Die E-Privacy-Verordnung regelt im Schwerpunkt die Vertraulichkeit der Kommunikation (Fernmeldegeheimnis), die Verarbeitung von Kommunikationsdaten (bisher Verkehrsdaten) und das Speichern und Auslesen von Informationen auf Endeinrichtungen (z.B. Cookies). Darüber hinaus soll sie den Schutz der Privatsphäre im Zusammenhang mit der Anzeige von Rufnummern und Endnutzerverzeichnissen, die Direktwerbung mittels elektronischer Kommunikation und die Aufsicht regeln. Das bereits seit über vier Jahren andauernde und kontrovers geführte Rechtssetzungsverfahren geht nun in die letzte Runde.
Der europäische Gesetzgeber hat sich entschlossen, die Datenschutzrichtlinie für elektronische Kommunikation (sog. E-Privacy-Richtlinie) durch eine E-Privacy-Verordnung zu ersetzen. Nachdem der deutsche Gesetzgeber zuletzt mit einer Novelle des Telekommunikationsgesetzes (TKG) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) zum 1. Dezember 2021 noch die europäischen Vorgaben aus der E-Privacy-Richtlinie in deutsches Recht umsetzte, wird die künftige E-Privacy-Verordnung unmittelbar in den Mitgliedstaaten gelten.
Ziel der Verordnung ist es, die Regeln zur elektronischen Kommunikation an die Datenschutz-Grundverordnung (DSGVO) anzunähern, ohne dabei über die Vorschriften der DSGVO hinauszugehen. Wie auch bereits durch den Kodex elektronische Kommunikation (Richtlinie (EU) 2018/1972) und die Überarbeitung des TKG zum 1. Dezember 2021 in Deutschland geregelt, ist eines der großen Ziele der Verordnung die Erweiterung der Datenschutzregeln auf sogenannte Over-the-Top (OTT)-Kommunikationsdienste. Hierzu zählen beispielsweise Voice over IP (VoIPIP)-Dienste wie WhatsApp und Skype, die in ihrer Funktion den „klassischen“ Sprachtelefonie- und SMS-Diensten entsprechen. Das Einbeziehen dieser Dienste in die neue Verordnung begrüßt der BfDI, da so die Vertraulichkeit der Kommunikation auch für OTT-Dienste gewährleistet ist, die mittlerweile den Großteil der täglichen Kommunikation ausmachen. Die Verordnung soll zudem das Setzen und Verwenden von Cookies auf Webseiten und das Tracking von Nutzern genauer regeln.
Zu Beginn des Rechtssetzungsverfahrens war vorgesehen, dass die E-Privacy-Verordnung zeitglich mit der DSGVO am 25. Mai 2018 in Kraft treten sollte. Die Europäische Kommission hat dazu bereits am 10. Januar 2017 einen Entwurf der E-Privacy-Verordnung vorgelegt und der federführende LIBE-Ausschusses des Europäischen Parlaments seine Position zur geplanten Verordnung am 26. Oktober 2017 verabschiedet. Die Verhandlungen im Rat der EU kamen seit Mitte Januar 2017 jedoch lange nicht entscheidend voran. Auch unter deutscher Ratspräsidentschaft konnte im zweiten Halbjahr 2020 keine Einigung im Rat erzielt werden. Am 10. Februar 2021 haben sich die Vertreter der Mitgliedstaaten im Rat jedoch – nach über vierjähriger Verhandlungsphase – auf eine gemeinsame Position einigen können. Damit ist der EU-Gesetzgeber in der geplanten Verabschiedung einen großen Schritt vorangekommen. Denn mit einer gemeinsamen Position des Rats können nun die sog. Trilog-Verhandlungen zwischen dem Europäischen Parlament, dem Rat der EU und der Europäischen Kommission endlich beginnen. Die Positionen von Rat und Parlament liegen jedoch sehr weit auseinander, so dass im Jahr 2021 nur kleine Fortschritte bei Detailregelungen erzielt werden konnten. Und seitdem tut sich hier leider auch nur sehr wenig. Insofern ist im Moment völlig offen, wann mit einer Verabschiedung der Verordnung gerechnet werden kann. Nach Inkrafttreten der Verordnung ist dann nach derzeitigen Planungen noch eine 24-monatige Übergansphase vorgesehen, bevor die Verordnung dann gelten kann.
Der BfDI hatte sich gegenüber dem Bundesministerium für Wirtschaft und Klimaschutz zunächst erfolgreich dafür eingesetzt, dass Vorschriften zur Vorratsdatenspeicherung sowie zur zweckfremden Weiterverarbeitung von Kommunikationsmetadaten ohne Einwilligung der Endnutzer im Verordnungsentwurf wieder gestrichen wurden. Leider wurden beide Punkte unter portugiesischer Präsidentschaft wieder in den Verordnungstext eingefügt und vom Rat am 10. Februar 2021 angenommen. Die Bedenken des BfDI hinsichtlich der allgemeinen Absenkung des Datenschutzniveaus blieben ungehört. Ebenso wurde seiner Forderung nicht entsprochen, gemäß dem Kommissionsentwurf die Datenschutzaufsicht über die Einhaltung der E-Privacy-Verordnung verpflichtend den Datenschutzbehörden zu überlassen. So drohen in einigen Mitgliedstaaten eine Zersplitterung der Aufsichtslandschaft und zusätzliche, unnötig komplexe Abstimmungsmechanismen zwischen den verschiedenen Aufsichtsbehörden im Europäischen Datenschutzausschuss (EDSA). Dies wird die Durchsetzung von Betroffenenrechten erschweren.
Nun hofft der BfDI darauf, dass es mit dem Verordnungsentwurf endlich weiter vorangeht und das Europäische Parlament sich in den Trilog-Verhandlungen dafür stark machen kann, die vom Rat eingefügten datenschutzunfreundlichen Vorschriften wieder zu streichen oder zumindest datenschutzfreundlicher auszugestalten. Dafür wird er sich auch im Rahmen seiner Beteiligung bei den jeweiligen Abstimmungen zur deutschen Position innerhalb des Rats der EU weiter einsetzen.
Kontaktfinder
Hier finden Sie in wenigen Klicks heraus, wer für Ihre Anfrage oder Beschwerde zum Datenschutz zuständig ist.
- Öffentliche Stellen Unter den Begriff der öffentlichen Stelle fallen nicht nur die klassischen Verwaltungsbehörden, sondern auch Gerichte, Parlamente oder öffentliche Stiftungen. Hierzu zählen auch die Sozialversicherungen, wie z.B. die Krankenkassen.
- Unternehmen Privatunternehmen werden meist von den Landesbehörden beaufsichtigt, es gibt jedoch einige Ausnahmen. In diese Kategorie fallen auch privatrechtliche Organisationen wie Vereine und Verbände.
- Presse, Rundfunk, Kirche In diesen Bereichen gelten besondere Zuständigkeiten. Kirchen und öffentlich-rechtlicher Rundfunk verfügen z.B. über eigene Datenschutzbeauftragte. Auch für andere Organisationen sind die Aufsichtsbehörden des Bundes und der Länder nicht zuständig.
