11

Kernpunkte:

  • Kernbegriffe des Datenschutzes europäisch abgestimmt
  • E-Privacy-Verordnung

 

11  Europa  und Internationales

Europäische Vorgaben sind mittlerweile Bestandteil der täglichen Arbeit und werden daher auch nicht mehr in diesem Berichtskapitel erörtert, sondern gehören zu den jeweiligen Themen. Die Zusammenarbeit und notwendige Abstimmung der Datenschutzaufsichtsbehörden der europäischen Mitgliedstaaten findet in verschiedenen Gremien statt (Tz. 2.1.2). Für Deutschland sind stets Vertreter des Bundesbeauftragten für den Datenschutz beteiligt; daneben entsenden die Landesbeauftragten für Datenschutz eigene Vertreter. Das ULD hat für die Landesbeauftragten für Datenschutz in Deutschland die Vertretung in der Key Provisions Expert Subgroup, in der Technology Expert Subgroup und zeitweise in der Enforcement Expert Subgroup übernommen. Außerdem werden Expertinnen und Experten aus dem ULD zu Spezialthemen wie z. B. Diskussionen zu sozialen Medien in verschiedene europäische Gremien eingeladen.

 

11.1        Key Provisions Expert Subgroup  – Abstimmungen zur Einwilligung , zur Transparenz und zu Datenschutzbeauftragten

Die Key Provisions Expert Subgroup des Europäischen Datenschutzausschusses befasst sich regelmäßig mit Kernbegriffen des Datenschutzrechts. Im Berichtszeitraum wurden unter Mitwirkung des ULD u. a. Stellungnahmen zur Transparenz, zur Einwilligung und zu den Datenschutzbeauftragten überarbeitet und vom Europäischen Datenschutzausschuss angenommen.

Die Stellungnahme zur Einwilligung (WP 259 rev. 01) befasst sich mit den Elementen einer gültigen Einwilligung, ihrer Einholung, den zusätzlichen Bedingungen, spezifischen Formen – wie beispielsweise der Einwilligung von Kindern oder zu wissenschaftlichen Forschungszwecken – sowie mit Wechselwirkungen zwischen der Einwilligung und anderen Rechtsgrundlagen des Artikels 6 DSGVO.

Die Leitlinien für Transparenz (WP 260 rev. 01) befassen sich mit den maßgeblichen Faktoren zur Herstellung von Transparenz und insbesondere mit den Informationspflichten gegenüber der betroffenen Person aus Artikel 13 und Artikel 14 DSGVO sowie der Wahrnehmung und Beschränkung von Rechten der Betroffenen.

Die Leitlinien zu den Datenschutzbeauftragten (WP 243 rev. 01) führen Grundvoraussetzungen für die Benennung, die Stellung und die Aufgaben aus. In einem Anhang werden die wichtigsten Fragen zu diesem Bereich in leicht verständlicher Form beantwortet.

Die Stellungnahmen sind unter den folgenden Links abrufbar:

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 [Extern]

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227 [Extern]

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048 [Extern]


11.2        Stellungnahme zur E-Privacy-Verordnung

Obwohl es vonseiten des europäischen Gesetzgebers ursprünglich beabsichtigt war, die Richtlinie 2002/58/EG (E-Privacy-Richtlinie) parallel zur DSGVO zu überarbeiten und diese in Form einer Verordnung neu zu erschaffen, fand dies bis heute noch nicht statt. Die bisherigen Vorschläge, insbesondere des Parlaments, sind umstritten, die Diskussionen werden äußerst kontrovers geführt. Aufgrund der Entwicklungen bei den Beratungen über den Vorschlag und als Hilfestellung für die beiden gesetzgebenden Organe hat sich der Europäische Datenschutzausschuss auf Vorschlag der Technology Subgroup (unter Beteiligung des ULD als Co-Rapporteur) im Frühjahr 2018 entschieden, weitere Beratungen und Klärungen zu spezifischen Fragen anzubieten, die durch die vorgeschlagenen Änderungen der gesetzgebenden Organe aufgeworfen wurden. Der Europäische Datenschutzausschuss veröffentlichte in diesem Zusammenhang eine Stellungnahme, die auf einige wichtige Punkte hinweist, die bei einer Neuregelung seiner Ansicht nach zu berücksichtigen sind.

Die bisherigen Entwürfe bringen eine Erweiterung des örtlichen Anwendungsbereichs mit sich, der sich entsprechend den Vorgaben der DSGVO u. a. am Marktortprinzip orientiert. Auch hinsichtlich des sachlichen Anwendungsbereichs zeichnet sich eine Erweiterung im Vergleich zur jetzigen Rechtslage ab. Zum einen sollen nämlich sogenannte Over-the-Top-(OTT‑)Dienste in den Anwendungsbereich aufgenommen werden. Dies sind solche Dienste, die funktionsäquivalent zu klassischen Telekommunikationsdiensten (wie z. B. SMS) erbracht werden, ohne im klassischen Sinne Telekommunikationsdienste zu sein, da sie nur mittels bzw. auf der Internetinfrastruktur erbracht werden (beispielsweise Messenger-Dienste wie WhatsApp). Für die Nutzerinnen und Nutzer ergibt sich jedoch hinsichtlich der Funktion (interpersonelle Kommunikation) kein Unterschied, weshalb sie rechtlich gleich behandelt werden sollen wie klassische Telekommunikationsdienste. Das heißt, dass die Verarbeitung personenbezogener Daten durch diese Dienste u. a. dem Telekommunikationsgeheimnis unterworfen würden.

Außerdem enthalten die bisherigen Entwürfe Vorgaben für Software (beispielsweise klassische Browser, aber auch Apps für mobile Betriebssysteme), mittels derer ein Zugang zum Internet erlangt werden kann. So soll es verpflichtend Einstellungsmöglichkeiten für die Nutzer und Nutzerinnen geben. Da das aus dem allgemeinen Datenschutzrecht geltende Prinzip des Verbots mit Erlaubnisvorbehalt auch den Entwürfen der E-Privacy-Verordnung zugrunde liegt, ist von besonderer Bedeutung, welche Ausnahmen vom grundsätzlichen Verbot der Verarbeitung von elektronischen Kommunikationsdaten durch die Verordnung gemacht werden. Zu befürworten wären klare Erlaubnistatbestände, die hinreichend präzise Vorgaben für die Verarbeitung personenbezogener Daten in bestimmten Verarbeitungssituationen machen. Auch die Verarbeitung von Daten, die z. B. von Smartphones ausgesendet werden (z. B. sogenannte „Probe Requests“) oder von den Endgeräten ausgelesen werden können, sollte nur zu bestimmten festgelegten Zwecken zugelassen sein.

Die Verarbeitung personenbezogener Daten von einer vorherigen Einwilligung der betroffenen Personen abhängig zu machen, stellt zwar betroffene Personen in den Fokus einer Entscheidung, bringt jedoch die Gefahr mit sich, dass die Verantwortung für das „Ob“ der Datenverarbeitung auf die betroffenen Personen abgewälzt wird, ohne dass diese tatsächlich überblicken können, ob bestimmte Verarbeitungstätigkeiten der Verantwortlichen risikoreich sein werden oder nicht. Ebenso begegnet es Bedenken, wenn durch die E-Privacy-Verordnung Rechtsgrundlagen eingeführt würden, die eine Verarbeitung personenbezogener Daten auf Grundlage eines berechtigten Interesses erlauben. Denn gerade Datenverarbeitungen in einem derart spezifischen Umfeld sollten nicht auf eine unspezifische Interessenabwägung gestützt werden, die allen an der Datenverarbeitung Beteiligten viel zu wenig Rechtsklarheit und Rechtssicherheit gibt. Vielmehr wäre es angebracht, wenn der Gesetzgeber sich für einen abschließenden Numerus clausus der zulässigen Verarbeitungstätigkeiten entscheiden würde.

Derzeit – Anfang 2019 – wird der Text des Verordnungsentwurfs in der Arbeitsgruppe „Telekommunikation und Informationsgesellschaft“ des Europäischen Rats verhandelt. Die Diskussionen werden kontrovers geführt. Obwohl es ursprünglich das Ziel war, dass die E-Privacy-Verordnung das Schutzniveau der DSGVO nicht unterschreiten und die DSGVO lediglich bereichsspezifisch ergänzen und präzisieren soll, gibt es Stimmen, die beispielsweise eine weitreichendere Verarbeitung von Meta- und Standortdaten erlauben wollen. Metadaten sind die Daten, die anfallen, um Kommunikationsinhalte übertragen zu können, wie z. B. die angerufenen Nummern, besuchte Websites, der geografische Standort, Uhrzeit, Datum und Dauer von getätigten Anrufen. Aus ihnen lassen sich präzise Schlussfolgerungen über das Privatleben der an der elektronischen Kommunikation beteiligten Personen ziehen. Schon das Parlament hat darauf hingewiesen, dass Metadaten – da sie bereits in ein strukturiertes und standardisiertes Format überführt wurden – viel einfacher zu verarbeiten und zu analysieren sind als Inhalte. Ihre Verarbeitung sollte daher nur zulässig sein, wenn und solange sie zur Kommunikation notwendig sind. Darüber hinaus gibt es Bestrebungen, eine Regelung aufzunehmen, die sicherstellt, dass die Nutzung werbefinanzierter Online-Dienste davon abhängig gemacht werden kann, dass Nutzer in das Setzen von Cookies für Werbezwecke einwilligen. Die DSGVO enthält in Art. 7 Abs. 4 eine Regelung, die weithin als „Kopplungsverbot“ verstanden wird und wonach eine Einwilligung zu einer Verarbeitung von personenbezogenen Daten als unfreiwillig angesehen werden kann, wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von einer solchen Einwilligung abhängig gemacht wird. Würden sich die Positionen durchsetzen, wonach eine solche Kopplung im Online-Bereich zulässig sein soll, hätte dies weitreichende Folgen und das Schutzniveau der DSGVO würde massiv unterschritten.

Die Stellungnahme des Europäischen Datenschutzausschusses, die einen Teil der hier dargestellten Problemkreise und noch weitere behandelt, ist hier abrufbar:

https://edpb.europa.eu/our-work-tools/our-documents/other/edpb-statement-eprivacy-25052018_en [Extern]

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel