ePrivacy Verordnung: Bundesregierung sieht weiteren Beratungsbedarf

Die Verhandlungen zur ePrivacy Verordnung dauern weiter an. Da Ende Mai 2019 in ganz Europa die Wahlen für ein neues Europäisches Parlament anstehen, wird man damit rechnen müssen, dass vor diesen Wahlen eine finale Verabschiedung der ePrivacy Verordnung (inkl. eines Trilogs zwischen Kommission, Parlament und Rat) schwierig wird.

Auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag („Verhandlungen über den Datenschutz in der elektronischen Kommunikation (ePrivacy-Reform)“) hat die Bundesregierung am 21.12.2018 einige Informationen zum aktuellen Stand der Verhandlungen zur ePrivacy Verordnung und dem möglichen weiteren Ablauf gegeben (BT Drs. 19/6709, 21.12.2018, pdf).

Zum Zeithorizont äußert die Bundesregierung, dass sie grundsätzlich einen zeitnahen Abschluss der Verhandlungen anstrebt. Jedoch teilt sie auch mit, dass sie sich im Minterrat dafür ausgesprochen hat,

dass bestimmte Anliegen zunächst weiter beraten werden sollen, bevor über Verhandlungen mit dem Europäischen Parlament entschieden wird“.

Die Bundesregierung sieht folglich allgemein noch Beratungsbedarf. Wann die Verhandlungen im Rat aus ihrer Sicht abgeschlossen sein (oder werden) können, teilt sie nicht mit. Jedoch weißt die Bundesregierung noch darauf hin, dass derzeit eine Übergangsfrist von zwei Jahren für die ePrivacy Verordnung vorgesehen ist, die die Bundesregierung auch gefordert habe. Wenn es also tatsächlich im Laufe des Jahres 2019 zu einer Einigung zwischen Kommission, Parlament und Rat kommen sollte, dürfte die Anwendbarkeit der ePrivacy Verordnung wohl nicht vor 2021 zu erwarten sein.

Drei noch umstrittene Regelungsbereiche liegen nach Aussage der Bundesregierung in der Frage der zulässigen Verarbeitung von Metadaten ohne Einwilligung des betroffenen Endnutzers zu wirtschaftlichen Zwecken des Anbieters sowie in den Regelungen zum Schutz der Endgeräte. Also die Vorgaben zum Einsatz von Cookies auf Endgeräten oder dem Zugriff auf im Endgerät vorhandene Informationen. Einen weiteren wesentlichen Konfliktpunkt stellt wohl auch der Anwendungsbereich der ePrivacy Verordnung und das Verhältnis als Spezialgesetzgebung zur DSGVO dar.

Die Bundesregierung benennt zudem noch folgende Themen mit Diskussionsbedarf:

  • Bekämpfung der Kinderpornografie und des Missbrauchs von Kindern in den Netzen
  • Bestimmungen zum Schutz der Endeinrichtungen
  • Einstellungen zum Schutz der Privatsphäre in Browsersoftware
  • Aufsicht

Konkret zu dem Thema „Tracking Walls“ befragt, bekräftigt die Bundesregierung ihre bereits in der Vergangenheit geäußerte Ansicht,

dass werbefinanzierte Onlinedienste die Möglichkeit haben sollten, die Nutzung solcher Dienste von der Einwilligung in Cookies für Werbezwecke abhängig zu machen“.

Insgesamt deuten die Antworten der Bundesregierung darauf hin, dass es zum einen in wesentlichen Punkten noch Diskussionsbedarf zwischen den Mitgliedstaaten gibt und zum anderen ein rascher Abschluss der Verhandlungen (also etwa im ersten Halbjahr 2019) insgesamt wohl nicht zu erwarten ist.

Aktueller Stand der ePrivacy Verordnung – Orientierungsaussprache der Minister am 4.12.2018

In einem aktuellen Dokument aus dem Rat der Europäischen Union vom 23.11.2018 geht hervor, wie sich derzeit die Verhandlungen zum Entwurf der ePrivacy Verordnung darstellen und welche Themen zwischen den Mitgliedstaaten noch Diskussionspunkte darstellen (Ratsdokument 14491/18, pdf).

Am 4.12.2018 soll zur ePrivacy Verordnung (ePrivacyVO) eine Orientierungsaussprache im Rat stattfinden. Das oben angegebene Dokument soll dabei als Grundlage dienen.

Zu dem aktuellen Stand der Beratungen informiert die Ratspräsidentschaft auf der Grundlage besonders wichtiger Themengebiete bzw. Artikel der ePrivacyVO.

Hinsichtlich der erlaubten Verarbeitung elektronischer Kommunikationsdaten (Art. 6) wird darauf hingewiesen, dass der Vorsitz die Möglichkeit einer weitergehenden konformen Verarbeitung elektronischer Kommunikationsmetadaten eingeführt hat und zudem als neuen Grund für die Verarbeitung elektronischer Kommunikationsdaten den Schutz von Endeinrichtungen aufgenommen hat. Es bestünden jedoch weiterhin Bedenken bezüglich ausreichender Anreize für Innovation und bezüglich der Notwendigkeit einer engeren Angleichung an die DSGVO.

Mit Blick auf Art. 8 (Schutz von in Endeinrichtungen gespeicherten Informationen; also die Regelung zu Cookies) verweist der Ratsvorsitz darauf, dass bislang überwiegend über die Frage des von Bedingungen abhängigen Zugangs zu Website-Inhalten diskutiert wurde und darüber, dass Geschäftsmodelle nicht beeinträchtigt werden dürfen, wie z. B. durch Werbung finanzierte Online-Dienste, insbesondere Medien-Websites, wobei die entsprechenden Bedingungen gemäß der DSGVO zu achten sind. Zwar wurden in der Vergangenheit mehrere Vorschläge zur Anpassung des Art. 8 und der korrespondierenden Erwägungsgründe unterbreitet, jedoch, so der Ratsvorsitz, scheint es, dass einige Mitgliedstaaten noch weitere Arbeiten an diesem Teil des Textes für erforderlich halten. Auch hinsichtlich Art. 8 ist also die Meinungsfindung im Rat noch nicht abgeschlossen und es wird noch über konkrete inhaltliche Fragen diskutiert.

Nach Informationen des Ratsvorsitzes haben die Bestimmungen über Voreinstellungen zur Privatsphäre (in Art. 10) während der gesamten Beratungen erhebliche Bedenken verursacht, unter anderem aus Gründen einer möglichen Belastung für Browser und Apps und auch des Wettbewerbsaspekts. Daher ergaben sich Zweifel am Mehrwert dieser Bestimmung. Unter Berücksichtigung dieser Elemente hat der Vorsitz beschlossen, Art. 10 zu streichen. Jedoch wurde auch diese Streichung unter den Mitgliedstaaten unterschiedlich aufgenommen.

In einer Anlage II zu dem Dokument formuliert der Ratsvorsitz Fragen für die Orientierungsaussprache auf der Tagung des Rates am 4. Dezember 2018. So sollen die Minister darüber beraten, ob die jüngsten Arbeiten im Rat den Text der ePrivacyVO in eine gute Richtung bewegt haben? Zudem schlägt der Ratsvorsitz vor, dass die Minister beraten sollen, welches diesbezüglich die wichtigsten offenen Fragen sind, die noch behandelt werden müssen, bevor die Verhandlungen mit dem Europäischen Parlament beginnen können?

Im Ergebnis möchte der Ratsvorsitz hier also eine Orientierungsdebatte auf einer politisch höheren Ebene (als auf Ratsarbeitsgruppe) anstrengen. Es soll auf Ministerebene (hier weitere Informationen und die Agenda) eine grobe Richtung für die weiteren Arbeiten und möglichen Trilogverhandlungen zur ePrivacyVO vorgegeben werden. Ob es noch vor den Neuwahlen des Europäischen Parlaments im nächsten Jahr tatsächlich zu Trilogverhandlungen kommt, könnte von den Ergebnissen dieser nun anstehenden Orientierungsaussprache abhängen.

Verordnung über den freien Verkehr nicht personenbezogener Daten in der Europäischen Union kurz vor Verabschiedung – Abgrenzungsfragen zur DSGVO

Durch die Arbeiten an der DSGVO und vor allem auch der Umsetzung ihrer Vorgaben in der Praxis, wurde in den letzten Monaten recht wenig über ein anderes, für das Datenschutzrecht aber durchaus relevantes, Gesetzgebungsverfahren auf europäischer Ebene berichtet. Die im September 2017 von der Europäischen Kommission vorgeschlagene Verordnung über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union (COM(2017) 495, pdf).

Der Gesetzesentwurf wurde im letzten halben Jahr im Rat der Europäischen Union und auch im Europäischen Parlament geprüft und bearbeitet. Am 6. Juni 2018 hat der federführende Ausschuss für Binnenmarkt und Verbraucherschutz im EU-Parlament seinen Bericht vorgelegt (pdf). Mit Datum vom 25. Juni 2018 hat die Ratspräsidentschaft einen Kompromisstext der Verordnung an die ständigen Vertreter im Rat übersendet (pdf). Dieser Text ist das Ergebnis der Trilogverhandlungen zwischen Kommission, Parlament und Rat, auf den sich die Parteien am 19. Juni 2018 geeinigt haben.

Ziel des Vorschlags ist es, durch Maßnahmen zur Verbesserung der grenzüberschreitenden Mobilität nicht personenbezogener Daten im Binnenmarkt und zur Erleichterung des Anbieterwechsels und der Übertragung von Daten für die beruflichen Nutzer von Datenspeicherungs- und sonstigen Datenverarbeitungsdiensten einen stärker vom Wettbewerb geprägten und integrierten Binnenmarkt für Datenspeicherungs- und sonstige Datenverarbeitungsdienste und -tätigkeiten aufzubauen. Es sollen Datenverarbeitung in unterschiedlichen Intensitätsstufen erfasst werden, von der Datenspeicherung (Infrastructure-as-a-Service – IaaS) bis zur Verarbeitung von Daten auf Plattformen (Platform-as-a-Service – PaaS) oder in Anwendungen (Software-as-a-Service – SaaS).

Die Verordnung soll sich, in Abgrenzung zur DSGVO und auch der noch geltenden ePrivacy Richtlinie, nur auf elektronischen Daten beziehen, die keine personenbezogenen Daten sind. Aus Sicht der Praxis kann der so umrissene Anwendungsbereich bereits kritisch hinterfragt werden, denn inwiefern Unternehmen heutzutage noch (umfangreich) mit nicht personenbezogenen Daten umgehen, ist fraglich. Gerade aufgrund der extensiven Auslegung des Begriffs, sei es durch die DSGVO selbst oder auch die Rechtsprechung des EuGH und die Ansichten der Datenschutzaufsichtsbehörden.

Gerade diese Abgrenzungsfrage stellt dann aber gleichzeitig auch aus datenschutzrechtlicher Sicht, also dem Blickwinkel der personenbezogenen Daten, einen relevanten Aspekt dar. Denn für die Praxis wird es von Relevanz sein, wie sich die Anwendungsbereiche der beiden Verordnungen, DSVGO auf der einen, Verordnung zum freien Verkehr nicht personenbezogener Daten auf der anderen Seite, abgrenzen und ob es trennscharfe Grenzlinien gibt. Die Frage der Abgrenzung der Anwendungsbereich soll daher nachfolgend kurz beleuchtet werden (ich beziehe mich hierbei auf die aktuelle Fassung der „free flow“ Verordnung aus dem Trilog).

Nach ErwG 9 werden die gesetzlichen Rahmenbedingungen zum Schutz personenbezogener Daten nach der DSGVO als auch hinsichtlich des Schutzes personenbezogener Daten im Rahmen der elektronischen Kommunikation (ePrivacy Richtlinie) von dieser Verordnung nicht berührt. Nach ErwG 10 sollen die DSGVO und diese Verordnung quasi als gemeinsames Regelwerk zum freien Verkehr von Daten (personenbezogene und solche ohne Personenbezug) nebeneinander wirken. Die Anwendungsbereiche unterscheiden sich mithin anhand der Datenarten.

Doch was sieht der EU Gesetzgeber überhaupt als Datenarten an, die von der free flow Verordnung umfasst sind. In ErwG 10a gibt er hierzu ein paar Hinweise in der Form von Beispielen. Danach sei eine große Quelle nicht personenbezogener Daten das Internet der Dinge, künstliche Intelligenz und Maschinenlernen, etwa wenn diese im Rahmen industrieller Fertigungsprozesse eingesetzt werden. Dort erwähnte Beispiele: anonymisierte Datensätze für Big Data Analysen, Daten für die Präzisierungslandwirtschaft, um etwa den Einsatz von Pestiziden oder Wasser zu optimieren oder Daten zur Instandhaltung von Industriemaschinen.

Und dann kommt bereits eine der wichtigen Aussagen des Gesetzgebers: Sofern es technologische Entwicklungen ermöglichen sollte, anonymisierte Datensätze in personenbezogene Daten umzuwandeln, sollten diese Daten (der Gesetzgeber bezieht sich hierbei auf die zuvor erwähnten anonymisierten Daten) als personenbezogene Daten angesehen werden und die DSGVO gilt. Diese Aussage ist insofern bedeutend, da bereits die Möglichkeit der Re-Identifizierung ausreicht, um anonymisierte Daten als personenbezogene Daten anzusehen. Einziger Faktor, von dem diese Re-Identifizierung abhängig gemacht wird, sind die technologischen Entwicklungen. Leider definiert der Gesetzgeber weder, was mit „technologischen Entwicklungen“ gemeint ist, noch, wann den konkret „anonymisierte Daten“ vorliegen. Die Klarstellung in ErwG 10a zeigt jedoch, dass bereits die Möglichkeit der Re-Identifizierung genügt, um den Anwendungsbereich der free flow Verordnung zu verlassen und die DSGVO für anwendbar zu erklären.

Diese Klarstellung ist meines Erachtens auch im Rahmen der Anwendung der DSGVO zu beachten. Auch dort wird ja (leider) nicht definiert, was genau „anonymisierte Daten“ sind. Der Gesetzgeber geht aber davon aus, dass diese nicht vorliegen, wenn allein aufgrund technologischer Entwicklungen die Möglichkeit (!) der Re-Identifizierung gegeben ist. Auch dies fügt sich in die oben erwähnte weite Auslegung des Begriffs der personenbezogenen Daten ein, schmälert aber zugleich den Anwendungsbereich der free flow Verordnung.

In Art. 1a der Verordnung wird dann die ebenso wichtige Frage der gemischten Datensätze angesprochen, also Datensätze, die sowohl personenbezogene als auch nicht personenbezogene Daten enthalten. Eigentlich würden wohl die Meinungen im Datenschutzrecht in einer solchen Situation ohne viel Diskussion vom Vorliegen personenbezogener Daten in Gänze ausgehen (Stichwort: Infektion nicht personengezogener Daten). Nicht so aber der EU Gesetzgeber. In Art. 1a gibt er vor, dass im Fall des Vorliegens gemischter Datensätze die free flow Verordnung auf jene Daten im Datensatz Anwendung findet, die nicht personenbezogen sind. Der Gesetzgeber splittet also die gesetzlichen Regularien innerhalb eines gemischten Datensatzes. Dies gilt jedoch nach Art. 1a nicht für den Fall, wenn die personenbezogenen und nicht personenbezogenen Daten untrennbar miteinander verbunden sind. In diesem Fall soll die Anwendung der DSGVO nicht beeinträchtigt werden. Dies soll wohl bedeuten, dass dann nur die DSGVO eingreift. Interessant an Art. 1a ist in jedem Fall die gesetzgeberisch vorgesehen Zersplitterung regulatorischer Bedingungen innerhalb eines Datensatzes, zumindest wenn die Daten nicht untrennbar verbunden sind. Unklar bleibt, wann von einer „untrennbaren“ Verbundenheit auszugehen ist. Dies dürfte, wenn der Text so beschlossen wird, in der Praxis für Unsicherheiten bei der Anwendung der Gesetze sorgen.

ePrivacy Regulation: Position of the German Government for further negotiations at EU level

The following bullet points are a quick translation of a response (pdf, German, p. 67 f.) from State Secretary Dörr-Voß of 10 July 2018 to a written question in the German parliament. According to the written answer, with this position, Germany will also enter further negotiations at EU level on the ePrivacy Regulation.

  • The Bulgarian Presidency’s proposal for Art. 5 ePrivacy Regulation requires further revision. Communication data processed by communication service providers shall be subject to the protection of the confidentiality of communications, even after the end user has received the communication and the communication process is complete. At the same time, however, it must be clear that the further processing of communication data by the end user or on his behalf is subject to the General Data Protection Regulation. Both should clearly emerge from the ePrivacy Regulation.
  • The Government considers the proposals for processing pseudonymised geolocation data for statistical purposes, including the proposed safeguards, to be an appropriate approach for further negotiations. The Government will in no way support any further openings beyond the Presidency text of 4 May 2018 which would allow processing without consent or which would result in a weakening of the safeguards in Art. 6 ePrivacy regulation.
  • With regard to Art. 8 ePrivacy Regulation, the Government supports the current catalogue of authorised processing operations without a requirement for consent contained in the text version of the Bulgarian Council Presidency. The Government also considers it necessary to include a regulation in Art. 8 ePrivacy Regulation which ensures that the use of online services financed by advertising can be made dependent on the user’s consent to the setting of cookies for advertising purposes.
  • In Art. 10 ePrivacy Regulation, the German government supports the EU Commission’s proposal that end users should be informed about privacy settings on first installation and have to choose a setting. In addition, the Government wants Art. 10 to regulate two core issues. First, the software must not be preset to allow information to be stored and read on the end device without the end user’s knowledge. Secondly, updates must not lead to the end user’s privacy settings being overridden. Finally, it must be ensured that rejected providers (via the software setting) can separately ask the end user for his consent.
  • The Government also considers a transitional period of two years after the entry into force of the ePrivacy Regulation to be necessary.

One most also take note of another document (dated 10th July) of the current Council Presidency to delegations for the meeting of 17th July 2018 in the WP TELE in the Council of the European Union (Examination of the Presidency text, pdf). This document also concerns the above mentioned Articles 6, 8 and 10 of the proposed ePrivacy Regulation and summarizes the current status of the text with the amendments in the Council.

Entwurf der ePrivacy Verordnung – Neue Fassung zum aktuellen Stand im Rat der Europäischen Union

Mit Datum vom 4. Mai 2018 hat die Ratspräsidentschaft den aktuellen Text des Entwurfs der ePrivacy Verordnung veröffentlicht (Ratsdokument 8537/18, pdf). Die nächste Sitzung der zuständigen Ratsarbeitsgruppe “Telekommunikation und Informationsgesellschaft“ findet am 16. Mai 2018 statt, bei der auch dieser Text Gegenstand der Diskussionen der Mitgliedstaaten sein wird.

Der ursprüngliche Entwurf der Kommission zur ePrivacy VO wurde vom Rat schon an vielen Stellen angepasst. Auch diese Änderungen sind in dem nun veröffentlichten Text enthalten. Nachfolgend möchte ich nur auf einige der neuen Änderungen in dem aktuellen Text hinweisen.

Cookie Walls

Ein großes Thema in den Ratsverhandlungen spielt die Frage der Zulässigkeit von Cookie Walls. Also die Frage, ob Webseiten- oder Appbetreiber die Nutzung ihrer Dienste von der Einwilligung der Nutzer in den Einsatz von Cookies abhängig machen dürfen. In ErwG 20 nimmt der Rat nun weitere Klarstellungen zu dieser Thematik auf. Der Zugang zu bestimmten Inhalten auf Webseiten (der Text erwähnt ausdrücklich nur Webseiten) darf von der Einwilligung zum Einsatz von Cookies abhängig gemacht werden. Aber: in einigen Fällen kann diese Voraussetzung auch als unverhältnismäßig angesehen werden. Der Text nennt hier als Beispiel die Webseite einer öffentlichen Stelle, wenn für den Nutzer keine andere Möglichkeit besteht, die Dienste in Anspruch zu nehmen. Dann bestünde keine richtige Wahlmöglichkeit für den Nutzer. Der Text sagt nicht, was die Konsequenz wäre, jedoch darf man davon ausgehen, dass es in diesem Fall an dem Erfordernis der Freiwilligkeit der Einwilligung fehlt.

Keine Cookie-Einwilligung für den Betrieb vernetzter Geräte

In den ErwG 21 und 21a geht es um Ausnahmen von dem Erfordernis der Einwilligung zum Einsatz von Cookies. In der Vergangenheit hat der Rat in ErwG 20 bereits Beispiele aufgenommen, wann die Einwilligung des Nutzers nicht erforderlich ist. Etwa beim Einsatz von Session Cookies, wenn diese erforderlich sind, um die Nutzung des Dienstes zu ermöglichen, wie etwa die Speicherung von Informationen in Formularfeldern über mehrere Webseiten hinweg oder die Speicherung von Produkten, die ein Nutzer in einem Online Shop in seinen Warenkorb gelegt hat. In ErwG 21a nimmt der Rat nun neu noch die Ausnahme auf, wenn die Speicherung von Informationen aus oder der Zugriff auf Informationen in einem Endgerät des Nutzers erforderlich ist, um einen Dienst der Informationsgesellschaft, wie im Internet der Dinge (IoT) anzubieten. ErwG 21a erwähnt als Beispiel vernetzte Geräte und konkret vernetzte Thermostate.

Datenschutzeinstellungen in Software

ErwG 22 und 22a behandeln die Frage der Erteilung von Einwilligung über Datenschutzeinstellungen in Software, vor allem Webbrowsern. Bei der Erteilung von Einwilligungen können diese Softwareeinstellungen daher eine wichtige Rolle spielen. In ErwG 22 wird auch vorgesehen, dass die Einstellung eines Nutzers im Browser gegenüber Dritten bindend sein soll. In ErwG 22a stellt der Rat nun klar, dass die Verantwortlichkeit für die Einholung einer Einwilligung zum Einsatz von Cookies aber stets beim Anbieter eines Dienstes der Informationsgesellschaft, also z.B. einer App oder Webseite, liegen soll. Der Browseranbieter soll also klarstellend aus dieser Pflicht herausgenommen werden.

Zusätzlich ergänzt der Rat ErwG 23, in dem es um die Details zu den gegenüber Nutzern anzubietenden Datenschutzeinstellungen in der Software, z. B. Browsern, geht. Solche Einstellungen müssen dem Nutzer in einer leicht erkennbaren Weise zur Verfügung gestellt werde. Zu allgemein gehaltene Datenschutzeinstellungen in einem Browser oder auch einer App, die den Nutzer nicht darüber informieren, für welche Zwecke Informationen auf dem Endgerät gespeichert werden oder Informationen aus dem Endgerät genutzt werden können, sollen nach dem neuen Text keine wirksame Einwilligung des Nutzers darstellen.

Zuletzt wird ErwG 24 angepasst. Der Rat nimmt eine Klarstellung auf, dass die Vorgaben der ePrivacy VO den Betreiber einer Webseite nicht daran hindern, eine Einwilligung der Nutzer einzuholen, unabhängig davon, welche Einstellung der Nutzer etwa im Browser vorgenommen hat. Webseitenbetreiber sollen also auch „eigene“ und von den Softwareeinstellungen abweichende Einwilligungen einholen dürfen.

Natürlich enthält das Überblicksdokument aus dem Rat noch viele weitere Anpassung des Entwurfs. Zum Beispiel wird auch klargestellt, dass die Vorgaben zu Maßnahmen der Direktwerbung (Art. 16) nicht für Werbeanzeigen im Internet gelten, solange diese nicht direkt an eine identifizierte oder identifizierbare Person gerichtet ist und keine Kontaktdaten der Person genutzt werden.

ePrivacy Verordnung: Mitgliedstaaten sollen über opt-in oder opt-out für den Einsatz von Cookies für Werbezwecke entscheiden

Im Rat der Europäischen Union wird zwischen den Mitgliedstaaten weiter über den Entwurf der ePrivacy Verordnung diskutiert (mein älterer Beitrag hierzu). Im Januar 2017 hat die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) veröffentlicht. Mit der neuen ePrivacyVO soll die geltende ePrivacy-Richtlinie ersetzt werden.

Nun hat die Ratspräsidentschaft ein aktuelles Sachstandspapier (pdf) vom 11.1.2018 zu noch offen diskutierten Themen veröffentlicht, in dem sie die Mitgliedstaaten dazu auffordert, Stellungnahmen zu verschiedenen Lösungsvorschlägen abzugeben. Betroffene Themen sind u.a. ganz allgemein das Verhältnis der ePrivacyVO zur EU Datenschutz-Grundverordnung, die Regulierung der Maschine-Maschine-Kommunikation, die Anforderungen an Software (Browser, Apps) aber natürlich auch die zukünftigen rechtlichen Anforderungen zum Zugriff auf Informationen oder das Ablegen von Informationen in Endgeräten der Nutzer. Also insbesondere der Einsatz von Cookies und anderen Trackingtechnologien für werbliche Zwecke.

Sowohl der Entwurf der Kommission als auch die Entschließung des Europäischen Parlaments zur ePrivacyVO sahen in Art. 8 Abs. 1 dem Grunde nach keine Möglichkeit vor, Informationen auf Endgeräten abzulegen oder auf Informationen in Endgeräten von Nutzern für rein werbliche Zwecke (z.B. Onlinewerbung) zuzugreifen, ohne dass die Einwilligung des Nutzers vorliegt.

Die Ratspräsidentschaft bittet in dem aktuellen Diskussionspapier nun um Stellungnahmen der Delegationen zu der Frage, ob Art. 8 Abs. 1 in der Hinsicht angepasst werden sollte, dass ein Erlaubnistatbestand aufgenommen wird, der, auf der Grundlage berechtigter Interessen und dem Recht des Betroffenen auf Widerspruch, Unternehmen die Möglichkeit eröffnet, Cookies und andere Technologien für werbliche Zwecke einzusetzen. Es geht hier also um die Frage, ob eine Interessenabwägung auch im Bereich des Zugriffs auf Informationen in oder das Ablegen von Informationen (wie Cookies) auf Endgeräte als Erlaubnistatbestand Einzug in die ePrivacyVO halten soll. Sollte dieser Vorschlag Zuspruch finden, dürfte diese Änderung sicherlich noch für Diskussionen im (wohl für Herbst bzw. Ende 2018 geplanten) Trilog zwischen Kommission, Parlament und Rat sorgen.

Stand der Verhandlungen zur ePrivacy-Verordnung im Rat – u.a. Cookies, Browser & DSGVO

Zum aktuellen Verhandlungsstand der ePrivacy-Verordnung (ePrivacyVO) im Rat der EU wurde nun ein Sachstandsbericht der Präsidentschaft vom 17.11.2017 veröffentlicht (pdf). Nachfolgend einige Hinweise zu dem Bericht.

Verhältnis zur Datenschutz-Grundverordnung

Es wurden Änderungen im Text aufgenommen, mit denen klargestellt werden soll, dass die ePrivacy-Verordnung (ePrivacyVO) als lex specialis zur DSGVO gelten soll, aber nur, soweit personenbezogene Daten natürlicher Personen betroffen sind. Die ePrivacyVO wird auch für juristische Personen gilt. Die DSGVO jedoch nicht; Regeln der DSGVO sollen aber dann auch für juristische Personen anwendbar sein, wenn die ePrivacyVO darauf Bezug nimmt.

Zudem wurde auch an der Einwilligung in der ePrivacyVO gearbeitet; auch hier vor dem Hintergrund, dass in der ePrivacyVO auch juristische Personen (bzw. für sie handelnde Personen) eine Einwilligung erteilen können. Dies soll, nach Aussage der Kommission, aber im nationalen Recht geregelt werden.

Maschine-Maschine-Kommunikation

Die Mitgliedstaaten äußerten Kritik zur geplanten Anwendung der ePrivacyVO auf die Kommunikationen zwischen Maschinen. Die Präsidentschaft schlägt hier eine Unterscheidung entsprechend den Anpassungen an der Richtlinie über den europäischen Kodex für die elektronische Kommunikation vor. Die Anwendungsebene soll nicht in den Anwendungsbereich der ePrivacyVO fallen.

Aufsichtsbehörden

Zwar sollen die Datenschutzaufsichtsbehörden weiterhin zuständig sein für die Überwachung und Durchsetzung des Kapitels II der ePrivacyVO. Jedoch möchte die Präsidentschaft den Mitgliedstaaten die Möglichkeit geben, andere Aufsichtsbehörden für die Überwachung der Vorgaben des Kapitel III zu benennen.

Grundlagen der Verarbeitung (auch Erlaubnis in Bezug auf Cookies etc.)

Es wird festgestellt, das weiterer Beratungsbedarf bei der Frage besteht, ob in der ePrivacyVO zusätzliche Erlaubnistatbestände zum zulässigen Umgang mit elektronischen Kommunikationsdaten aufgenommen werden sollen. Explizit wird auch auf weiterhin erforderlichen Arbeitsaufwand beim Thema „Endgeräte“ der Nutzer und den Einsatz von Cookies hingewiesen. Mitgliedstaaten sprachen sich für eine Balance zwischen dem Schutz der Privatsphäre der Nutzer und den legitimen Geschäftsmodellen aus. In diesem Zusammenhang soll auch die mögliche Rolle und der Einfluss von Browsern und Privatsphäreeinstellungen noch genauer untersucht werden, bevor überhaupt weiter konkret am Text der ePrivacyVO gearbeitet werden kann.

How German Data Protection Authorities interpret the GDPR

The German Data Protection Authorities (DPAs) have published three papers with their interpretation of certain Articles of the forthcoming EU General Data Protection Regulation (GDPR) (Paper 1, Paper 2, Paper 3; all in German). In sum, the views of the DPAs are not very surprising. However, this is the first time that all German authorities speak with one voice concerning the interpretation of the GDPR.

The papers cover the following topics:

Paper 1: Records of processing activities

Paper 2: Powers of DPAs and sanctions

Paper 3: Processing of personal data for marketing purposes

In the first paper the DPAs explain the obligation of Art. 30 GDPR. The DPAs note that the record of processing activities must be kept by the controller and (this is new) by the data processor. Furthermore, the DPAs highlight that the record must be made available to the supervisory authority on request. Keeping this record does not suffice to fulfill all documentation obligations under the GDPR. The DPAs point to Art. 5 para 2 GDPR and for example the obligation in Art. 24 para 1 GDPR, according to which the controller must be able to demonstrate that processing is performed in accordance with the GDPR.

In the second paper the DPAs shed some light on their interpretation of Art. 58 and Art. 83 GDPR. The DPAs explain that besides making use of an investigative or corrective power according to Art. 58 GDPR, the authorities may take action against a controller or processor and issue fines according to Art. 83 GDPR. In the view of the DPAs, the term “undertaking” in Art. 83 para 4, 5 and 6 GDPR must be interpreted broader than the definition of “enterprise” in Art. 4 (18) GDPR. The DPAs refer to Recital 150 GDPR to justify this understanding. Recital 150 GDPR specifies that “an undertaking should be understood to be an undertaking in accordance with Articles 101 and 102 TFEU”. This is a reference to the broad definition of “undertaking” in antitrust and competition law by the ECJ. The concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed.

This means that according to the German DPAs “undertaking” in Art. 83 GDPR does not only encompass one single undertaking but also a group of undertakings.

One may of course oppose this view with good arguments, since the notion of “group of undertakings” is legally defined in Art. 4 (19) GDPR but explicitly not used in Art. 83 GDPR.

In the third paper the German DPAs turn to questions of the processing of personal data for marketing purposes. According to the DPAs, under the GDPR the processing for marketing purposes will mainly be based on Art. 6 para 1 (f) GDPR and therefore require the weighing of interests (of course, consent is also another possible legal basis). The DPAs specifically refer to Recital 47 GDPR which explains that “the processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest”. Furthermore, data controllers must take note of the requirement established in Recital 47 that “the reasonable expectations of data subjects” must be taken into consideration. The DPAs highlight that it is not clear when these reasonable expectations are actually rightly taken into account. However, the DPAs explain that information will play a crucial role for data controllers in order to shape the “reasonable expectations”. According to the DPAs, if the controller informs the data subjects in a clear and transparent manner about the marketing purpose of the processing, the reasonable expectation of the natural person will expect this kind of processing. But the DPAs also mention the right of data subjects to object at any time to processing of personal data for marketing (Art. 21 para 2 GDPR). Furthermore, special categories of personal data (Art. 9 GDPR) may only be processed for marketing purposes if valid consent has been obtained, since Art. 9 GDPR does not foresee a possibility like Art. 6 para 1 (f) GDPR. Lastly, the DPAs rightly refer to special rules for e-mail marketing. According to Sec. 7 of the Act Against Unfair Competition (transposing Art. 13 of Directive 2002/58/EC), marketing via e-mail requires consent except where a company obtains from its customers their electronic contact details for electronic mail in the context of the sale of a product or a service, uses the electronic contact details for direct marketing of its own similar products or services and provided that customers clearly and distinctly are given the opportunity to object.

 

 

 

Europäische Datenschutzbehörden veröffentlichen Leitlinien zum Beschäftigtendatenschutz

Mit ihrer Stellungnahme 2/2017 vom 8. Juni 2017 (PDF) haben sich die europäischen Datenschutzbehörden, die in der Art. 29 Datenschutzgruppe versammelt sind, zu verschiedenen Fragen der Verarbeitung personenbezogener Daten im Rahmen des Beschäftigungsverhältnisses geäußert. Interessant und für die Praxis besonders relevant ist, dass sich die Datenschutzbehörden in ihrer Stellungnahme nicht nur zur aktuellen Rechtslage (also zur europäischen Datenschutzrichtlinie 95/46/EG) äußern, sondern auch ein Ausblick auf die Auslegung der EU Datenschutz-Grundverordnung (DSGVO) im Kontext der Verarbeitung personenbezogener Daten von Beschäftigten geben.

Die nun veröffentlichte Stellungnahme ist nicht die erste, die sich mit dem Beschäftigtendatenschutz befasst. Bereits im Jahre 2001 und 2002 hat die Art. 29 Datenschutzgruppe Stellungnahmen hierzu veröffentlicht. Die nun vorliegende Stellungnahme ist jedoch nach Ansicht der Datenschützer insbesondere deshalb erforderlich, da sich seit Veröffentlichung der vorherigen Stellungnahmen die technischen Gegebenheiten und Möglichkeiten zur Verarbeitung personenbezogener Daten gerade auch im Beschäftigungsverhältnis geändert haben. Aus diesem Grund möchten die Datenschützer auch hier neue Leitlinien veröffentlichen.

Die vorliegende Stellungnahme befasst sich daher insbesondere auch mit neuen Verarbeitungsmöglichkeiten, etwa im Rahmen von Social Media Plattformen. Insgesamt behandelt Stellungnahme hierzu neun beispielhafte Szenarien und die Datenschützer stellen dar, inwiefern Datenverarbeitung in diesen Szenarien ihrer Auffassung nach zulässig sind. Hier bereits der Hinweis: die Stellungnahme der Art. 29 Datenschutzgruppe ist kein Gesetz und nicht bindend, für die Praxis aber natürlich durchaus von Relevanz.

Wer ist Beschäftigter?

Ganz zu Beginn ihrer Stellungnahme weisen die Datenschützer darauf hin, dass der Begriff des „Beschäftigten“ im Rahmen ihrer Stellungnahme nicht zu eng zu verstehen ist und insbesondere nicht unbedingt den klassischen festen Anstellungsvertrag voraussetzt. Die Datenschützer erwähnen etwa auch freie Mitarbeiter, die ihrer Ansicht nach unter den Begriff des Beschäftigten im Rahmen dieser Stellungnahme fallen. Den Datenschützern geht es gerade nicht darum, nur solche Szenarien abzudecken, in denen tatsächlich ein Arbeitsvertrag besteht.

Möglichkeiten der Verarbeitung im Beschäftigungsverhältnis

Zunächst befasst sich die Stellungnahme mit den Verarbeitungsmöglichkeiten auf der Grundlage der noch geltenden EU Datenschutzrichtlinie. Zudem weisen die europäischen Datenschutzbehörden darauf hin, dass sie sich wünschen würden, dass in dem derzeit diskutierten Vorschlag für eine ePrivacy-Verordnung eine spezifische Ausnahme für den Zugriffs auf Endgeräte von Arbeitnehmern aufgenommen wird. Diese Möglichkeit wurde kürzlich im Entwurf eines Berichts des LIBE-Ausschusses im Europäischen Parlament vorgesehen. Meines Erachtens nach ergeben sich mit Einführung einer solchen Spezifizierung hinsichtlich des Zugriffs auf Endgeräte im Arbeitsverhältnis jedoch schwierige Fragen der Abgrenzung zur DSGVO und auch dem neuen BDSG. Hierzu mein Blogbeitrag.

Einwilligung

Nach Auffassung der Datenschutzbehörden stellt die Einwilligung der Beschäftigten für die überwiegende Mehrheit von Datenverarbeitungsvorgängen zumeist nicht die passende Grundlage dar. Diese Auffassung der Datenschutzbehörden (gerade auch in Deutschland) ist nicht unbedingt neu. Gerne wird auch pauschal die Möglichkeit verneint, dass Beschäftigte eine datenschutzrechtliche Einwilligung gegenüber ihrem Arbeitgeber abgeben könnten. In Deutschland hat das Bundesarbeitsgericht (Urt. v. 11.12.2014 – 8 AZR 1010/13) völlig zu Recht entschieden, dass natürlich auch im Beschäftigungsverhältnis die Möglichkeit einer datenschutzrechtlichen Einwilligung per se erst einmal gegeben ist. Es kommt dann freilich immer stets auf die Umstände an, ob die Anforderungen der Einwilligung tatsächlich auch erfüllt sind, wie etwa die Freiwilligkeit der Abgabe der Einwilligungserklärung. Die Datenschutzbehörden gehen davon aus, dass eine Einwilligung im Beschäftigungsverhältnis insbesondere dann nicht wirksam ist, wenn sich an die Weigerung der Abgabe einer Willenserklärung durch den Beschäftigten eine negative Folge für diesen knüpfen würde. In diesem Fall fehlt es an der Freiwilligkeit der Abgabe der Einwilligungserklärung.

Durchführung des Arbeitsvertrages

Viele Datenverarbeitungen im Beschäftigungsverhältnis können in der Praxis auf der Grundlage des Arbeitsvertrages und zu dessen Durchführung vorgenommen werden. Dieser Auffassung sind auch die Datenschützer und verweisen beispielhaft etwa auf Datenverarbeitung im Rahmen von Gehaltszahlungen.

Interessenabwägung

Die in der Praxis jedoch wohl wichtigste Grundlage für eine Verarbeitung personenbezogener Daten von Beschäftigten stellt die Möglichkeit einer Interessenabwägung zwischen den berechtigten Interessen des Arbeitgebers und den schutzwürdigen Interessen des Arbeitnehmers dar (Art. 7 f) EU Datenschutzrichtlinie). Nach Auffassung der Datenschutzbehörden muss die Datenverarbeitung in diesem Fall in jedem Fall angemessen und verhältnismäßig sein. Zudem sollten Datenverarbeitungen im Arbeitsverhältnis stets die am wenigsten einschneidende Maßnahme in Bezug auf die Rechte des Arbeitnehmers darstellen. In jedem Fall, so die Datenschutzbehörden, ist es erforderlich, das durch den Arbeitgeber bestimmte Maßnahmen umgesetzt sind, um die Risiken für die Arbeitnehmer zu minimieren und die schutzwürdigen Interessen der Arbeitnehmer gebührend zu berücksichtigen. Am Beispiel der Überwachung von Arbeitnehmern stellen die Datenschützer dar, dass solche Maßnahmen etwa eine geographische Begrenzung der Überwachung darstellen können, die Begrenzung kann sich aber auch auf bestimmte Datenkategorien beziehen oder aber auch auf bestimmte Zeitintervalle erstreckt werden. Dies wären nach Auffassung der Datenschutzbehörden solche angemessenen Maßnahmen, um die schutzwürdigen Interessen der betroffenen Arbeitnehmer zu berücksichtigen.

DSGVO

Des Weiteren befassen sich die Datenschutzbehörden auch mit der Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis unter den Vorgaben der DSGVO. Zumindest wird in der Stellungnahme kurz auf einige Besonderheiten der DSGVO hingewiesen. Zum einen auf die Anforderungen des Art. 25 DSGVO, dem Prinzip des Datenschutzes durch Technikgestaltung und durch Voreinstellungen. Nach Auffassung der Datenschutzbehörden bedeutet dies für die Arbeitgeber, dass, wenn sie Endgeräte an ihre Arbeitnehmer herausgeben, diese Endgeräte mit datenschutzfreundlichen Voreinstellungen bestückt sein müssen und das Prinzip der Datenminimierung auf der technischen Ebene beachtet werden muss.

Zu dem für den Beschäftigtendatenschutz relevanten Art. 88 DSGVO (umgesetzt im neuen § 26 BDSG) verhalten sich die Datenschutzbehörden nicht besonders ausführlich. Sie geben allein den Inhalt des Artikels wieder. Jedoch weisen die Datenschutzbehörden darauf hin, dass die Anforderungen des Art. 88 Abs. 2 DSGVO, dass Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umzusetzen sind, im Rahmen der in der vorliegenden Stellungnahme dargestellten Szenarien beachtet wurden. Die in der Stellungnahme entwickelten Leitlinien erläutern den zulässigen Einsatz von neuen Technologien und stellen dabei die erforderlichen Anforderungen dar, die nach Art. 88 Abs. 2 DSGVO bei der Datenverarbeitung zu erfüllen sind. Dies bedeutet in der Praxis, dass die in der Stellungnahme der Datenschutzbehörden dargestellten Sachverhalte und vorgeschlagenen Lösungsvarianten aus Sicht der Datenschutzbehörden die Anforderungen der DSGVO erfüllen.

Datenverarbeitung aus sozialen Netzwerken

In einem dargestellten Sachverhalt befassen sich die Datenschutzbehörden mit der Situation, das ein potenzieller Arbeitgeber sich vor oder nach einem Vorstellungsgespräch im Rahmen einer Suche im Internet und in Profilen von sozialen Netzwerken ein eigenes Bild über den Kandidaten machen will. Die Datenschutzbehörden weisen jedoch darauf hin, dass nur weil Informationen in einem Profil in einem sozialen Netzwerk öffentlich abrufbar sind, die Arbeitgeber diese Information nicht auch unbedingt für eigene Zwecke nutzen können. Stets ist für jede Datenverarbeitung ein gesetzlicher Erlaubnistatbestand zu erfüllen. Sie weisen jedoch darauf hin, dass, bevor ein Arbeitgeber ein Profil eines Sozialen Netzwerkes genauer untersucht, zunächst zu prüfen ist, um was für eine Art von sozialem Netzwerk es sich handelt. Um ein berufliches Netzwerk oder ein Netzwerk mit privatem Hintergrund. Insbesondere im Rahmen der Interessenabwägung als Erlaubnistatbestand kann dieser Umstand eine Rolle spielen. Zudem, so die Datenschutzbehörden, dürfen potentielle Arbeitgeber Daten nur in dem Umfang erheben und verarbeiten, wie dies für den Bewerbungsprozess tatsächlich absolut notwendig ist. Nach Auffassung der Datenschutzbehörden müssen zudem alle im Rahmen des Bewerbungsprozesses erhobenen und gespeicherten Daten unverzüglich gelöscht werden, sobald deutlich wird, dass den Kandidaten kein Job angeboten wird. Hier lässt sich zumindest kritisch anmerken, dass insbesondere auch in Deutschland die Datenschutzbehörden nicht direkt nach Ende des Auswahlverfahrens die Löschung der Daten verlangen. Insbesondere aufgrund der Möglichkeit des abgelehnten Kandidaten, noch gegen den ablehnenden Arbeitgeber rechtlich vorzugehen (AGG), gestehen auch in Deutschland die Datenschutzbehörden den Unternehmen eine Frist zur Speicherung der Daten zur abgelehnten Bewerbern von einigen Monaten zu.

Überwachung des Datenverkehrs

Ein weiteres Szenario was von den Datenschutzbehörden angesprochen wird, ist die Überwachung und Analyse des Datenverkehrs in das Netzwerk eines Unternehmens und hinaus. Insbesondere aus Sicherheitsgesichtspunkten und zum Schutz der Systeme gestehen die Datenschutzbehörden den Arbeitgebern eine solche Analyse und damit zusammenhängende Datenverarbeitung auch von Arbeitnehmern bis zu einem gewissen Grad zu. Sie weisen jedoch darauf hin, dass eine Überwachung in der Form der Aufzeichnung jeglicher Onlineaktivität von Arbeitnehmern ihrer Auffassung nach eine unverhältnismäßige Maßnahme darstellen würde, insbesondere mit Blick auf das Fernmeldegeheimnis. Interessant ist hierbei, dass die Datenschutzbehörden davon auszugehen scheinen, dass für den Arbeitgeber die Vorgabe der Einhaltung des Fernmeldegeheimnisses per se zu beachten ist. In Deutschland ist diese Frage jedoch umstritten, insbesondere im Rahmen der gestatteten oder nicht gestatteten privaten Nutzung das Onlinezugangs am Arbeitsplatz.

Weitere Szenarien

Auch zum Thema Bring Your Own Device äußern sich die Datenschutzbehörden in ihrer Stellungnahme. Neben weiteren Szenarien erläutern die Datenschutzbehörden auch, was es im Rahmen des Transfers personenbezogener Daten in das Ausland zu beachten gilt. Hier bleiben die Hinweise der Datenschutzbehörden jedoch recht allgemein. Sie weisen allein darauf hin, dass die Anforderungen des Art. 25 der geltenden EU Datenschutzrichtlinie einzuhalten sind. Nach Auffassung der Datenschutzbehörden sollten sich Arbeitgeber in Fällen der Übermittlung von personenbezogenen Daten der Arbeitnehmer in Drittstaaten außerhalb des Europäischen Wirtschaftsraumes insbesondere auf die Mechanismen des Angemessenheitsbeschlusses durch die Europäische Kommission (Bsp: EU US Privacy Shield) verlassen. Daneben können auch die EU Standardvertragsklauseln eine Möglichkeit zum Datentransfer in Drittstaaten sein. Weniger geeignet halten die europäischen Datenschutzbehörden die Ausnahmen für besondere Übermittlungssituationen, wie etwa die ausdrückliche Einwilligung des Arbeitnehmers.

Fazit

Insgesamt ist die doch recht umfangreiche Stellungnahme der Datenschutzbehörden durchaus lesenswert und insbesondere, da sie auch schon die DSGVO im Blick hat, besonders praxisrelevant. Wie immer gilt natürlich, dass man auch hier nicht jegliche Meinung teilen muss. Die Stellungnahme gibt jedoch einen guten Überblick dazu, wie die europäischen Datenschutzbehörden insbesondere in Grenzfällen das Gesetz auslegen bzw. aus ihrer Sicht anwenden.

Data protection of employees: Strict requirements for monitoring in employment context proposed by LIBE-Committee

Today, the Committee on Civil Liberties, Justice and Home Affairs (LIBE) in the European Parliament has discussed the proposal for a new ePrivacy Regulation by the European Commission. The draft report of the LIBE Committee is available here (9 June 2017)(PDF). The draft partially proposes major changes to the Commission’s original draft. The vote on the draft report in the European Parliament is still pending.

Amendment 82 seeks to extend the original Art. 8 (1) ePrivacy Regulation by one letter d b. Art. 8 (1) deals with the protection of the terminal equipment of users and information stored in this terminal equipment. Examples include mobile telephones or computers connected to the Internet.

Art. 8 (1) of the ePrivacy Regulation establishes strict requirements as to when information from the terminal equipment may be collected at all. Under Art. 8 (1), such a collection of information is prohibited in principle, except for one of the grounds set out in paragraph 1.

In addition, it should be pointed out that Art. 8 (1) has a very broad scope, since it is not (as is the case predominantly in the ePrivacy Regulation) directed at communication data but generally refers to “information”. Similarly, Art. 5 (3) of the still valid ePrivacy Directive (the so-called cookie directive) has a broad scope.

Amendment 82 of the draft report now proposes that a new legal basis will be included in Art. 8 (1), when information from terminal equipment may be collected. According to Art. 8 (1) (d b), this is the case when it is necessary in the context of employment relationships, where:

(i) the employer provides certain equipment;

(ii) the employee is the user of this equipment; and

(iii) the interference is strictly necessary for the functioning of the equipment by the employee.

So the amended Art. 8 (1) does not apply to “Bring Your Own Device” constellations.

Firstly, this exception reads as if it would in principle allow employers to monitor the activities of employees with regard to the use of equipment, such as PCs and mobile phones. However, if one considers this proposed scheme more precisely, it should be noted that the “interference” (in this case probably the access to the terminal equipment of the user; see, for example, Recital 20) is strictly necessary for the functioning of the equipment by the employee. The interference or access to the equipment and the information gathering can therefore only be carried out if the collection of information is strictly necessary for the functioning of the technical device.

The point here is that the employer could possibly not argue that he must have access to the equipment of his employees, in order to be able to check, for example, the use of the terminals he has provided. This access could not be seen as essential for the functioning of the equipment. This is at least one possible interpretation of the amendment.

In particular, the adding of this permission to access equipment in the employment relationship and the gathering of information from the equipment is also important because one has to keep in mind that the currently negotiated ePrivacy Regulation creates special standards (and constitutes a „lex specialis“) in comparison to the General Data Protection Regulation(GDPR) which will apply as of 25 May 2018. Thus, if a situation is covered by the Articles of the ePrivacy Regulation, the GDPR is displaced (including Art. 88 GDPR on data protection in the employment context). And again: Art. 8 (1) applies already when collecting “information”. Processing of personal data (as under the GDPR) is not required.