Die EU-Kommission hat heute ihren Vorschlag für eine Novelle der ePrivacy-Regeln vorgestellt. Die Modernisierung der Datenschutz- und Sicherheitsvorgaben für die Anbieter elektronischer Kommunikationsdienste und -netze sind in diesem Jahr eines der wichtigsten netzpolitischen Projekte der EU. Sie könnte auf absehbare Zeit eine der letzten Möglichkeiten sein, ungewolltem Tracking und Nutzerdaten-getriebenem Profiling EU-weit wirksame Grenzen zu setzen. Für Technologie- und Internetkonzerne geht es um Milliarden, für Verbraucherinnen und Verbraucher um digitale Souveränität und den Schutz ihrer Privatsphäre. Entsprechend intensiv fielen bereits im Vorfeld die Lobbybemühungen in Brüssel aus.
Die neue „Verordnung über den Respekt für das Privatleben und den Schutz personenbezogener Daten in der elektronischen Kommunikation“ [PDF] soll die seit 2002 geltende ePrivacy-Richtlinie ersetzen und die ab Mai 2018 anzuwendende Datenschutzgrundverordnung ergänzen. Wie EU-Kommissionsvizepräsident Andrus Ansip bei der Vorstellung am heutigen Dienstag deutlich machte, ist der ePrivacy-Vorschlag gemeinsam mit weiteren Vorhaben der letzte Baustein der Kommissions-Strategie zur Schaffung eines europäischen digitalen Binnenmarktes. Das übergeordnete Ziel ist es, die Datenwirtschaft in Europa zu stärken, so Ansip:
In naher Zukunft werden die meisten wirtschaftlichen Tätigkeiten von Daten abhänging sein. Wenn Daten sich jedoch nicht frei bewegen können, wird unser Wachstumspotenzial beschränkt. Daten werden durch technische und gesetzliche Barrieren begrenzt und eingeschränkt. Die Aufhebung dieser Begrenzungen könnte bis zu acht Milliarden Euro pro Jahr erwirtschaften.
Wichtige Grundlagen geschaffen
Mit der ePrivacy-Reform will die Kommission erklärtermaßen zwei Ziele erreichen: Zum einen sollen gleiche Marktchancen für hiesige Internetunternehmen und ihre dominante internationale Konkurrenz geschaffen werden. Zum anderen soll das Vertrauen der Menschen in digitale Kommunikationsdienste gestärkt werden.
Drei notwendige Voraussetzungen dafür, das ließ ein geleakter Entwurf aus dem November bereits erkennen, schafft die Kommission mit ihrem Vorschlag unstrittigerweise: Aus der Richtlinie soll eine Verordnung werden, sodass ihre Vorgaben in den Mitgliedstaaten auch ohne nationale Umsetzungsgesetze gelten. Dadurch soll die Verbindlichkeit und Einheitlichkeit der Regeln erhöht werden. Außerdem sollen sie zukünftig auch für sogenannte Over-the-Top-Dienste (OTT) gelten. Weite Teile der alten Richtlinie beziehen sich noch auf klassische Kommunikationsdienste wie Telefonie und SMS. Diese Dienste haben im Vergleich zu internetbasierten Angeboten wie Skype, Facetime, WhatsApp oder Signal, die ähnliche Funktionen erfüllen, jedoch an Bedeutung verloren. Konsequenterweise sollen solche OTT-Dienste („Over the Top“) und in Deutschland als „Telemedien“ regulierten Angebote ebenfalls strengeren Regeln unterworfen werden, um Privatsphäre und die Integrität digitaler Kommunikation zu gewährleisten.
Zudem enthält der Vorschlag der Kommission die Klarstellung, dass die Möglichkeit zu empfindlichen Strafzahlungen von bis zu vier Prozent des weltweiten Umsatzes, die die Datenschutzgrundverordnung bei Verstößen ermöglicht, auch für Verstöße gegen die ePrivacy-Regeln gelten. Die bislang problematischen Durchsetzungsdefizite der Vorgaben werden also angegangen. Weil nun, anders als bislang, für die Durchsetzung zudem durchgängig die Datenschutzaufsichtsbehörden in den Mitgliedstaaten zuständig sind, ist vorgeschrieben, dass die entsprechenden Stellen unabhängig zu sein haben. Ein Verbandsklagerecht, wie es der geleakte Entwurf von Ende November vorsah, ist hingegen aus dem Kommissionsvorschlag geflogen. Er hätte zum Beispiel NGOs ermöglicht, Klagen gegen Verstöße der ePrivacy-Regeln stellvertretend für Betroffene zu betreiben.
Ausnahmen weiter möglich
Während die Kommission mit ihrem Vorschlag also wichtige Grundlagen für einen besseren Schutz elektronischer Kommunikation schafft, ist die Lage bei den konkreten Regeln komplexer. Zwar soll das Mitschneiden und Auswerten von Kommunikationsinhalten und Metadaten grundsätzlich auf das funktionell Notwendige begrenzt werden, der Vorschläg enthält jedoch viele Ausnahmen.
Wie nach dem November-Leak zu erwarten, bleibt das zentrale Element hierfür nach wie vor die Einwilligung der Nutzer. Kommissionsvize Ansip, der seit der Beförderung von Günther Oettinger derzeit für das gesamte Digitalressort zuständig ist, zeigte sich optimistisch, dass dieses Prinzip nach wie vor funktioniere:
Menschen werden immer das Recht haben „Ja“ oder „Nein“ zu sagen, wenn es um die Verwertung ihrer persönlichen Daten geht. Das gilt für die Inhalte ihrer Nachrichten sowie für Metadaten. Und dasselbe gilt für den Zugang zu Informationen, die in mobilen Geräten gespeichert sind. Die Einwilligung der Benutzer besitzt höchste Wichtigkeit.
Kein besserer Schutz für Metadaten
In Sachen Metadaten bleibt der Status Quo weitestgehend erhalten. Sie dürfen laut Art. 6 nur nach Einwilligung der Nutzer oder Anonymisierung für Werbung und andere Zwecke, die über Gewährleistung der Funktionalität und Zahlungsabwicklung hinaus gehen, genutzt werden. Gerade Telekommunikationsunternehmen hätten hier wohl gerne eine deutliche Aufweichung des Schutzniveaus gesehen, um die Metadaten ihrer Kunden ausgiebiger verwerten zu können. Und zumindest eine im November-Entwurf noch enthaltene spezifische Prüfvorschrift, wenn „Art, Umfang, Kontext und Zweck der Verarbeitung möglicherweise für ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen sorgen“, ist entfallen. Eigentlich hätte dann eine interne Datenschutzfolgenabschätzung mit gegegenbenfalls Konsultation der Datenschutzaufsichtsbehörden entsprechend Art. 35 und 36 der DSGVO stattfinden sollen.
Aus Sicht des Daten- und Verbraucherschutzes kann man darüber vermutlich froh sein. Progressive Vorschläge von NGOs wurden von der Kommission jedoch auch nicht berücksichtigt. So hatten European Digital Rights, Privacy International, Access Now und andere vorgeschlagen, die kommerzielle Verwertung von Metadaten in bestimmten Bereichen grundsätzlich zu verbieten, etwa bei Informationsangeboten im Gesundheitsbereich oder Inhalten, die durch öffentliche Mittel finanziert wurden. Der deutsche Bundesjugendring hat kürzlich gefordert, das Tracking von Minderjährigen grundsätzlich zu verbieten.
Immerhin: Der Entwurf enthält in Art. 6 3. eine neue Klarstellung, dass die Analyse von Kommunikationsinhalten, wie sie bei der Auswertung von Googles GMail-Konten fortlaufend stattfindet, der Zustimmung aller Kommunikationsteilnehmer bedarf. Google müsste künftig also auch die Kommunikationspartner von GMail-Nutzern um ihr Einverständnis bitten. Zudem müssen Unternehmen, die solches vorhaben, zunächst die Aufsichtsbehörden kontaktieren.
Erfolg der Industrie: Keine Vorgaben zu Privacy-by-default
Der Kommissionsvorschlag enthält in Art. 8 zudem ein klares Verbot des Third-Party-Trackings durch Cookies, Webbeacons oder Fingerprinting-Methoden. Kritischer Punkt ist jedoch auch hier das Einverständnis der Nutzer. Die bereits im November-Leak enthaltene Vorgabe, dass Einverständnis und Widerspruch zum Tracking durch Drittparteien durch bestimmte Einstellungen in der genutzten Software signalisiert werden können, ist in Art. 9 erhalten geblieben. Der von der Tracking-Industrie bislang bewusst ignorierte Do-Not-Track-Standard im Browser müsste zukünftig also beachtet werden – ein Gewinn für digitale Selbstbestimmung. Eine weitere positive Neuerung in diesem Bereich ist, dass Unternehmen verpflichtet werden sollen, Nutzer auf deren Wunsch alle sechs Monate daran zu erinnern, zu welcher Datenverarbeitung sie ihr Einverständnis gegeben haben.
Durchsetzen konnte sich die Tracking-Industrie jedoch in Hinblick auf Privacy-by-Default. Die progressiven Vorgaben des geleakten Texts sind im finalen Vorschlag deutlich aufgeweicht worden. Der Entwurf hatte vorgesehen, dass Hard- und Software mit der datenschutzfreundlichsten Voreinstellung (aka „Do not track“) ausgeliefert werden müssen – was vermutlich zu einem massiven Rückgang des Trackings geführt hätte. Die Kommission macht nun im entsprechenden Art. 10 nur noch die Vorgabe, dass bei der Installation von Software eine anti-Tracking-Option zur Auswahl angeboten werden muss.
Die Kommission bleibt hier mit mit ihrem Vorschlag sogar hinter der Datenschutzgrundverordnung zurück, die „Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen“ vorschreibt. Immerhin: Die Kommission sieht vor, dass Nutzer sich bewusst für oder gegen Tracking entscheiden müssen, um die Installation der Software abzuschließen – und dass jegliche betroffene Software den Vorgaben bis August 2018 durch Updates entsprechen muss.
Kaum Grenzen für offline-Tracking
Das zunehmende offline-Tracking von Kunden in Bahnhöfen, Flughäfen und Geschäften anhand der Informationen, die ihre Smartphones bei der Suche nach WLAN- oder Bluetooth-Signalen mitsenden, soll weiter nur schwach reguliert werden. Diese immer wichtiger werdende Form des Trackings soll zukünftig ohne vorheriges Einverständnis dann erlaubt sein, wenn eine öffentlich wahrnehmbare Information darüber angezeigt wird, unter welchen Bedingungen und zu welchem Zweck das Tracking stattfindet.
Auch hier sind die Vorgaben im Vergleich zum November-Entwurf nochmal deutlich aufgeweicht worden. Eine Regelung, dass Nutzer der Verwendung dieser Informationen für Marketingzwecke widersprechen können, wurde gestrichen. Die aus Sicherheitsgründen zusätzlich vorgesehene Pseudonymisierung der Daten entsprechend Art. 32 der DSGVO ist in Anbetracht der Leichtigkeit, mit denen Pseudonymisierungen rückgängig gemacht werden können, ein schwacher Trost.
Direktmarketing per Mail weiter ohne Einwilligung möglich
Auch in Sachen Direktmarketing (Art. 16) scheut sich die Kommission vor einer klaren Einschränkung der bisherigen Praxis. Zwar soll dieses grundsätzlich nur nach Opt-In erlaubt sein – für Direktmarketing via E-Mail entfällt diese strikte Vorschrift aber, sofern bereits ein Kundenverhältnis besteht. Dann nämlich sollen sich Kunden erst bewusst gegen die unaufgeforderten Nachrichten entscheiden und den Unternehmen Bescheid geben müssen (Opt-Out).
Am Rande stellt die EU-Kommission zudem klar, dass die ePrivacy-Verordnung nach ihrem Willen keinen Einfluss auf Adblocker haben soll. Diese bleiben erlaubt, so Ansip – AdBlocker-Detektoren und der Ausschluss von Menschen, die sie nutzen, aber auch.
Kein Rückenwind für Verschlüsselung, kein Schutz vor VDS
Gleichbleibend schwach ist der finale Vorschlag der Kommission in Hinblick auf Ende-zu-Ende-Verschlüsselung und den Schutz vor staatlicher Überwachung.
Obwohl sich bei einer Umfrage der EU-Kommission 90 Prozent der 27 000 dazu befragten Europäer für eine Möglichkeit der Ende-zu-Ende-Verschlüsselung ihrer Kommunikation aussprachen, enthält der Verordnungstext keine Vorgaben an Diensteanbieter, Möglichkeiten zur Ende-zu-Ende-Verschlüsselung bereitzustellen. Nicht mal zu einem klaren Bekenntnis der von Sicherheitspolitikern infrage gestellten Rechtmäßigkeit des individuellen Einsatzes von Sicherheitstools konnte sich die Kommission durchringen.
Artikel 11, der die Ausnahmen der Vorschriften zu Integrität und Vertraulichkeit elektronischer Kommunikation im Namen der nationalen Sicherheit und der Strafverfolgung regeln soll, enthält zudem anders als in der aktuellen Richtlinie zwar keine explizite Öffnungsklausel für Vorratsdatenspeicherungen (VDS) von Kommunikationsmetadaten mehr. Er verzichtet aber auch darauf, nationale Vorratsdatenspeicherungen im Einklang mit der Rechtsprechung des Europäischen Gerichtshofes (EuGH) auszuschließen. Mitgliedstaaten können selbst über nationale VDS bestimmen – das sah bereits der geleakte Entwurf vor und das hat sich auch durch das deutliche VDS-Urteil des EuGH im Dezember nicht mehr geändert.
De facto hieße das: Die bestehende Ausnahmeregelungen, die Vorratsdatenspeicherungen offenbar auch ohne explizite Öffnungsklausel ermöglichen, bleiben bestehen – und durch die Ausweitung der Verordnung auf OTT-Dienste gelten die Ausnahmen dann auch für diese. Überwachungsverfechter wie der deutsche Innenminister Thomas de Maizière dürften das als Einladung verstehen, ihre Forderung umzusetzen, die VDS endlich auch auf Messenger auszuweiten.
Viel Arbeit für das EU-Parlament
Auch wenn die Ankündigungen auf dem Twitter-Account der EU-Kommission in den letzten Wochen durch das wiederholte Teilen der klaren Hoffnung gemacht hatte: Der heute veröffentliche Vorschlag ist ernüchternd.
Auch wenn die EU-Kommission wichtige Schritte in Richtung eines besseren Schutzes des Privatlebens und personenbezogener Daten in der elektronischen Kommunikation setzt: Sie geht den angefangenen Weg nicht weit genug, um die dringend notwendigen Fortschritte zu erzielen. Insbesondere die schwachen Vorgaben zu datenschutzfreundlichen Voreinstellungen und offline-Tracking sowie die eklatanten Leerstellen in Hinblick auf verschlüsselte Kommunikation und staatliche Vorratsdatenspeicherungen weisen auf den Nachbesserungsbedarf hin.
Für die Aushandlung der schlussendlichen Verordnung zwischen den Institutionen der EU bleibt indes wenig Zeit, sofern der Zeitplan der Kommission eingehalten werden soll. Sie plant, dass die ePrivacy-Verordnung zeitgleich mit der Datenschutzgrundverordnung im Mai 2018 wirksam werden soll. Vom Ministerrat ist in Anbetracht der jüngsten Positionierungen der Bundesregierung zum Thema Datenschutz wenig zu erwarten. Ob die Mängel bis dahin behoben werden, wird erheblich von der Position und Stärke des EU-Parlaments abhängen.
Reaktionen
Noch deutlicher als der geleakte Entwurf zeigt der finale Vorschlag der EU-Kommission, dass die beiden selbst gesteckten Ziele nur bedingt miteinander zu vereinbaren sind. Zu gegensätzlich sind die Richtungen von Wirtschaftsförderung und Verbraucher(daten)schutz in diesem Feld. Entsprechend unzufrieden fallen auch die ersten Reaktionen aus – sowohl von Daten- und Verbraucherschützern auf der einen als auch von Wirtschaftsverbänden auf der anderen Seite.
Daten- und Verbraucherschützer
Klaus Müller, Vorstand des Verbraucherzentrale Bundesverband (vzbv), begrüßt den Vorschlag der Kommission grundsätzlich, kritisiert aber, dass dieser auf halber Strecke stehen bleibe:
Leider sind jedoch die vorgeschlagenen Regelungen zum Tracking im Internet nicht konsequent. Für das Tracking soll künftig die Einwilligung der Nutzer notwendig sein, die diese über die Einstellungen ihrer Webbrowsers abgeben können. Damit sollen die nervigen Cookie-Banner auf Webseiten obsolet werden. Die EU-Kommission konnte sich aber nicht dazu durchringen, zu regeln, dass die Webbrowser stets datenschutzfreundlich voreingestellt sein müssen. Zwar müssen die Nutzer künftig bei der Installation aktiv eine der Einstellungen auswählen – in einer Umfrage der EU-Kommission hatten sich jedoch 89 Prozent der Befragten für datenschutzfreundliche Voreinstellungen ausgesprochen.
Auch seine Kollegin auf europäischer Ebene, die Generaldirektion des europäischen Verbraucherverbandes BEUC, Monique Coyens, bemängelt die schwachen Vorgaben zu datenschutzfreundlichen Voreinstellungen:
Wenn 89 Prozent der Teilnehmenden an einer EU-Umfrage sagen, dass ihr Browser ihre Kommunikation by default schützen soll, dann sollte die EU auf sie hören.
Joe McNamee, Geschäftsführer von European Digital Rights (EDRi), betont ebenfalls, dass das EU-Parlament viel zu tun habe, um den Verordnungstext zu verbessern:
Die Europäische Kommission hat den extremsten Forderungen bestimmter Teile der Industrie widerstanden. Um Vertrauen, Privatsphäre und Innovation zu fördern, muss der Vorschlag dennoch signifikant verbessert werden.
Estelle Massé von Access Now kritisiert, dass der Vorschlag unter dem Druck der Wirtschaftslobbyisten in den vergangenen Wochen an wichtigen Stellen verwässert wurde:
Im Vergleich zur Version aus dem Dezember ist in den heute veröffentlichten Text bedauerlicherweise eine signifikante Anzahl an Schlupflöchern eingebaut worden. Das ist spiegelt den immensen Lobbyismus-Aufwand wider, den die Industrie betrieben hat um die Regeln zu verwässern. So wurde etwa die Verfügung entfernt, dass Nutzer NGOs mandatieren können, Beschwerden an ihrer Stelle vorzubringen.
Auch der Grüne Europaparlamentarier und stellvertretende Vorsitzende des Innen- und Justizausschusses, Jan Philipp Albrecht, sieht Nachbesserungsbedarf:
Es war ein längst überfälliger Schritt ins digitale Zeitalter, die Datenschutzregeln für elektronische Kommunikation auch auf Dienste wie Skype oder WhatsApp anzuwenden. Der Vorschlag erfüllt die Anforderungen für ein hohes Maß an Privatsphäre und sichere Kommunikation allerdings nicht.
Wirtschaft
Ganz anders sehen das freilich Wirtschaftsverbände, die den Eindruck zu erwecken versuchen, die Kommission würde sie mit ihrem Vorschlag maßlos regulieren:
Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit, fordert weniger statt mehr Datenschutz:
Die kürzlich beschlossene Datenschutz-Grundverordnung (DSGV) etabliert bereits ein flächendeckend hohes Datenschutzniveau. In der E-Privacy Verordnung werden nun für viele digitale Dienste davon abweichende Regeln vorgeschlagen. Das ist aus Sicht der Digitalwirtschaft nicht notwendig und führt zu neuen Rechtsunsicherheiten. […] In der digitalen Welt entstehen laufend neue Anwendungen und Geschäftsmodelle. Dafür sind flexible Regelungen bei der Datenverarbeitung notwendig.
Thomas Duhr, Vizepräsident des Bundesverbands digitale Wirtschaft (BVDW), geht noch weiter und sieht gar „Grundfeste der digitalen Gesellschaft“ gefährdet:
Diese Verordnung stellt etablierte und von den Verbrauchern akzeptierte Geschäftsmodelle in Frage und negiert fundamentale Prinzipien der Digitalen Wirtschaft. Das Internet, wie wir es heute kennen, wird es damit nicht mehr geben.
Der Geschäftsführer des europäischen Werbeverbands interactive advertising burau (iab), Townsend Feehan, sieht großen Schaden am Geschäftsmodell Onlinewerbung:
While the Commission finally acknowledged the important role of advertising for funding free content online, it does so at the same time as presenting a law that as a practical matter would undeniably damage the advertising business model – without achieving any real benefits for users from a privacy and data protection point of view.
7 Ergänzungen
Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.