Und ewig grüßt… die E-Privacy-Verordnung
Die Frage “Was macht eigentlich…?” hört man dieser Tage sehr häufig, so begann das Editorial der Dezemberausgabe der K&R im Jahr 2017. Das Thema war seinerzeit die E-Privacy-Verordnung oder besser der damalige Stand des Gesetzgebungsprozesses. Es durfte seinerzeit spekuliert werden, ob es Kommission, Rat und Parlament noch schaffen würden, die Verordnung “im Paket” mit der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO) zum 25. 5. 2018 in Kraft treten zu lassen. Die Antwort hierauf ist bekannt – sie lautete auf Nein.
Der Grund dafür, dass wir dieselbe Frage auch heute wieder stellen (müssen), liegt darin, dass die Verordnung “über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der RL 2002/58/EG” derart ins Stocken geraten ist, dass auch nahezu drei Jahre nach Veröffentlichung des ersten Kommissionsvorschlags (COM(2017) 10 final) noch keine abschließende Einigung über den Wortlaut der Verordnung erzielt werden konnte. Bisweilen wurde schon der Ruf laut, man solle es doch bei der DSGVO belassen und auf eine bereichsspezifische Regelung zu elektronischen Kommunikationsdiensten verzichten. Dem ist allerdings entgegenzuhalten, dass der Anwendungsbereich der E-Privacy Verordnung deutlich über die Verarbeitung personenbezogener Daten hinausgeht. Es macht also durchaus Sinn, den Schutz der Privatsphäre im Kontext digitaler Kommunikation zu regeln.
Im Rat ist jüngst, angestoßen durch die finnische Ratspräsidentschaft und deren Formulierungsvorschlag vom 18. 9. 2019 wieder Bewegung in die Angelegenheit gekommen. Wirklich zur Seite gelegt hatte der Rat das Gesetzesvorhaben jedoch zu keiner Zeit, wie die vielen Sitzungen zeigen, bei denen das Thema E-Privacy auf der Tagesordnung stand. Es würde daher ersichtlich zu kurz greifen, dem europäischen Gesetzgeber schlicht Unfähigkeit zu attestieren, das gesellschaftspolitisch durchaus wichtige Thema eines effektiven Schutzes der Privatsphäre in einer zunehmend digitalen Welt effektiv zu regeln. Unbestreitbar dauert das Gesetzgebungsverfahren jedoch bereits deutlich zu lange an.
Der Regelungskern der Verordnung tangiert allerdings auch nahezu alles, was die Nutzung des Internets durch den Einzelnen ausmacht. Dank der ausgedehnten Definition des elektronischen Kommunikationsdienstes, wie er sich im Europäischen Kodex für elektronische Kommunikation (EECC) findet und von der E-Privacy-Verordnung übernommen wird, fallen nicht nur die klassischen Telekommunikationsdienste in den Anwendungsbereich, sondern auch sogenannte Over-the-top (OTT)-Dienste. Auch die Kommunikation “machine-to-machine” (M2M) ist in Teilen erfasst. Damit entfaltet die Verordnung beispielsweise auch Relevanz für Bereiche wie Internet of Things (IoT), Connected Devices oder das Speisen künstlicher Intelligenz (KI) mit Daten, welche der KI das Lernen überhaupt erst ermöglichen. Auch der Einsatz von Tracking-Mechanismen wie etwa Cookies, zu dem sich unlängst auch der EuGH in seiner Entscheidung Planet49 vom 1. 10. 2019 (C-673/17, K&R 2019, 705 ff.) geäußert hat, soll in der E-Privacy-Verordnung eine Regelung erfahren. Schließlich gehören auch der Kampf gegen Hate Speech und andere Internet-Kriminalität bei gleichzeitiger Gewährleistung von Meinungsfreiheit und medialem Pluralismus zu den Themen, welche es zu regeln gilt. Der Themenkreis ist also ersichtlich weit gefasst und die Gewährleistung eines freien Verkehrs elektronischer Kommunikationsdaten unter Wahrung der Grundrechte und Grundfreiheiten des Einzelnen bilden eine wahre Herausforderung.
Im Rat hat sich federführend die Arbeitsgruppe “Telekommunikation und Informationsgesellschaft” mit dem Verordnungsentwurf befasst, dies zuletzt in der Sitzung vom 11. 10. 2019. Geklärt ist mittlerweile, dass die Verordnung keinerlei Obliegenheiten für den Endnutzer mit sich bringen soll. Letzterer soll allein profitieren und vor allem einen erweiterten Schutz seiner Privatsphäre bei der Nutzung moderner Kommunikationskanäle genießen. Selbiges soll auch ersichtlich über den reinen Schutz personenbezogener Daten hinausgehen. Es geht insgesamt um Vertraulichkeit. Der Anwendungsbereich der E-Privacy-Verordnung erfasst also auch Informationen, die nicht der DSGVO unterliegen. Nicht umfasst ist allerdings jegliche Kommunikation, welche sich nach Erhalt der Information auf dem jeweiligen Endgerät zuträgt. Ebenfalls ausgenommen sind Kommunikationsdienste, die nicht öffentlich zugänglich sind, also beispielsweise private WLAN-Netze.
Viel Raum eingenommen hat zuletzt die Diskussion um Art. 6 der E-Privacy-Verordnung und die darin vorgesehene Begründung von Erlaubnistatbeständen zur Verarbeitung elektronischer Kommunikationsdaten. Insbesondere zulässig sein soll die Datenverarbeitung im Kampf gegen Kinderpornografie im Netz.
Speziell dem Thema Tracking/Cookies, also der Speicherung von und dem Zugriff auf Informationen, die auf dem Endgerät des Nutzers gespeichert werden, widmet sich Art. 8 der E-Privacy-Verordnung. Dem generellen Tracking-Verbot in Abs. 1 folgen diverse Erlaubnistatbestände in den folgenden Absätzen. Über den Gesetzgebungsprozess hinweg ist es hier – erfreulicherweise – zu einer besseren Verzahnung und Abstimmung mit den Regelungen der DSGVO gekommen. Eine hinreichende Kohärenz ist im Interesse einer adäquaten Rechtssicherheit unerlässlich. Dies gilt insbesondere für das deutsche Telemedienrecht, welches infolge des gesetzgeberischen Versäumnisses, die E-Privacy-Richtlinie hinreichend in nationales Recht umzusetzen, gerade in Sachen Cookies durch erhebliche Rechtsunsicherheit geprägt ist.
Es bleibt abzuwarten, ob der jetzt vorliegende Kompromissvorschlag mehrheitsfähig ist und der Rat dem neu gewählten Parlament zeitnah eine allgemeine Ausrichtung zuleiten kann. Wünschenswert wäre dies allemal!
RA Dr. Nils Rauer, Frankfurt a. M.