Die Arti­kel-29-Arbeits­grup­pe hat am 4. April 2017 eine Stel­lung­nah­me (“Opi­ni­on”) zur geplan­ten ePri­va­cy-Ver­ord­nung ver­öf­fent­licht. Die ePri­va­cy-Ver­ord­nung (“Ver­ord­nung über Pri­vat­sphä­re und elek­tro­ni­sche Kom­mu­ni­ka­ti­on”) liegt seit anfangs 2017 im Ent­wurf vor (hier abruf­bar). Sie soll die in der EU nur teil­wei­se umge­setz­te “Coo­kie-Richt­li­ne” (RL 2009/136/EG) erset­zen. Sie ist fer­ner mit der DSGVO koor­di­niert (bis zu einem gewis­sen Grad), soll eben­falls auf den 25. Mai 2018 in Kraft tre­ten und ver­drängt In ihrem Anwen­dungs­be­reich (die Ver­ar­bei­tung elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­da­ten bei der Bereit­stel­lung und der Nut­zung elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­dien­ste) abwei­chen­de Rege­lun­gen der DSGVO.

Die Arbeits­grup­pe begrüsst die Rechts­form der geplan­ten Rege­lung (direkt anwend­ba­re Ver­ord­nung) und ihren prin­zi­pi­en­ba­sier­ten Ansatz. Eben­falls begrüsst wird die Anwen­dung auch auf sog. Over-the-Top (OTT)-Dienste, also auf die elek­tro­ni­sche Über­mitt­lung von Drit­t­in­hal­ten wie z.B. Fil­men über das Inter­net, ohne dass die ein Netz­be­trei­ber direkt in die Kon­trol­le oder Ver­brei­tung der Inhal­te invol­viert wäre (so die Weko in der Unter­su­chung betref­fend Sport im Pay-TV u.a. gegen die Swis­s­com, RPW 2016/4). Bei­spie­le sind Sky­pe oder Face­book.

Die Arbeits­grup­pe befürch­tet dage­gen eine Sen­kung des Schut­zes der DSGVO für fol­gen­de vier Berei­che bzw. Ver­ar­bei­tun­gen:

  1. WiFi- und Blue­tooth-Tracking: Hier erfor­de­re Art. 8 Abs. 2 lit. b der ePri­va­cy-Ver­ord­nung ledig­lich einen deut­li­chen Hin­weis, wäh­rend die DSGVO i.d.R. eine Ein­wil­li­gung ver­lan­ge, und eine ange­mes­se­ne Begren­zung des Trackings feh­le;
  2. Ana­ly­se von Aus­wer­tung von Kom­mu­ni­ka­ti­ons­da­ten: Art. 6 der ePri­va­cy-Ver­ord­nung dif­fe­ren­zie­re zu Unrecht zwi­schen der Ver­ar­bei­tung von Inhalts- und jener von Rand­da­ten; bei­de sei­en glei­cher­ma­ssen hei­kel. In bei­den Fäl­len sol­le die Ver­ar­bei­tung im Prin­zip nur mit Ein­wil­li­gung aller Betei­lig­ten (Sen­der und Emp­fän­ger) zuläs­sig sein, soweit die Ver­ar­bei­tung nicht für den Haupt­zweck der Kom­mu­ni­ka­ti­on erfor­der­lich ist, d.h. insb. für die Abwick­lung der Kom­mu­ni­ka­ti­on, die Gewähr­lei­stung der Daten­si­cher­heit und die Auf­recht­erhal­tung der gefor­der­ten Dienst­lei­stungs­qua­li­tät. Ledig­lich eini­ge bestimm­te Dien­ste sol­len mit Ein­wil­li­gung nur des Dienst­nut­zers (d.h. ohne Ein­wil­li­gung ande­rer Betei­lig­ter) erlaubt sein.
  3. Anbie­ter von Soft­ware, die elek­tro­ni­sche Kom­mu­ni­ka­ti­on erlaubt (bspw. Brow­ser, Apps, Betriebs­sy­ste­me etc.), sei­en zur Ein­hal­tung der pri­va­cy by default (vgl. Art. 25 Abs. 2 DSGVO) zu ver­pflich­ten. Art. 10 der ePri­va­cy-Richt­li­nie ver­lan­ge nur, dass Nut­zern daten­schutz­freund­li­che Ein­stel­lun­gen vor­neh­men kön­nen, aber nicht, dass die­se Ein­stel­lun­gen stan­dard­mä­ssig vor­zu­se­hen sei­en.
  4. Kopp­lung von Tracking und Dienst­zu­gang: Ein “Take it or lea­ve it”-Angebot von Web­sites oder Dien­sten sei zu unter­sa­gen, d.h. ein Ange­bot, des­sen Zugang nur mit Ein­wil­li­gung in ein Trackung mög­lich ist.

Die Stel­lung­nah­me der Arti­kel-29-Arbeits­grup­pe ent­hält wei­te­re Punk­te, bei denen eben­falls nach­zu­bes­sern sei, um den Schutz der betrof­fe­nen Per­so­nen zu ver­bes­sern.

Dem­ge­gen­über ist der Ent­wurf der ePri­va­cy-Ver­ord­nung auf Sei­ten der Wirt­schaft auf har­sche Kri­tik gesto­ssen. Bit­kom, ein wich­ti­ger Bran­chen­ver­band, hat in einer Stel­lung­nah­me vom 6. Febru­ar 2017 ins­be­son­de­re fol­gen­de Punk­te kri­ti­siert:

  • Par­al­le­le Vor­schrif­ten zur DSGVO sei­en grund­sätz­lich abzu­leh­nen, etwa eige­ne Vor­ga­ben für die Ein­wil­li­gung oder die Nut­zung von Stand­ort­da­ten;
  • die Anwen­dung der ePri­va­cy-Ver­ord­nung auch auf elek­tro­ni­sche Kom­mu­ni­ka­ti­on zwi­schen juri­sti­schen Per­so­nen und zwi­schen Maschi­nen (M2M) sei nicht erfor­der­lich und bedro­he neue Geschäfts­mo­del­le;
  • gene­rell sei­en die Vor­ga­ben zu streng;
  • die Ein­füh­rung der Ver­ord­nung auf den 25. Mai 2018 las­se den Unter­neh­men nicht aus­rei­chend Zeit zur Vor­be­rei­tung;
  • Selbst­re­gu­lie­rungs­mass­nah­men sei­en stär­ker zu unter­stüt­zen.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.