Die E-Privacy-Verordnung – ein gordischer Knoten für Telemediendienste
Vertraulichkeit elektronischer Kommunikation ist wichtig und zentraler Baustein für das Vertrauen in digitale Dienste. In Deutschland hat der Schutz dieser Vertraulichkeit als Fernmeldegeheimnis Verfassungsrang. Und auch in Europa stellt sich mit der Neuordnung des Datenschutzes die Frage nach zusätzlicher Regulierung für die elektronische Kommunikation als Ersatz für die mittlerweile als überholt angesehene E-Privacy-Richtlinie. Bei dieser Neuordnung entschied sich die Europäische Kommission für den Vorschlag einer E-Privacy-Verordnung (EPVO), die sowohl als lex generalis für die Regelung der Vertraulichkeit elektronischer Kommunikation als auch als lex specialis für die Datenschutz-Grundverordnung (DSGVO) weitere Regeln für den Datenschutz im Internet aufstellen soll – ein Spannungsverhältnis, das nicht unumstritten ist. Der im Januar 2017 veröffentlichte Kommissionsvorschlag für die EPVO stieß insbesondere in der Werbewirtschaft auf scharfe Kritik. Als zu strikt wurden die Auflagen für die Reichweitenmessung, das übermitteln von Werbung sowie das Setzen sogenannter Cookies angesehen, die erheblich eingeschränkt und für Dritte vollständig untersagt wurden (vgl. COM(2017)10, Art. 8.1 lit. d). Mittlerweile hat sich das Europäische Parlament des Verordnungsentwurfs angenommen und an zahlreichen Stellen Ergänzungen und Erweiterungen vorgenommen. Dies betrifft insbesondere auch die Maßgaben für die Reichweitenmessung sowie die Erfassung des Publikumsverkehrs auf Webseiten und in Onlinediensten wie bspw. Apps. Die Erfassung von Daten im Auftrag von Webseiten- oder Dienstebetreibern wäre zwar nun wieder möglich. Gleichzeitig wurden jedoch neue Regeln eingeführt, mit denen die Bildung von Profilen über einzelne Dienste hinweg erschwert werden soll. Die Debatte um die Auftragsdatenverarbeitung, die im Rahmen der DSGVO auf verschiedene Weisen ermöglicht wird (Art. 24 ff.), wurde so weitgehend erledigt.
Der Schwerpunkt der EPVO wurde allerdings weiter weg vom Schutz der Vertraulichkeit der elektronischen Kommunikation und hin zu einer separaten Datenschutzverordnung für das Internet verlagert. Als Maßstab für diesen Datenschutz wählte die Kommission – abweichend von der Praxis der DSGVO – die Einwilligung von Nutzern als einzigen rechtmäßigen Grund für die Verarbeitung von Daten; ein Umstand, an dem auch das Parlament nichts grundlegend änderte.
Separate Einwilligungen einzelner Nutzer in die Verwendung von Daten bleiben damit Maßgabe für die Nutzung von Diensten, wie sie sich in der Debatte um die “Cookie Banner”, die Nutzern beim Aufrufen von Webseiten angezeigt werden, schon jetzt manifestiert. Die Grundsätze für die Abfrage zur Speicherung von Cookies werden durch die EPVO nicht beseitigt. Einfache Regeln und mehr Komfort für Nutzer konnten nicht mit dem Anspruch an einen separaten Internetdatenschutz in Einklang gebracht werden. Mangelnder Nutzerkomfort und Dienste-übergreifende Kontrolle über Daten sind aber nicht das einzige Problem der EPVO. Anbieter werbefinanzierter Dienste kritisieren Kommissionsvorschlag und Parlamentsbeschluss weiter massiv, da er in ihren Augen den Betrieb ihrer Dienste massiv einschränkt.
In der Diskussion wird leider häufig außer Acht gelassen, dass es nicht nur einzelne Geschäftsmodelle sind, die hier angegriffen werden, sondern dass die Dienste selbst in Frage gestellt werden. Zahlreiche Änderungen und Ergänzungen in den Artikeln 5, 6 und 7 werfen die Frage auf, in welchem Rahmen überhaupt Daten und vor allem Metadaten erhoben werden können und inwieweit diese für die Bereitstellung von Diensten verwendet werden dürfen. Sowohl die unklaren Definitionen von Diensten und Funktionen als auch die bestehenden Unschärfen zwischen Kommunikationsinhalten und Metadaten sorgen für gravierende Rechtsunsicherheit. Diese Definitionen werden durch weitere Ausnahmetatbestände verzerrt und sorgen so für Verwirrung und Unsicherheit bei allen Marktteilnehmern. Die EPVO ist aus der Form gefallen. Die derzeitigen Regeln sowohl des Kommissionsvorschlags als auch des Parlamentsbeschlusses gehen weit über das im Verordnungsentwurf festgeschriebene Ziel des Schutzes der Vertraulichkeit der elektronischen Kommunikation hinaus. Stattdessen werden datenschutzrechtliche Ausnahmetatbestände für die digitale Welt geschaffen, um dort nicht nur Geschäftsmodelle, sondern die Bereitstellung von Diensten selbst zu regeln. Bereits in den Diskussionen wurde diese Problematik z.T. als kontraproduktiv erkannt und daher z. B. bei der Cybersicherheit Ausnahmetatbestände für die Ausnahmetatbestände geschaffen. Aufgrund der restriktiven Herangehensweise, die Art. 6 der EPVO vorzeichnet, zieht sich diese Problematik durch die gesamte Verordnung. Es liegt nun beim Europäischen Rat, eine Lösung für das verzerrte Regulierungsgeflecht zu finden. Für die aufgeworfenen Fragen müssen Antworten gefunden werden, die ausgewogen den Bedarf nach einer Regulierung der Vertraulichkeit elektronischer Kommunikation einerseits und eines stringenten und kohärenten Europäischen Datenschutzes andererseits berücksichtigen.
RA Oliver Süme, Hamburg