Europäische Kommission: Vorschlag für eine neue Verordnung zum elektronischen Datenschutz

IRIS 2017-3:1/6

Svetlana Yakovleva

Institut für Informationsrecht (IViR), Universität Amsterdam & De Brauw, Blackstone, Westbroek

Am 10. Januar 2017 verabschiedete die Europäische Kommission einen Vorschlag für eine Verordnung in Bezug auf die Achtung der Privatsphäre und den Schutz personenbezogener Daten in der elektronischen Kommunikation (Verordnung zum elektronischen Datenschutz). Der Verordnungsvorschlag ist ein Ergebnis der Überprüfung der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) (siehe IRIS 2002-7/10), die in der Strategie der Europäischen Kommission für einen digitalen Binnenmarkt angekündigt wurde (siehe IRIS 2015-6:1/3).

Der Verordnungsvorschlag aktualisiert die Datenschutzrichtlinie für elektronische Kommunikation, um sie mit technologischen Entwicklungen sowie der im Mai 2016 verabschiedeten Datenschutz-Grundverordnung (DSGVO) in Einklang zu bringen. Er zielt darauf ab, „einen stärkeren Datenschutz in der elektronischen Kommunikation sicherzustellen und gleichzeitig neue Geschäftsmöglichkeiten zu eröffnen“. Nach der Verabschiedung wird die Verordnung zum elektronischen Datenschutz unmittelbar in der gesamten EU Gültigkeit haben.

Der Verordnungsvorschlag verbessert den bestehenden Rechtsrahmen beim elektronischen Datenschutz in einigen zentralen Bereichen. Erstens erweitert er den sachlichen Anwendungsbereich der Vorschriften für elektronischen Datenschutz und präzisiert den territorialen Anwendungsbereich. Im Gegensatz zur Datenschutzrichtlinie für elektronische Kommunikation (welche sich nur auf die Verarbeitung personenbezogener Daten in der elektronischen Kommunikation bezieht) erfasst die vorgeschlagene Verordnung die Verarbeitung „elektronischer Kommunikationsdaten“, wozu Inhalte und Metadaten elektronischer Kommunikation gehören, die nicht unbedingt auf personenbezogene Daten beschränkt sind. Anders als die Datenschutzrichtlinie für elektronische Kommunikation ist die vorgeschlagene Verordnung darüber hinaus nicht nur für Anbieter von elektronischen Kommunikationsdiensten, sondern auch für Anbieter sogenannter „Over-the-Top“-Dienste und von Kommunikation zwischen Maschinen verbindlich. Im Falle der Verabschiedung wird diese Verordnung für „elektronische Kommunikationsdaten [gelten], die in Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste in der [EU] verarbeitet werden, unabhängig davon, ob die Verarbeitung in der [EU] stattfindet.” Der territoriale Anwendungsbereich ist somit nicht auf die EU begrenzt.

Zweitens erweitert die vorgeschlagene Verordnung die Möglichkeiten von Unternehmen, elektronische Kommunikationsmetadaten wie Standortdaten zu verarbeiten. Nach den neuen Vorschriften ist die Zustimmung des Endnutzers lediglich einmal erforderlich und umfasst die Verarbeitung von sowohl Inhalten als auch Metadaten der Kommunikation. Im Sinne der Verordnung zum elektronischen Datenschutz wird die Zustimmung des Endnutzers dieselbe Bedeutung haben und denselben Bedingungen unterliegen wie die Zustimmung der betroffenen Person nach der DSGVO.

Drittens strafft die vorgeschlagene Verordnung die Vorschriften für Cookies. Insbesondere stellt sie klar, dass es keiner Zustimmung zu Cookies bedarf, die für das Funktionieren von Websites erforderlich sind, die das Interneterlebnis verbessern (zum Beispiel durch Merken des Warenkorbverlaufs) oder die von einer Website genutzt werden, um die Anzahl der Besucher festzustellen. In allen anderen Fällen ist die Verarbeitung und Speicherung von Cookies nur mit Zustimmung des Endnutzers zulässig. In Übereinstimmung mit den in der DSGVO kodifizierten Datenschutzgrundsätzen „durch Technikgestaltung“ und „durch datenschutzfreundliche Voreinstellungen“ verlangen die vorgeschlagenen Vorschriften von den Internet-Browsern ebenfalls, dass sie Endnutzern die Option bieten, die Speicherung von Cookies Dritter auf ihren Endgeräten oder die Verarbeitung von bereits auf diesen Geräten gespeicherten Cookies zu unterbinden.

Um vollständige Übereinstimmung mit der DSGVO zu gewährleisten, stützt sich die vorgeschlagene Verordnung schließlich auf die Durchsetzungsmechanismen der DSGVO. Aufsichtsbehörden, die mit der Durchsetzung der Verordnung betraut sind, müssen befugt sein, für etwaige Verstöße gegen die Verordnung zum elektronischen Datenschutz Sanktionen einschließlich Bußgelder zu verhängen. Endnutzer können dieselben administrativen und gerichtlichen Rechtsbehelfe in Anspruch nehmen, wie sie auch betroffenen Personen nach der DSGVO zur Verfügung stehen.