedstaates, für die einheitliche Anwendung der ePrivacy-VO zuständig ist. Der Europäische Datenschutzausschuss soll Leitlinien entwickeln und verbindliche Beschlüsse erlassen, um widersprüchliche Standpunkte zwischen mehreren zuständigen Aufsichtsbehörden zu klären.
Für die Durchsetzung der ePrivacy-VO stehen den Aufsichtsbehörden die gleichen Befugnisse wie bei der DS-GVO zu. Auch der Bußgeldrahmen entspricht dem der DS-GVO, sodass bei einem Verstoß eine Geldbuße von bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4 % des weltweit erzielten Jahresumsatzes verhängt werden kann.
Fazit
Dass ein weiterer Rechtsrahmen neben der DS-GVO erforderlich ist, um einen umfassenden Schutz bei digitalen Diensten zu gewährleisten, ist unbestritten. Die große Herausforderung besteht darin, ein Gesetz zu schaffen, das flexibel genug ist, um den technologischen Fortschritt zu begleiten, aber nicht so starr, dass es digitale Entwicklungen behindert oder unmöglich macht.
Die bisherigen Entwürfe zur ePrivacy-VO scheinen diese Herausforderung nicht vollständig zu meistern. Es fehlt an klaren Definitionen sowie an Vorschriften, die eindeutig das Verhältnis zum europäischen und nationalen Recht regeln. Viele Fragen bleiben offen: Wenn der Anwendungsbereich für juristische Personen eröffnet ist, müssen dann auch Betroffenenrechte gewährleistet werden? Gelten die Anforderungen der DS-GVO zu gemeinsam Verantwortlichen und Auftragsverarbeitern?
Insgesamt wirft die ePrivacy-VO noch viele rechtliche und praktische Fragen auf, insbesondere im Hinblick auf den digitalen Wettbewerb, die Nutzung von Big Data und neuen Technologien wie künstlicher Intelligenz. Solange diese Punkte nicht geklärt sind, bleibt ungewiss, ob die ePrivacy-VO wirklich zukunftssicher und anwendbar ist.