ePrivacy-Verordnung: WhatsApp & Co umfasst - Europa baut weiter an einer modernen Datenschutzkonstruktion für ihre Bürger und Unternehmen
Tamino Chochola & Arthur Stadler

Am 10 Jänner 2016 hat die EU-Kommission ihren Entwurf einer Verordnung "über den Respekt für das Privatleben und den Schutz personenbezogener Daten in der elektronischen Kommunikation" ("ePrivacy-VO") präsentiert. Die ePrivacy-VO soll nach den Vorstellungen der Kommission möglichst zeitgleich mit der Datenschutz-Grundverordnung ("DS-GVO") der EU (das wäre der 25. Mai 2018) in allen EU-Mitgliedsstaaten angewendet werden. Dieser ambitionierte Zeitplan ist freilich insofern mit Vorsicht zu betrachten, als ein von der Kommission eingebrachter Gesetzesentwurf zunächst vom Parlament und dem Rat der EU abgesegnet werden muss. Damit ist auch die Wahrscheinlichkeit groß, dass die derzeitige Fassung noch (zahlreiche) Änderungen erfahren wird. Die ePrivacy-VO soll die "Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation" ersetzen und durch ihren Verordnungscharakter die unmittelbare und gleiche Anwendung in allen Mitgliedsstaaten verwirklichen. Damit dient die ePrivacy-VO – soweit es um die Verarbeitung personenbezogener Daten geht – de facto als Konkretisierung und Ergänzung der DS-GVO. In vielen Punkten wird explizit auf deren Regelungen verwiesen. Die Begriffsbestimmungen der DS-GVO gelten zudem auch für die ePrivacy-VO.

Die ePrivacy-VO soll vorrangig dazu dienen, eine Modernisierung der Datenschutz- und Sicherheitsvorgaben für Anbieter elektronischer Kommunikationsdienste zu erreichen. Gleichzeitig stellt sie einen Versuch dar, die Interessen der Verbraucher und Wirtschaftstreibenden auszugleichen. Da es die Kommission allerdings nicht geschafft hat, eine ganzheitlich klare Linie zu verfolgen, hagelt es zurzeit mehrheitlich Kritik: Die ePrivacy-VO sieht an einigen Stellen Verschärfungen der bisherigen Rechtslage vor. Auf der anderen Seite wurden manche Bestimmungen aber auch aufgeweicht. Wie in diesem Bereich üblich, waren die Lobbyingbemühungen schon im Vorfeld intensiv. Das Ergebnis stimmt aber keine Seite übermäßig glücklich: Wirtschaftstreibende sehen den Datenverkehr zu sehr eingeschränkt, Datenschützer hätten sich eine strengere Regulierung erhofft. Der (deutsche) Bundesverband Digitale Wirtschaft hat bspw von einer "fundamentalen Gefährdung der heutigen Informationsgesellschaft" gesprochen.

Überblick: Neuerungen und Anpassungen

Die größte Neuerung, die der Entwurf mit sich bringt, ist sicherlich die Erfassung aller digitalen Dienste. Die ePrivacy-VO regelt grundsätzlich also jede Form der Werbung über elektronische Kommunikationsmittel. Die immer beliebter werdenden Formen der Kommunikation über sogenannte "Over-The-Top-Dienste" ("OTTD") waren bisher nicht miteinbezogen, da die Betreiber nicht als Telekommunikationsanbieter galten. Das betrifft gerade auch Messenger wie WhatsApp, Telegram oder Skype, die ihre Inhalte über das Internet übertragen. Diese Gleichstellung mit den traditionellen Kommunikationsdiensten Telefonie und SMS und deren strengere Regulierung ist durchaus konsequent, bedenkt man, dass OTTD die SMS nicht nur zurückgedrängt, sondern fast gänzlich ersetzt haben.

Erfasst werden auch Metadaten, da solche ebenso dazu geeignet sind, persönliche Informationen über einen Nutzer zu enthüllen. Werden sie anonymisiert, können sie grundsätzlich ohne vorherige Zustimmung verarbeitet werden. Gleichzeitig schafft es die Kommission allerdings nicht, in ihrem Entwurf eine durchgehende Unterscheidung von personenbezogenen, pseudonymen und anonymen Daten aufrechtzuerhalten. Daten, die keinen legitimen Verarbeitungszwecken mehr dienen, müssen prinzipiell gelöscht oder anonymisiert werden.

Zentrales Element für die Erhebung, Verarbeitung und Übermittlung von (Meta-) Daten bleibt weiter die Zustimmung der Betroffenen. Ein Verbot für die Verwendung von Metadaten in bestimmten Bereichen wurde zwar vor allem von NGOs gefordert, findet aber keine Berücksichtigung im veröffentlichten Entwurf. Streng wird die Verarbeitung von Kommunikationsinhalten in Art 6 Abs 3 des Verordnungsentwurfs geregelt. Gemäß lit b darf eine solche Verarbeitung, wenn mehre Parteien betroffen sind, nur dann erfolgen, wenn (i) alle Kommunikationsteilnehmer für einen oder mehrere Zwecke zugestimmt haben, (ii) der jeweilige Zweck nicht mit der Verarbeitung anonymisierter Daten erreicht werden kann und (iii) der Betreiber des Dienstes Rücksprache mit der zuständigen Aufsichtsbehörde gehalten hat. Dies wird besonders Betreibern von E-Mail-Diensten ein Dorn im Auge sein.

Die sogenannte "Privacy-by-Design" wurde hingegen weniger restriktiv geregelt, als es dem Vorentwurf, der im Dezember 2016 aufgetaucht war, entnommen werden konnte. Ursprünglich vorgesehen war, dass gerade Software von Haus aus mit den datenschutzfreundlichsten Einstellungen ausgeliefert werden muss. Nunmehr sieht Art 10 Abs 2 vor, dass der Nutzer während der Installation auf die verfügbaren Privatsphäre-Einstellungen hingewiesen werden und eine Wahl (Zustimmung zum Tracking) treffen muss. Am 25. Mai 2018 bereits installierte Software muss nach Abs 3 spätestens innerhalb eines Monats mit einem Update versorgt werden, das diesem Erfordernis nachkommt. Außerdem muss den Nutzern bei Software in Zusammenhang mit elektronischer Kommunikation eine "Do-Not-Track"-Option verpflichtend zur Verfügung stehen. Hier bleiben die Anforderungen aber insgesamt hinter der DS-GVO zurück, die datenschutzfreundliche Voreinstellungen explizit vorsieht.

Andererseits ist Art 9 Abs 2 zu entnehmen, dass die Zustimmung zum Tracking durch Dritte (bspw durch Cookies) durch die entsprechenden Einstellungen der Software impliziert werden kann. Das könnte den immer zahlreicheren und scharf kritisierten Cookie-Banners auf Websites zumindest ansatzweise entgegenwirken. Dies scheint auch ein zentrales Anliegen der Kommission zu sein. So sollen Cookies, die nicht unmittelbar dem Tracking der Nutzer dienen (e.g. Session-Cookies für den Einkaufswagen von Shopping-Portalen) überhaupt ohne Aufklärung genutzt werden dürfen. Kommt es zu einer schlüssigen Zustimmung durch Browsereinstellung, muss sie allerdings weiterhin jederzeit frei von den Nutzern widerrufen werden können. Weiters ist vorgesehen, dass sie – solange eine Datenverarbeitung stattfindet – alle sechs (6) Monate an diese Möglichkeit erinnert werden.

Im Bereich der Ende-zu-Ende-Verschlüsselung und der staatlichen Überwachung ist das Ergebnis aus Sicht der Datenschützer unbefriedigend. Praktisch hat sich nicht viel getan. Es gibt keine Verpflichtung für Diensteanbieter, eine Ende-zu-Ende-Verschlüsselung zu etablieren, obwohl sich die überwiegende Mehrheit der Befragten im Vorfeld dafür ausgesprochen hat. Weiters wurde davon abgesehen, eine klare Regelung für die Vorratsdatenspeicherung von Metadaten zu treffen. Die Mitgliedsstaaten sollen selbst darüber entscheiden können, dabei allerdings die Rechtsprechung des Gerichtshofs der EU (EuGH) berücksichtigen.

Die Vorschriften zum E-Mail-Marketing entsprechen im Wesentlichen der geltenden österreichischen Rechtslage. So soll es auch eine Ausnahme für bestehende Geschäftsbeziehungen geben. Nach derzeitigem Stand könnten Werbemails nach einem Online-Einkauf damit bedenkenlos verschickt werden, solange es sich um eigene, ähnliche Produkte handelt und der Nutzer eine einfache Opt-Out-Möglichkeit hat. Härter wird mit ungewünschten Telefonanrufen ins Gericht gegangen: Nach Art 14 des Verordnungsentwurfs bspw werden Telefonanbieter in die Pflicht genommen, Verbrauchern die Möglichkeit zu bieten, auch anonyme Rufnummern zu blockieren. Die Rufnummern-Unterdrückung wird also zumindest eingeschränkt werden müssen. Ad-Blocker sowie entsprechende Gegenmaßnahmen der Websitebetreiber sollen, so der derzeitige Entwurf, zulässig sein. Der Entwurf sieht darüber hinaus noch zahlreiche weitere Bestimmungen bzw Umstände vor, unter denen eine Datenverarbeitung in bestimmtem Umfang erfolgen darf. Dabei ist allerdings immer zu beachten, dass die ePrivacy-VO für ein umfassendes Verständnis in Zusammenhang mit der DS-GVO gelesen werden muss.

Strafen

Die Strafen für Verstöße gegen diese datenschutzrechtlichen Bestimmungen wurden an die DS-GVO angelehnt. Verstöße gegen die in Art 23 Abs 2 genannten Regelungen der ePrivacy-VO können für Dienstanbieter Strafen von bis zu EUR 10.000.000 oder 2 % ihres weltweiten Umsatzes nach sich ziehen. Für andere Verstöße kann dieser Betrag sogar in doppelter Höhe anfallen. Kompensation ist für materielle- sowie immaterielle Schäden vorgesehen. Ein Verbandsklagerecht war zwar im Dezember-Vorentwurf enthalten, ist aber in der veröffentlichten Fassung nicht mehr aufzufinden. Nationale Regelungen, die diese Möglichkeit vorsehen, dürften dadurch allerdings nicht beeinträchtigt werden.

Conclusio

Die ePrivacy-VO kann, was schon in der oben dargelegten Kritik durch Datenschützer sowie Vertreter der Unternehmerseite zum Ausdruck kommt, nicht umfassend überzeugen. Man merkt, dass der Entwurf zumindest teilweise unter gewissem Zeitdruck erstellt worden ist, damit wohl der Termin 25. Mai 2018 eingehalten werden kann. Die tatsächliche Verwirklichung dieses Zeitplans ist anzuzweifeln (wenn nicht unrealistisch). Wir gehen davon aus, dass durch die Positionen des Europäischen Parlaments und des Rats der EU jedenfalls noch Änderungen erfolgen und möglicherweise zeitliche Verzögerungen eintreten werden.

Die Nationalstaaten werden ihre Chance gegebenenfalls nutzen und ihre Überwachungsmechanismen – soweit zulässig – auch auf OTTD ausdehnen. Es wird sich auch zeigen, ob Messenger wie WhatsApp unter den datenschutzrechtlichen Einschränkungen weiter kostenlos bleiben können.

Ein finaler Entwurf, der uns gesicherte Informationen darüber liefert, wie der Datenschutz im Kommunikationsbereich im Endeffekt ausgestaltet sein wird, bleibt abzuwarten; ebenso, wie das Zusammenspiel der ePrivacy-VO mit der DS-GVO in der Praxis funktionieren wird. Da die ePrivacy-VO wohl als lex specialis zur DS-GVO anzusehen ist, würde jene – im Falle eines Widerspruchs – in ihrem unmittelbaren Anwendungsbereich Vorrang genießen.

Zeitgleich mit der Veröffentlichung der ePrivacy-VO wurde überdies eine öffentliche Konsultation gestartet, die sich vorrangig mit dem Umgang maschinell erzeugter, nicht personenbezogener Daten beschäftigt. Nähere Informationen und eine Teilnahmemöglichkeit finden sich unter https://ec.europa.eu/digital-single-market/en/news/public-consultation-building-european-data-economy.

Weitere Beiträge aus unserem Journal