Die Artikel-29-Arbeitsgruppe hat am 4. April 2017 eine Stellungnahme (“Opinion”) zur geplanten ePrivacy-Verordnung veröffentlicht. Die ePrivacy-Verordnung (“Verordnung über Privatsphäre und elektronische Kommunikation”) liegt seit anfangs 2017 im Entwurf vor (hier abrufbar). Sie soll die in der EU nur teilweise umgesetzte “Cookie-Richtline” (RL 2009/136/EG) ersetzen. Sie ist ferner mit der DSGVO koordiniert (bis zu einem gewissen Grad), soll ebenfalls auf den 25. Mai 2018 in Kraft treten und verdrängt In ihrem Anwendungsbereich (die Verarbeitung elektronischer Kommunikationsdaten bei der Bereitstellung und der Nutzung elektronischer Kommunikationsdienste) abweichende Regelungen der DSGVO.
Die Arbeitsgruppe begrüsst die Rechtsform der geplanten Regelung (direkt anwendbare Verordnung) und ihren prinzipienbasierten Ansatz. Ebenfalls begrüsst wird die Anwendung auch auf sog. Over-the-Top (OTT)-Dienste, also auf die elektronische Übermittlung von Drittinhalten wie z.B. Filmen über das Internet, ohne dass die ein Netzbetreiber direkt in die Kontrolle oder Verbreitung der Inhalte involviert wäre (so die Weko in der Untersuchung betreffend Sport im Pay-TV u.a. gegen die Swisscom, RPW 2016/4). Beispiele sind Skype oder Facebook.
Die Arbeitsgruppe befürchtet dagegen eine Senkung des Schutzes der DSGVO für folgende vier Bereiche bzw. Verarbeitungen:
- WiFi- und Bluetooth-Tracking: Hier erfordere Art. 8 Abs. 2 lit. b der ePrivacy-Verordnung lediglich einen deutlichen Hinweis, während die DSGVO i.d.R. eine Einwilligung verlange, und eine angemessene Begrenzung des Trackings fehle;
- Analyse von Auswertung von Kommunikationsdaten: Art. 6 der ePrivacy-Verordnung differenziere zu Unrecht zwischen der Verarbeitung von Inhalts- und jener von Randdaten; beide seien gleichermassen heikel. In beiden Fällen solle die Verarbeitung im Prinzip nur mit Einwilligung aller Beteiligten (Sender und Empfänger) zulässig sein, soweit die Verarbeitung nicht für den Hauptzweck der Kommunikation erforderlich ist, d.h. insb. für die Abwicklung der Kommunikation, die Gewährleistung der Datensicherheit und die Aufrechterhaltung der geforderten Dienstleistungsqualität. Lediglich einige bestimmte Dienste sollen mit Einwilligung nur des Dienstnutzers (d.h. ohne Einwilligung anderer Beteiligter) erlaubt sein.
- Anbieter von Software, die elektronische Kommunikation erlaubt (bspw. Browser, Apps, Betriebssysteme etc.), seien zur Einhaltung der privacy by default (vgl. Art. 25 Abs. 2 DSGVO) zu verpflichten. Art. 10 der ePrivacy-Richtlinie verlange nur, dass Nutzern datenschutzfreundliche Einstellungen vornehmen können, aber nicht, dass diese Einstellungen standardmässig vorzusehen seien.
- Kopplung von Tracking und Dienstzugang: Ein “Take it or leave it”-Angebot von Websites oder Diensten sei zu untersagen, d.h. ein Angebot, dessen Zugang nur mit Einwilligung in ein Trackung möglich ist.
Die Stellungnahme der Artikel-29-Arbeitsgruppe enthält weitere Punkte, bei denen ebenfalls nachzubessern sei, um den Schutz der betroffenen Personen zu verbessern.
Demgegenüber ist der Entwurf der ePrivacy-Verordnung auf Seiten der Wirtschaft auf harsche Kritik gestossen. Bitkom, ein wichtiger Branchenverband, hat in einer Stellungnahme vom 6. Februar 2017 insbesondere folgende Punkte kritisiert:
-
Parallele Vorschriften zur DSGVO seien grundsätzlich abzulehnen, etwa eigene Vorgaben für die Einwilligung oder die Nutzung von Standortdaten;
- die Anwendung der ePrivacy-Verordnung auch auf elektronische Kommunikation zwischen juristischen Personen und zwischen Maschinen (M2M) sei nicht erforderlich und bedrohe neue Geschäftsmodelle;
- generell seien die Vorgaben zu streng;
- die Einführung der Verordnung auf den 25. Mai 2018 lasse den Unternehmen nicht ausreichend Zeit zur Vorbereitung;
- Selbstregulierungsmassnahmen seien stärker zu unterstützen.