≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 24.10.2018

Entwurf einer Verordnung über Privatsphäre und elektronische Kommunikation (ePrivacy-Verordnung)

1. Einführung

Seit dem 25. Mai 2018 gilt in der gesamten Europäischen Union die Datenschutz-Grundverordnung - auch für Datenverarbeitungen bayerischer öffentlicher Stellen. Einen Überblick zunächst zur Datenschutz-Grundverordnung bietet meine Informationsreihe "Datenschutzreform 2018".

Die in der Datenschutz-Grundverordnung festgelegten allgemeinen Vorschriften sollen bezüglich "elektronischer Kommunikationsdaten" durch eine Verordnung über Privatsphäre und elektronische Kommunikation (ePrivacy-Verordnung) ergänzt und präzisiert werden. Diese speziellen und damit in ihrem Anwendungsbereich vorrangigen Bestimmungen sollen unter anderem Datenverarbeitungen beim Betrieb von Webseiten regeln und sind daher auch für bayerische Behörden bedeutsam.

Die Verordnung über Privatsphäre und elektronische Kommunikation befindet sich noch im europäischen Gesetzgebungsverfahren. Angesichts der Bedeutung dieser Verordnung informiere ich hier schon über das laufende Gesetzgebungsverfahren.

Einen Entwurf einer Verordnung über Privatsphäre und elektronische Kommunikation hat die Europäische Kommission (Kommission) am 10. Januar 2017 veröffentlicht:

http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=42678 (externer Link)

Die Kommission hat diesen Entwurf vorgelegt, weil eine Bewertung der europäischen Datenschutzrichtlinie für die elektronische Kommunikation (ePrivacy-Richtlinie 2002/58/EG) ergeben hat, dass technische und wirtschaftliche Entwicklungen eine Neuregelung erfordern. Da diese Neuregelung in Form einer Verordnung erfolgen soll, gelten die Bestimmungen dann unmittelbar. Ein nationales Umsetzungsgesetz ist hierfür - anders als bei einer Richtlinie - nicht erforderlich (vgl. zu Mängeln bei der Umsetzung der ePrivacy-Richtlinie durch das Telemediengesetz meinen 27. Tätigkeitsbericht unter 12.3). In bestimmten Grenzen will der Verordnungsentwurf (Art. 11 und Art. 23 Abs. 6) allerdings abweichende Gesetze der Mitgliedstaaten der Europäischen Union zulassen.

2. Schutzzweck und Anwendungsbereich

Ziel ist der Schutz natürlicher und juristischer Personen bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste, insbesondere der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Art. 1 Abs. 1 des Entwurfs).

Die Verordnung soll für die Verarbeitung elektronischer Kommunikationsdaten und für Informationen in Bezug auf die Endeinrichtung der Endnutzer gelten (Art. 2 des Entwurfs).

Unter elektronische Kommunikationsdaten sollen sowohl Kommunikationsinhalte als auch Kommunikationsmetadaten fallen.

Der Verordnungsentwurf enthält für bayerische Behörden relevante Regelungen, insbesondere zu Datenverarbeitungen beim Betrieb behördlicher Webseiten. Dies betrifft etwa Datenverarbeitungen zur Aufrechterhaltung der Sicherheit des Kommunikationsdienstes sowie die Bedingungen für eine zulässige Verfolgung von Nutzeraktivitäten, unter anderem mittels Cookies.

Kommunikationsdienste, die über das Internet angeboten werden ("Over-The-Top-Kommunikationsdienste"), sollen nunmehr auch erfasst werden. Beispiele sind Internettelefonie (wie Skype), Instant Messaging (wie WhatsApp) und webgestützte E-Mail-Dienste. Auch die Vertraulichkeit der Kommunikation über Hotspots soll gewährleistet werden (vgl. Erwägungsgrund 13 des Verordnungsentwurfs).

3. Stellungnahmen und weiteres Gesetzgebungsverfahren

Die Artikel 29-Datenschutzgruppe (Mitglieder sind insbesondere die Datenschutzaufsichtsbehörden der Mitgliedstaaten der Europäischen Union) verabschiedete am 4. April 2017 eine Stellungnahme zum Verordnungsentwurf. Die Datenschutzgruppe begrüßt den Verordnungsansatz der Kommission. An einigen Stellen drohe aber ein Zurückbleiben hinter der Datenschutz-Grundverordnung. Deutliche Kritik wird an den Vorschlägen zum Einsatz von Cookies und Tracking geübt:

http://ec.europa.eu/newsroom/document.cfm?doc_id=44103 (externer Link)

Am 24. April 2017 veröffentlichte der Europäische Datenschutzbeauftragte seine Stellungnahme ("Opinion 6/2017"):

https://edps.europa.eu/data-protection/our-work/publications/opinions/eprivacy-regulation_de (externer Link)

Im sogenannten ordentlichen Gesetzgebungsverfahren werden noch das Europäische Parlament und der Rat der Europäischen Union beteiligt. Daher können sich die endgültigen Regelungen einer Verordnung über Privatsphäre und elektronische Kommunikation gegenüber dem derzeitigen Vorschlag der Kommission noch erheblich verändern. Die Verordnung wird jedenfalls nicht zum 25. Mai 2018 in Kraft treten, wie es im ursprünglichen Entwurf der Kommission vorgesehen war. Der weitere Zeitplan bis zur Verabschiedung der Verordnung ist derzeit nicht absehbar.

Den Bericht des Europäischen Parlaments (Ausschuss für bürgerliche Freiheiten, Justiz und Inneres, Berichterstatterin: Marju Lauristin) vom 23. Oktober 2017 mit einem Entschließungsantrag, der am 26. Oktober 2017 im Europäischen Parlament angenommen wurde, finden Sie unter: 

http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A8-2017-0324+0+DOC+XML+V0//DE (externer Link)

Ende Januar 2018 wurde ein Dokument (Nr. 5165/18 datiert auf den 11. Januar 2018 ) des Rats der Europäischen Union zur ePrivacy-Verordnung bekannt. Das Dokument enthält mehrere Optionen, zu denen der Rat der Europäischen Union um die Rückmeldung der Delegationen bittet. Das Dokument Nr. 5165/18 ist (auf Englisch) abrufbar:

http://data.consilium.europa.eu/doc/document/ST-5165-2018-INIT/en/pdf (externer Link)

Zur Vorbereitung der Treffen der Gruppe Telekommunikation und Informationsgesellschaft (WP Tele) des Rats der Europäischen Union wurden von diesem mehrere Dokumente (auf Englisch) veröffentlicht. Zuletzt:

Das Dokument vom 19. Oktober 2018 enthält einen geänderten Text der geplanten ePrivacy-Verordnung und nennt am Ende eine 24-Monate-Frist, die ab Inkrafttreten bis zur unmittelbaren Anwendbarkeit gelten soll.

Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB), der am 25. Mai 2018 an die Stelle der Artikel 29-Datenschutzgruppe getreten ist, veröffentlichte am 28. Mai 2018 seine Stellungnahme zum Gesetzgebungsverfahren: https://edpb.europa.eu/node/91 (externer Link)

Die Vertraulichkeit der elektronischen Kommunikation erfordere einen spezifischen Schutz und der EDPB nimmt Stellung zu einigen wichtigen Punkten, die seiner Auffassung nach im Trilog erörtert werden müssen. Keinesfalls dürfe die kommende Verordnung hinter dem aktuell geltenden Schutzniveau zurückbleiben.