Was macht eigentlich die E-Privacy-Verordnung?
Die Frage “Was macht eigentlich ...?” hört man dieser Tage sehr häufig, wenn es um die Umsetzung der Strategie für einen Digitalen Binnenmarkt in Europa geht, welche die Europäische Kommission im Mai 2015 veröffentlich hat. Seitdem wurden unzählige Gesetzesinitiativen gestartet, Richtlinien und Verordnungsentwürfe vorgestellt und Kommissionsmitteilungen zur Erläuterung der angestrebten Ziele zirkuliert. Dabei hat die Kommission regelmäßig thematische “Pakete” wie etwa das “Copyright Package” vom 14. 9. 2016 oder das “Data Economy Package” vom 10. 1. 2017 geschnürt. Nahezu alle Vorhaben stecken jedoch derzeit noch in den Mühlen der Gesetzgebungsmaschinerie in Brüssel und Straßburg. Es wird deutlich, dass sich die Union hier ein Mammut-Projekt auf die Schultern geladen hat, welches nicht innerhalb des ambitionierten Zeitplans zu bewältigen ist. Letztlich bleibt der Juncker-Kommission aber nur noch das Jahr 2018, um ihre Strategie erfolgreich in Unionsrecht umzusetzen. 2019 folgt eine neue Kommission. Zeit also, einen genaueren Blick auf den Stand der Dinge zu werfen. Dies soll exemplarisch anhand der sogenannten E-Privacy-Verordnung (COM 2017, 10 final) geschehen, welche Teil des bereits erwähnten Data Economy Package war.
Die Verordnung soll die bereits verabschiedete und zum 25. 5. 2018 in Kraft tretende Datenschutzgrundverordnung 2016/679 als lex specialis ergänzen und zugleich die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG (“E-Privacy-Richtlinie”) ablösen. Im Kern geht es um die Achtung des Privatlebens und die Wahrung der Vertraulichkeit der Kommunikation im digitalen Umfeld. Der Anwendungsbereich geht dabei über personenbezogene Daten hinaus und erfasst auch anderweitige Daten, an denen ein berechtigtes Vertraulichkeitsinteresse besteht.
Der Verordnungsentwurf liegt nunmehr seit knapp einem Jahr Rat und Parlament vor. In Letzterem oblag es federführend dem Innen- und Justizausschuss (LIBE), eine Beschlussvorlage und damit die Parlamentsposition vorzubereiten. Rapporteur ist die estnische Sozialdemokratin Marju Lauristin. Der Ausschuss konnte bei seiner Meinungsbildung auf diverse Stellungnahmen anderer Institutionen zurückgreifen. Bis einschließlich Juli bezogen neben der Art. 29-Datenschutzgruppe auch der Europäische Datenschutzbeauftragte und der Europäische Wirtschafts- und Sozialausschuss offiziell Stellung. Dabei mischten sich unter das generelle Lob für den Regelungsansatz als solchen naturgemäß auch kritische Töne. Begrüßt wird beispielsweise, dass der Anwendungsbereich der Verordnung neben Kommunikationsinhalten auch Metadaten umfassen soll. Auch die Einbeziehung sogenannter Over-the-Top-Dienste (OTT) wird positiv hervorgehoben. Kritisch gesehen werden dagegen das Wifi-Tracking, die Bedingungen, unter denen die Analyse von Inhalten und Metadaten erlaubt ist, die Standardeinstellungen von “terminal equipment and software” sowie die Zugangsbeschränkungen bei Webseiten. Insbesondere der Europäische Wirtschafts- und Sozialausschuss betont, dass die Auslegung zahlreicher Bestimmungen den Mitgliedstaaten überlassen werde, was die Gefahr in sich berge, dass es wegen der Komplexität der unterschiedlichen Regelungen zu einer mangelhaften Umsetzung kommen könnte.
Ende September und Anfang Oktober haben sich die mitberatenden Ausschüsse – genauer gesagt der Rechtsausschuss (JURI), der Ausschuss für Industrie, Forschung und Energie (ITRE) und der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) mit der Thematik befasst und Stellungnahmen abgegeben. Mit knapper Mehrheit beschloss der Innen- und Justizausschuss sodann am 19. 10. 2017 den von Marju Lauristin erarbeiteten Beschlussentwurf. Darauf aufsattelnd stimmte das Parlament in seiner Sitzung am 26. 10. 2017 mit einer Mehrheit von 318 zu 280 Stimmen für die vorgeschlagenen Änderungen und positioniert sich so für den nun anstehenden Trilog zwischen Parlament, Rat und Kommission. Die Parlamentarier verfolgen dabei einen erkennbar restriktiveren Kurs als dies im Kommissionsentwurf der Fall war.
Viel Zeit bleibt den Institutionen nicht mehr, soll die E-Privacy-Verordnung doch zeitgleich mit der Datenschutzgrundverordnung am 25. 5. 2018 in Kraft treten. Die “Knackpunkte” bei den anstehenden Verhandlungen dürften dabei voraussichtlich die Folgenden sein: (1) Einwilligungserfordernis bei kommerzieller Nutzung elektronischer Kommunikations- und Metadaten; (2) rechtsverbindliche Festlegung der Zulässigkeit des Online-/Offline-Tracking per Nutzereinstellungen im Browser oder Smartphone; (3) weitere Ausgestaltung des Grundsatzes “Privacy by Default”; (4) Sicherheitsanforderungen an Kommunikationsdiensteanbieter. Allein diese beispielhafte Auflistung zeigt: Es stehen uns noch spannende Wochen und Monate des Ringens um eine finale Fassung der Verordnung ins Haus!
RA Dr. Nils Rauer, Frankfurt a. M.