Reform der ePrivacy-Richtlinie: Schutz der Menschen oder Schutz der Geschäftsmodelle?

Wenn die EU-Kommission im Herbst ihren Vorschlag zur Reform der ePrivacy-Richtlinie vorlegt, steht für Europa viel auf dem Spiel. Werden Telekommunikationsanbieter die Erlaubnis bekommen, auch vom großen Geschäft mit unseren Daten zu profitieren? Oder werden sich Tracking-Unternehmen endlich an strengere Regeln halten müssen?

Foto: CC-BY-SA 2.0 g4ll4is

Milliarden oder Privatsphäre? Bei der Reform der ePrivacy-Richtlinie steht einiges auf dem Spiel.
Foto: CC-BY-SA 2.0 g4ll4is

Für den Wirbel, den es verursacht, kommt es ganz schön unscheinbar daher: „Datenschutzrichtlinie für elektronische Kommunikation“ heißt das EU-Regelwerk, wegen dessen anstehender Überarbeitung in Brüssel gerade wieder Lobbyarmeen in Bewegung gesetzt werden. Von der bürokratischen Sprache sollte man sich nicht täuschen lassen: Die Reform der Richtlinie hat es in sich, könnte sie doch auf absehbare Zeit eine der letzten Möglichkeiten sein, Tracking und Nutzerdaten-getriebenem Profiling EU-weit wirksame Grenzen zu setzen. Für Technologie- und Internetkonzerne geht es um Milliarden, für Verbraucherinnen und Verbraucher um den Schutz ihrer Privatsphäre.

Nachdem in den vergangenen Jahren mit der Datenschutzgrundverordnung ein neuer Rahmen für Datenschutz in Europa verhandelt und im Frühjahr dieses Jahres verabschiedet wurde, stehen nun die spezifischen Regeln für die elektronische Kommunikation auf dem Prüfstand. Seit 2002 gibt die sogenannte „ePrivacy-Richtlinie“ hier die Mindeststandards an Sicherheit und Vertraulichkeit vor: Sie verankert den Schutz der Grundrechte auf Kommunikationsfreiheit und Privatsphäre als elementare Prinzipien elektronischer Kommunikation und sorgt zum Beispiel dafür, dass Telekommunikationsunternehmen die bei ihnen massenhaft anfallenden Geo- und Verkehrsdaten ihrer Nutzer nicht beliebig für Marketing verwerten dürfen oder dass Tracking-Cookies durch Webanbieter nicht ohne Zustimmung der Nutzer gesetzt werden dürfen. Gleichzeitig enthält die Richtlinie, die anders als eine Verordnung in den Mitgliedsstaaten keine unmittelbare Wirkung entfaltet, sondern erst in nationales Recht umgesetzt werden muss, auch die Erlaubnis zu länderspezifischen Einschränkungen der Integrität elektronischer Kommunikation zum Schutz der nationalen Sicherheit.

Update dringend notwendig

Vor allem aber ist das Instrument zum Schutz der Privatsphäre im Zeitalter digitaler Vernetzung nicht mehr wirksam genug. Weite Teile der Richtlinie beziehen sich noch auf klassische Kommunikationsdienste wie Telefonie und SMS. Diese Dienste haben im Vergleich zu ähnliche Funktionen erfüllenden internetbasierten Angeboten wie Skype, Facetime, WhatsApp oder Signal jedoch erheblich an Bedeutung verloren. Eine der zentralen Fragen ist nun: Sollen diese nicht mehr ganz so neuen, „Over-The-Top-Dienste“ (OTT) genannten und in Deutschland als „Telemedien“ regulierten Angebote ebenfalls strengeren Regeln unterworfen werden, um Privatsphäre und die Integrität digitaler Kommunikation zu gewährleisten?

Skypenutzer. Foto: CC-BY-NC-ND 2.0 spieri_sf

Gar nicht so neu: Internettelefonie. Foto: CC-BY-NC-ND 2.0 spieri_sf

Fragt man Zivilgesellschaft und Datenschützer, ist die Antwort darauf klar: 76 Prozent der Einzelpersonen und NGOs sowie 93 Prozent der Datenschutzbehörden, die an der Konsultation der EU-Kommission zur Vorbereitung der Reform teilgenommen haben, sprachen sich dafür aus, die Reichweite der ePrivacy-Regeln auf Messenger und Internettelefoniedienste auszuweiten.

Für Alexander Sander vom Verein Digitale Gesellschaft ist deshalb klar:

Es ist wichtig, die datenschutzrechtlichen Bestimmungen für Telemediendienste wie WhatsApp oder Skype zu überarbeiten. Diese Dienste erfreuen sich immer größerer Beliebtheit und verdrängen zunehmend klassische Kommunikationsdienste wie die SMS, für die deutlich höher datenschutzrechtliche Vorgaben gelten. Verbraucherinnen und Verbrauchern ist der Umstand jedoch kaum bewusst. Die Reform der E-Privacy-Richtlinie muss daher zügig vorangetrieben werden, um die Verbraucherinnen und Verbraucher ausreichend zu schützen.

Unternehmen lobbyieren gegen ihre eigene Regulierung

Bei Unternehmen und Industrieverbände hingegen ist das Bild komplexer: Während sich 43 Prozent der Konsultationsteilnehmer aus diesem Feld für eine Ausweitung des Wirkbereichs der Regulierung aussprachen, votierten 42 Prozent explizit dagegen. Der Grund für diese Spaltung ist simpel: Anbieter von OTT-Diensten wie Facebook, Google, Apple oder Microsoft sind in der EU bislang relativ schwach reguliert und möchten, dass dies so bleibt. Klassische Telkos, deren Geschäftsmodelle durch die internetbasierten und größtenteils entgeltfreien Dienste gehörig durcheinandergewirbelt wurden, hätten nichts dagegen, dass die verhältnismäßig strikten Regeln, die für sie gelten, auch die disruptive Konkurrenz zu Einschränkungen bei der Monetarisierung von persönlichen Nutzerdaten zwingen.

Noch lieber wäre es allerdings auch den Telkos – da ist man sich dann doch einig -, wenn die spezifischen Regeln für den Schutz von Sicherheit und Privatsphäre digitaler Kommunikation einfach komplett wegfallen würden. In einer beispiellosen Allianz aus zwölf großen Handels- und Industrieverbänden haben sich deshalb alte und neue Kommunikations- und Technologieunternehmen zusammengetan, um sich für eine ersatzlose Abschaffung der Richtlinie einzusetzen.

Ein kleiner Auszug aus der Liste der Unternehmen, die hinter den zwölf Lobbyorganisationen stehen: Google, Microsoft, Facebook, Apple, Amazon, Samsung, IBM, Toshiba, Philips, Blackberry, LG Electronics, Huawei, HP, Cisco, Intel, Deutsche Telekom, T-Systems, Vodafone, Organge, Telefónica (O2), Canon, Fujifilm, Siemens, Siemens Healthineers, Bayer, Airbus sowie unzählige Online-Analyse- und -Werbefirmen.

Leider wollte die Deutsche Telekom nicht mit uns sprechen, um ihre Sichtweise auf das Thema zu erläutern. Der Lobbyverband der europäischen Netzbetreiber, die European Telecommunications Network Operators Association (ETNO), hat aber jüngst mit einer Studie (PDF) nachgelegt. Auf 46 Seiten werden hier nochmal die drei simplen Argumente der Regulierungsgegner variiert: (1.) Für klassische Kommunikationsdienste und äquivalente internetbasierte Dienste sollten die gleichen Regeln (nicht) gelten, (2.) weniger Regeln sorgen für mehr Transparenz und Vertrauen bei Aufsichtsbehörden und Bürgern und (3.) die neue Datenschutzgrundverordnung regelt den Schutz der Privatsphäre in der EU bereits genug.

Endlich wirksamer Schutz der Privatsphäre?

Dieses Argument will Diego Naranjo von der Nichtregierungsorganisation European Digital Rights (EDRi) nicht gelten lassen. Die ePrivacy-Regeln in Einklang mit der Datenschtuzgrundverordnung zu bringen sei ohne Zweifel geboten. Eine spezifische Umsetzung für den Bereich digitaler Kommunikation sei aber trotzdem notwendig:

Die ePrivacy-Richtlinie ist eine notwendige zusätzliche Schutzschicht für den verlässlichen und effektiven Schutz von Grundrechten, die von der Datenschutzgrundverordnung nicht präzise genug adressiert werden. Sie behandelt darüber hinaus auch Aspekte, die nicht in erster Linie mit der Verarbeitung personenbezogener Daten zu tun haben, etwa den Schutz vor ungewollten Nachrichten. Die ePrivacy-Richtlinie stellt außerdem den Rahmen für die Sicherheit von Geräten und den Schutz der darauf gespeicherten Informationen. Es geht hier also nicht darum, neue Rechte zu schaffen, sondern bestehende Regeln zu komplettieren.

In einer ausführlichen Analyse haben EDRi und andere digitale Bürgerrechtsorganisationen wie Access Now und Privacy International Anforderungen an ein Update der ePrivacy-Regeln aus zivilgesellschaftlicher Perspektive formuliert. Dazu gehört unter anderem zunächst die Kritik der bisherigen Regelung, mit der das hochgradig invasive Tracking eigentlich bereits heute eingeschränkt werden soll. Der 2009 ergänzte Zusatz zur Richtlinie bezieht sich aber mit Cookies de facto nur auf eine bestimmte Technik und ist in Anbetracht vielfältiger neuer Tracking-Methoden wie Device- und Browserfingerprinting ineffektiv.

Zudem kritisieren die NGOs, dass Webanbieter ihre Inhalte inzwischen überwiegend hinter Cookie-Mauern verstecken und Nutzern nach dem take-it-or-leave-Prinzip gar keine andere Wahl lassen, als die Überwachung zuzulassen oder auf die Angebote zu verzichten.

Dementsprechend müsse auch das von der Richtlinie vorgesehene Einwilligungsprinzip reformiert werden. Im Angesicht der vielfältigen Third-Party-Tracker und der unmöglich nachvollziehbaren Nutzerdatenflüsse zwischen unterschiedlichen Firmen, könne derzeit unmöglich von einer informierten Einwilligung ausgegangen werden. Auch das Verständnis von Anonymisierung, welches bei der Verwertung personenbezogener Daten eigentlich den Schutz der Privatsphäre garantieren soll, muss laut dem Positionspapier im Lichte neuer De-Anonymisierungsverfahren überdacht werden. Viele Anonymisierungen könnten heute viel zu leicht rückgängig gemacht werden und würden deshalb besser wie Pseudonymisierungen behandelt.

Außerdem schlagen die NGOs vor, Tracking bei gesundheitsbezogenen Angeboten aufgrund der hohen Sensibilität der erhobenen Informationen komplett zu verbieten.

Auch die Artikel-29-Datenschutzgruppe (PDF), in der die Datenschutzbehörden der EU-Mitgliedsländer zusammenarbeiten, und der EU-Datenschutzbeauftragte Giovanni Buttarelli (PDF) haben jeweils umfassende Positionspapiere vorgelegt, in denen sie die Notwendigkeit eines besseren Datenschutzes in der elektronischen Kommunikation darlegen – inklusive Forderungen nach einer Ausweitung der Regelungen auf Over-The-Top-Dienste, einer Reform des Einwilligungsprinzips und einer Stärkung des Rechts auf verschlüsselte Kommunikation.

Kommission will „gleiche Wettbewerbsbedingungen“

Es steht also viel auf dem Spiel für die Menschen in Europa. Die EU-Kommission will ihren Überarbeitungsvorschlag noch in diesem Jahr veröffentlichen, ausführlichere Ergebnisse der Konsultation sollen im September vorgestellt werden. Klar ist allerdings bereits jetzt, dass sie neben dem formalen Ziel der Vereinheitlichung von Definitionen und Regeln im Zuge einer Anpassung an die neue Datenschutzgrundverordnung mit ihrem Vorstoß wenig überraschend primär wirtschaftspolitische Ziele verfolgt.

Die Reform der ePrivacy-Regeln ist Teil eines zentralen Großprojektes des EU-Exekutive: der Schaffung eines digitalen Binnenmarktes. Federführend zuständig sind Kommissionsvizepräsident Andrus Ansip und Digitalkommissar Günther Oettinger. Kommissionssprecher Christian Wigand nennt für die Reform vor allem zwei konkrete Ziele: das Vertrauen der Europäer in Kommunikationsdienste erhöhen und gleiche Wettbewerbsbedingungen zu schaffen. Wigand:

Die Überprüfung der ePrivacy-Richtlinie ist eine der Hauptinitiativen, um in der EU Vertrauen und Sicherheit in digitale Diensten zu stärken. Der Fokus liegt hier darauf, hohe Sicherheit für Bürger und gleiche Wettbewerbsbedingungen für alle Marktteilnehmer zu gewährleisten.

Neue Diensteanbieter wie WhatsApp fressen der Telekom-Branche die Gewinne auf. CC BY-NC 2.0, via flickr/Jeso Carneiro

Neue Diensteanbieter wie WhatsApp fressen der Telekom-Branche die Gewinne auf. CC BY-NC 2.0, via flickr/Jeso Carneiro

Der Hinweis auf die gleichen Wettbewerbsbedingungen kommt nicht von ungefähr: Während die vergleichsweise stark regulierten Telkos europäische Unternehmen wie Vodafone, Telefónica, Orange oder die Telekom sind, profitieren vom Mining ihrer Nutzerdaten bislang vor allem US-amerikanische Diensteanbieter.

Entscheidend wird nun sein, wie die Kommission die Wettbewerbsbedingungen angleichen will: Wird sie vorschlagen, die bestehenden Regeln für die Telkos einzuebnen, um die großen europäische Player in Sachen Informationsökonomie konkurrenzfähig zu machen? Oder wird sie die spezifische Regulierung zum Schutz der Privatsphäre bei digitaler Kommunikation auf internetbasierte Dienste ausweiten und tatsächlich modernisieren?

Blick in die Zukunft

Sollte die Kommission vorschlagen, das ePrivacy-Instrument nicht abzuschaffen, sondern tatsächlich zu modernisieren und effektiver zu machen, ist zudem offen, ob dies in Form einer Richtlinie geschieht, bei der die Mitgliedsstaaten eigene gesetzliche Regelungen zur Umsetzung erlassen müssen, oder es in Form einer unmittelbar wirksamen Verordnung geschieht. Zwischen Nichtregierungsorganisationen, Datenschutzbehörden und Unternehmen herrscht diesbezüglich seltene Einigkeit: Eine Nachfolgeregelung sollte in Form einer Regulierung erfolgen, damit europaweit möglichst einheitliche und verlässliche Standards gelten.

Zu klären ist zudem, ob die Regeln auch über Messenger und Voice-over-IP-Dienste hinaus noch für andere Angebote gelten sollen. Zu den Over-The-Top-Diensten zählen nämlich nicht nur solche, die wie Messenger oder Internettelefonie klassische Telekommunikationsdienste ersetze, sondern auch solche, die wie Streaming-Dienste oder Videoplattformen auch eigene Inhalte transportieren oder die wie Fitness- oder Datingapps neue Formen der Kommunikation schaffen. Das immer noch eifrig heraufbeschworene Internet der Dinge wirft zudem die Frage auf, ob Regelungen zu Vertraulichkeit und Privatsphäre nicht auch für solche Dienste gelten sollten, bei denen Menschen gar nicht mehr direkt eingebunden sind, sondern bei denen wie bei selbstfahrenden Autos oder Smart-Home-Anwendungen Maschinen miteinander kommunizieren. Sowohl die NGOs als auch die Datenschutzbehörden sprechen sich hier dringend für eine Regulierung aus, die möglichst unabhängig von spezifischen Technologien erfolgt, um Nutzer langfristig effektiv zu schützen.

Mit der Ausweitung der Regulierung könnte auch die Ausweitung staatlicher staatlicher Zugriffe kommen

Schlussendlich scheint eine Gleichbehandlung von Telekommunikationsdiensten mit OTT-Diensten laut Presseberichten über interne Dokumente der Kommission zudem Fragen darüber aufzuwerfen, inwieweit es möglich ist, dass dies auch den Weg für mehr staatliche Zugriffe auf die Nutzerdaten internetbasierter Dienste frei machen würde. In Deutschland etwa gilt die Vorratsdatenspeicherung bislang nicht für Telemedien wie WhatsApp oder Twitter – auch wenn Innenminister Thomas de Maizière dies gern ändern würde.

Doch selbst wenn die Möglichkeit zur Einschränkung des Datenschutzes aus Gründen der nationalen Sicherheit oder Strafverfolgung auch in einem neuen, weiterreichenden ePrivacy-Instrument erhalten bleibt – auf EU-Ebene gibt es seit dem Urteil des Europäischen Gerichtshofes keine Vorgaben zur Vorratsdatenspeicherung mehr. Nationale Gesetze müssten erst erlassen und verhandelt werden. In Anbetracht des aktuellen politischen Klimas ist dies zwar eine reale Gefahr – ein Grund, deshalb lieber gleich auf die Modernisierung und Ausweitung der Richtlinie zu verzichten, wie etwa Facebook in seinem Beitrag zur Konsultation (PDF) argumentiert, ist dies noch lange nicht.

Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden