Am 10.02.2021 wurde vom EU-Ministerrat eine neue Fassung der ePrivacy-Verordnung verabschiedet. Bei dieser handelt sich um das Ergebnis der Diskussionen und Abstimmungen der Regierungen der EU-Mitgliedsstaaten. Der Entwurf für die neue Fassung der ePrivacy-Verordnung stammt dabei aus Portugal. Die Portugiesen hatten im Januar 2021 einen Vorschlag mit vielen Zugeständnissen an die datenverarbeitende Wirtschaft vorgelegt, der von den anderen Mitgliedsstaaten im EU-Rat nun mehrheitlich Zustimmung erfuhr.
BfDI: „Schwerer Schlag für den Datenschutz!“
Diese neue Fassung der ePrivacy-Verordnung steht stark in der Kritik des Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI). Herr Professor Ulrich Kelber bewertet die derzeitige Fassung der ePrivacy-Verordnung als schweren Schlag für den Datenschutz. „Ich appelliere dringend an das Europäische Parlament und die EU-Kommission während der Trilog-Verhandlungen für eine Anhebung des Datenschutzniveaus einzutreten“, so der BfDI.
In den Trilog-Verhandlungen treffen sich die drei gesetzgebenden Institutionen der Europäischen Union (Europäische Kommission, EU-Rat und das Europäisches Parlament), um gemeinsam über die ePrivacy-Verordnung abzustimmen.
Auch zwischen den einzelnen Institutionen besteht Uneinigkeit. Sowohl die EU-Kommission als auch das EU-Parlament wollen den Datenschutz in der elektronischen Kommunikation weiter ausbauen und verbessern. Bereits 2017 hatte sich das EU-Parlament für einen „Do-not-track“-Standard ausgesprochen. Der EU-Rat bezieht hier eine gegenteilige Position, was unter anderem auf die Interessen der einzelnen Regierungen zurückzuführen ist.
Die Mitgliedstaaten arbeiten im EU-Rat mittlerweile seit vier Jahren an einer ePrivacy-Verordnung. Eine Einigung auf gemeinsame Regeln ist seit langem überfällig, weshalb der Ergebnisdruck laut dem Bundesdatenschutzbeauftragten zunehmend steigt. Es sei ihm aus diesem Grund ein wichtiges Anliegen, sich auf nationaler und europäischer Ebene dafür einzusetzen, dass dieser Ergebnisdruck nicht zu einer Schwächung des Datenschutzniveaus führe.
Hauptkritikpunkte des Bundesdatenschutzbeauftragten
1. Wiedereinführung der Vorratsdatenspeicherung
Ein großer Kritikpunkt des Bundesdatenschutzbeauftragten ist die Wiedereinführung der Vorratsdatenspeicherung.
Der Begriff beschreibt ein Instrument aus der Kriminaltechnologie, bei dem u.a. Telekommunikationsanbieter verpflichtet werden, ausgewählte Daten jahrelang abzuspeichern und bestimmten Organisationen und Institutionen zur Verfügung zu stellen. Es handelt es sich folglich um eine allgemeine und unterschiedslose Speicherung und Sammlung von Kommunikationsdaten. Dies stellt ein Problem dar, weil die Staaten die Sicherung der Daten zum Zwecke der Erhaltung der nationalen Sicherheit über die Persönlichkeitsrechte des Einzelnen stellen. Damit widersprechen Sie sowohl dem EU-Recht an sich, als auch den Datenschutzgesetzen der Europäischen Union.
Am 06. Oktober 2020 gab es zwei Urteile vom Europäischen Gerichtshof zum Thema „Vorratsdatenspeicherung“ (wir berichteten). Der EuGH hatte sich gegen eine flächendeckende und pauschale Speicherung von Internet- und Telefon-Verbindungsdaten ausgesprochen, da das aktuelle Vorgehen nicht mit den grundlegenden Menschenrechten auf Privatsphäre, Datenschutz und Meinungsfreiheit zu vereinbaren ist.
Die aktuelle Fassung der ePrivacy-Verordnung stellt diesbezüglich einen Rückschritt dar. Die portugiesische Regierung war sogar gewillt, die Vorratsdatenspeicherung aus dem Entwurf zu entfernen, allerdings hat Frankreich dagegen protestiert, sodass der Punkt schließlich enthalten geblieben ist.
2. Zulässigkeit von Cookie Walls
Außerdem sagt Kelber, dass es auch bei den Regeln im Internet Rückschritte gäbe, da mit der Verordnung sogenannte „Cookie Walls“ wieder zulässig wären.
Eine Cookie-Wall ist eine Möglichkeit für Webseitenbetreiber, Benutzern den Zugriff zu verweigern, wenn diese nicht mit allen Cookies auf der Website einverstanden sind. Dies setzt einen Webseiten-Interessenten ggf. unter Druck, da er ohne eine vollumfängliche Cookie-Zustimmung die Webseite nicht einsehen kann. Es ist also höchstwahrscheinlich, dass einzelne Nutzer aufgrund dieser „Friss-oder-Stirb“-Taktik, in sämtliche Cookies einwilligen werden.
Dieser Sachverhalt widerspricht einer wirksamen Einwilligung nach Art. 7 DSGVO Abs. 4, da hier nicht von Freiwilligkeit ausgegangen werden kann.
3. Abspruch wichtiger Garantien im Internet
Weiterhin sagt Kelber: „Es wurden außerdem einige wichtige Garantien für Nutzer, wie beispielsweise das Widerspruchsrecht und die Datenschutz-Folgenabschätzung gestrichen. Auch ein Rückgriff auf die Garantien der Datenschutz-Grundverordnung ist ausgeschlossen. Nicht zuletzt ermöglicht diese Version der ePrivacy-Verordnung, dass personenbezogene Daten ohne Einwilligung der Nutzenden zu anderen Zwecken weiterverarbeitet werden können. Es macht mich fassungslos, wie schwerwiegend hier in Grundrechte der europäischen Bürgerinnen und Bürger eingegriffen wird.“
Ergebnis der Trilog-Verhandlungen bleibt abzuwarten
Auch andere Datenschützer, Politiker und Verbraucherschützer kritisieren die erarbeitete Fassung des EU-Rats. So bezeichnet z.B. Klaus Müller, Vorstand des Bundesverbands der Verbraucherzentralen (vzbv), die Ausrichtung der Mitgliedsstaaten als Skandal, da die Vertraulichkeit der elektronischen Kommunikation massiv eingeschränkt und das Vertrauen der Verbraucher zerstört werde. Auch der Grünen-Politiker Konstantin von Notz gibt an, dass der Kurs des EU-Rates auf ganzer Linie enttäusche und die Regierungen veranschaulichen, „dass sie die Bedeutung des effektiven Grundrechtsschutz im Digitalen noch immer nicht verstanden haben“.
Quellen
Internetauftritt des Bundesbeauftragten für den Datenschutz und die Informationssicherheit: „BfDI kritisiert Position des Rats zur ePrivacy-Verordnung“, abgerufen am 10.02.2021 unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2021/03_Ratsposition-ePrivacy-VO.html
Artikel „E-Privacy-Verordnung: EU-Rat für Vorratsdatenspeicherung und Cookie-Walls„, abgerufen am 11.02.2021 unter https://www.heise.de/news/E-Privacy-Verordnung-EU-Rat-fuer-Vorratsdatenspeicherung-und-Cookie-Walls-5051963.html