Ent­wurf einer ePri­va­cy Ver­ord­nung

Die Euro­päi­sche Kom­mis­si­on hat mit dem Ent­wurf der Ver­ord­nung über die Ach­tung des Pri­vat­le­bens und den Schutz per­so­nen­be­zo­ge­ner Daten in der elek­tro­ni­schen Kom­mu­ni­ka­ti­on und zur Auf­he­bung der Richt­li­nie 2002/58/EG eine Dis­kus­si­on über die Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on ange­sto­ßen. Der vor­ge­leg­te Ver­ord­nungs­vor­schlag (ePri­va­cy-VO-E) soll die Richt­li­nie von 2002 moder­ni­sie­ren. Der ePri­va­cy-VO-E ist ergän­zend im Licht der im Mai 2018 in Kraft tre­ten­den Daten­schutz­grund­ver­ord­nung zu sehen. Als Ver­ord­nung wird sie unmit­tel­bar in den Mit­glied­staa­ten Anwen­dung fin­den.

Ziel­set­zung der Richt­li­nie aus dem Jah­re 2002 war der Schutz der Pri­vat­sphä­re und per­so­nen­be­zo­ge­ner Daten im Bereich der elek­tro­ni­schen Kom­mu­ni­ka­ti­on. Neben der Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on (von End­ge­rä­ten und Web­sei­ten) sind Sicher­heits­as­pek­te, Berichts­pflich­ten bei Daten­schutz­ver­stö­ßen sowie Vor­schrif­ten zur Nut­zung von Coo­kies wich­ti­ge Rege­lungs­as­pek­te.

Elek­tro­ni­sche Kom­mu­ni­ka­ti­ons­an­bie­ter sind ein zen­tra­ler Bau­stein der digi­ta­len Indus­trie in Deutsch­land und Euro­pa. Sie bie­ten nicht nur die Netz­in­fra­struk­tur, son­dern ste­hen wie kaum eine ande­re Bran­che im Ram­pen-licht der digi­ta­len Trans­for­ma­ti­on. Zugleich kommt netz­ba­sier­ten Kom­mu­ni­ka­ti­ons­diens­ten, sog. Over-the-top (OTT) Diens­ten, eine wach­sen­de Bedeu­tung zu. Die­se fin­den sich nicht nur im Con­su­mer-Markt, auch Maschi­nen der Indus­trie 4.0 nut­zen OTT-Diens­te zur Kom­mu­ni­ka­ti­on. Bei­de Berei­che unter­lie­gen dem Rege­lungs­be­reich der Daten­schutz-Grund­ver­ord­nung (DSGVO).

Für die deut­sche Indus­trie stellt sich – nach Ver­ab­schie­dung der DSGVO und damit der Ein­füh­rung eines har­mo­ni­sier­ten, hohen Daten­schutz­stan­dards in der gesam­ten EU – die Fra­ge nach der Sinn­haf­tig­keit einer sek­tor­spe­zi­fi­schen Daten­schutz­re­gu­lie­rung für den Tele­kom­mu­ni­ka­ti­ons­be­reich. Dies gilt umso mehr, als der e-Pri­va­cy-VO-E nicht nur mehr klas­si­sche Tele­kom­mu­ni­ka­ti­ons­un­ter­neh­men, son­dern umfas­send netz­ba­sier­te Kom­mu­ni­ka­ti­ons­diens­te in einem noch unbe­kann­ten Aus­maß betref­fen wird. Zudem besteht Unklar­heit dar­über, wel­che Daten unter den ePri­va­cy-VO-E bzw. unter den Rege­lungs­be­reich der DSGVO fal­len. Die Euro­päi­sche Kom­mis­si­on hat es mit dem vor­lie­gen­den Ent­wurf ver­passt, nach den Grund­sät­zen der bes­se­ren Recht­set­zung (Bet­ter Regu­la­ti­on Princip­le) vor­zu­ge­hen.

Eine beson­de­re Her­aus­for­de­rung stellt zudem der sehr ambi­tio­nier­te Zeit­plan – die Ver­ord­nung soll zeit­gleich zur DSGVO ver­ab­schie­det wer­den – dar. Auf­grund der Viel­zahl an unge­lös­ten Fra­ge­stel­lun­gen emp­fiehlt der BDI einen län­ge­ren Kon­sul­ta­ti­ons- und Aus­ar­bei­tungs­zeit­raum. Im aktu­el­len Ent­wurf wür­de die ePri­va­cy-Ver­ord­nung zu enor­mer Rechts­un­si­cher­heit füh­ren und somit den Inno­va­ti­ons­stand­ort Deutsch­land und Euro­pa schä­di­gen.

Die deut­sche Indus­trie bekennt sich zu hohen Daten­schutz- und Ver­trau­lich­keits­stan­dards in der digi­ta­len Wirt­schaft. Die DSGVO zielt auf einen aus­ge­wo­ge­nen Kom­pro­miss zwi­schen dem Schutz per­so­nen­be­zo­ge­ner Daten und dem Inno­va­ti­on­po­ten­zi­al für zukünf­ti­ge Geschäfts­mo­del­le ab. Der Ent­wurf der ePri­va­cy-VO stellt an vie­len Stel­len die müh­sa­men gefun­de­nen Kom­pro­mis­se nun wie­der in Fra­ge.

Sinn­haf­tig­keit der Regu­lie­rung ins­ge­samt über­den­ken

Bevor im Ein­zel­nen auf die Rege­lungs­as­pek­te des Ver­ord­nungs­ent­wurfs ein­ge­gan­gen wird, ist die Sinn­haf­tig­keit eines sek­tor­spe­zi­fi­schen Daten­schutz­rechts in Fra­ge zu stel­len. So hat­te die Vor­gän­ger-vor­schrift, die im Jahr 2002 ver­ab­schie­de­te E-Pri­va­cy-Richt­li­nie, durch­aus ihre Berech­ti­gung. Denn ein ein­heit­li­ches Daten­schutz­recht gab es in Euro­pa nicht, und die im Jahr 1995 ver­ab­schie­de­te Daten-schutz-Richt­li­nie stamm­te noch aus der Vor-Inter­net-Ära. Damals kamen Unter­neh­men der Tele­kom­mu­ni­ka­ti­ons­in­dus­trie noch am ehes­ten mit per­so­nen­be­zo­ge­nen Daten in Berüh­rung.

Dies ist heu­te anders. Per­so­nen­be­zo­ge­ne Daten haben für immer mehr Bra­chen Bedeu­tung – und fal­len in immer mehr Bran­chen an. Es ist nicht mehr davon aus­zu­ge­hen, dass im Bereich der elek­tro­ni­schen Kom­mu­ni­ka­ti­on Daten anfal­len, die sen­si­bler als in ande­ren Indus­tri­en sind. Es ist des­halb auch nicht ersicht­lich, war­um gera­de für die­sen Wirt­schafts­be­reich stren­ge­re Anfor­de­run­gen als für den Rest der daten­ver­ar­bei­ten­den Wirt­schaft gel­ten sol­len. Dar­über hin­aus legt die DSGVO einen hohen, ein­heit­li­chen Daten­schutz­stan­dard für alle Unter­neh­men in Euro­pa fest. Schutz­lü­cken, die die DSGVO in Bezug auf die Anfor­de­run­gen an die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten hin­ter­las­sen hät­te und die nun durch den ePri­va­cy-VO-E drin­gend geschlos­sen wer­den müss­ten, sind nicht bekannt. Alle Fra­gen des Umgangs mit per­so­nen­be­zo­ge­nen Daten durch Betrei­ber elek­tro­ni­scher Kom­mu­ni­ka­ti­ons-diens­te kön­nen auch durch das neue euro­päi­sche Daten­schutz­recht umfas­send gelöst wer­den.

Vor dem Hin­ter­grund der im Mai 2018 in Kraft tre­ten­den DSGVO spricht sich der BDI dafür aus, die fort­be­stehen­de Not­wen­dig­keit einer sek­tor­spe­zi­fi­schen Daten­schutz­re­gu­lie­rung einer kri­ti­schen Über-prü­fung zu unter­zie­hen und auch den Mut zu haben, auf ein ein­mal bereits geschaf­fe­nes Gesetz bei Weg­fall der Erfor­der­lich­keit zu ver­zich­ten. Im Ergeb­nis wür­de grö­ße­re Rechts­si­cher­heit und weni­ger Rechts­frag­men­tie­rung herr­schen – zum Nut­zen von Wirt­schaft und Ver­brau­cher glei­cher­ma­ßen.

X