News

EU-Daten­schützer kritisieren geplante ePrivacy-Verordnung

20.04.2017

Die Artikel-29-Datenschutzgruppe (G29) hat den Entwurf einer Verordnung für die Privatsphäre in der elektronischen Kommunikation („ePrivacy-Verordnung“) als zu lückenhaft kritisiert. Die G29 ist das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes. Neben ihrer beratenden Funktion kann sie auch von sich aus Empfehlungen und Stellungnahmen abgeben. Die Stellungnahmen der Gruppe sind nicht bindend.

Kommissionsentwurf einer ePrivacy-Verordnung

Die EU Kommission hatte ihren Entwurf einer ePrivacy-Verordnung am 10. Januar diesen Jahres vorgestellt. Sie soll die bisher geltende ePrivacy-Richtlinie ersetzen und die Datenschutzgrundverordnung (DS-GVO) in verschiedenen Bereichen ergänzen.

Stellungnahme der G29

In ihrer Stellungnahme vom 4. April 2017 äußert die G29 Bedenken zum Entwurf. Unter der aktuellen Entwurfsfassung würde ein niedrigerer Schutzstandard herrschen als unter der DS-GVO, so die G29.

Als zu weitgehend beurteilt die Gruppe etwa die Möglichkeiten zur Analyse von Inhalten und den zugehörigen Metadaten elektronischer Kommunikation. Sensible Informationen nebst Verbindungs- und Standortdaten sollten nur mit der ausdrücklichen Einwilligung "aller Endnutzer" verarbeitet werden dürfen. Sender und Empfänger müssten also zustimmen. Zu diesem Prinzip dürften nur enge, gesetzlich geregelte Ausnahmen gelten.

Streitthema Cookies

Auch der von der Verordnung geregelte Einsatz von Cookies gerät in die Kritik des Gremiums. Nach der Verordnung sollen Cookies, die keine Auswirkungen auf die Privatsphäre haben (z.B. solche, die lediglich die Besucheranzahl einer Website erfassen) ohne Einwilligung oder Information des Nutzers gesetzt werden dürfen. Die für den Nutzer relevanten „Verfolgungs-Cookies“ sollen hingegen weiterhin der ausdrücklichen Zustimmung durch den Nutzer bedürfen. Aufgrund der gegenwärtigen Rechtslage und der verbreiteten Verwendung solcher Cookies werden Nutzer derzeit allerdings häufig „mit Einwilligungsanfragen überhäuft“. Es ist daher grundsätzlich zu begrüßen, dass der Verordnungsentwurf die Möglichkeit eröffnet, die Einwilligung auch vorab, bspw. durch entsprechende Einstellungen im Browser oder einer anderen Anwendung zu erteilen.

Privacy by Default

Die G29 befürwortet hingegen Regelungen zu datenschutzfreundlichen Voreinstellungen ("Privacy by Default"). Wenn Vorgaben für besseren Privatsphärenschutz nicht bereits vorab bei Installation der Software eingestellt seien, würden gerade die unerfahrenen und deshalb besonders schutzwürdigen Verbraucher im Stich gelassen.

Entschieden spricht sich die Gruppe zudem gegen sog. „Tracking Walls“ aus. Dabei ist die Praxis einzelner Webanbieter gemeint, Nutzer nur den Zugriff auf ihre Seite zu gewähren, wenn sie sich über verschiedenste Dienste hinweg verfolgen lassen. Diese seien mit den europäischen Datenschutzbestimmungen nicht vereinbar und müssten von der Verordnung explizit verboten werden.

Ausblick

Der Vorschlag wird in den kommenden Wochen und Monaten mit dem Europäischen Parlament und dem EU-Rat abgestimmt. Der Entwurf kann mithin noch vielseitigen Abänderungen unterworfen werden.

Insgesamt sollte nicht aus dem Blick geraten, dass die Regelungen nur dann zukunftsfähig sein werden, wenn sie nicht überbordende und bürokratische Anforderungen an die Unternehmen stellen. Sonst droht die Entwicklung des Branchenstandorts Europa im internationalen Vergleich ausgebremst zu werden. Es gilt eine ausgewogene Balance zu finden, die die Interessen von Nutzern und Wirtschaft miteinander in Einklang bringt.

Nach dem aktuellen Zeitplan soll die ePrivacy-Verordnung zum 25. Mai 2018, passend mit der Datenschutzreform, verabschiedet werden. Angesichts der vielschichtigen Anforderungen und der von vielen Seiten geübten Kritik bleibt abzuwarten, ob die Reform zu dem gewünschten symbolträchtigen Datum durchgesetzt werden kann.