Working Paper 247 der Art. 29-Gruppe

Working Paper 247 - Zusammenfassung

Die Artikel-29-Datenschutzgruppe begrüßt den Vorschlag der Europäischen Kommission vom 10. Januar 2017 für eine ePrivacy-Verordnung. Die Artikel-29-Datenschutzgruppe begrüßt die Wahl einer Verordnung als Regulierungsinstrument. Dadurch wird sichergestellt, dass die Regeln in der gesamten EU einheitlich sind und Klarheit sowohl für die Aufsichtsbehörden als auch für Organisationen und Unternehmen geschaffen wird. Zudem wird dadurch auch eine Kohärenz mit der Datenschutzverordnung gewährleistet. Diese Kohärenz wird ferner durch die Entscheidung unterstützt, die gleiche Behörde für die Überwachung der Einhaltung der DS-GVO verantwortlich zu machen, die für die Durchsetzung der ePrivacy-Regeln verantwortlich ist.

Gleichzeitig ist die Entscheidung (der Beibehaltung) eines ergänzenden Rechtsinstruments positiv. Der Schutz der vertraulichen Kommunikation und der Datenendeinrichtung hat besondere Merkmale, die von der DS-GVO nicht angesprochen werden. Daher sind zusätzliche Bestimmungen in Bezug auf diese Art von Dienstleistungen erforderlich, um einen angemessenen Schutz des Grundrechts auf Privatsphäre und Vertraulichkeit der Mitteilungen, einschließlich der Vertraulichkeit von Datenendgeräten, zu gewährleisten. In diesem Zusammenhang unterstützt die Artikel-29-Datenschutzgruppe nachdrücklich den grundsatzorientierten Ansatz aus umfassenden Verboten und eng begrenzten Ausnahmen, der im Verordnungsvorschlag gewählt wurde, sowie die gezielte Anwendung des Konzepts der Einwilligung.

Die Arbeitsgruppe begrüßt die Ausweitung des Geltungsbereichs der vorgeschlagenen Verordnung für die Einbeziehung von sogenannten Over-The-Top-Anbietern, Dienstleistungen, die funktional den traditionelleren Kommunikationsmitteln gleichwertig sind und daher ein ähnliches Potential haben, Einfluss auf die Privatsphäre und das Recht auf Geheimhaltung der Kommunikation der Bürger in der EU zu haben. Ebenfalls positiv anzumerken ist, dass die vorgeschlagene Verordnung eindeutig Inhalte und zugehörige Metadaten mit einschließt und berücksichtigt, dass Metadaten sehr sensible Daten offenlegen können.

Jedoch stellt die Datenschutzgruppe auch 4 Punkte mit Anlass zu schweren Bedenken fest: Im Hinblick auf die Nachverfolgung der Datenendgerätestandorte; die Bedingungen, unter denen die Analyse von Inhalt und Metadaten erlaubt ist; auf Standardeinstellungen von Datenendgeräten und Software und im Hinblick auf die “Tracking Walls” würde die vorgeschlagene Verordnung das Schutzniveau der DS-GVO senken. In dieser Stellungnahme macht die Artikel-29-Datenschutzgruppe konkrete Vorschläge, um sicherzustellen, dass die ePrivacy-Verordnung dasselbe oder ein höheres Schutzniveau gewährleistet, das für den sensiblen Charakter von Kommunikationsdaten (Inhalt und Metadaten) geeignet ist.

Im Hinblick auf das WiFi-Tracking ist je nach Umstand und Zweck der Datenerhebung eine solche Verfolgung im Rahmen der DS-GVO entweder einer Zustimmung unterworfen oder darf nur durchgeführt werden, wenn die gesammelten personenbezogenen Daten anonymisiert sind. Im letzteren Fall müssen die folgenden vier Voraussetzungen erfüllt sein: Der Zweck der Datenerfassung von Datenendgeräten ist auf eine bloße statistische Zählung beschränkt; das Tracking ist zeitlich und räumlich begrenzt auf die für diese Zwecke unbedingt erforderlichen Ausmaße; die Daten werden danach sofort gelöscht oder anonymisiert, und es gibt effektive Opt-out-Möglichkeiten. Die Europäische Kommission ist dazu eingeladen, einen technischen Standard für mobile Geräte zu fördern, mit dem automatisch ein Einspruch gegen dieses Tracking signalisiert wird.

Im Hinblick auf die Analyse von Inhalt und Metadaten sollte der Ansatzpunkt sein, dass es verboten ist, Kommunikationsdaten ohne Zustimmung aller Endbenutzer (Sender und Empfänger) zu verarbeiten. Damit Anbieter den Nutzern die speziell geforderten Dienstleistungen, wie beispielsweise

Such- und Indexierungsfunktionen oder Text-zu-Sprache anbieten können, sollte es inländisch Ausnahmen für die Verarbeitung vom Inhalt und Metadaten für die rein persönlichen Zwecke des Nutzers/der Nutzerin geben.

Im Hinblick auf die Einwilligung zum Tracking fordert die Arbeitsgruppe ein ausdrückliches Verbot der sogenannten „Tracking Walls“, die Nutzer dazu zwingen, ihre Einwilligung zur Verfolgung zu erteilen, wenn sie Zugang zum Dienst haben wollen.

Zu guter Letzt empfiehlt die Arbeitsgruppe, dass Datenendgeräte und Software standardmäßig Datenschutzeinstellungen anbieten müssen, die dem Benutzer eindeutige Möglichkeiten bieten, diese Standardeinstellungen während der Installation zu bestätigen oder zu ändern. Diese Einstellungen müssen während der Nutzung einfach zugänglich sein. Es muss den Nutzern ermöglicht werden, ihre spezifische Zustimmung über ihre Browser-Einstellungen zu signalisieren. Datenschutzeinstellungen sollten sich nicht nur auf Eingriffe durch Dritte oder auf Cookies beschränken. Die Artikel-29-Datenschutzgruppe empfiehlt nachdrücklich, den Do-Not-Track-Mechanismus verbindlich zu machen.

Die Artikel-29-Datenschutzgruppe hat auch andere Bedenken festgestellt, die beispielsweise das Ausmaß, den Schutz von Datenendgeräten und das Direktmarketing betreffen. Zu guter Letzt hat die Arbeitsgruppe Probleme festgestellt, die Klarstellungen verdienen, um die Endnutzer besser zu schützen und um für alle beteiligten Akteure mehr Rechtssicherheit einzuführen.

Nachstehend das Working Paper in englischer Sprache (PDF-Format).