My 'Bericht aus Brüssel' in the 2nd issue of 2023 in the RDV (Fachzeitschrift für Datenschutzrecht) discusses EU data protection laws.
Below my contribution for RDV 2/23:
Am 6. März versendete die ePrivacy Berichterstatterin Birgit Sippel (SPD) einen wütenden Brief an die Schwedische Ratspräsidentschaft.[1] Der Vorwurf: seit fast einem Jahr würde sich der Rat nicht mehr auf politischer Ebene mit dem Europäischen Parlament treffen und so die festgefahrenen Verhandlungen, Aktennummer 2017/0003(COD), bewusst weiter verzögern. MdEP Sippel schlägt in ihrem Brief vor, sich mindestens zweimal im Monat auf technischer Ebene zu treffen und für Ende April / Anfang Mai einen Termin für politische Verhandlungen anzusetzen. Warum wird über den schon im Januar 2017 veröffentlichten Gesetzesvorschlag überhaupt seit nun sechs Jahren gestritten?
Die Absicht der Europäischen Kommission, die seit 2002 geltende Richtlinie zu persönlichen elektronischen Kommunikationsdaten mit der vorgeschlagenen Verordnung an die DSGVO Regeln anzupassen, erscheint soweit schlüssig. Der Teufel steckt wie so oft im Detail. Das wohl größte Problem ist, dass die neue ePrivacy Verordnung als lex specialis die DSGVO weitgehend verdrängen würde. Der zu breite Anwendungsbereich wurde vom Bericht des Europäischen Parlaments dabei noch ausgebaut. Anstatt sich auf die Vertraulichkeit der privaten Kommunikation zu konzentrieren, versucht es Bürger gegen alle erdenklichen Risiken zu schützen und umfasst dabei fast jede digitale Anwendung, einschließlich dem 'Internet of Things'. Der zentrale Art 6 der ePrivacy Verordnung mit seinem fast ausschließlichen Fokus auf 'Einwilligung' würde Art 6 der DSGVO (mit seinen sechs Erlaubnistatbeständen für die Datenverarbeitung) weitgehend verdrängen. Viele neue Technologien basierend auf 'machine learning' aber auch wichtige Anwendungen (z.B. Identifizierung von Betrugsversuchen oder Assistenzsysteme für Menschen mit Behinderungen) wären rechtlich nicht mehr durchführbar. Weitere Vorschläge des Europäischen Parlaments, wie die faktischen Verbote aller Cookies von Drittparteien (Art 10) oder die Weiterverarbeitung von Metadaten, sind ebenfalls hochproblematisch.
Der Rat hat sich diesen Vorschlägen, welche Berichterstatterin Sippel maßgeblich vorantrieb, von Anfang an sehr kritisch entgegengestellt. Erschwerend kam hinzu, dass der Rat selber bei Themen wie des staatlichen Zugriffs auf persönliche Kommunikationsdaten in Gefahrensituationen sowie bei der Vorratsdatenspeicherung kaum Entgegenkommen signalisierte. Zwar wurden einige der angesprochenen Problemfelder im Laufe der Trilogverhandlungen inzwischen behoben, bei den großen Streitpunkten gab es allerdings kaum Fortschritte. Insbesondere nachdem ein informelles Papier, verfasst von MdEP Sippel und der tschechischen Ratspräsidentschaft Ende 2022[2], auf Ablehnung im Europäischen Parlament stieß, haben viele die Hoffnung auf eine politische Einigung gänzlich aufgegeben. So hört man immer mehr EU Diplomaten aber auch Vertreter der Europäischen Kommission bei öffentlichen Auftritten davon sprechen, dass die ePrivacy Verordnung „politisch tot“ und zu erwarten sei, dass die Kommissionsspitze den Vorschlag kurz vor der Europawahl in 2024 zurückzieht. Für die EU Digitalwirtschaft aber auch für die Zivilgesellschaft könnte dies eine sehr gute Nachricht sein. Warum?
Hier kommt die DSGVO ins Spiel. Obwohl sie seit ihres Inkrafttretens 2018 heftig in der Kritik stand, war das bloße Erwähnen von Reformen lange Zeit ein Brüsseler Tabu. Als MdEP Axel Voss und ich am 25. Mai 2021 unser Positionspapier[3] mit dem Namen 'Fixing the GDPR: Towards Version 2.0' veröffentlichten, war dies ein absolutes Novum. Es hagelte Kritik: während das linke politische Lager ihr wichtigstes Aushängeschild unfair angegriffen sahen, befürchtete die Wirtschaft, dass durch eine Reform alles noch schlimmer werden würde. Sachlich entgegengesetzt wurden unseren Punkten hingegen kaum etwas. Die konzeptionellen Fehler im Gesetz, die massive Benachteiligung von KMUs und Start-Ups, die Fragmentierung innerhalb des Digitalen Binnenmarkts oder die Probleme bei internationalen Datentransfers? Großes Schweigen. Zwar blieb eine unmittelbare Reaktion der Kommission aus, das Papier triggerte aber dennoch eine anhaltende Debatte in Brüssel sowie in den EU Institutionen. Auch fast zwei Jahre später wird das Papier noch immer erwähnt. Das Brüsseler Tabu wurde gebrochen. Steht also gemäß Art 97 DSGVO mit der zweiten Evaluierungsrunde im Mai 2024 die große inhaltliche Reform des Gesetzes an?
Wie so oft in der Europapolitik kann man die Frage derzeit nicht eindeutig beantworten. Zwar startete die Europäische Kommissionen zum einen am 24. Februar 2023 eine Konsultation über eine mögliche neue Verordnung, welche neue prozessuale Regeln hinsichtlich der Durchsetzbarkeit der DSGVO festlegen würde.
Laut dem Begleitdokument zur Konsultation soll der Schwerpunkt des Vorschlags beim Kohärenzverfahren und grenzüberschreitenden Fällen liegen. Alle interessierten Organisationen und Individuen konnten unter dem folgenden Link[4] bis zum 24. März Feedback einreichen. Es könnte sehr gut sein, dass mit dieser (inhaltlich richtigen) Initiative aber zugleich Mini-Reförmchen versucht wird, größere Reformbestrebungen im Keim zu ersticken.
Zum anderen scheint aber zumindest in der Generaldirektion 'Kommunikationsnetze, Inhalte und Technologien' (DG CNECT) der Europäischen Kommission weitgehendere Pläne vorzuliegen. Eine Idee, welche zuletzt in Brüssel die Runde machte - und hier schließt sich der Kreis zur blockierten ePrivacy Verordnung - ist es, diese völlig aufzugeben aber bestimmte Teile als neues Kapitel in die DSGVO zu integrieren. Andere Teile der ePrivacy Verordnung (z.B. direktes elektronisches Marketing) würden dann als neue Spezialgesetze veröffentlicht werden. Sollte dieses Szenario 2024 wirklich eintreten, könnte dem Europäischen Datenschutz große Änderungen bevorstehen. Eine Eingliederung von persönlichen Kommunikationsdaten, Cookies etc. in die DSGVO, würde unweigerlich eine umfassendere Reform notwendig machen. Einen Hinweis, wie eine Überarbeitung aussehen könnte, weist das Britische 'Data Protection and Digital Information (No.2) Bill'[5] vom 8. März 2023 auf. Anstatt den Datenschutz zurück auf Null zu setzen und fundamentale Prinzipien in Frage zu stellen, werden sehr gezielte Änderungen vorgeschlagen (insbesondere substantielle Klarstellungen, spezifische Ausnahmeregelungen sowie mehr Anleitungen). Ziel ist es, eine 'common-sense-led version' der DSGVO in Großbritannien zu erarbeiten. Würde die EU-Datenschutzreform in eine ähnliche Richtung gehen, wäre uns wohl allen geholfen: Unternehmen hätten mehr Rechtssicherheit und zugleich Flexibilität, Behörden mehr Mittel, Koordinierung und rechtliche Möglichkeiten, während die Bürger ihre persönlichen Daten endlich effektiver schützen aber zugleich souveräner darüber entscheiden könnten.
[1] https://www.euractiv.com/section/data-privacy/news/leading-mep-enraged-by-swedish-presidencys-neglect-of-eprivacy-regulation/ [2] https://www.euractiv.com/section/data-protection/news/eprivacy-eu-legislators-chase-compromise-on-processing-electronic-communications-data/ [3] https://www.kaizenner.eu/post/gdpr_vol2 [4] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13745-Further-specifying-procedural-rules-relating-to-the-enforcement-of-the-General-Data-Protection-Regulation_en [5] https://bills.parliament.uk/bills/3430
More information about the RDV magazine can be found here. The text above is published on this website in agreement with DATAKONTEXT GmbH and Prof. Dr. Schwartmann.