Deutsche Ratspräsidentschaft legt neuen Entwurf zur ePrivacy-Verordnung vor und scheitert

Im Januar 2017 wurde der erste Vorschlag der Europäischen Kommission für die ePrivacy-Verordnung vorgelegt. Seitdem wird vor allem im Rat intensiv um eine gemeinsame Positionierung gerungen. Verschiedene Meinungsverschiedenheiten behinderten eine Einigung im Gremium der Regierungen der 27 Mitgliedstaaten immer wieder. Nun kommt durch die deutsche EU-Ratspräsidentschaft – inzwischen die achte Ratspräsidentschaft, die sich mit dieser Verordnung auseinandersetzt – neuer Schwung in die Debatte.

Veränderte Bestimmungen zur Zulässigkeit der Datenverarbeitung

Natürlich verfolgt auch die deutsche Ratspräsidentschaft die Verarbeitung von Verbindungs- und Standortdaten sowie Zugriffe auf Endgeräte der Nutzer und das Sammeln von Informationen etwa mithilfe von Cookies weiter zulässig zu gestalten. Gleichzeitig sieht die jüngste Fassung der Ratspräsidentschaft das „berechtigte Interesse“ als Rechtmäßigkeitstatbestand für die Speicherung personenbezogener Daten nicht mehr vor. Gestrichen wurde der im letzten entsprechenden Dokument noch vorhandene Rechtmäßigkeitstatbestand:

„…it is necessary for the purpose of the legitimate interests pursued by a service provider to use processing and storage capabilities of terminal equipment or to collect information from an end-user’s terminal equipment, except when such interest is overridden by the interests or fundamental rights and freedoms of the end-user. The end-user’s interests shall be deemed to override the interests of the service provider where the end-user is a child or where the service provider processes, stores or collects the information to determine the nature and characteristics of the end-user or to build an individual profile of the end-user or the processing, storage or collection of the information by the service provider contains special categories of personal data as referred to in Article 9(1) of Regulation (EU) 2016/679“

Danach müssen Unternehmen, die im Rahmen ihrer Geschäftstätigkeit personenbezogene Daten ihrer Kunden verarbeiten wollen, dies wohl über rechtliche Verpflichtungen oder die Vertragsdurchführung legitimieren. 

Alternative Erlaubnistatbestände:

1. Metadatenverarbeitung zum Schutz lebenswichtiger Interessen erlaubt

Mittels Metadaten sind Zeit, Ort und an der Kommunikation beteiligte Personen erkennbar. In bestimmten Notfallsituationen soll es Kommunikationsanbietern  zwar ermöglicht werden, diese Daten ohne Zustimmung zu verarbeiten. Beispiele für solche Notfallszenarien sind die Überwachung der Ausbreitung von Epidemien, Naturkatastrophen sowie von Menschen verursachte Katastrophen. Abgestellt wird hierbei auf den „Schutz lebenswichtiger Interessen“, der sich auch in der DS-GVO wiederfindet. Dadurch ist dieser Tatbestand bereits weitestgehend in der Praxis bekannt und es insoweit eindeutig, welche Fälle von einer Metadatenverarbeitung aufgrund „lebenswichtiger Umstände“ erfasst sind.

2. Datenverarbeitung zur Verbrechensbekämpfung

Außerdem wurde von der deutschen Ratspräsidentschaft eine Klarstellung vorgelegt. Diese regelt die Möglichkeit einer nationalen Behörde, auf bestimmte Daten der elektronischen Kommunikation zum Zwecke der Verbrechensbekämpfung zuzugreifen.

Der Zuwachs an Sicherheitsprotokollen führte zu einer Diskussion über die Möglichkeiten zum rechtmäßigen Abhören von Telekommunikationsnetzen der nächsten Generation. Diskutiert wird, wie es Strafverfolgungsbehörden ermöglicht werden kann, Kommunikation abzuhören. Die Mitgliedsstaaten arbeiten, wie sich im Januar herausstellte, gemeinsam mit Europol und der Europäischen Kommission an geeigneten Wegen, um Möglichkeiten zum rechtmäßigen Abhören in 5G-Netzen zu erhalten.

Ursache dessen ist, dass die 5G-Technologie eine 256-Bit-Verschlüsselung verwendet, die ein neues Niveau an Privatsphäre und Anonymisierung in Kommunikationsnetzen ermöglicht. Dadurch entstehen mit dem vermehrten Einsatz von 5G im europäischen Raum neue Herausforderungen für Strafverfolgungsbehörden.

Kritik von Lobbyverbänden und Beobachtern

Protest dagegen kommt von der Telekommunikationsindustrie. Dort wird eine Verringerung des Potenzials für „Dateninnovation“ befürchtet. Die Lobbyverbände ETNO (European Telecommunications Network Operators‘ Association) und GSMA (Global System for Mobile Communications) forderten die EU-Mitgliedstaaten zur Ablehnung des neuen Kompromisses auf.

Ferner bestehe die Sorge, die ePrivacy-Verordnung würde den Plänen der EU entgegenlaufen, ihre Datenwirtschaft als Teil ihrer bahnbrechenden Datenstrategie der Kommission weiter zu stärken. Diese Strategie soll bezwecken, dass das ungenutzte Potenzial riesiger Schätze an Industriedaten bestmöglich zu nutzen und sowohl öffentlichen als auch privaten Akteuren einen erleichterten Zugang zu großen Informationsreserven zu ermöglichen. 

Neuer Vorschlag fällt durch

Der neue Vorschlag der deutschen Ratspräsidentschaft wurde am 11.11. in einer Ratsarbeitsgruppe abgelehnt. So hat die jüngste Vorlage bei den Mitgliedstaaten keine Mehrheit finden können.

Letztes Update:16.11.20

  • Onlinedatenschutz auf dem Weg zur ePrivacy-Verordnung

    Onlinedatenschutz auf dem Weg zur ePrivacy-Verordnung

    Seminar

    2021-03-25, 09:00 | online

    2021-10-28, 08:00 | Köln

    940.10 € Mehr erfahren
  • Websites datenschutzkonform gestalten

    Websites datenschutzkonform gestalten

    Seminar

    574.20 € Mehr erfahren
  • Mobile Endgeräte im Zeitalter von DS-GVO und e-Privacy-VO

    Mobile Endgeräte im Zeitalter von DS-GVO und e-Privacy-VO

    Seminar

    678.60 € Mehr erfahren
  • BSI-Standard zum Notfallmanagement wird aktualisiert

    Das BSI entwickelt den IT-Grundschutz weiter fort. In absehbarer Zeit soll auch der Standard 100-4 ersetzt werden. Mit dem BSI-Standard 100-4 hatte das BSI begonnen, einen systematischen Weg aufzuzeigen, wie ein Notfallmanagement in einer Behörde oder einem Unternehmen aufgebaut werden kann, um die Kontinuität des Geschäftsbetriebs sicherzustellen.Der Standard 100-4 wird durch den neuen Standard 200-4

    Mehr erfahren
  • Datenschutzorganisationen prüfen und beurteilen mit begrenztem Zeitaufwand!

    Die Umsetzung der Datenschutz-Grundverordnung (DS-GVO) hält Unternehmen und andere datenverarbeitenden Stellen weiter in Atem. Auch lange nach ihrem Inkrafttreten stellt sie für viel Organisationen eine große Herausforderung dar. Aber auch dort, wo bereits viel Engagement in die Umsetzung des europäischen Datenschutzrechts gesteckt wurde, hat wohl noch niemand das Ziel der hundertprozentigen DS-GVO-Compliance erreicht. Komplexe Materie

    Mehr erfahren
  • Data Breach

    Beispiele für Informationspflichten bei Datenpannen

    Nach ErwG 85 der DS-GVO kann eine Verletzung des Schutzes personenbezogener Daten  – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der

    Mehr erfahren