Der Europäische Datenschutzbeauftragte (European Data Protection Board, EDPB), der mit Inkrafttreten der DS-GVO am vergangenen Freitag die Art. 29 Working Party abgelöst hat, hat sich mit seiner Stellungnahme vom 25. Mai 2018, veröffentlicht am 28. Mai 2018, zu wichtigen Themen in Bezug auf die Regulierung elektronischer Kommunikation und dadurch insbesondere auch zur Verarbeitung personenbezogener Daten auf Webseiten (auch sog. Cookies und Tracking-Mechanismen) positioniert.

Einleitend weist der EDPB darauf hin, dass es sich bei der derzeit im Gesetzgebungsprozess befindlichen ePrivacy-Verordnung um einen wichtigen und notwendigen Schritt, insbesondere in Bezug auf die Regulierung von derzeit nicht von der ePrivacy-Richtlinie erfassten IP basierten Telekommunikationsdiensten, handelt, der allerdings nun auch schnell vollzogen werden sollte. Damit die Nutzer auch bei Nutzung dieser Services sobald wie möglich geschützt werden, appelliert der EDPB an Kommission, Parlament und Rat, zu einer schnellen und zufriedenstellenden Lösung zu kommen.

Aufbauend auf der Basis, dass die Vertraulichkeit der elektronischen Kommunikation einen spezifischen Schutz über die Bestimmungen der DS-GVO hinaus erfordere, bezieht der EDPB Stellung zu einigen wichtigen Eckpunkten, die seiner Auffassung nach im Trilogverfahren Beachtung finden müssen:

Zunächst dürfe die Reformierung der ePrivacy-Richtlinie nicht zu einem Absinken des Schutzniveaus führen, sodass die ePrivacy-Verordnung alle Arten der elektronischen Kommunikation inklusive der sog. Over-the-Top-Dienste erfassen sollte.

Bedeutend im Hinblick auf die aktuell – auch vor dem Hintergrund des Positionspapiers der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – intensiv geführte Diskussion um den Umgang mit Nutzerdaten auf Webseiten, ist aber vor allem die sehr deutliche Positionierung des EDPB betreffend der Notwendigkeit von Einwilligungen vor dem Hintergrund des Datenschutzes. Die Einwilligung der Nutzer sollte nach Ansicht des EDPB systematisch in einer technisch umsetzbaren und durchsetzbaren Art und Weise eingeholt werden, bevor elektronische Kommunikationsdaten verarbeitet werden oder bevor auf die Speicher- oder Verarbeitungskapazitäten des Endgeräts eines Benutzers zugegriffen wird. Was darüber hinaus allerdings besonders einschneidend für viele (werbebasierte) Geschäftsmodelle sein wird ist der Zusatz des EDPB, dass es hierbei auch keine Ausnahmen für Verarbeiter geben sollte, um diese Daten auf der Grundlage eines “berechtigten Interesses” oder des allgemeinen Zwecks der Vertragserfüllung zu verarbeiten. Besondere Einzelfallausnahmen, die der Gesetzgeber etwa in Bezug auf das Herausgabeverlangen durch Behörden treffen könnte, sollten unter scharfer Kontrolle stehen, wobei die wahllose Überwachung des Benutzerstandorts oder der Verarbeitung ihrer Metadaten überhaupt nicht erlaubt werden sollte. Zudem sei ein ausdrückliches Verbot sog. Cookie-Walls zu etablieren, um die Freiwilligkeit der Einwilligung zu garantieren. Allerdings müsse die Verordnung auch eine wirksame Möglichkeit vorsehen, eine Einwilligung des Nutzers einzuholen, wobei die Privatsphäre-Einstellungen Benutzer standardmäßig beibehalten bleiben und sie eine Auswahl bei relevanter und transparenter Informationen treffen können sollten. In diesem Zusammenhang sollte die Verordnung technologieneutral bleiben, um dies zu gewährleisten. Damit folgt der EDPB zwar nicht explizit und im Detail der von der Kommission vorgeschlagenen Browser-Lösung, nach der die Einwilligung in Zukunft zentralisiert in den Softwareeinstellungen eines jeden Nutzers erfolgen soll, nähert sich diesem Modell aber im Ergebnis deutlich an und geht teilweise noch darüber hinaus etwa in Bezug auf das ausdrückliche Verbot von Cookie-Walls, auf deren Vermeidung auch das Europäische Parlament in seinem Entwurf in Erwägungsgrund 22 verweist. Nur durch diese Maßnahmen könne der Endnutzer in allen relevanten Bereichen in seiner Privatsphäre geschützt werden.

Im Übrigen spricht sich der EDPB für eine Förderung der Verwendung vollständig anonymisierter Daten aus.

Die Stellungnahme des EDPB ist abrufbar unter:

https://edpb.europa.eu/node/91