Sehr geehrte Leserinnen und Leser,

mit großen Erwartungen gestartet, sollte die ePrivacy-VO die DSGVO ergänzen und spezifische Regelungen für elektronische Kommunikation bieten. In der Welt des Datenschutzes hat das endgültige Scheitern der Trilogverhandlungen zur ePrivacy-VO nun für Enttäuschung gesorgt. Das Ende einer Verhandlungsepoche steht im Raum und wirft viele Fragen auf zur Datenschutzpolitik in der Europäischen Union. Offenbar war es unmöglich, einen konsensfähigen und stringenten Gesetzestext für eine hochspezifische vertikale Regulierung zu formulieren. Die Gründe für das Scheitern liegen in der Projektion von mannigfaltigen Wünschen auf ein kleines Stück Gesetzgebung. Angesichts der vielen EuGH-Urteile der letzten Jahre zur ePrivacy-RL war zudem klar, dass die Zugriffsbefugnisse von Sicherheitsbehörden – von Vorratsdatenspeicherung bis hin zu CSAM-Scanning – ein massiver Zankapfel sind und bleiben werden.

Die Privatwirtschaft, z.B. Telekommunikationsanbieter, hätten gern eine Lockerung für den Umgang mit GPS-Signalen, offenbar um intelligente Verkehrsleitwege zu etablieren. Zudem haben sich Werbetrackingindustrie und Medienunternehmen mit ihrer harten Haltung ins Abseits manövriert. Die ePrivacy-VO hätte ausgewogene Rechtsgrundlagen für die harmlose Reichweitenanalyse digitaler Angebote geschaffen. Doch die Gier der Lobbyisten nach immer mehr Ausnahmen hat diesen Weg zum Leidwesen vieler Website- und App-Betreiber verbaut.

Als Befund bleibt: Die ePrivacy-RL ist unvergänglich. Seine nationale Umsetzung, das deutsche TTDSG, wird in Kürze aufgrund der Anpassungen durch die europäischen „Act“-Welle unter einem neuen Namen segeln. In der Gretchenfrage, was denn nun „unbedingt erforderlich“ in den Ausnahmeregelungen zum strikten Einwilligungserfordernis nach Art. 5 Abs. 3 ePrivacy-RL bedeuten soll, werden nunmehr Gerichte und nicht der Gesetzgeber das letzte Wort haben. In den den neuen EDSA „Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive“ sucht man entsprechende Auslegungskriterien noch vergebens, der Österreichische VGH (Urteil v. 31.10.2023, Gz. Ro 2020/04/0024) hat hingegen der von Medienunternehmen postulierten „wirtschaftlichen“ Interpretation von „unbedingter Erforderlichkeit“ eine klare Absage erteilt.

Ebenso wenig kann es auf eine wie auch immer festzustellende „technische Notwendigkeit“ ankommen, denn die Erwägungsgründe der ePrivacy-RL sprechen eine eindeutige Sprache, wenn es um den Grundsatz der Technologieneutralität geht. „Unbedingt erforderlich“ ist entlang des Telos der Norm auszulegen, dem Schutz der Privatsphäre. Nur eine Auslegung, deren Blick sich auf das Verarbeitungsergebnis richtet, kann den Einsatz von Privatsphäre schützenden Privacy Enhancing Technologien rechtfertigen. Ein Endgerätezugriff, der dem Schutz der Privatsphäre zu dienen bestimmt ist, muss demnach zulässig sein.

Ob es einen neuen Anlauf für eine ePrivacy-VO geben wird, steht in den Sternen. Europa hat im Jahr 2024 andere Sorgen und Prioritäten. Für die kommenden Tage und Wochen wünsche ich Ihnen im Namen des Redaktionsteams eine wie gewohnt spannende Lektüre.

Ihr

Tilman Herbrich

Dieser Beitrag erschien als Editorial in der Ausgabe 12/2023 des Datenschutz-Berater.