E-Privacy-Verordnung - gut gemeint ist nicht gut gemacht

DIHK, Mitteilung vom 16.08.2018

Die neue Datenschutz-Grundverordnung (DSGVO) sorgt bei deutschen Unternehmen für große Verunsicherung. Mit der E-Privacy-Verordnung plant die EU nun weitere Regeln zum Datenschutz. Bereits Anfang 2017 hat die EU-Kommission den Entwurf einer E-Privacy-Verordnung vorgelegt. Sie soll die DSGVO ergänzen und präzisieren - und zwar für Kommunikationsvorgänge wie Telefonate, Internetzugang, Messaging-Dienste, E-Mails oder Internet-Telefonie. Der Entwurf der E-Privacy-Verordnung betrifft aber nicht nur die reine Kommunikation, sondern auch Datenübermittlungen, die keinerlei Personenbezug haben. Dazu zählen beispielsweise das Internet der Dinge (IoT) sowie vernetzte Fahrzeuge. Eines ist bereits jetzt klar: Die E-Privacy-Verordnung wird erheblichen Einfluss darauf haben, wie Online-Dienste künftig angeboten werden dürfen.

Entwurf der EU-Kommission zu weitgehend

Der Entwurf der EU-Kommission geht über das Datenschutzniveau der DSGVO hinaus. Damit soll den besonderen Herausforderungen der elektronischen Kommunikation als Kernelement der Digitalisierung Rechnung getragen werden. Würden die vorgeschlagenen Regelungen unverändert in Kraft treten, wäre für alle Datenverarbeitungsprozesse grundsätzlich die Einwilligung der Nutzer erforderlich. Interessenabwägungen wie in der DSGVO oder eine Datenverarbeitung bei zulässiger Zweckänderung sind nicht vorgesehen. Dies hätte zahlreiche negative Konsequenzen: Viele bekannte Internet-Dienste und Apps könnten in ihrer jetzigen Form nicht oder nicht wirtschaftlich weiterbetrieben werden, das Sammeln von Daten für Big-Data-Analysen würde erheblich erschwert, Produkte einiger IoT-Hersteller wären nicht länger gesetzeskonform, und an vielen Stellen würden neue Nutzungs- und Geschäftsbedingungen benötigt. Erheblicher bürokratischer Aufwand für alle online aktiven Unternehmen wäre die Folge.

Mitgliedstaaten haben nachgebessert, ...

Der ursprüngliche Entwurf der Kommission wurde inzwischen von den Mitgliedstaaten im Rat - zuletzt im Juli 2018 - an vielen Stellen nachgearbeitet. In den Ratsverhandlungen spielte vor allem die Frage nach dem Umgang mit Cookies eine große Rolle. Aktuell reicht beim Besuch einer Website oder der Nutzung von Apps ein Hinweis aus, der die Nutzer über den Einsatz von Cookies informiert. Nach der neuen E-Privacy-Regelung dürfen Cookies nur dann gesetzt werden, wenn Nutzer der Verwendung aktiv zustimmen. Die Mitgliedstaaten haben klargestellt, dass dies in einigen Fällen unverhältnismäßig wäre, etwa bei der Nutzung von Webangeboten öffentlicher Stellen. Nach dem Willen der EU-Staaten soll die Pflicht zur Einwilligung in die Nutzung von Cookies zudem beim Betrieb vernetzter Geräte im Internet der Dinge entfallen. Auch bei den erforderlichen Einwilligungen über Datenschutzeinstellungen in Software, vor allem Webbrowsern, soll nachgebessert werden. So soll nun nicht mehr der Browseranbieter, sondern der Anbieter einer App oder Website die Einwilligung zum Einsatz von Cookies einholen.

... aber das reicht noch nicht

Ziel muss im weiteren Verlauf der Beratungen sein, einen verständlichen und transparenten Rechtsrahmen zu schaffen. Dieser muss den Schutz der Privatsphäre gewährleisten, ohne legitime Geschäftsmodelle zu beeinträchtigen und insbesondere kleinere Unternehmen zu überfordern. Dafür fehlt es auch nach den letzten Nachbesserungen bislang insgesamt an Klarheit und Transparenz der Regeln. Eine große Herausforderung besteht darin, geeignete Formulierungen zu finden, die in ausreichendem Maße technologieneutral und zugleich eindeutig sind. Außerdem muss die neue E-Privacy-Verordnung in Inhalt und Anwendungsbereich kompatibel mit der DSGVO sein. Es bedarf deshalb noch intensiver Beratungen, insbesondere auch zur Ergänzung weiterer Gründe für eine Verarbeitung von Daten. Dieses Thema gehört nach wie vor zu den heikelsten Punkten. Einen gemeinsamen Standpunkt wird der Rat wohl nicht vor Dezember 2018 festlegen. Mit einer Verkündung ist frühestens im Herbst 2019 zu rechnen. Deutschland setzt sich danach zu Recht für eine zweijährige Übergangsfrist für die Umsetzung ein.

Quelle: DIHK