Die Mitgliedstaaten haben sich heute auf ein Verhandlungsmandat für überarbeitete Vorschriften zum Schutz der Privatsphäre und der Vertraulichkeit bei der Nutzung elektronischer Kommunikationsdienste (e‑Datenschutz/ePrivacy) geeinigt.
Mit diesen aktualisierten e-Datenschutzvorschriften wird festgelegt, in welchen Fällen Diensteanbieter elektronische Kommunikationsdaten verarbeiten oder Zugang zu Daten erhalten dürfen, die auf den Geräten der Endnutzer gespeichert sind. Die heutige Einigung ermöglicht es dem portugiesischen Vorsitz, Gespräche mit dem Europäischen Parlament über den endgültigen Wortlaut einzuleiten.
“Solide Datenschutzvorschriften sind von entscheidender Bedeutung, um Vertrauen in eine digitale Welt zu schaffen und aufrechtzuerhalten. Bis zum Standpunkt des Rates war es kein einfacher Weg, aber wir haben nun ein Mandat, das ein ausgewogenes Verhältnis zwischen einem soliden Schutz des Privatlebens des Einzelnen und der Förderung der Entwicklung neuer Technologien und Innovationen darstellt. Der portugiesische Vorsitz freut sich sehr, nun Gespräche mit dem Europäischen Parlament über diesen wichtigen Vorschlag aufzunehmen.” (Pedro Nuno Santos, portugiesischer Minister für Infrastruktur und Wohnungswesen und Präsident des Rates)
Die bestehende Datenschutzrichtlinie für elektronische Kommunikation aus dem Jahr 2002 muss aktualisiert werden, um neuen technologischen Entwicklungen und Marktentwicklungen – wie der derzeit weit verbreiteten Nutzung der Internet-Sprachtelefonie (Voice-over-IP/VoIP), webgestützten E‑Mail- und Nachrichtenübermittlungsdiensten – sowie neuen Techniken zur Verfolgung des Online-Verhaltens der Nutzer Rechnung zu tragen.
Mit der im Entwurf vorliegenden Datenschutzverordnung für elektronische Kommunikation wird die bestehende Datenschutzrichtlinie für elektronische Kommunikation aufgehoben. Als besonderes Gesetz („lex specialis“) zur Datenschutz-Grundverordnung (DSGVO) wird sie diese konkretisieren und ergänzen. So gelten im Gegensatz zur DSGVO viele Bestimmungen über Privatsphäre und elektronische Kommunikation sowohl für natürliche als auch juristische Personen.
Mandat des Rates
Im Rahmen des Mandats des Rates wird die Verordnung elektronische Kommunikationsinhalte, die über öffentlich zugängliche Dienste und Netze übermittelt werden, sowie Metadaten im Zusammenhang mit der Kommunikation abdecken. Metadaten umfassen beispielsweise Informationen über den Ort sowie die Uhrzeit und den Empfänger der Kommunikation. Sie gelten als potenziell genauso sensibel wie der Inhalt selbst.
Um den uneingeschränkten Schutz der Privatsphäre zu gewährleisten und ein vertrauenswürdiges und sicheres Internet der Dinge zu fördern, werden die Vorschriften auch für Maschine-zu-Maschine-Daten gelten, die über ein öffentliches Netz übermittelt werden.
Die Vorschriften gelten, wenn sich die Endnutzer in der EU aufhalten. Dies gilt auch für Fälle, in denen die Verarbeitung außerhalb der EU erfolgt oder der Diensteanbieter außerhalb der EU niedergelassen oder ansässig ist.
In aller Regel werden elektronische Kommunikationsdaten vertraulich behandelt. Jeder Eingriff – einschließlich des akustischen Zugriffs, der Überwachung und der Verarbeitung von Daten durch andere Personen als den Endnutzer – ist verboten, es sei denn, dies ist nach der Datenschutzverordnung für elektronische Kommunikation zulässig.
Die Verarbeitung elektronischer Kommunikationsdaten ohne Einwilligung des Nutzers ist beispielsweise auch zulässig, wenn damit die Integrität von Kommunikationsdiensten sichergestellt wird, wenn eine Überprüfung auf Schadsoftware oder Viren erfolgt oder in Fällen, in denen für den Diensteanbieter Verpflichtungen aufgrund des Unionsrechts oder des Rechts der Mitgliedstaaten in Bezug auf die Verfolgung von Straftaten oder die Abwehr von Gefahren für die öffentliche Sicherheit bestehen.
Metadaten können beispielsweise zur Abrechnung oder zur Aufdeckung oder Unterbindung betrügerischer Verwendung verarbeitet werden. Mit Zustimmung des Nutzers könnten Diensteanbieter beispielsweise Metadaten zur Anzeige von Verkehrsbewegungen verwenden, um Behörden und Verkehrsunternehmen dabei zu unterstützen, neue Infrastrukturen dort zu entwickeln, wo sie am dringendsten benötigt werden. Metadaten können auch verarbeitet werden, um lebenswichtige Interessen der Nutzer zu schützen, unter anderem zur Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notlagen, insbesondere Naturkatastrophen, und bei vom Menschen verursachten Katastrophen.
In bestimmten Fällen dürfen Anbieter elektronischer Kommunikationsnetze und ‑dienste Metadaten für einen anderen Zweck als den, für den sie erhoben wurden, verarbeiten, selbst wenn dies nicht auf der Grundlage der Einwilligung des Nutzers oder bestimmter Bestimmungen über Legislativmaßnahmen nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erfolgt. Diese Verarbeitung für einen anderen Zweck muss mit dem ursprünglichen Zweck vereinbar sein, und es gelten strenge besondere Garantien.
Da die Endgeräteausrüstung des Nutzers, einschließlich Hardware und Software, sehr persönliche Informationen wie Fotos und Kontaktlisten enthalten kann, werden die Nutzung der Verarbeitungs- und Speicherkapazitäten und die Erfassung von Informationen aus dem Gerät nur mit Einwilligung des Nutzers oder zu anderen in der Verordnung festgelegten spezifischen transparenten Zwecken gestattet.
Die Endnutzer sollten eine echte Wahl haben, Cookies oder ähnliche Kennungen zu akzeptieren. Der Zugang zu einer Website darf – als Alternative zu einer Bezahlschranke (Paywall) – von einer Einwilligung zur Verwendung von Cookies für zusätzliche Zwecke abhängig gemacht werden, wenn der Nutzer zwischen diesem Angebot und einem gleichwertigen Angebot des gleichen Anbieters wählen kann, das nicht mit der Einwilligung zu Cookies einhergeht.
Um zu vermeiden, dass die Endnutzer immer wieder aufs Neue in die Verwendung von Cookies einwilligen müssen, werden die Endnutzer ihre Einwilligung in die Verwendung bestimmter Arten von Cookies erteilen können, indem sie einen oder mehrere Anbieter in ihren Browser-Einstellungen in eine Positivliste aufnehmen. Die Softwareanbieter werden dazu angehalten, den Benutzern jederzeit die Erstellung und Änderung von Positivlisten in ihrem Browser sowie den Widerruf ihrer Einwilligung zu erleichtern.
Der Text enthält auch Vorschriften über Anrufer-Identifikation, öffentliche Verzeichnisse sowie unerbetene und direkte Werbung.
Die Verordnung würde 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft treten und zwei Jahre später zur Anwendung gelangen.
Pressemitteilung des Europäischen Rats vom 10.02.2021
