20.7.2017 |
DE |
Amtsblatt der Europäischen Union |
C 234/3 |
Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für eine Verordnung über Privatsphäre und elektronische Kommunikation (E-Privacy-VO)
(Der vollständige Text dieser Stellungnahme ist in deutscher, englischer und französischer Sprache auf der Internetpräsenz des EDSB unter www.edps.europa.eu erhältlich)
(2017/C 234/03)
In der vorliegenden Stellungnahme legt der EDSB seine Haltung zu dem Vorschlag für eine Verordnung über Privatsphäre und elektronische Kommunikation dar, die die Datenschutzrichtlinie für elektronische Kommunikation aufheben und ersetzen soll.
Ohne die E-Privacy-VO wäre der Rechtsrahmen der EU für die Achtung der Privatsphäre und den Datenschutz unvollständig. Die DSGVO — Datenschutzgrundverordnung — ist zwar bereits eine große Errungenschaft, doch benötigen wir ein spezifisches Rechtsinstrument zum Schutz des in Artikel 7 der Charta der Grundrechte verankerten Rechts auf Achtung des Privatlebens und zur Wahrung der Vertraulichkeit der Kommunikation als ein wesentlicher Bestandteil dieses Rechts. Daher begrüßt und unterstützt der EDSB den Vorschlag, der genau dies zum Ziel hat. Die Wahl einer Verordnung als ein unmittelbar anwendbares Rechtsinstrument, das ein höheres Maß an Harmonisierung und Kohärenz bewirken kann, wird ebenfalls von dem EDSB begrüßt. Außerdem befürwortet der EDSB die Absicht, ein hohes Schutzniveau sowohl in Bezug auf Inhalt als auch auf Metadaten zu gewährleisten, und unterstützt das Ziel, Vertraulichkeitspflichten auf eine breitere Palette von Diensten auszuweiten, darunter auch die so genannten „over the top“ (OTT)-Dienste, und so dem technologischen Fortschritt Rechnung zu tragen. Ferner ist der EDSB der Ansicht, dass die Entscheidung, Durchsetzungsbefugnisse ausschließlich den Datenschutzbehörden zu erteilen, sowie das Vorhandensein von Kooperations- und Abstimmungsmechanismen innerhalb des neu einzurichtenden Europäischen Datenschutzausschusses („Ausschuss“) zu einer konsequenteren und wirksameren Durchsetzung der Vorgaben überall in der EU beitragen werden.
Gleichzeitig hat der EDSB jedoch Bedenken, ob mit dem Vorschlag in seiner jetzigen Form das Versprechen eines hohen Schutzniveaus der Privatsphäre in der elektronischen Kommunikation auch tatsächlich wahr gemacht werden kann. Wir brauchen einen neuen Rechtsrahmen für den Datenschutz in der elektronischen Kommunikation, doch muss er intelligenter, klarer und stärker sein. In dieser Hinsicht bleibt noch viel zu tun, denn die Komplexität der in dem Vorschlag skizzierten Vorschriften ist eine schwierige Herausforderung. Bei der Kommunikation wird zwischen Metadaten, Inhaltsdaten und von Endgeräten ausgegebenen Daten unterschieden. Für jeden dieser Datentypen gibt es ein anderes Maß an Vertraulichkeit und andere Ausnahmefälle. Diese Komplexität führt zu dem — wohl unbeabsichtigten — Risiko der Regelungslücken.
Die meisten Begriffsbestimmungen, auf die sich der Vorschlag stützt, werden im Rahmen eines anderen Rechtsinstruments verhandelt und beschlossen: dem europäischen Kodex für die elektronische Kommunikation. Es gibt zurzeit keinen rechtlichen Grund für eine so enge Verknüpfung dieser beiden Rechtsinstrumente, und die wettbewerbs- und marktorientierten Begriffsbestimmungen des Kodex sind im Kontext der Grundrechte einfach nicht zweckmäßig. Daher spricht sich der EDSB unter Berücksichtigung des vorgesehenen Anwendungsbereichs und der angestrebten Ziele der E-Privacy-VO dafür aus, eine Reihe notwendiger Begriffsbestimmungen darin aufzunehmen.
Ferner müssen wir insbesondere dem Problem der Verarbeitung von Daten der elektronischen Kommunikation durch Verantwortliche, die nicht Anbieter von elektronischen Kommunikationsdiensten sind, Beachtung schenken. Die zusätzlichen Schutzvorschriften für Kommunikationsdaten wären sinnlos, wenn sie beispielsweise einfach dadurch umgangen werden könnten, dass die Daten an Dritte weitergegeben werden. Es sollte außerdem sichergestellt werden, dass die Vorschriften für den Datenschutz in der elektronischen Kommunikation nicht ein niedrigeres Schutzniveau als das in der DSGVO verankerte zulassen. So sollte zum Beispiel, wie in der DSGVO verlangt, eine Einwilligung echt sein und Nutzern die Möglichkeit geben, frei eine Entscheidung zu treffen. Es sollte keine „Tracking Walls“ mehr geben. Darüber hinaus müssen die neuen Regeln auch hohe Anforderungen in Bezug auf Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen festlegen. Schließlich spricht der EDSB in dieser Stellungnahme noch weitere dringliche Fragen an, darunter die Beschränkungen des Anwendungsbereichs der Rechte.
1. EINLEITUNG UND HINTERGRUND
Diese Stellungnahme („Stellungnahme“) ergeht aufgrund eines Ersuchens der Europäischen Kommission („Kommission“) an den Europäischen Datenschutzbeauftragten („EDSB“), als unabhängige Aufsichtsbehörde und als Berater eine Stellungnahme zu dem Vorschlag für eine Verordnung über Privatsphäre und elektronische Kommunikation (1) („Vorschlag“) abzugeben. Der Vorschlag soll die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) aufheben und ersetzen (2). Die Kommission ersuchte ferner um die Stellungnahme der Artikel-29-Datenschutzgruppe (WP29), an der der EDSB als Vollmitglied mitarbeitete (3).
Diese Stellungnahme folgt unserer vorläufigen Stellungnahme 5/2016 zur Überarbeitung der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) (4), abgegeben am 22. Juli 2016. Es ist denkbar, dass der EDSB seinen Rat auch in späteren Phasen des Gesetzgebungsverfahrens erneut einbringen wird.
Der Vorschlag gehört zu den zentralen Initiativen der Strategie für einen digitalen Binnenmarkt (5), mit dem Vertrauen und Sicherheit im Bereich digitaler Dienstleistungen in der EU gestärkt werden sollen, in der Hauptsache jedoch ein hohes Schutzniveau für Bürger und gleiche Wettbewerbsbedingungen für alle Marktteilnehmer überall in der EU hergestellt werden sollen.
Mit dem Vorschlag soll die Datenschutzrichtlinie für elektronische Kommunikation als Teil weiterreichender Bemühungen um einen kohärenten und harmonisierten Rechtsrahmen für den Datenschutz in Europa modernisiert und aktualisiert werden. Die Datenschutzrichtlinie für elektronische Kommunikation stellt eine Detaillierung und Ergänzung der Richtlinie 95/46/EG (6) dar, die durch die vor kurzem angenommene Datenschutz-Grundverordnung (DSGVO) (7) ersetzt werden wird.
Zunächst fasst der EDSB in Abschnitt 2 die wichtigsten Punkte seiner Stellungnahme zu dem Vorschlag zusammen und geht dabei vor allem auf die positiven Aspekte des Vorschlags ein. Danach führt der EDSB in Abschnitt 3 die noch verbleibenden zentralen Fragen auf und unterbreitet Lösungsvorschläge. Weitere Fragen und Empfehlungen zur Verbesserung des Vorschlags werden im Anhang zu dieser Stellungnahme beschrieben, in dem noch detaillierter auf den Vorschlag eingegangen wird. Die Lösung der in dieser Stellungnahme und ihrem Anhang angesprochenen Fragen und eine weitere Verbesserung des Wortlauts der E-Privacy-VO würde nicht nur zu einem höheren Schutzniveau für Endnutzer und andere betroffene Personen führen, sondern auch größere Rechtssicherheit für alle Beteiligten schaffen.
4. SCHLUSSFOLGERUNGEN
Der EDSB begrüßt den Vorschlag der Kommission für eine modernisierte, aktualisierte und stärkere E-Privacy-VO. Er teilt die Ansicht, dass weiterhin Bedarf an spezifischen Regeln zur Wahrung der Vertraulichkeit und Sicherheit in der elektronischen Kommunikation in der EU und an einer Ergänzung und Präzisierung der DSGVO besteht. Er ist außerdem der Meinung, dass wir einfache, gezielte und technologisch neutrale gesetzliche Bestimmungen benötigen, die in absehbarer Zukunft starken, intelligenten und wirksamen Schutz bieten.
Der EDSB begrüßt die erklärte Absicht, ein hohes Schutzniveau sowohl für Inhalte als auch für Metadaten zu gewährleisten, und insbesondere die in Abschnitt 2.1 genannten wichtigsten positiven Aspekte.
Der EDSB begrüßt zwar den Vorschlag, doch hat er weiterhin Bedenken in Bezug auf eine Reihe von Bestimmungen, die die Absicht der Kommission, ein hohes Schutzniveau der Privatsphäre in der elektronischen Kommunikation zu gewährleisten, beeinträchtigen könnten. Zu den wichtigsten Fragen des EDSB in dieser Hinsicht gehören insbesondere:
— |
Die in dem Vorschlag enthaltenen Begriffsbestimmungen dürfen nicht von dem davon unabhängigen Gesetzgebungsverfahren bezüglich der Richtlinie über den europäischen Kodex für die elektronische Kommunikation (8) (Kodex-Vorschlag) abhängig sein; |
— |
Die Bestimmungen über die Einwilligung der Endnutzer müssen stärker formuliert werden. Die Einwilligung muss von den Personen eingeholt werden, die die Dienste benutzen, unabhängig davon, ob sie diese abonnieren oder nicht, sowie von allen an einem Kommunikationsvorgang Beteiligten. Darüber hinaus müssen andere betroffene Personen, die nicht an den Kommunikationsvorgängen beteiligt sind, ebenfalls geschützt werden; |
— |
Es muss dafür Sorge getragen werden, dass die Beziehung zwischen der DSGVO und der E-Privacy-VO keine Lücken im Schutz personenbezogener Daten offen lässt. Personenbezogene Daten, die aufgrund der Einwilligung der Endnutzer oder aus einem anderen in der E-Privacy-VO vorgesehenen Rechtsgrund erhoben werden, dürfen nicht später außerhalb des Geltungsbereichs dieser Einwilligung oder Ausnahmeregelung aus einem anderen nach der DSGVO möglicherweise bestehenden, jedoch nicht in der E-Privacy-VO verankerten Rechtsgrund weiter verarbeitet werden; |
— |
Dem Vorschlag mangelt es in Bezug auf die so genannten „Tracking Walls“ (oder auch „Cookie Walls“) an Ehrgeiz. Zugang zu Websites darf nicht davon abhängig gemacht werden, dass die Person gezwungen wird, in die Verfolgung ihrer Aktivitäten auf den Websites „einzuwilligen“. Mit anderen Worten fordert der EDSB die Gesetzgeber auf, dafür Sorge zu tragen, dass die Einwilligung wirklich freiwillig erteilt wird; |
— |
Der Vorschlag stellt nicht sicher, dass Browser (und andere auf dem Markt angebotene Softwareprodukte, die elektronische Kommunikation ermöglichen) standardmäßig so eingestellt sind, dass die Verfolgung der von Personen im Internet hinterlassenen digitalen Spuren verhindert wird; |
— |
Die Ausnahmen bezüglich der Standortverfolgung von Endgeräten sind zu allgemein gefasst und bieten keine angemessenen Garantien; |
— |
Der Vorschlag gibt Mitgliedstaaten die Möglichkeit, Beschränkungen einzuführen; diese machen spezifische Garantien erforderlich. |
Diese Hauptfragen — sowie Empfehlungen zu ihrer Lösung — werden in der vorliegenden Stellungnahme dargelegt. Neben den allgemeinen Anmerkungen und den im Hauptteil der Stellungnahme formulierten zentralen Fragen, hat der EDSB in einem Anhang weitere Anmerkungen und Empfehlungen — zum Teil mehr technischer Art — zu dem Vorschlag zusammengestellt, die die Arbeit der Gesetzgeber und anderer Beteiligter erleichtern sollen, die den Text im Rahmen des Gesetzgebungsprozesses noch weiter verbessern möchten. Abschließend möchten wir noch auf die Wichtigkeit einer zügigen Bearbeitung dieses bedeutenden Dossiers durch die Gesetzgeber hinweisen, um sicherzustellen, dass die E-Privacy-VO wie geplant am 25. Mai 2018, und damit zur gleichen Zeit wie die DSGVO selbst, in Kraft treten kann.
Mit der immer größeren Rolle, die die elektronische Kommunikation in unserer Gesellschaft und Wirtschaft spielt, kommt der Vertraulichkeit von Kommunikation, wie sie in Artikel 7 der Charta verankert ist, ständig wachsende Bedeutung zu. Die in dieser Stellungnahme skizzierten Garantien werden eine zentrale Rolle dabei spielen, den Erfolg der langfristigen Zielsetzungen zu sichern, die die Kommission in ihrer Strategie für einen digitalen Binnenmarkt formuliert hat.
Geschehen zu Brüssel am 24. April 2017.
Giovanni BUTTARELLI
Europäischer Datenschutzbeauftragter
(1) Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation), COM(2017) 10 final, 2017/0003 (COD).
(2) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).
(3) Stellungnahme 1/2017 der Artikel 29-Datenschutzgruppe zu der vorgeschlagenen Verordnung für die Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) (WP247), angenommen am 4. April 2017. Siehe auch Stellungnahme 3/2016 der Artikel 29-Datenschutzgruppe zur Evaluierung und Überarbeitung der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) (WP240), angenommen am 19. Juli 2016.
(4) Siehe https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_DE.pdf.
(5) „Strategie für einen digitalen Binnenmarkt“ — Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, 6. Mai 2015, (COM(2015) 192 final.), abrufbar unter: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52015DC0192&from=DE.
(6) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).
(7) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).
(8) Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über den europäischen Kodex für die elektronische Kommunikation COM (2016) 590 final/2, 2016/0288(COD) vom 12.10.2016.