Deutsche Ratspräsidentschaft legt neuen Entwurf zur ePrivacy-Verordnung vor und scheitert

Im Januar 2017 wurde der erste Vorschlag der Europäischen Kommission für die ePrivacy-Verordnung vorgelegt. Seitdem wird vor allem im Rat intensiv um eine gemeinsame Positionierung gerungen. Verschiedene Meinungsverschiedenheiten behinderten eine Einigung im Gremium der Regierungen der 27 Mitgliedstaaten immer wieder. Nun kommt durch die deutsche EU-Ratspräsidentschaft – inzwischen die achte Ratspräsidentschaft, die sich mit dieser Verordnung auseinandersetzt – neuer Schwung in die Debatte.

Veränderte Bestimmungen zur Zulässigkeit der Datenverarbeitung

Natürlich verfolgt auch die deutsche Ratspräsidentschaft die Verarbeitung von Verbindungs- und Standortdaten sowie Zugriffe auf Endgeräte der Nutzer und das Sammeln von Informationen etwa mithilfe von Cookies weiter zulässig zu gestalten. Gleichzeitig sieht die jüngste Fassung der Ratspräsidentschaft das „berechtigte Interesse“ als Rechtmäßigkeitstatbestand für die Speicherung personenbezogener Daten nicht mehr vor. Gestrichen wurde der im letzten entsprechenden Dokument noch vorhandene Rechtmäßigkeitstatbestand:

„…it is necessary for the purpose of the legitimate interests pursued by a service provider to use processing and storage capabilities of terminal equipment or to collect information from an end-user’s terminal equipment, except when such interest is overridden by the interests or fundamental rights and freedoms of the end-user. The end-user’s interests shall be deemed to override the interests of the service provider where the end-user is a child or where the service provider processes, stores or collects the information to determine the nature and characteristics of the end-user or to build an individual profile of the end-user or the processing, storage or collection of the information by the service provider contains special categories of personal data as referred to in Article 9(1) of Regulation (EU) 2016/679“

Danach müssen Unternehmen, die im Rahmen ihrer Geschäftstätigkeit personenbezogene Daten ihrer Kunden verarbeiten wollen, dies wohl über rechtliche Verpflichtungen oder die Vertragsdurchführung legitimieren. 

Alternative Erlaubnistatbestände:

1. Metadatenverarbeitung zum Schutz lebenswichtiger Interessen erlaubt

Mittels Metadaten sind Zeit, Ort und an der Kommunikation beteiligte Personen erkennbar. In bestimmten Notfallsituationen soll es Kommunikationsanbietern  zwar ermöglicht werden, diese Daten ohne Zustimmung zu verarbeiten. Beispiele für solche Notfallszenarien sind die Überwachung der Ausbreitung von Epidemien, Naturkatastrophen sowie von Menschen verursachte Katastrophen. Abgestellt wird hierbei auf den „Schutz lebenswichtiger Interessen“, der sich auch in der DS-GVO wiederfindet. Dadurch ist dieser Tatbestand bereits weitestgehend in der Praxis bekannt und es insoweit eindeutig, welche Fälle von einer Metadatenverarbeitung aufgrund „lebenswichtiger Umstände“ erfasst sind.

2. Datenverarbeitung zur Verbrechensbekämpfung

Außerdem wurde von der deutschen Ratspräsidentschaft eine Klarstellung vorgelegt. Diese regelt die Möglichkeit einer nationalen Behörde, auf bestimmte Daten der elektronischen Kommunikation zum Zwecke der Verbrechensbekämpfung zuzugreifen.

Der Zuwachs an Sicherheitsprotokollen führte zu einer Diskussion über die Möglichkeiten zum rechtmäßigen Abhören von Telekommunikationsnetzen der nächsten Generation. Diskutiert wird, wie es Strafverfolgungsbehörden ermöglicht werden kann, Kommunikation abzuhören. Die Mitgliedsstaaten arbeiten, wie sich im Januar herausstellte, gemeinsam mit Europol und der Europäischen Kommission an geeigneten Wegen, um Möglichkeiten zum rechtmäßigen Abhören in 5G-Netzen zu erhalten.

Ursache dessen ist, dass die 5G-Technologie eine 256-Bit-Verschlüsselung verwendet, die ein neues Niveau an Privatsphäre und Anonymisierung in Kommunikationsnetzen ermöglicht. Dadurch entstehen mit dem vermehrten Einsatz von 5G im europäischen Raum neue Herausforderungen für Strafverfolgungsbehörden.

Kritik von Lobbyverbänden und Beobachtern

Protest dagegen kommt von der Telekommunikationsindustrie. Dort wird eine Verringerung des Potenzials für „Dateninnovation“ befürchtet. Die Lobbyverbände ETNO (European Telecommunications Network Operators‘ Association) und GSMA (Global System for Mobile Communications) forderten die EU-Mitgliedstaaten zur Ablehnung des neuen Kompromisses auf.

Ferner bestehe die Sorge, die ePrivacy-Verordnung würde den Plänen der EU entgegenlaufen, ihre Datenwirtschaft als Teil ihrer bahnbrechenden Datenstrategie der Kommission weiter zu stärken. Diese Strategie soll bezwecken, dass das ungenutzte Potenzial riesiger Schätze an Industriedaten bestmöglich zu nutzen und sowohl öffentlichen als auch privaten Akteuren einen erleichterten Zugang zu großen Informationsreserven zu ermöglichen. 

Neuer Vorschlag fällt durch

Der neue Vorschlag der deutschen Ratspräsidentschaft wurde am 11.11. in einer Ratsarbeitsgruppe abgelehnt. So hat die jüngste Vorlage bei den Mitgliedstaaten keine Mehrheit finden können.

Letztes Update:16.11.20

  • Onlinedatenschutz auf dem Weg zur ePrivacy-Verordnung

    Onlinedatenschutz auf dem Weg zur ePrivacy-Verordnung

    Seminar

    2021-10-28, 08:00 | Köln

    940.10 € Mehr erfahren
  • Websites datenschutzkonform gestalten

    Websites datenschutzkonform gestalten

    Seminar

    574.20 € Mehr erfahren
  • Mobile Endgeräte im Zeitalter von DS-GVO und e-Privacy-VO

    Mobile Endgeräte im Zeitalter von DS-GVO und e-Privacy-VO

    Seminar

    678.60 € Mehr erfahren
  • GDPR Schrems II

    Praxishinweise zum Fragenbogen der Aufsichtsbehörden

    Die GDD gibt Unternehmen Hinweise zur Beantwortung des Fragebogens der Aufsichtsbehörden zum konzerninternen Datenverkehr nach Schrems II. Anlässlich einer koordinierten Kontrolle von grenzüberschreitenden Datenübermittlungen in Drittländer seitens der deutschen Aufsichtsbehörden sollen ausgewählte Unternehmen auf Basis eines Fragenkataloges angeschrieben werden[1]. Insgesamt fünf Themenbereiche werden von unterschiedlichen Fragebögen[2] abgedeckt. Diese sind: Bewerberportale Konzerninterner Datenverkehr Mailhoster Tracking Webhoster Hintergrund

    Mehr erfahren
  • Kopie nach Art. 15 Abs. 3 DS-GVO

    Anspruch auf unentgeltliche Kopie von Examensklausuren nach Art. 15 DS-GVO

    Ein Urteil des Oberverwaltungsgerichts dürfte so manchem Examenskandidaten ein Lächeln ins Gesicht zaubern, zumindest denjenigen, die ein Interesse daran haben, Einsicht in die angefertigten Aufsichtsarbeiten und Prüfergutachten zu erhalten – am besten unentgeltlich. Das ist möglich, sagt das Oberverwaltungsgericht und stützt diesen Anspruch auf Art. 15 Abs. 3 DS-GVO. Was war passiert? Ein in Essen

    Mehr erfahren
  • Prüfung Aufsichtsbehörde

    Internationaler Datentransfer: Koordinierte Prüfung durch Aufsichtsbehörden

    In seiner Schrems-II-Entscheidung hat der EuGH festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen

    Mehr erfahren