ePrivacy: Datenschutz in der elektronischen Kommunikation

eprivacy_greens_efaGestern, am 12. Dezember 2016, wurde der erste Entwurf zur ePrivacy-Verordnung geleakt. Was soll der Gesetzesentwurf regeln?

Die in der Datenschutz-Grundverordnung festgehaltenen Standards und Prinzipien gelten für alle Unternehmen und Behörden mit Ausnahme der Sicherheitsbehörden. Dies schließt natürlich auch Anbieter elektronischer Kommunikationsdienste ein. Darüber hinaus gibt es jedoch noch strengere Regeln für den Schutz der Privatsphäre in der Kommunikation, die in der so genannten ePrivacy-Richtlinie aus dem Jahr 2002 festgehalten sind und für alle Anbieter von Telefonie-, Internet- oder Email-Diensten gelten. Unter anderem schränkt diese Richtlinie die Verbreitung unerwünschter Werbung massiv ein und verbietet die Weiterverarbeitung von Standort- und Verbindungsdaten ohne die ausdrückliche Einwilligung der Betroffenen. Seit der letzten Novelle im Rahmen des Telekom-Paketes aus dem Jahr 2009 regelt sie auch, dass die Nutzerinnen und Nutzer bei der Verwendung von Tracking-Cookies vorher gefragt werden müssen.

Ab dem Jahr 2017 steht die in der Datenschutz-Grundverordnung vorgesehene Revision dieser Richtlinie an. Sie wird ebenfalls in eine EU-Verordnung umgewandelt werden. Im Gegensatz zu einer Richtlinie muss eine Vordnung nicht erst in nationales Recht umgesetzt werden, sondern gilt unmittelbar in allen Mitgliedstaaten. So wird es wie bei der Datenschutz-Grundverordnung ein einheitliches Recht für die gesamte EU geben und nicht wie bisher 28 unterschiedliche Gesetze in den Mitgliedstaaten. Über die Inhalte ist seit Frühjahr 2016 bereits eine beachtliche Lobbyschlacht entbrannt. Was steht auf dem Spiel?

Kann das weg?

Große Teile der Telekommunikationsindustrie fordern, dass die ePrivacy-Richtlinie ersatzlos gestrichen werden sollte. Ihre Begründung: Durch die allgemeine Datenschutz-Grundverordnung sei ja bereits alles geregelt und die Telekommunikationsunternehmen sollten keine weitergehenden Pflichten oder Beschränkungen auferlegt bekommen als andere Datenverarbeiter.

Die strengeren Regeln in der ePrivacy-Richtlinie für die Weiterverarbeitung von Standort- und Verkehrsdaten, um nur ein Beispiel zu nennen, sind jedoch weiterhin notwendig. Sie ergeben sich verfassungsrechtlich daraus, dass die nun kommende neue ePrivacy-Verordnung gleich zwei Grundrechte umsetzen und schützen soll: Das Recht auf den Schutz personenbezogener Daten, auf das sich auch die Datenschutz-Grundverordnung stützt, aber darüber hinaus das Recht auf Achtung des Privat- und Familienlebens, das auch die Vertraulichkeit der Kommunikation enthält. In Deutschland hat das Bundesverfassungsgericht dies in seinem Staatstrojaner-Urteil aus dem Jahr 2008 als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme sogar noch weiter formuliert.

Gerade angesichts der weiterhin andauernden Massenüberwachung sollten Anbieter von Kommunikationsdiensten sogar explizit in die Pflicht genommen werden, dieses Grundrecht aktiv zu schützen, zum Beispiel durch Ende-zu-Ende-Verschlüsselung ohne „Hintertüren“, also geplante Sicherheitslücken. Solche „Hintertüren“ könnten nicht nur von Polizei und Geheimdiensten, sondern auch von Kriminellen genutzt werden. Eine weitere Forderung ist, dass nicht nur die Vertraulichkeit der Kommunikationskanäle sichergestellt sein muss, sondern auch die der Endgeräte. Wenn das Betriebssystem meines Smartphones trotz bekannter Verwundbarkeiten nicht zeitnah aktualisiert und damit die Sicherheitslücke geschlossen wird, kann nämlich meine Kommunikation sehr einfach durch das Ausnützen dieser Sicherheitslücken ausgespäht werden. Daher sollten auch Sicherheits- und Vertraulichkeitsregeln für die Hersteller von Endgeräten zur Kommunikation eingeführt werden.

Geltungsbereich: Nur Telekommunikationsdienste oder auch Messenger?

Weite Teile der ePrivacy-Richtlinie gelten nur für klassische Kommunikationsdienste wie Telefonie oder SMS. Diese werden aber immer mehr durch internetbasierte Dienste ersetzt, die einen sehr ähnlichen oder noch darüber hinaus gehenden Funktionsumfang haben – Beispiele hierfür wären Internet-Telefonie-Dienste wie Skype, FaceTime, oder Google Hangouts, oder an Internet-Messenger wie WhatsApp, Threema oder Signal. Eine der heiß umkämpften Fragen daher: Sollen solche Dienste, die keine eigene Kommunikationsinfrastruktur betreiben, sondern Over-The-Top (OTT) auf dem Internet laufen, ebenfalls den Regeln der kommenden ePrivacy-Verordnung unterworfen werden?

Die Konsultation der EU-Kommission zur Vorbereitung der Reform vom Frühjahr 2016 gibt eine klare Antwort: 76 Prozent der Einzelpersonen und zivilgesellschaftlichen Verbände sowie 93 Prozent der Datenschutzbehörden, die an der Konsultation teilgenommen haben, wollen, dass die ePrivacy-Richtlinie für alle Kommunikationsdienste gilt.

Weg mit der Cookie-Nerverei!

Die Regeln zur Einwilligung beim Setzen von Cookies, die seit 2009 in der ePrivacy-Richtlinie enthalten sind, wurden leider sehr unterschiedlich ausgelegt. Viele Webseiten zeigen beim ersten Besuch einfach ein Popup-Fenster an, in dem die Verwendung von Cookies erwähnt und ein Klick auf einen OK-Knopf verlangt wird, weil sonst die Seite nicht mehr benutzt werden kann. Das ist sicher nicht im Sinne des Gesetzgebers, denn es hat de facto dazu geführt, das Internet darauf zu trainieren, dass die Nutzer und Nutzerinnen einfach auf OK klicken, sobald unten auf einer Webseite etwas aufpoppt. Es widerspricht aber auch dem Koppelungsverbot, das in der Datenschutz-Grundverordnung explizit eingeführt wurde und klarstellt, dass Unternehmen niemanden zwingen dürfen, mehr Daten als nötig abzuliefern, nur um einen Dienst nutzen zu können.

Noch ist umstritten, ob es hierfür neue Regeln braucht oder vor allem eine bessere Durchsetzung. Die französische Datenschutzbehörde hat etwa wiederholt systematisch Webseitenbetreiber wegen solcher friss-oder-stirb-Benachrichtigungen zu Cookies ermahnt, und seitdem gibt es auf französischen Webseiten diese Problem kaum noch, wie ein Mitarbeiter bei einer Anhörung der Grünen Europafraktion im April 2016 berichtete. Auch von den EU-Datenschutzbehörden gibt es Empfehlungen, die zwischen technisch notwendigen Cookies unterscheiden, die etwa benötigt werden, damit ein elektronischer Einkaufswagen in demselben Online-Shop über mehrere Kauf-Vorgänge hinweg seinen Inhalt behält, und Tracking-Cookies, die uns über tausende verschiedene Webseiten hinweg überwachen und verfolgen und damit umfassende Persönlichkeitsprofile erstellen. Allerdings werden hierfür nicht mehr nur Cookies verwendet, sondern auch Browser-Fingerprints, Gerätekennungen, Telefonnummern von Smartphones und ähnliches. Es braucht daher eine technikneutral formulierte Regelung, die vor allem das heutzutage fast ohne Schranken betriebene Online-Tracking in den Griff bekommt, aber gleichzeitig die Nutzerinnen und Nutzer nicht mit ständigen Einwilligungsabfragen nervt.

Freie Kommunikation oder Generalverdacht?

Der Europäische Gerichtshof hat im April 2014 die Richtlinie zur Vorratsdatenspeicherung für ungültig erklärt, und es gibt derzeit keine Pläne der EU-Kommission, einen neuen Vorschlag zu erarbeiten. Dennoch haben viele Mitgliedstaaten nationale Gesetze, die die Telekommunikationsanbieter verpflichten, die Verkehrsdaten aller Telefonate, Textnachrichten und E-Mails der gesamten Bevölkerung ohne irgendeinen Anfangsverdacht zu speichern – nur für den Fall, dass mal jemand verdächtig werden sollte. Die juristische Basis dafür ist eine Öffnungsklausel in der bestehenden ePrivacy-Richtlinie, die die Mitgliedstaaten zwar nicht zur Vorratsdatenspeicherung verpflichtet, sie ihnen aber ausdrücklich erlaubt. Gegnerinnen und Gegner der Vorratsdatenspeicherung, inklusive der Grünen im Europäischen Parlament, wollen diese Öffnungsklausel streichen. Von Seiten einiger Innenminister in der EU kommt dagegen die Forderung, die Pflicht zur anlasslosen Datenspeicherung auch auf internetbasierte Over-The-Top-Dienste wie WhatsApp oder Skype auszudehnen. Damit würde aber das Grundrecht auf Vertraulichkeit der privaten Kommunikation noch weiter ausgehöhlt. Solch ein Anschlag auf die freie Kommunikation muss verhindert werden.

Die offizielle Vorstellung des Entwurfs wird am 11. Januar 2017 stattfinden – dann geht auch für uns die Arbeit zur ePrivacy-Reform so richtig los!

Das Wichtigste zu ePrivacy:

  • Die speziellen ePrivacy-Regeln zum Schutz der elektronischen Kommunikation sind auch nach Inkrafttreten der EU-Datenschutz-Grundverordnung wichtig. Sie setzen nicht nur das Recht auf Datenschutz durch spezifischere Regeln um, sondern implementieren auch das Grundrecht auf Vertraulichkeit der Kommunikation.
  • Nicht nur wie bisher Telefon, SMS oder E-Mail, sondern auch neue internetbasierte Kommunikationsdienste wie WhatsApp, Signal oder Skype sollten zu diesem Schutz verpflichtet werden.
  • Internetdienste sollten auch nutzbar sein, wenn die Userinnen und User nicht einwilligen, überwacht zu werden. Tracking über Millionen Webseiten hinweg gehört verboten.

Dieser Beitrag wird neben weiteren Artikeln Teil der neuen Broschüre „Datenschutz im digitalen Zeitalter“ sein, die im Januar 2017 erscheinen wird.

Bild: © Greens/EFA