ePrivacy: Führende EU-Abgeordnete fordert Verschlüsselungspflicht und Tracking-Schutz

Im Innenausschuss des EU-Parlaments hat heute die federführende Abgeordnete Marju Lauristin ihren Vorschlag für eine Positionierung zur ePrivacy-Novelle vorgestellt. Sie will Datenschutz und Verbraucherrechte deutlich stärken. Unter anderem fordert sie eine Verschlüsselungspflicht für elektronische Kommunikation.

ePrivacy-Verordnung: Der Schutz der Vertraulichkeit digitaler Kommunikation sollte deutlich verbessert werden, findet die parlamentarische Berichterstatterin Marju Lauristin. CC-BY 2.0 Hamza Butt

Die Sozialdemokratin Marju Lauristin hat dem Innen- und Rechtsausschuss des Parlaments heute ihren Positionierungsvorschlag zur geplanten ePrivacy-Verordnung [PDF] vorgestellt. Die Privatsphäre der Menschen und die Vertraulichkeit ihrer Kommunikation müsse endlich besser geschützt werden, so die Berichterstatterin des federführenden Ausschusses.

Der von der EU-Kommission vorgelegte Verordnungsentwurf würde das Schutzniveau Lauristin zufolge in mehreren Punkten unter das der Datenschutzgrundverordnung senken. In dieser Ansicht stimme sie mit dem EU-Datenschutzbeauftragten, mit den Datenschutzbehörden der Mitgliedstaaten, Forschern und diversen befragten Stakeholdern überein.

Lauristin: Verantwortung für sichere Kommunikation nicht nur Nutzern aufbürden

Besonders weitgehend ist Lauristins Vorschlag in Sachen Ende-zu-Ende-Verschlüsselung. Sie fordert, dass Anbieter elektronischer Kommunikationsdienste verpflichtet werden, die Daten ihrer Nutzer gegen „unbefugten Zugriff und Veränderung“ zu schützen. Die vertrauliche Übertragung der Kommunikation solle unter anderem durch Ende-zu-Ende-Verschlüsselung nach dem Stand der Technik sichergestellt. Zudem will sie explizit verbieten, dass verschlüsselte Kommunikation von anderen als den Kommunikationspartnern entschlüsselt wird.

Die federführende EU-Parlamentarierin für die Verhandlung der ePrivacy-Verordnung: Sozialdemokratin Marju Lauristin
Die federführende EU-Parlamentarierin für die Verhandlung der ePrivacy-Verordnung: Sozialdemokratin Marju Lauristin - CC-BY-SA 2.0 euranet_plus

Auch in anderen Punkten will die estnische Abgeordnete den Kommissionsvorschlag deutlich in Richtung eines besseren Schutzes der Privatsphäre und der Vertraulichkeit der Kommunikation weiterentwickeln. So dringt sie auf eine tatsächliche Realisierung von Privacy by Design. Eines der momentanen Grundprobleme sei, dass Nutzer oft nicht ausreichend informiert seien und man ihnen die alleinige Verantwortung für den Schutz ihrer Kommunikation aufbürde, so Lauristin in der heutigen Ausschusssitzung. Nutzer müssten ihr Einverständnis oder ihre Ablehnung zu Tracking über den Webbrowser und andere Software wie beispielsweise Smartphone-Betriebssysteme signalisieren können („Do Not Track“). Diese Einstellungen müssten von vorneherein möglichst datenschutzfreundlich voreingestellt sein und Nutzern die Möglichkeit geben, ihre Zustimmung so granular wie möglich abzustufen.

Zudem sollen sogenannte Tracking-Walls nach Lauristins Willen explizit verboten werden. Anbieter dürften den Zugang zu ihren Inhalten im Netz also nicht mehr davon abhängig machen, dass Nutzer der Aufzeichnung ihrer Aktivitäten zustimmen. Sie schlägt auch die Streichung einer Formulierung vor, nach der Daten als Geld-Äquivalent zur Zahlung genutzt werden könne. Ohne das Einverständnis der Nutzer soll Tracking zudem nur erfolgen, wenn es in rein statistischer Form erfolge. Der Formulierungsvorschlag der Kommission lässt hier bislang offen, ob unter diese Ausnahme zur „Publikumszählung“ auch Möglichkeiten der Profilerstellung fallen. Offline-Tracking mittels WLAN- und Bluetooth-Signalen in Flughäfen oder Geschäften soll, anders als von der EU-Kommission vorgeschlagen, zudem ebenfalls beschränkt werden. Informationen sollen nur auf diesem Weg gesammelt werden dürfen, wenn Nutzer ihr Einverständnis geben oder wenn sie anonymisiert werden.

Wenn Telekommunikations- oder Messengeranbieter die Metadaten ihrer Nutzer kommerziell nutzen wollen, sollen sie dafür ein spezifisches Einverständnis ihrer Nutzer einholen. Nutzer müssten möglichst genau und einfach über die Verwendung ihrer Daten informiert werden.

Viele Vorschläge aufgenommen

Lauristin hat in ihrem Berichtsentwurf somit viele Vorschläge von Daten- und Verbraucherschützern aufgenommen. Doch auch Anregungen der Digitalindustrie, die nicht zu einem schlechteren Schutz der Privatsphäre führen würden, hat die Berichterstatterin aufgegriffen. So schlägt sie vor, klarzustellen, dass Machine-to-Machine-Kommunikation nur dort betroffen ist, wo diese Nutzerdaten einbezieht. Industrielobbyisten hatten die Befürchtung geäußert, die Verordnung könne jegliche Machine-to-Machine-Kommunikation beeinträchtigen, auch wenn gar keine Personendaten involviert wären.

Auch eine explizite Ausnahme für die Datenverarbeitung zur Ermöglichung von Nutzern explizit gewünschter Services zum persönlichen oder beruflichen Nutzen soll aufgenommen werden. Dies soll verhindern, dass die Verordnung etablierte Funktionen wie Suche und Filterung in Webmailing-Programmen oder Bild-zu-Text-Übersetzung für Menschen mit Sehbehinderung einschränkt.

Keine klare Absage an anlasslose Vorratsdatenspeicherung

Auch in Sachen staatlicher Überwachung macht Lauristin Vorschläge zur Verbesserung des Kommissionsentwurfs. So will sie den entsprechenden Artikel an die Formulierungen des jüngsten Urteil des Europäischen Gerichtshofes zur Vorratsdatenspeicherung anpassen. Die Deutung, dass eine anlasslose Vorratsdatenspeicherung nach diesem Urteil nicht mehr möglich ist, wird von einigen Politikern wie dem deutschen Innenminister nach wie vor bestritten. Die vorgeschlagene Formulierung ist deshalb zwar strikter als das, was die EU-Kommission vorgeschlagen hatte – eine klare Absage sähe aber anders aus.

Dafür möchte Lauristin jedoch einen Passus streichen, mit dem die EU-Kommission Anbieter von Kommunikationsdiensten zwingen möchte, eine technische Schnittstelle für den direkten staatlichen Zugriff auf Kommunikationsdaten einzurichten. Außerdem soll es den Mitgliedstaaten nach dem Willen der Sozialdemokratin verboten werden, die Anbieter von Kommunikationsdiensten zu Maßnahmen zu verpflichten, die die Sicherheit und Verschlüsselung ihrer Netzwerke und Dienste untergraben.

Organisationen sollen für Nutzer klagen dürfen

Die Berichterstatterin regt außerdem weitere Maßnahmen an, die die effektive Durchsetzung der ePrivacy-Regeln sicherstellen sollen. Bereits die EU-Kommission schlug eine Vereinheitlichung der Aufsicht und höhere Sanktionsmöglichkeiten vor, um die derzeit bestehende Durchsetzungslücke beim Datenschutz zu schließen. Lauristin will den Bereich ausweiten, für den besonders hohe Strafen von bis zu vier Prozent des weltweiten Umsatzes verhängt werden können.

Außerdem will sie Betroffenen die Möglichkeit geben, sich im rechtlichen Vorgehen gegen ePrivacy-Verstöße von Non-Profit-Organisationen vertreten zu lassen. Wie geleakten Dokumenten zu entnehmen war, verfolgte auch die EU-Kommission diesen Ansatz bereits, ließ ihn auf Druck der Industrie jedoch wieder fallen. Diese Regelung gäbe zivilgesellschaftlichen Organisationen die Möglichkeit, den digitalen Schutz der Privatsphäre zu verbessern, indem sie in strittigen Punkte durch strategische Datenschutz-Klagen juristische Klarstellungen erreichen und konkrete Praktiken unterbinden lassen können.

Abstimmung im Herbst

Über die hier ausgeführten Punkte hinaus enthält Lauristins Vorschlag auch viele kleinere Änderungsvorschläge, die eine klare Sprache sprechen: Der Schutz der Privatsphäre und der Vertraulichkeit der digitalen Kommunikation muss dringend verbessert werden. So will Lauristin die Reichweite der Richtlinie beispielsweise um geschlossene Social-Media-Profile und -Gruppen erweitern. Unternehmen sollen zudem offenlegen müssen, wie sie personenbezogene Daten anonymisieren und dabei erstmalig bestimmte Anforderungen erfüllen.

Laut Zeitplan soll das EU-Parlament im Oktober über seine Position zur Verordnung abstimmen. So wichtig Lauristins ambitionierter Vorschlag ist: Das letzte Wort im Kampf um die ePrivacy-Verordnung ist damit noch lange nicht gesprochen. Was andere EU-Abgeordnete wie der konservative Datenschutzgegner Axel Voss sowie NGOs und Verbände zu Lauristins Vorschlag sagen, könnt ihr hier nachlesen. Außerdem ist nach ersten Signalen davon auszugehen, dass die Regierungen einiger EU-Mitgliedsstaaten versuchen werden, über den Ministerrat eine Stärkung des Datenschutzes zu verhindern. Nach der bislang für Oktober anvisierten Abstimmung im Parlament wird es deshalb voraussichtlich zu schwierigen Trilog-Verhandlungen kommen. Nachdem die Abgeordnete heute ihren Bericht vorgestellt hat, kann man sagen: Dass für das Parlament Marju Lauristin am Verhandlungstisch sitzen wird, ist Grund zur Hoffnung.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

2 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.