Das europäische Datenschutzrecht entwickelt sich weiter. Nach der bereits beschlossenen und zum 25.05.2018 zur Anwendung kommenden Datenschutz-Grundverordnung hat nunmehr die EU-Kommission einen Vorschlag für die Neuregelung der elektronischen Kommunikation und des Datenschutzes innerhalb dieser veröffentlicht.
Gemeinsam mit der DSGVO ist die e-Privacy Verordnung Bestandteil des politischen und rechtlichen Konzepts der Strategie für einen digitalen Binnenmarkt.
Bisher handelt es sich „nur“ um den ersten offiziell veröffentlichten Vorschlag der EU-Kommission. Auch wenn aufgrund des frühen Stadiums noch keine tragenden Investitionen seitens der betroffenen Unternehmen vorgenommen werden sollten, muss sich jetzt bereits mit dem Vorschlag beschäftigt werden. Es wird voraussichtlich nur eine kurze Umsetzungszeit für die betroffenen Unternehmen geben und es sind bereits jetzt einige Punkte zu identifizieren, die sich wohl nicht mehr maßgeblich ändern werden.
Notwendigkeit der Neuregelung
Unumstritten ist, dass eine Neuregelung der bisher geltenden e-Privacy-Richtlinie (RL 2002/58/EG) und der „Cookie-Richtlinie“ (RL/2009/136/EG) notwendig geworden ist. Die Regelungen sind aufgrund vorangeschrittener technischer Entwicklungen und der damit verbundenen Möglichkeiten des Tracking nicht mehr zeitgemäß.
Dabei muss insbesondere in diesem Bereich die e-Privacy Verordnung den Konflikt zwischen dem Recht auf Privatsphäre beziehungsweise dem Recht auf informationelle Selbstbestimmung der Verbraucher und dem Ziel Wirtschaftsförderung innerhalb der EU auflösen. Denn Grundlage für viele „kostenfreie“ Angebote im Internet ist die Verarbeitung der personenbezogenen Daten durch umfassendes Tracking; nicht zuletzt um personalisierte Werbung auszuspielen.
Cookies und Tracking
Die e-Privacy Verordnung nimmt hinsichtlich der Zulässigkeit der Cookies und anderer Tracking-Maßnahmen erhebliche Änderungen vor. Es wird hier, insbesondere hinsichtlich der Verwendung von Cookies, einen Paradigmenwechsel geben.
Während für Cookies in Deutschland momentan eine “Opt-Out-Regelung” – diese ist der Grund für die Cookie-Klickbanner die auf fast jeder Website eingeblendet werden – einschlägig ist, gibt es in anderen Mitgliedstaaten bereits eine “Opt-In-Regelung”, welche eine aktive Einwilligung des Nutzers verlangen und die nach dem bisherigen Entwurf dann auch für Deutschland verbindlich wird. Die Einholung der Einwilligung wird dabei von dem einzelnen Website-Betreiber auf die Anbieter von Zugangssoftware (Browser, Apps) verschoben, die als „Gatekeeper“ den Zugang zum Internet ermöglichen. Damit sollen die „Cookie-Klickfenster“ der Vergangenheit angehören.
Diese Anbieter müssen ihren jeweiligen Nutzern einfache und nachvollziehbare hinsichtlich der Privatsphäre-Einstellungen ermöglichen, die dann von den jeweiligen Website-Betreibern zu beachten sind. Mit Umsetzung der neuen e-Privacy Verordnung müssen Browser so konfigurierbar sein, dass Tracking-Maßnahmen wie Cookies durch den Nutzer voreingestellt verhindert werden können. Das Tracking wird somit erheblich erschwert. Dabei ist es nicht so, dass die Browser im Rahmen eines „Privacy-by-Design“ immer die datenschutzsensitivste Einstellung wählen müssen, sondern vielmehr müssen diese nur angeboten werden („Privacy-by-Default“). Ändern muss sich daher der Umgang mit der “Do-not-track”-Einstellung, da diese dann verbindlich ist.
Ausnahmen von dem grundsätzlichen Erfordernis der Einwilligung gelten nur sehr beschränkt für zum Beispiel solche Cookies, die im Warenkorb die Einkäufe speichern. Dabei ist dieses stringente Festhalten an der Notwendigkeit einer Einwilligung nach den bisher vorliegenden Unterlagen ein Widerspruch zu der Datenschutz-Grundverordnung. Diese sieht neben der Einwilligung als gleichberechtigten Verarbeitungstatbestand auch immer die berechtigten Interessen des jeweiligen Verarbeiters vor.
Einbeziehung „Over-the-Top-Anbieter“
Eine ebenso weitereichende Änderung betrifft die neue Einbeziehung von sogenannten „Over-the-Top-Anbietern“ die internetbasierte interpersonale Kommunikationsformen, wie Voice-Over-IP, Instant-Messaging und webbasierte E-Mail-Services anbieten. Die Verordnung zielt hiermit auf die bisher kaum reglementierten Anbieter wie Facebook und WhatsApp ab.
Grundsätzlich ist die Einbindung solcher Anbieter sinnvoll und notwendig. Jedoch ist der jetzige Vorschlag der e-Privacy Verordnung in der Definition dieser Anbieter so weit, dass jeder Anbieter von elektronischer Kommunikation erfasst sein kann und damit auch Unternehmen, die über eigene Chatboards (potentiellen) Kunden eine Beratung anbieten. In Folge dessen könnten Unternehmen von diesen Angeboten wieder Abstand nehmen.
Damit würde dies gleichwohl Unternehmen sowie Kunden schaden. Eine Alternative diese Angebote nur bei Einwilligung bezüglich. der Datenerhebung/-verarbeitung anzubieten, kommt aufgrund des Koppelungsverbots im Sinne der Datenschutz-Grundverordnung eher nicht in Betracht. Es bedarf einer Klarstellung im Rahmen des Gesetzgebungsprozesses, welche Anbieter tatsächlich erfasst sein sollen und ob es eine Relevanzschwelle gibt.
Regelungen bezüglich der Verarbeitung von Metadaten
Die Änderungen und notwendigen Einwilligungen beziehen sich dabei nicht nur auf die Kommunikationsinhalte, sondern ebenso auf die Metadaten der jeweiligen Nutzer. Grundsätzlich ist dieser Gedanke richtig und nachvollziehbar, da auch diese Daten es teilweise erlauben individualisierbare Profile von Personen zu erstellen.
Dabei sollen durch die Regelungen bezüglich der Nutzung von Metadaten aber auch neue Geschäftsmodelle ermöglicht werden. Der Verordnungsvorschlag sieht jedoch nunmehr vor, dass eine Verarbeitung von Metadaten ebenfalls von der Einwilligung des jeweiligen Nutzers abhängt und eine entsprechende Auswertung nicht durch ein anonymisiertes Datum erreicht werden kann. Dabei verhält es sich so, dass die Verordnung an dieser Stelle kein Abwägungskriterium vorsieht, sondern nur die Einwilligung als Möglichkeit zur rechtmäßigen Datenverarbeitung bietet.
Es erscheint vor dem Hintergrund der umfassenden Anforderungen an eine aufgeklärte und informierte Einwilligung, die sich an den Voraussetzungen der Datenschutz-Grundverordnung orientieren muss, jedoch kaum technisch umsetzbar und möglich, dass eine solche rechtskonforme Einwilligung eingeholt werden kann. Vergleichbare Probleme bestehen auch für die Industrie 4.0 und automatisierte Systeme.
Industrie 4.0
Denn von der momentanen Definition der digitalen Dienste und den Erwägungsgründen der Verordnung ist auch die sogenannte Maschine-zu-Maschine-Kommunikation erfasst. Für die Erhebung und/oder Verarbeitung von Daten wären auch hier Einwilligungen der jeweiligen Nutzer erforderlich.
Dies widerspricht jedoch dem Grundgedanken von Industrie 4.0 und ist in der Praxis nur schwer umsetzbar. Es erscheint als nahezu ausgeschlossen, dass vor jeder autonomen Kommunikation im Rahmen eines vernetzten Systems eine entsprechende Einwilligung einzuholen ist. Gar nicht zu sprechen ist dabei von komplexeren Systemen mit einer Vielzahl von Beteiligten, wie zum Beispiel einem vernetzten Straßenverkehr.
Es besteht die Gefahr, dass sich der Kommunikationsprozess, der grundsätzlich verkürzt und vereinfacht werden sollte, verlangsamt. Hier ist es für die Unternehmen der Digitalwirtschaft und auch der klassischen Industrie, die erheblich auf den Einsatz von automatisierten System angewiesen sind, aber auch für Verbraucher, die vernetzte Produkte verwenden möchten, notwendig, dass im Rahmen des Gesetzgebungsprozesses eine praxiskompatible Klarstellung gefunden wird. Denn grundsätzlich ist die Einbeziehung der automatisierten Kommunikation positiv zu bewerten.
Kurze Umsetzungsfrist
Die kurze Umsetzungszeit für die Unternehmen beruht unter anderem darauf, dass man sich im Laufe der Konsultation für eine Verordnung, anstatt wie in der alten Regelung für eine Richtlinie entschieden hat. Es bedarf für die neue e-Privacy Verordnung keiner Umsetzung der Mitgliedstaaten in nationales Recht. Stattdessen wirkt sie in der gesamten EU unmittelbar und verbindlich. Dieses Vorgehen soll den Vorteil mit sich bringen, dass die teilweise stark auseinandergehenden Vorschriften der Mitgliedstaaten damit auf ein einheitliches Niveau gebracht werden. Der innereuropäische Wettbewerb soll damit vereinheitlicht und gestärkt werden, es wird ein “Level Playing Field” geschaffen.
Da die e-Privacy Verordnung jedoch zeitgleich mit der Datenschutz-Grundverordnung in Kraft treten soll, steht als Datum der 25.05.2018 fest. Dabei ist es bekannt, dass der Gesetzgebungsprozess der Datenschutz-Grundverordnung einen erheblichen Zeitraum in Anspruch nahm. Sofern die e-Privcy Verordnung einen vergleichbar langen Prozess in Anspruch nimmt, werden die endgültigen Regelungen unter Umständen nur wenige Monate vor dem In-Kraft-Treten feststehen. Dieser künstlich erzeugte Druck geht hierbei zu Lasten von Unternehmen und Verbrauchern.
Fazit
Unabhängig von den aufgezeigten rechtlichen und tatsächlichen Umsetzungsproblemen des Entwurfes für die e-Privacy Verordnung muss die rechtliche mit der technischen Entwicklung Schritt halten und dafür ist die Verordnung ein Schritt in die richtige Richtung. Es bedarf jedoch umfassender Klarstellungen im Gesetzgebungsverfahren – auch hinsichtlich bestehender Widersprüche zu der Datenschutz-Grundverordnung – damit sowohl für betroffene Unternehmen, als auch für die Verbraucher in den Mitgliedsstaaten, eine Sicherheit bezüglich der jeweiligen Rechte und Pflichten besteht.
Dr. Hans-Christian Woger ist Rechtsanwalt bei CMS in Deutschland.