Die Europäische Union ist weiterhin führend bei der Regulierung von Privatsphäre und Datenschutz. Während einige der größten Volkswirtschaften der Welt daran arbeiten, jahrzehntealte Gesetze auf sich ständig verändernde Technologien anzuwenden, geht die EU mit ihren Datenschutzgesetzen der nächsten Generation weiter voran. So wie die EU-Datenschutzgrundverordnung die Richtlinie 95/46/EG ersetzt hat, wird die ePrivacy-Verordnung bald die fast 20 Jahre alte ePrivacy-Richtlinie ersetzen, die 2002 in Kraft getreten ist.

Um eine kurze Zeitreise in die Vergangenheit zu machen: 2002 war auch das Jahr, in dem Euro-Münzen und -Banknoten in Umlauf gebracht wurden. Sirius-Satellitenradio und die BlackBerry-Smartphones wurden in diesem Jahr eingeführt. Es war das Jahr vor dem Erscheinen von MySpace, zwei Jahre vor der Geburt von Facebook und drei Jahre, bevor das erste Video auf YouTube hochgeladen wurde. Wenn man bedenkt, wie viel sich in der Zwischenzeit getan hat, kann man mit Fug und Recht behaupten, dass die Datenschutzrichtlinie für elektronische Kommunikation „nicht vollständig mit der Entwicklung der technologischen und marktbezogenen Realität Schritt gehalten hat“ (ePR, Erwägungsgrund 6).

In der Tat ist die Kommunikation heute allgegenwärtig. Die heutigen digitalen Dienste und Anwendungen verlassen sich auf den Inhalt unserer Kommunikation, von Kalendern, die unsere Meetings und Termine synchronisieren, über Rechtschreibprüfungen, die (normalerweise) unsere Textnachrichten korrigieren, bis hin zu Antispam-Filtern, die unsere eingehenden E-Mails lesen. Die Sicherstellung, dass die Vertraulichkeit der Kommunikation unter diesen neuen Technologien erhalten bleibt, ist ein wichtiges Ziel von ePR.

Der Inhalt unserer elektronischen Kommunikation kann persönliche und sensible Daten offenbaren, „von persönlichen Erfahrungen und Emotionen bis hin zu medizinischen Zuständen, sexuellen Vorlieben und politischen Ansichten, deren Offenlegung zu persönlichem und sozialem Schaden, wirtschaftlichem Verlust oder Peinlichkeit führen könnte.“ Darüber hinaus können die Metadaten dieser Kommunikation – „die angerufenen Nummern, die besuchten Webseiten, der geografische Standort, die Uhrzeit, das Datum und die Dauer, zu der eine Person einen Anruf getätigt hat (usw.)“ – „genaue Rückschlüsse“ auf die an der Kommunikation beteiligten Personen zulassen, wie z. B. ihre „sozialen Beziehungen, ihre Gewohnheiten und Aktivitäten des täglichen Lebens, ihre Interessen, Vorlieben (usw.)“ (ePR, Erwägungsgrund 2).

Wie eine Vielzahl anderer kürzlich entwickelter Gesetze zum Schutz der Privatsphäre und des Datenschutzes auf der ganzen Welt zielen auch die GDPR und die ePR darauf ab, mit der sich ständig erweiternden Palette von Datenerfassungswerkzeugen und -technologien Schritt zu halten. In der Tat hat die ePR seit den ersten Diskussionen Voice-over-IP, webbasierte E-Mail- und Messaging-Dienste sowie Techniken zur Verhaltensanalyse im Visier. Eine der Hauptauswirkungen der Ersetzung der ePrivacy-Richtlinie durch die ePR wird die Ausweitung von Regeln, die derzeit nur für Internetzugangs- und Telekommunikationsanbieter gelten, auf Webmail- und Messaging-Dienste sein. Diese digitalen „persönlichen Assistenten“-Dienste, die sich heute ausbreiten, stellen eine drastische Veränderung gegenüber den reinen „Pipeline“-Diensten der Vergangenheit dar, die die ePrivacy-Richtlinie regulieren wollte, wie z. B. traditionelle Telekommunikationsanbieter, die lediglich Nachrichten von Punkt A nach B übertragen.

Entwicklung

Die rechtliche Grundlage der ePR ist Artikel 7 der Charta der Grundrechte der Europäischen Union, der das Recht auf Achtung des Privat- und Familienlebens darstellt. Insbesondere die Dimension der Vertraulichkeit innerhalb dieses Rechts ist es, die die ePR vor allem zu schützen sucht. Die Achtung des Grundsatzes der Vertraulichkeit im Bereich der elektronischen Kommunikation erfordert, dass „die zwischen den Parteien ausgetauschten Informationen und die externen Elemente einer solchen Kommunikation, einschließlich des Zeitpunkts, zu dem die Informationen gesendet wurden, von wo aus und an wen, niemandem außer den an einer Kommunikation beteiligten Parteien offenbart werden dürfen.“ Die ePR greift dieses Vertraulichkeitsprinzip auf konzeptioneller Ebene auf und versucht, es auf „Anrufe, Internetzugang, Instant-Messaging-Anwendungen, E-Mail, Internet-Telefonate und persönliche Nachrichten, die über soziale Medien bereitgestellt werden, anzuwenden.“

Der erste Text der ePR wurde im Januar 2017 veröffentlicht, als die Europäische Kommission ihren Vorschlag annahm. Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres im Europäischen Parlament nahm seinen Bericht über Änderungen im Oktober 2017 an.

Seitdem hat die Prüfung und Überarbeitung des Textes durch den Europäischen Rat, die von der Arbeitsgruppe für Telekommunikation und Informationsgesellschaft durchgeführt wurde, mehr als drei Jahre gedauert. Dabei wurden neun verschiedene Ratspräsidentschaften – die maltesische, estnische, bulgarische, österreichische, rumänische, finnische, kroatische, deutsche und nun portugiesische – durchlaufen, die jeweils unterschiedliche Beiträge zu dem Text geleistet haben.

Am 10. Februar 2021 hat der Ausschuss der Ständigen Vertreter jedoch den Vorschlag für eine Verordnung angenommen, der bisher der 14. Die portugiesische Ratspräsidentschaft wird nun Gespräche mit dem Europäischen Parlament über den endgültigen Text der ePR aufnehmen.

Wo steht also der aktuelle Text in Bezug auf Schlüsselfragen wie Anwendungsbereich, Einwilligung und Cookies?

Anwendungsbereich

Im Großen und Ganzen gelten die Regeln der ePR für „Anbieter von elektronischen Kommunikationsdiensten … und Anbieter von öffentlich zugänglichen Verzeichnissen“ sowie für diejenigen, „die elektronische Kommunikationsdienste nutzen, um kommerzielle Direktwerbung zu versenden“ oder „die Verarbeitungs- und Speichermöglichkeiten von Endgeräten nutzen oder Informationen sammeln, die von Endgeräten des Endnutzers verarbeitet, ausgesendet oder gespeichert werden.“

Es ist interessant zu sehen, dass die EU angesichts des langsamen Tempos der ePR, aber der sich ständig entwickelnden Technologielandschaft, bereits damit begonnen hat, Teile der ePrivacy-Verordnung in andere Gesetze zu implementieren.“ Zum Beispiel hat der Europäische Kodex für elektronische Kommunikation seit Dezember 2020 die Definition von „elektronischen Kommunikationsdiensten“ im Wesentlichen um „Over-the-Top“-Dienste erweitert, zu denen WhatsApp und Skype gehören, vermutlich zusammen mit einigen Diensten, die in letzter Zeit stark an Popularität gewonnen haben, darunter Zoom und Teams. Die Einbeziehung von OTT-Diensten in den Geltungsbereich war eine der zentralen Streitfragen, die frühere Diskussionen über ePR beleuchteten.

Während OTT-Dienste bereits in den Anwendungsbereich fielen, wurde der aktuelle Vorschlag insbesondere um „Maschine-zu-Maschine-Daten, die über ein öffentliches Netzwerk übertragen werden“ erweitert.

Als Hinweis auf die verstärkte Betonung des Schutzes enthält der neueste Entwurf auch eine Definition von Standortdaten, die „mittels eines elektronischen Kommunikationsnetzes oder -dienstes verarbeitete Daten, die die geografische Position des Endgeräts eines Nutzers eines öffentlich zugänglichen elektronischen Kommunikationsdienstes angeben“.