ePrivacy Verordnung: Mitgliedstaaten sollen über opt-in oder opt-out für den Einsatz von Cookies für Werbezwecke entscheiden

Im Rat der Europäischen Union wird zwischen den Mitgliedstaaten weiter über den Entwurf der ePrivacy Verordnung diskutiert (mein älterer Beitrag hierzu). Im Januar 2017 hat die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) veröffentlicht. Mit der neuen ePrivacyVO soll die geltende ePrivacy-Richtlinie ersetzt werden.

Nun hat die Ratspräsidentschaft ein aktuelles Sachstandspapier (pdf) vom 11.1.2018 zu noch offen diskutierten Themen veröffentlicht, in dem sie die Mitgliedstaaten dazu auffordert, Stellungnahmen zu verschiedenen Lösungsvorschlägen abzugeben. Betroffene Themen sind u.a. ganz allgemein das Verhältnis der ePrivacyVO zur EU Datenschutz-Grundverordnung, die Regulierung der Maschine-Maschine-Kommunikation, die Anforderungen an Software (Browser, Apps) aber natürlich auch die zukünftigen rechtlichen Anforderungen zum Zugriff auf Informationen oder das Ablegen von Informationen in Endgeräten der Nutzer. Also insbesondere der Einsatz von Cookies und anderen Trackingtechnologien für werbliche Zwecke.

Sowohl der Entwurf der Kommission als auch die Entschließung des Europäischen Parlaments zur ePrivacyVO sahen in Art. 8 Abs. 1 dem Grunde nach keine Möglichkeit vor, Informationen auf Endgeräten abzulegen oder auf Informationen in Endgeräten von Nutzern für rein werbliche Zwecke (z.B. Onlinewerbung) zuzugreifen, ohne dass die Einwilligung des Nutzers vorliegt.

Die Ratspräsidentschaft bittet in dem aktuellen Diskussionspapier nun um Stellungnahmen der Delegationen zu der Frage, ob Art. 8 Abs. 1 in der Hinsicht angepasst werden sollte, dass ein Erlaubnistatbestand aufgenommen wird, der, auf der Grundlage berechtigter Interessen und dem Recht des Betroffenen auf Widerspruch, Unternehmen die Möglichkeit eröffnet, Cookies und andere Technologien für werbliche Zwecke einzusetzen. Es geht hier also um die Frage, ob eine Interessenabwägung auch im Bereich des Zugriffs auf Informationen in oder das Ablegen von Informationen (wie Cookies) auf Endgeräte als Erlaubnistatbestand Einzug in die ePrivacyVO halten soll. Sollte dieser Vorschlag Zuspruch finden, dürfte diese Änderung sicherlich noch für Diskussionen im (wohl für Herbst bzw. Ende 2018 geplanten) Trilog zwischen Kommission, Parlament und Rat sorgen.

Europäische Kommission: Vereinigtes Königreich ist ab dem 30.3.2019 ein Drittland – Handlungsbedarf für Unternehmen

Die Europäische Kommission hat in einer Mitteilung (pdf) vom 9.1.2018 bestätigt, wovon die meisten Beobachter ohnehin bereits ausgegangen sind. Ab dem 30.3.2019 ist das Vereinigte Königreich aufgrund seines erklärten Austritts aus der Europäischen Union als „Drittland“ im Sinne der dann geltenden EU Datenschutz-Grundverordnung (DSGVO) zu behandeln. Datenschutzrechtlich betrachtet steht das Vereinigte Königreich dann auf einer Stufe mit Ländern wie USA, China oder auch Russland, für die kein Angemessenheitsbeschluss der Europäischen Kommission zum Schutzniveau für personenbezogene Daten existiert.

Die nun vorliegende schriftliche Klarstellung der Kommission macht deutlich, dass es keine automatische Anerkennung des Datenschutzniveaus im Vereinigten Königreich nach dem Austritt geben wird. Manch einer mag gehofft haben, dass das Schutzniveau des Datenschutzrechts im Vereinigten Königreich quasi automatisch als angemessen angesehen wird, da ja zumindest bis zum Austritt aus der Union auch dort die DSGVO gilt. Einem solchen Automatismus erteilt die Kommission jedoch eine Absage. Gegen die automatische Anerkennung des Schutzniveaus spricht im Übrigen auch der veränderte Prüfungsmaßstab der Kommission, wenn sie die Angemessenheit des Schutzniveaus nach Art. 45 Abs. 2 DSGVO prüft. Denn sie muss dann auch nationale Rechtsvorschriften in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten prüfen (Art. 45 Abs. 2 lit. a) DSGVO). Solange das Vereinigte Königreich aber Mitglied der Europäischen Union ist, ist die Frage der nationalen Sicherheit aber der Kompetenz der Kommission entzogen.

Zu Recht macht die Kommission in ihrer Mitteilung auf die Konsequenzen für Unternehmen aufmerksam, wenn diese personenbezogene Daten auch nach dem Stichtag an Stellen im Vereinigten Königreich übermitteln möchten. Für die Zulässigkeit solcher Übermittlungen müssen bestimmte Voraussetzungen erfüllt werden, die in den Art. 44 ff DSGVO näher beschrieben sind. Mangels eines Angemessenheitsbeschlusses der Kommission (Art. 45 DSGVO) werden für Unternehmen also vor allem die Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) DSGVO, jetzige EU Standardvertragsklauseln) eine wichtige Rolle spielen. Diese Verträge sind dann mit Unternehmen im Vereinigten Königreich abzuschließen.

Daneben kommen in Zukunft unter der DSGVO auch weitere Instrumente, wie etwa genehmigte Verhaltensregeln oder genehmigte Zertifizierungsmechanismen als Grundlage für eine Übermittlung in Betracht.

Unternehmen in der Europäischen Union müssen sich also innerhalb des nächsten Jahres darum kümmern, Datenübermittlungen in das Vereinigte Königreich aus rechtssichere Füße zu stellen.

Datenschutz-Grundverordnung in der Arztpraxis – Fragebogen der Datenschutzbehörde zur Praxisorganisation

Die ab dem 25.5.2018 anwendbare EU Datenschutz-Grundverordnung (DSGVO) gilt nicht nur für große, internationale Unternehmen. Auch mittelständische Betriebe und Selbstständige müssen sich mit den, teilweise neuen, Vorgaben zum Umgang mit personenbezogenen Daten befassen. In Deutschland kommen zudem die Regelungen des ebenfalls ab dem 25.5.2018 geltenden neuen Bundesdatenschutzgesetzes hinzu.

Der Landesbeauftragte für Datenschutz in Mecklenburg-Vorpommern hat Ende 2017 einen Fragebogen (pdf) an zufällig ausgewählte Arztpraxen versendet, in dem er die Erfüllung verschiedenster Anforderungen der DSGVO abfragt. Die Ergebnisse der Befragung sollen der Behörde helfen, den Beratungsbedarf bei Arztpraxen einzuschätzen.

Arztpraxen (aber selbstverständlich auch andere datenverarbeitende Stellen) sollten sich, auch wenn sie den Fragebogen nicht selbst erhalten haben, mit den Fragen auseinandersetzen und für sich prüfen, ob sie entsprechende Antworten geben könnten. Die Fragen der Behörde stellen eine erste Richtungsvorgabe dafür dar, was Unternehmen ab dem 25.5.2018 für Anfragen von Seiten der Aufsichtsbehörden erwarten könnten und welche Regelungsbereiche der DSGVO aus Sicht der Behörde besondere Relevanz haben.