Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zur Überarbeitung der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG)

(Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter www.edps.europa.eu erhältlich.)

In der vorliegenden Stellungnahme hat der EDSB auf Ersuchen der Europäischen Kommission seine Haltung zu den zentralen Fragen in Zusammenhang mit der Überarbeitung der Richtlinie 2002/58/EG über Privatsphäre und elektronische Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) dargelegt.

Wir brauchen einen neuen Rechtsrahmen für den Datenschutz in der elektronischen Kommunikation, doch muss er intelligenter, klarer und stärker sein: Wie brauchen mehr Klarheit, aber auch bessere Durchsetzung. Wir brauchen ihn, damit die Vertraulichkeit unserer Kommunikation gewahrt wird; dabei handelt es sich um ein in Artikel 7 der Charta der Grundrechte der Europäischen Union verankertes Grundrecht. Darüber hinaus brauchen wir Bestimmungen, die den mit der Datenschutzgrundverordnung (DSGVO) gewährten Schutz ergänzen und bei Bedarf näher spezifizieren. Außerdem müssen wir das bestehende höhere Schutzniveau in Fällen aufrechterhalten, in denen die Datenschutzrichtlinie für elektronische Kommunikation spezifischere Garantien als die DSGVO bietet. Die Begriffsbestimmungen der DSGVO, ihr räumlicher Anwendungsbereich, die Mechanismen für die Zusammenarbeit zwischen Durchsetzungsbehörden und für Kohärenz sowie die Möglichkeit, Flexibilität und Orientierung zu bieten, sollten auch für den Datenschutz in der elektronischen Kommunikation verfügbar sein.

Der Anwendungsbereich des neuen Rechtsrahmens muss ausgeweitet werden. Dabei muss technologischen und gesellschaftlichen Veränderungen Rechnung getragen und dafür gesorgt werden, dass die Menschen für alle funktional gleichwertigen Dienste den gleichen Schutz erhalten, unabhängig davon, ob diese beispielsweise von traditionellen Telefongesellschaften, Voice-over-IP-Diensten oder über Messaging-Apps auf dem Mobiltelefon angeboten werden. Eigentlich muss man sogar noch weiter gehen und nicht nur „funktional gleichwertige“ Dienste schützen, sondern auch die Dienste, die neue Kommunikationsmöglichkeiten eröffnen. Unabhängig von der Art des benutzten Netzes oder Kommunikationsdienstes sollten die neuen Vorschriften auch ganz unzweideutig weiterhin Maschine-zu-Maschine-Kommunikation im Zusammenhang mit dem Internet der Dinge abdecken. Mit den neuen Vorschriften sollte ferner gewährleistet sein, dass die Vertraulichkeit der Kommunikation der Nutzer in allen öffentlich zugänglichen Netzen geschützt wird, darunter in Wi-Fi-Diensten in Hotels, Coffee Shops, Läden und Flughäfen und in Netzen, die von Krankenhäusern ihren Patienten und von Universitäten ihren Studierenden angeboten werden, sowie an von öffentlichen Verwaltungen eingerichteten Hotspots.

Wie in der DSGVO verlangt, sollte eine Einwilligung echt sein und Nutzern die Möglichkeit geben, frei eine Entscheidung zu treffen. Es sollte nicht länger „Cookie Walls“ geben. Abgesehen von einer Reihe klarer Ausnahmen (wie First-Party-Analyse) sollte bei keiner Form der Kommunikation eine Rückverfolgung und Überwachung ohne eine ohne Zwang gegebene Einwilligung möglich sein, erteilt durch Cookies, virtuelle Fingerabdrücke oder andere technologische Mittel. Die Nutzer brauchen benutzerfreundliche und wirksame Mechanismen, um innerhalb des Browsers (oder einer anderen Software oder eines Betriebssystem) ihre Einwilligung geben und widerrufen zu können.

Damit die Vertraulichkeit elektronischer Kommunikation besser geschützt werden kann, muss auch das bestehende Erfordernis der Einwilligung bei Verkehrs- und Standortdaten erhalten und ausgebaut werden. Der Anwendungsbereich dieser Bestimmung sollte dahingehend erweitert werden, dass sie für jedermann und nicht nur für traditionelle Telefongesellschaften und Anbieter von Internetdiensten gilt.

Die neuen Vorschriften sollten Nutzern zum Schutz ihrer elektronischen Kommunikation auch ganz eindeutig die End-zu-End-Verschlüsselung (ohne „Hintertürchen“) erlauben. Entschlüsselung, Reverse-Engineering oder Überwachung von durch Verschlüsselung geschützter Kommunikation sollte untersagt werden.

Schließlich sollten die neuen Vorschriften für den Datenschutz in der elektronischen Kommunikation Schutz vor unerbetenen Nachrichten bieten, und sie sollten aktualisiert und insofern verstärkt werden, als sie die vorherige Einwilligung der Empfänger aller Arten unerbetener elektronischer Kommunikation verlangen, unabhängig von deren Übertragungsmitteln.

Diese vorläufige Stellungnahme („Stellungnahme“) ergeht aufgrund eines Ersuchens der Europäischen Kommission („Kommission“) an den Europäischen Datenschutzbeauftragten („EDSB“), in seiner Rolle als unabhängige Aufsichtsbehörde und als Berater, eine Stellungnahme zur Überprüfung der Datenschutzrichtlinie für elektronische Kommunikation abzugeben (1).

Die Konsultation des EDSB erfolgte zeitgleich mit einer von der Kommission durchgeführten Konsultation der Öffentlichkeit, die bis zum 5. Juli 2016 lief (2). Die Kommission ersuchte ferner um die Stellungnahme der Artikel 29-Datenschutzgruppe (WP29), an der der EDSB als Vollmitglied mitarbeitete (3).

In dieser Stellungnahme legt der EDSB seine vorläufige Haltung zur Überarbeitung der Datenschutzrichtlinie für elektronische Kommunikation dar und geht dabei im Wesentlichen auf die Fragen ein, um deren Behandlung ihn die Kommission ausdrücklich ersucht hat. Die Stellungnahme stellt darüber hinaus den Beitrag des EDSB zur öffentlichen Konsultation dar und befasst sich daher möglicherweise auch mit Aspekten, die die Kommission in ihrem Ersuchen um eine Stellungnahme nicht besonders erwähnt hat. Es ist denkbar, dass wir unseren Rat auch in späteren Phasen des Gesetzgebungsverfahrens erneut einbringen.

Die Überarbeitung der Datenschutzrichtlinie für elektronische Kommunikation gehört zu den zentralen Initiativen der Strategie für einen digitalen Binnenmarkt (4), mit der Vertrauen und Sicherheit im Bereich digitaler Dienstleistungen in der EU gestärkt werden sollen, in der Hauptsache jedoch ein hohes Schutzniveau für Bürger und gleiche Wettbewerbsbedingungen für alle Marktteilnehmer überall in der EU hergestellt werden sollen.

Mit der Überprüfung soll die Datenschutzrichtlinie für elektronische Kommunikation als Teil weiter reichender Bemühungen um einen kohärenten und harmonisierten Rechtsrahmen für den Datenschutz in Europa modernisiert und aktualisiert werden. Die Datenschutzrichtlinie für elektronische Kommunikation stellt eine Detaillierung und Ergänzung der Richtlinie 94/46/EG (5) dar, die durch die vor Kurzem angenommene Datenschutz-Grundverordnung (DSGVO) (6) ersetzt werden wird. Die Datenschutzrichtlinie für elektronische Kommunikation enthält spezifische Vorschriften, mit denen im Wesentlichen die Vertraulichkeit und Sicherheit des elektronischen Kommunikationsverkehrs gewährleistet werden sollen. Darüber hinaus schützt sie die berechtigten Interessen von Teilnehmern, die juristische Personen sind.

Mit der immer größeren Rolle, die die elektronische Kommunikation in unserer Gesellschaft und Wirtschaft spielt, kommt der Vertraulichkeit von Kommunikation, wie sie in Artikel 7 der Charta verankert ist, ständig wachsende Bedeutung zu. Die in dieser Stellungnahme skizzierten Garantien werden eine zentrale Rolle dabei spielen, den Erfolg der langfristigen Zielsetzungen zu sichern, die die Kommission in ihrer Strategie für einen digitalen Binnenmarkt formuliert hat.

Geschehen zu Brüssel am 22. Juli 2016.

Giovanni BUTTARELLI

Europäischer Datenschutzbeauftragter

(2) Siehe https://ec.europa.eu/digital-single-market/en/news/public-consultation-evaluation-and-review-eprivacy-directive. Der Fragebogen ist abrufbar unter: https://ec.europa.eu/eusurvey/runner/EPRIVACYReview2016.

(3) Stellungnahme 03/2016 der Artikel 29-Datenschutzgruppe zur Evaluierung und Überarbeitung der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) (WP240), angenommen am 19. Juli 2016.

(4) „Strategie für einen digitalen Binnenmarkt“ — Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, 6. Mai 2015, (COM(2015) 192 final.), abrufbar unter: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52015DC0192&from=DE.

(5) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).

(6) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).