Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 24.10.2019
Entwurf einer Verordnung über Privatsphäre und elektronische Kommunikation (ePrivacy-Verordnung)
1. Einführung
Seit dem 25. Mai 2018 gilt in der gesamten Europäischen Union die Datenschutz-Grundverordnung - auch für Datenverarbeitungen bayerischer öffentlicher Stellen. Einen Überblick zunächst zur Datenschutz-Grundverordnung bietet meine Informationsreihe "Datenschutzreform 2018".
Die in der Datenschutz-Grundverordnung festgelegten allgemeinen Vorschriften sollen bezüglich "elektronischer Kommunikationsdaten" durch eine Verordnung über Privatsphäre und elektronische Kommunikation (ePrivacy-Verordnung) ergänzt und präzisiert werden. Diese speziellen und damit in ihrem Anwendungsbereich vorrangigen Bestimmungen sollen unter anderem Datenverarbeitungen beim Betrieb von Webseiten regeln und sind daher auch für bayerische Behörden bedeutsam.
Die Verordnung über Privatsphäre und elektronische Kommunikation befindet sich noch im europäischen Gesetzgebungsverfahren. Angesichts der Bedeutung dieser Verordnung informiere ich hier schon über das laufende Gesetzgebungsverfahren.
Einen Entwurf einer Verordnung über Privatsphäre und elektronische Kommunikation hat die Europäische Kommission (Kommission) am 10. Januar 2017 veröffentlicht:
http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=42678 (externer Link)Die Kommission hat diesen Entwurf vorgelegt, weil eine Bewertung der europäischen Datenschutzrichtlinie für die elektronische Kommunikation (ePrivacy-Richtlinie 2002/58/EG) ergeben hat, dass technische und wirtschaftliche Entwicklungen eine Neuregelung erfordern. Da diese Neuregelung in Form einer Verordnung erfolgen soll, gelten die Bestimmungen dann unmittelbar. Ein nationales Umsetzungsgesetz ist hierfür - anders als bei einer Richtlinie - nicht erforderlich (vgl. zu Mängeln bei der Umsetzung der ePrivacy-Richtlinie durch das Telemediengesetz meinen 27. Tätigkeitsbericht unter 12.3). In bestimmten Grenzen will der Verordnungsentwurf (Art. 11 und Art. 23 Abs. 6) allerdings abweichende Gesetze der Mitgliedstaaten der Europäischen Union zulassen.
2. Schutzzweck und Anwendungsbereich
Ziel ist der Schutz natürlicher und juristischer Personen bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste, insbesondere der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Art. 1 Abs. 1 des Entwurfs).
Die Verordnung soll für die Verarbeitung elektronischer Kommunikationsdaten und für Informationen in Bezug auf die Endeinrichtung der Endnutzer gelten (Art. 2 des Entwurfs).
Unter elektronische Kommunikationsdaten sollen sowohl Kommunikationsinhalte als auch Kommunikationsmetadaten fallen.
Der Verordnungsentwurf enthält für bayerische Behörden relevante Regelungen, insbesondere zu Datenverarbeitungen beim Betrieb behördlicher Webseiten. Dies betrifft etwa Datenverarbeitungen zur Aufrechterhaltung der Sicherheit des Kommunikationsdienstes sowie die Bedingungen für eine zulässige Verfolgung von Nutzeraktivitäten, unter anderem mittels Cookies.
Kommunikationsdienste, die über das Internet angeboten werden ("Over-The-Top-Kommunikationsdienste"), sollen nunmehr auch erfasst werden. Beispiele sind Internettelefonie (wie Skype), Instant Messaging (wie WhatsApp) und webgestützte E-Mail-Dienste. Auch die Vertraulichkeit der Kommunikation über Hotspots soll gewährleistet werden (vgl. Erwägungsgrund 13 des Verordnungsentwurfs).
3. Stellungnahmen und weiteres Gesetzgebungsverfahren
Die Artikel 29-Datenschutzgruppe (Mitglieder sind insbesondere die Datenschutzaufsichtsbehörden der Mitgliedstaaten der Europäischen Union) verabschiedete am 4. April 2017 eine Stellungnahme zum Verordnungsentwurf. Die Datenschutzgruppe begrüßt den Verordnungsansatz der Kommission. An einigen Stellen drohe aber ein Zurückbleiben hinter der Datenschutz-Grundverordnung. Deutliche Kritik wird an den Vorschlägen zum Einsatz von Cookies und Tracking geübt:
http://ec.europa.eu/newsroom/document.cfm?doc_id=44103 (externer Link)
Am 24. April 2017 veröffentlichte der Europäische Datenschutzbeauftragte seine Stellungnahme ("Opinion 6/2017"):
https://edps.europa.eu/data-protection/our-work/publications/opinions/eprivacy-regulation_de (externer Link)
Im sogenannten ordentlichen Gesetzgebungsverfahren werden noch das Europäische Parlament und der Rat der Europäischen Union beteiligt. Daher können sich die endgültigen Regelungen einer Verordnung über Privatsphäre und elektronische Kommunikation gegenüber dem derzeitigen Vorschlag der Kommission noch erheblich verändern. Die Verordnung wird jedenfalls nicht zum 25. Mai 2018 in Kraft treten, wie es im ursprünglichen Entwurf der Kommission vorgesehen war. Der weitere Zeitplan bis zur Verabschiedung der Verordnung ist derzeit nicht absehbar.
Den Bericht des Europäischen Parlaments (Ausschuss für bürgerliche Freiheiten, Justiz und Inneres, Berichterstatterin: Marju Lauristin) vom 23. Oktober 2017 mit einem Entschließungsantrag, der am 26. Oktober 2017 im Europäischen Parlament angenommen wurde, finden Sie unter:
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A8-2017-0324+0+DOC+XML+V0//DE (externer Link)
Ende Januar 2018 wurde ein Dokument (Nr. 5165/18 datiert auf den 11. Januar 2018 ) des Rats der Europäischen Union zur ePrivacy-Verordnung bekannt. Das Dokument enthält mehrere Optionen, zu denen der Rat der Europäischen Union um die Rückmeldung der Delegationen bittet. Das Dokument Nr. 5165/18 ist (auf Englisch) abrufbar:
http://data.consilium.europa.eu/doc/document/ST-5165-2018-INIT/en/pdf (externer Link)
Zur Vorbereitung der Treffen der Gruppe Telekommunikation und Informationsgesellschaft (WP Tele) des Rats der Europäischen Union wurden von diesem mehrere Dokumente (auf Englisch) veröffentlicht.
Das Dokument Nr. 13256/18 vom 19. Oktober 2018 (http://data.consilium.europa.eu/doc/document/ST-13256-2018-INIT/en/pdf (externer Link) ) enthält einen geänderten Text der geplanten ePrivacy-Verordnung und nennt am Ende eine 24-Monate-Frist, die ab Inkrafttreten bis zur unmittelbaren Anwendbarkeit gelten soll.
Mit Verweis auf die zahlreichen Austausch-Sitzungen der Rats-AG WP Tele im Januar 2019 hat die rumänische Ratspräsidentschaft ein neues Diskussionspapier zum Sachstand veröffentlicht. Damit sollen Kompromissvorschläge mit Blick auf die Themen gemacht werden, die die Delegationen der einzelnen Mitgliedsstaaten als noch immer problematisch/ungelöst identifiziert haben. Dokument Nr. 6467/19 vom 15. Februar 2019:
http://data.consilium.europa.eu/doc/document/ST-6467-2019-INIT/en/pdf (externer Link)
Die rumänische Ratspräsidentschaft hatte zuletzt angekündigt, auf einen Kompromisstext im Rat hinarbeiten zu wollen. Ein Verhandlungsmandat sollte zum 07. Juni 2019 erreicht werden. Ob diese Zeitschiene allerdings realistisch ist, scheint, angesichts der in der Zwischenzeit auch stattfindenden Europawahl, fraglich.
Der Europäische Datenschutzausschuss (EDSA), der am 25. Mai 2018 an die Stelle der Artikel 29-Datenschutzgruppe getreten ist, veröffentlichte am 28. Mai 2018 seine Stellungnahme zum Gesetzgebungsverfahren:
https://edpb.europa.eu/node/91 (externer Link)
Die Vertraulichkeit der elektronischen Kommunikation erfordere einen spezifischen Schutz. Der EDSA nahm auch zu einigen wichtigen Punkten Stellung, die seiner Auffassung nach im Trilog erörtert werden müssen. Keinesfalls dürfe die kommende Verordnung hinter dem aktuell geltenden Schutzniveau zurückbleiben.
In seiner 8. Sitzung am 13. März 2019 forderte der EDSA den europäischen Gesetzgeber erneut auf, die bereits seit langem diskutierte ePrivacy-Verordnung schnellstmöglich zu verabschieden. Diese müsse in Ergänzung der Datenschutz-Grundverordnung (DSGVO) ein hohes Schutzniveau für die Daten im Bereich der elektronischen Kommunikation garantieren:
https://edpb.europa.eu/news/news/2019/european-data-protection-board-eighth-plenary-session-interplay-eprivacy-directive_en (externer Link)
Eine konsolidierte Entwurfsfassung des Rats der Europäischen Union vom 12. Juli 2019 finden Sie unter:
http://data.consilium.europa.eu/doc/document/ST-11001-2019-INIT/en/pdf (externer Link)
Eine Entwurfsfassung des Rats der Europäischen Union vom 18. September 2019 finden Sie unter:
https://data.consilium.europa.eu/doc/document/ST-12293-2019-INIT/en/pdf (externer Link)
Eine Entwurfsfassung des Rats der Europäischen Union vom 4. Oktober 2019 finden Sie unter:
https://www.parlament.gv.at/PAKT/EU/XXVI/EU/07/70/EU_77024/imfname_10929175.pdf (externer Link)