ePrivacy-Verordnung: Innovation und Verbraucherschutz in Einklang bringen

Foto: CC BY 2.0 Flickr User Dennis van der Heijden. Bildname: GDPR & ePrivacy Regulations. Credit: Convert GDPR.
Veröffentlicht am 23.04.2018

Die digitalpolitische Diskussion wurde in diesem Jahr von einer kleinen Firma aus den USA kräftig befeuert: seit dem Bekanntwerden des Skandals um Datenlecks bei Facebook bekommen die Debatten über Digitalpolitik und Datenschutz eine neue Dynamik. Während die einen schärfere Regeln fordern, pochen die anderen erst einmal auf konsequente Durchsetzung der bestehenden Vorschriften. Auswirkungen hat diese Debatte auch auf Gesetzgebungsvorhaben, die bereits auf dem Weg sind, wie zum Beispiel die e-Privacy-Verordnung der Europäischen Union. Hier stecken die Brüsseler Verhandlungen schon mehrere Monate fest. Denn während manche immer mehr fordern, wozu nun auch der Facebook-Skandal beiträgt, stellen andere die Harmonisierung mit der neuen Datenschutz-Grundverordnung nach vorne. Deren positiven Beitrag für ein einheitliches Datenschutz-Niveau in der EU hat auf UdL Digital immer wieder Raum eingenommen.

Foto: CC BY 2.0 Flickr User Dennis van der Heijden. Bildname: GDPR & ePrivacy Regulations. Credit: Convert GDPR.

Aktuell wird der Entwurf der ePrivacy-Verordnung (ePV) im Europäischen Rat und dem Europäischen Parlament diskutiert. Nach der 2016 vom europäischen Gesetzgeber verabschiedeten Datenschutz-Grundverordnung (DSGVO) ist dies das wichtigste Datenschutz-Gesetzgebungsvorhaben Europas in diesem Jahrzehnt, welches enormen Einfluss auf die Entwicklung und Innovationsfähigkeit des europäischen Datenmarkts haben wird.

Alle Experten sind sich einig: Daten sind ein zentrales Element der digitalen Wirtschaft, die durch Massendaten (Big Data) und datengetriebene Dienste und Unternehmen die Branche und die Gesellschaft als Ganzes grundlegend verändert. Damit die Bürger und Unternehmen in Europa von diesem Wandel in maximaler Weise profitieren, bedarf es sinnvoller und vor allem konsistenter rechtlicher Rahmenbedingungen. Diese sollten das Grundrecht auf Vertraulichkeit der Kommunikation und Datenschutz sowie das Erfordernis von Innovation und Entwicklung wegweisender Dienste in der Europäischen Union in ein angemessenes Gleichgewicht bringen.

Verhältnis von DSGVO und ePV

Die bereits bestehende DSGVO schafft einen adäquaten, technisch neutralen und zukunftssicheren Datenschutzrahmen, innerhalb dessen alle Industriezweige innovative Dienste entwickeln können, während gleichzeitig ein hohes Maß an Verbraucher- und Datenschutz über die verschiedenen Akteure hinweg gewährleistet ist, die in der datengetriebenen Wirtschaft tätig sind. Die DSGVO beinhaltet wichtige Schutzmechanismen wie transparente Informationen, Widerspruchsrecht und die Möglichkeit zum jederzeitigen Widerruf der Einwilligung, das Erfordernis sogenannter Datenschutzfolgenabschätzungen sowie äußerst abschreckende Sanktionen gegenüber Unternehmen, die gegen Vorschriften verstoßen. Dies gilt nicht nur für Telekommunikationsbetreiber, sondern für alle Akteure der digitalen Wirtschaft.

Die vorgeschlagene e-Privacy-Verordnung (ePV) aktualisiert die e-Privacy-Richtlinie und soll das Recht auf Vertraulichkeit der Kommunikation gewährleisten. Regelungsgegenstand der ePV ist nicht der Umgang mit personenbezogenen Daten (diese sind von der DSGVO umfasst), sondern der Umgang mit sogenannten Metadaten. Dies sind Daten, die im Zusammenhang mit Kommunikation anfallen, z. B. IP-Adressen, Zeitstempel, Ortsangaben, etc.

ePV kann fairen Wettbewerb zwischen TK-Diensten und OTTs schaffen

Telefónica ist der festen Überzeugung, dass die Stärkung und Erweiterung der Pflichten zur Wahrung der Vertraulichkeit auf die gesamte interpersonelle Kommunikation – also über die traditionellen Telekommunikationsdienste hinaus und unter Einbezug von sogenannten OTT-Diensten (Over-the-top-Dienste wie z. B. Messenger) – für einen besseren Datenschutz bei der Bereitstellung elektronischer Kommunikationsdienste, wo OTT- und Telekommunikationsanbieter dieselbe Rolle spielen, definitiv ein Schritt in die richtige Richtung sind.

Telefónica ist andererseits der Ansicht, dass der ursprüngliche ePV-Vorschlag der EU-Kommission völlig inkonsistent zum aktuellen Datenschutzrahmen der DSGVO ist. Dabei stellt Telefónica natürlich nicht den Grundsatz der Vertraulichkeit der Kommunikation infrage, sondern die strikte Behandlung von Verkehrs- und Standortdaten, bei welcher der ePV-Vorschlag von den in der DSGVO verankerten Rechtsgrundlagen für die Verarbeitung personenbezogener Daten abweicht.

Als Lex specialis soll die ePV die DSGVO ergänzen und nicht für eine unnötige Duplizierung oder, noch schlimmer, für Widersprüche zwischen beiden Rechtsnormen sorgen. Dennoch berücksichtigt der ePV-Vorschlag weder den durch die DSGVO gegebenen ausgewogenen Rechtsrahmen noch das Erfordernis von für alle Branchensektoren gleichen Wettbewerbsbedingungen bei der Bereitstellung von Big Data und datengetriebenen Diensten. Anstatt eine umfassende Abstimmung mit der DSGVO anzustreben, hält die ePV eine regulatorische Asymmetrie aufrecht, die in datengetriebenen Märkten gleiche Wettbewerbsbedingungen zwischen digitalen Anbietern und Telekommunikationsbetreibern verhindert.

Erlaubnistatbestände für Datenverarbeitung müssen einheitlich sein

Nach dem ePV-Vorschlag ist die Verarbeitung von Metadaten (Verkehrs- und Standortdaten) ausschließlich nach vorheriger Einwilligung oder vollständiger Anonymisierung gestattet, wobei nur eine sehr begrenzte Zahl von Ausnahmen eingeräumt wird, die in keiner Weise ausreichend oder zukunftssicher ist. Die ePV sollte auf der neuen DSGVO und nicht auf der alten e-Privacy-Richtlinie aufbauen. Die DSGVO führt neue Erlaubnistatbestände ein (z. B. Rechenschaftspflicht und risikobasierter Ansatz), die in der ePV in keiner Weise berücksichtigt sind. Das ist zusammen mit einer eng gehaltenen Liste von Ausnahmen, nach denen eine Verarbeitung zulässig ist, ein Rückschritt in die Vergangenheit. Tatsächlich ist die Verarbeitung von Metadaten zu vielen eingriffsfreien Zwecken ohne Folgen für die Privatsphäre von Personen möglich, wie bereits im Rahmen der DSGVO anerkannt (z. B. Steigerung der Servicequalität, Netzwerkoptimierung), und würden Nutzer nach vernünftigen Maßstäben erwarten („vernünftige Erwartungen“ gemäß DSGVO), dass ihre Kommunikationsanbieter eine solche Verarbeitung vornehmen. Der ePV-Vorschlag jedoch bricht mit dem mit der DSGVO erreichten ausgewogenen Ansatz zwischen Innovation und Verbraucherschutz. Der ePV-Vorschlag gefährdet den Spielraum der Telekommunikationsanbieter, im Zusammenhang mit Big Data- und datengetriebenen Diensten innovative Leistungen zu entwickeln und einzuführen und überlässt dies in Europa damit ausschließlich anderen Internet-Akteuren, die nicht unter die Bestimmungen der ePV fallen (OTT, wenn sie keine elektronischen Kommunikationsdienste bereitstellen).

Fortschritt statt Rückschritt

Wenn es der politische Wille der europäischen Mitgesetzgeber ist, ein eigenständiges Rechtsinstrument für e-Privacy aufrechtzuerhalten, dann sollte dies als Chance für eine bessere Regulierung und zur Vereinfachung sowie zur Erreichung konsistenter Datenschutzrahmenbedingungen zum Vorteil der europäischen Industrie und der europäischen Verbraucher betrachtet werden. Die Inkonsistenzen zwischen der DSGVO und der künftigen ePV müssen ausgeräumt werden. Blindes Vertrauen auf die Einwilligung ist nicht die richtige Antwort. Im Hinblick auf die Zukunft der ePV sollten auch andere Rechtsgründe für die Verarbeitung von Metadaten berücksichtigt werden, wie sie bereits in der DSGVO enthalten sind: Erfüllung eines Vertrags, Einhaltung einer Rechtspflicht, Schutz der grundlegenden Interessen der betroffenen Person, Verarbeitung zum Zwecke der Wahrung der berechtigten Interessen. Sehr wichtig ist auch die Anerkennung des Grundsatzes der Vereinbarkeit der Weiterverarbeitung.

Eine umfassende Abstimmung zwischen DSGVO und ePV ist daher unverzichtbar, um die nötige Flexibilität zu schaffen, damit europäische Telekommunikationsbetreiber im Bereich der datengetriebenen Dienste innovativ sein und gleichzeitig ein hohes Maß an Datenschutz gewährleisten können.

Die vollständige grundsätzliche Positionierung der Telefónica zur e-Privacy-Richtlinie findet sich ganz transparent hier als PDF.

Schlagworte

Empfehlung der Redaktion