Die ePrivacy-VO in der Diskussion
Prof. Dr. Gerald Spindler
Das europäische Datenschutzrecht ruht auf zwei Säulen: der gerade verabschiedeten, dieses Jahr in Kraft tretenden EU-Datenschutzgrundverordnung (nachfolgend: DSGVO), und (noch) wesentlich weniger beachtet, der ePrivacy-Richtlinie. Dabei hat sich die EU-Kommission zum Ziel gesetzt, auch die ePrivacy-Richtlinie zeitgleich mit der DSGVO noch als neue ePrivacy-VO (COM 2017, 10 final) auf die Zielgerade zu bringen. Doch erweist sich dieses Unterfangen als schwieriger als wohl gedacht. Die neue ePrivacy-VO soll als lex specialis zur DSGVO die besonderen Fragen des Datenschutzes bei elektronischer Kommunikation und deren Übertragung regeln, aber auch andere Formen der Verwertung von Daten erfassen, insbesondere der Metadaten von Kommunikationen, wie etwa Dauer, Ort und Zeit von Kommunikationen, bis hin zu Bewegungsprofilen, die angelegt werden können. Geschützt werden auch Daten, die in den Endgeräten erfasst werden, was schon unter der ePrivacy-Richtlinie für Cookies für Streit gesorgt hatte. Im Gegensatz zur früheren Regelung sollen jetzt technologieneutral alle Kommunikationsdienste erfasst werden, so z. B. auch OTT-Dienste (webbasierte E-Mail etc.) oder Voice-over-IP; die Beschränkung auf bestimmte Telefondienste entfällt. Aber auch die reine machine-to-machine Kommunikation, wie sie gerade für den Austausch von Daten im Rahmen des Internet of Things relevant wird, soll unter die ePrivacy-VO fallen (Erwägungsgrund 12). Die ePrivacy-VO folgt etlichen Grundprinzipien der DSGVO, insbesondere dem Marktortprinzip, so dass auch alle Dienste von Anbietern außerhalb der EU erfasst werden, solange sie Unionsbürger betreffen. Besondere Brisanz für Unternehmen erlangt die ebenfalls der DSGVO nachgebildete Sanktion von Bußgeldern bis zu 4 % des weltweiten Umsatzes, Art. 23. Anders als die DSGVO umfasst der Schutz der ePrivacy-VO aber auch Daten von juristischen Personen. Ferner folgt die ePrivacy-VO dem Ansatz der Freiwilligkeit in der DSGVO hinsichtlich der Einwilligung, Erwägungsgrund 18.
Eine der wesentlichen Streitpunkte zwischen Kommission, Parlament und Ministerrat betrifft die möglichen Rechtfertigungen für die Verarbeitung der unter die ePrivacy-VO fallenden Daten. Schon die Kommission hatte anders als in der DSGVO, die auch gesetzliche Rechtfertigungen einschließlich einer generellen Interessenabwägung zulässt, praktisch ausschließlich die vorherige Einwilligung als Rechtfertigungsgrund mit nur wenigen Ausnahmen angesehen – was naturgemäß die werbetreibende Wirtschaft ebenso wie Internetanbieter auf den Plan rief, die dadurch nicht ohne Weiteres Daten auswerten und weiterverwerten dürfen. Das EU-Parlament auf Empfehlung des Innenausschusses verfolgt dabei eine noch restriktivere Strategie, indem die Rechtfertigung ebenso auf die Einwilligung beschränkt wird, teilweise selbst bei anonymisierten Daten, aber die geschützten Bereiche erweitert werden, z. B. auf den aus der DSGVO bekannten privacy-bydesign bzw. by-default Ansatz, indem der Schutz vor Online-Tracking durch Voreinstellungen zugunsten des Nutzers verbessert werden soll („do not track“). Außerdem sollen sogenannte Tracking-Walls verboten werden, bei denen Websitebetreiber den Zutritt zu ihrer Webseite davon abhängig machen, dass man einer Aufzeichnung des eigenen Verhaltens zustimmt. Ferner soll das sog. Offline-Tracking als Nachverfolgung von Bewegungen mithilfe von WLAN- oder Bluetooth-Signalen erfasst werden und weitgehend nur mit Einverständnis zulässig sein. Außerdem plädiert das Parlament – anders als die Kommission – für eine Pflicht der Anbieter von Kommunikationsdiensten, die Kommunikation ihrer Nutzer nach dem aktuellsten „Stand der Technik“ wie Ende-Zu-Ende-Verschlüsselungen vor unbefugtem Zugriff zu schützen. Gerade hier liegt ein Knackpunkt, da Mitgliedstaaten auch untersagt werden soll, solche Anbieter zu „back-doors“ zum Entschlüsselungszugriff zu veranlassen. In dieselbe Richtung geht das Verlangen nach mehr Transparenz über staatliche Zugriffe: Auch wenn die ePrivacy-VO Ausnahmen zur Strafverfolgung oder aus Gründen der nationalen Sicherheit enthält, will das Parlament (anders als die Kommission) weitreichende Dokumentations- und Transparenzpflichten einführen.
Demgegenüber will der Rat im jüngsten Vorschlag vom 05.12.017 einen Gleichlauf mit der DSGVO erreichen und plädiert für die Einführung von gesetzlichen Rechtfertigungstatbeständen, etwa der Erfüllung von Verträgen oder gesetzlichen Pflichten – allerdings (noch) nicht einer Klausel, die selbst bei überwiegenden Interessen des Datenverarbeiters die Verarbeitung erlaubt. Ebenso soll ohne Einverständnis des Nutzers die Auswertung zu statistischen Zwecken erlaubt sein. Auch die Möglichkeiten des Zugriffs auf Daten bei Endgeräten soll erweitert werden.
Selbst wenn die Kritik aus der Wirtschaft teilweise nachvollziehbar ist, trifft sie doch nicht den Kern: Denn solange Marktwirtschaft sich immer noch aus grundlegenden Vorstellungen von Privatautonomie speist, muss dem jeweiligen Vertragspartner die Möglichkeit der Selbstbestimmung eingeräumt werden. Damit dürfte die EU angesichts der internationalen Anwendbarkeit der Bestimmungen und den vorgesehenen Sanktionen nicht „abgehängt“ werden – vielmehr sieht man an der DSGVO, dass diese zur Blaupause für Diskussionen in anderen Ländern werden kann. Die Wahrheit dürfte daher in der Mitte zwischen den Parlaments- und den Ratsvorschlägen liegen – es bleibt spannend.
Prof. Dr. Gerald Spindler, Göttingen