von Jan Spittka und Verena Grentzenberg
Nachdem der EU-Gesetzgeber bereits die allgemeine Datenschutzrichtlinie (Richtlinie 95/46/EG) durch die Datenschutz-Grundverordnung (DS-GVO) ersetzt hat, welche ab dem 25. Mai 2018 gelten wird, soll nunmehr auch die Datenschutzrichtlinie für elektronische Kommunikation oder ePrivacy-Richtlinie (Richtlinie 2002/58/EG in der Fassung durch Richtlinie 2009/136/EG) reformiert werden. Wie bereits bei der DS-GVO wählt der EU-Gesetzgeber hierfür das Instrument einer unmittelbar in allen Mitgliedsstaaten geltenden Verordnung (ePrivacy-VO). Auch wenn der Gesetzgebungsprozess gerade erst begonnen hat, zeichnet sich bereits ab, dass die ePrivacy-VO ähnlich gravierende Änderungen wie die DS-GVO bringen wird.
English Summary
After the EU legislator has replaced the general Data Protection Directive (Directive 95/46/EC) by the General Data Protection Regulation (GDPR) which will become enforceable on 25 Mai 2018, the Directive on Privacy and Electronic Communications or ePrivacy Directive (Directive 2002/58/EC as modified by Directive 2009/136/EC) shall be reformed as well. As previously done for the GDPR, the EU legislator’s instrument of choice is a Regulation (ePrivacy Regulation) which is directly enforceable in all member states. Although the legislative process has only started, it becomes apparent that the ePrivacy Regulation will bring similar significant changes as the GDPR.
Anwendungsbereich
Eine wichtige Neuerung ist die Anwendbarkeit. Wie die DS-GVO soll auch die ePrivacy-VO einen extraterritorialen Effekt haben. Entscheidend soll die Nutzung und das Anbieten von Kommunikationsdiensten in der EU sein, unabhängig davon, ob die eigentliche Datenverarbeitung außerhalb der EU stattfindet. Dadurch wird den Anbietern die Möglichkeit genommen, durch Outsourcing das EU-Datenschutzrecht zu umgehen. Ausreichend ist darüber hinaus, dass die Dienste von Drittstaaten aus angeboten werden, solange sie an Endkunden in der EU gerichtet werden. Neuerungen sind die Ausweitung auf sog. Over-the-Top-Diensten (OTTs) (z.B. Messenger) und auf den für das Internet-of-Things (IoT) wesentlichen Datentransfer zwischen Maschinen (M2M-Kommunikation). Die ePrivacy-VO erfasst auch Metadaten, d.h. die über den Inhalt der Kommunikation hinausgehenden näheren Umstände, insbesondere die Tatsache, ob jemand an einem Kommunikationsvorgang beteiligt ist. Insgesamt ist der Anwendungsbereich weiter als der auf personenbezogene Daten beschränkte der DS-GVO. Obwohl der Datenschutz vornehmlich der Privatsphäre dient, werden durch die ePrivacy-VO nicht nur natürliche, sondern auch juristische Personen geschützt, wenn auch teilweise in abgeschwächter Form.
Vertraulichkeit elektronischer Kommunikation
Die Vertraulichkeit elektronischer Kommunikation wird im Entwurf ausdrücklich auf sämtliche elektronische Kommunikation, einschließlich Metadaten, ausgeweitet. Laut Erwägungsgrund 18 des Entwurfs der ePrivacy-VO soll ein Eingriff in die Vertraulichkeit elektronischer Kommunikation bereits dann vorliegen, wenn Dritte heimlich der Surfverhalten der End-Nutzer überwachen, um Nutzungsprofile anzulegen. Dies hätte erhebliche Bedeutung für den Bereich der personalisierten Online-Werbung, zumal das Verhältnis zu den Profiling-Regelungen der DS-GVO nicht klar wird. Inwieweit die Ausweitung der Vertraulichkeit elektronischer Kommunikation Auswirkungen auf das in Deutschland strafrechtlich geschützte Fernmeldegeheimnis (§ 206 StGB) haben wird, ist derzeit noch nicht ersichtlich.
Verarbeitung von Metadaten
Metadaten dürfen ohne vorherige Einwilligung der End-Nutzer nur in bestimmten Fällen, wie etwa zur Qualitätssicherung, IT-Sicherheit oder Abrechnung, verarbeitet werden. Sofern keine Rechtsgrundlage für eine Verarbeitung besteht, müssen die Daten unverzüglich gelöscht oder anonymisiert werden.
Cookies und andere Tracking-Tools
Wie bereits in der (in Deutschland nur unzureichend umgesetzten) Richtlinie 2009/136/EG verlangt die ePrivacy-VO für den Einsatz von Cookies und anderen Tracking-Tools, die auf Endgeräten gespeichert oder aus Endgeräten ausgelesen werden, die vorherige Einwilligung der Nutzer. Dies wird auf das Tracking mittels anderer Funktionen des Endgeräts (z.B. GPS) sowie den Zugriff auf im Endgerät gespeicherte Daten (z.B. Fotos, Kontakte, Nachrichten) erweitert. Das Einholen der Einwilligung soll jedoch nutzerfreundlich gestaltet werden und insbesondere durch technische Einstellungen des Browsers möglich sein. Hier nimmt der EU-Gesetzgeber über den Grundsatz des Privacy by Design auch die Anbieter der Browser in die Verantwortung. Im Übrigen sollen für die Einwilligung dieselben Maßstäbe gelten wie in der DSGVO. Darüber hinaus wird das Scannen von Daten, die von Endgeräten mitgesendet werden (z.B. IMEI, IMSI, MAC-Adresse), ausdrücklich reguliert. Aufgrund der bislang sprachlich verunglückten Regelung des Art. 8 Abs. 2 des Entwurfs der ePrivacy-VO werden die konkreten Voraussetzungen und insbesondere die Zulässigkeit der Nutzung dieser Daten für Direktmarketing und Profiling nicht deutlich.
E-Mail- und Telefonwerbung
Hinsichtlich des Direktmarketings mittels E-Mails und anderer elektronischer Kommunikation wird für natürliche und juristische Personen der bisher nach deutschem Recht geltende Maßstab beibehalten. Grundsätzlich ist die vorherige Einwilligung erforderlich. Eine Ausnahme wird für bestehende Geschäftsbeziehungen gemacht. Hier ist unter engen Voraussetzungen die Einräumung eines Widerspruchsrechts nach den allgemeinen Regelungen der DS-GVO ausreichend. Hinsichtlich Werbeanrufen wird den Mitgliedstaaten die Möglichkeit eingeräumt, statt einer Einwilligungs-, eine generelle Widerspruchslösung einzuführen. Dies gilt nicht für automatisierte Anrufe und wird mit dem finanziellen Mehraufwand persönlicher Anrufe gegenüber Werbe-Nachrichten gerechtfertigt. Bei jeder Werbeaktion ist erneut auf die Möglichkeit eines Widerspruchs hinzuweisen.
Unabhängige Aufsichtsbehörden
Für die Aufsicht über die Einhaltung der generellen Datenschutzregelungen der ePrivacy-VO sind die Datenschutzaufsichtsbehörden der DS-GVO verantwortlich. Für die telekommunikations-spezifischen Regelungen der ePrivacy-VO, einschließlich der Anforderungen an E-Mail- und Telefonwerbung, müssen ebenfalls unabhängige Aufsichtsbehörden in den Mitgliedsstaaten eingerichtet werden. In Deutschland ist hierfür derzeit die Bundesnetzagentur zuständig. Die Kompetenzen nach der DS-GVO gelten entsprechend.
Betroffenenrechte
Jedem Betroffenden steht nach Art. 23 ein Beschwerderecht zu. Entsprechendes soll für Dritte mit einem legitimen Interesse gelten. Hier nennt der Verordnungsentwurf beispielhaft Serviceanbieter, die ihre Geschätsinteressen verteidigen wollen. Ermöglicht werden sollen auch Sammelklagen. Art. 24 sieht einen Anspruch auf Schadensersatz vor.
Bußgelder
Wie bereits unter der DS-GVO, sollen auch unter der ePrivacy-VO drakonische Bußgelder von bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, verhängt werden können. Auch bei der ePrivacy-VO ist nicht klar, ob hiermit der Umsatz des jeweils handelnden Rechtsträgers oder der des Konzerns gemeint ist. Dies ist auf eine gesetzgeberisch unglückliche Kombination aus dem Verweis auf den kartellrechtlichen Unternehmensbegriff (d.h. die wirtschaftliche Einheit) in den unverbindlichen Erwägungsgründen und der Übernahme der rechtlich bindenden und entgegenstehenden Definitionen der DS-GVO zurückzuführen.
Fazit
Der Datenschutz für elektronische Kommunikation soll durch die ePrivacy-VO modernisiert und verschärft werden. In vielen Punkten wird auf die DS-GVO verwiesen oder es werden Instrumente übernommen. Wann und in welcher Fassung die ePrivacy-VO in Kraft tritt, steht noch nicht fest. Der Gesetzgebungsprozess für die DS-GVO dauerte über vier Jahre. Der aktuelle Text sieht jedoch eine Anwendung sechs Monate nach Inkrafttreten und damit eine deutlich kürzere Übergangsfrist als die DS-GVO vor.