Google analysiert unsere Mails, Facebook wertet unsere WhatsApp-Kontakte aus, Tracker verfolgen unser Verhalten im Netz und sogar unsere Bewegungen durchs Einkaufszentrum. Auch klassische Telekommunikationskonzerne wollen Daten über das Verhalten ihrer Kunden vermehrt zu Geld machen. Die Sammlung und Auswertung persönlicher Informationen ist das dominante Geschäftsmodell der digitalen Kommunikation. Eine Wahl haben Nutzer oft nicht, meistens wissen sie auch gar nicht, wozu genau die Aufzeichnung und Analyse ihres Verhaltens verwendet wird oder mit wem die Daten geteilt werden. In der EU wird gerade über ein Gesetz verhandelt, das dies ändern könnte: die ePrivacy-Verordnung [PDF].
Während Teile der Digitalindustrie „das Ende des Internets, wie wir es kennen“ heraufbeschwören, weil Nutzern endlich mehr informationelle Selbstbestimmung ermöglicht werden könnte, liegen seit einigen Wochen detaillierte Verbesserungsvorschläge von Daten- und Verbraucherschutzorganisationen vor, die aufzeigen, an welchen Stellen dringend nachgebessert werden muss, um Nutzern tatsächlich mehr Selbstbestimmung zu ermöglichen.
Modernisierung dringend notwendig
Anfang des Jahres stellte die EU-Kommission ihren Vorschlag für eine Überarbeitung der „Datenschutzrichtlinie für die elektronische Kommunikation“ (kurz: ePrivacy-RL) vor. Das seit 2002 bestehende Regelwerk ergänzt und konkretisiert die allgemeinen Datenschutzgesetze und macht spezifische Vorgaben zum Schutz der Vertraulichkeit und Privatsphäre von elektronischer Kommunikation. Die Richtlinie und auch die neue Verordnung sollen die Einhaltung der beiden EU-Grundrechte auf die Achtung des Privatlebens und auf den Schutz personenbezogener Daten garantieren. Weil diese als notwendige Voraussetzungen für andere Grundrechte wie jene auf Kommunikations- und Meinungs-, aber auch die Religionsfreiheit gelten, dient sie auch zu deren Schutz. Im Gesetzesvorschlag heißt es dazu:
Ein wirksamer Schutz der Vertraulichkeit der Kommunikation ist unverzichtbar für die Ausübung der Rechte auf freie Meinungsäußerung und Informationsfreiheit sowie andere damit verbundene Rechte wie derjenigen auf Schutz personenbezogener Daten oder auf Gedanken-, Gewissens- und Religionsfreiheit.
Auch wenn die ePrivacy-RL seit ihrem Inkrafttreten 2002 bereits mehrfach überarbeitet wurde, ist sie aufgrund der massiven Veränderungen in der Nutzung von Informations- und Kommunikationstechnologien nicht mehr ausreichend. Bislang gelten ePrivacy-Vorschriften beispielsweise nicht für Messenger und Internettelefonie, sondern vor allem für klassische Kommunikationsdienste wie SMS und Telefonie. Dabei haben diese neuen Kommunikationsdienste inzwischen bisweilen sogar eine größere Verbreitung als die klassischen: Dem Bundesverband der Verbraucherzentralen (vzbv) zufolge sind 2012 in Deutschland noch 160 Millionen SMS und nur 20 Millionen Whatsapp-Nachrichten täglich versandt worden. 2015 waren es nur noch 40 Millionen SMS und bereits 660 Millionen WhatsApp-Nachrichten.
Wie groß der Wunsch der Menschen in Europa nach einem besserem Schutz ihrer Privatsphäre in der digitalen Welt ist, zeigt nicht zuletzt eine statistisch repräsentative EU-weite Umfrage im Auftrag der Kommission. 90 Prozent der Befragten sprachen sich für sichere Ende-zu-Ende-verschlüsselte Kommunikation aus. 89 Prozent stimmten der Aussage zu, dass einfache Standardeinstellungen in ihrem Browser ausreichen sollten, um sie vor Tracking zu schützen. Und fast drei Viertel waren nicht damit einverstanden sind, dass Unternehmen ihre Daten ungefragt mit anderen teilen – selbst dann nicht, wenn es Firmen dabei helfen soll, ihnen neue Dienstleistungen anzubieten, die sie mögen könnten.
Die Hoffnungen ruhen auf dem EU-Parlament
Derzeit beraten das EU-Parlament und die Mitgliedstaaten, wie sie sich zum Vorschlag der Kommission positionieren. Noch in diesem Jahr soll das Regelwerk beschlossen werden, damit es ab Mai 2018 gemeinsam mit der Datenschutzgrundverordnung angewendet werden kann. Während ein von Euractiv geleakter Bericht aus dem Rat der Europäischen Union zeigt, dass sich mehrere Länder für schwächere Regeln starkmachen, ist über die Verhandlungen im Parlament bislang wenig bekannt.
Im federführenden Innen- und Justizausschuss ist die estnische Sozialdemokratin Marju Lauristin als Berichterstatterin für das Vorhaben verantwortlich. Im Austausch mit den sogenannten Schattenberichterstattern der anderen Fraktionen wird sie dem Parlament einen Positionierungsvorschlag unterbreiten, so dass sie maßgeblichen Einfluss auf die endgültige Verordnung hat. Entsprechend ihres zwangsläufig ambitionierten Zeitplanes, will Lauristin ihren Bericht bereits im Juni vorstellen.
Heftiger Gegenwind von Teilen der Digitalindustrie – und von deutschen Presseverlegern
Wie bereits beim Ringen um die Datenschutzgrundverordnung sind auch bei der ePrivacy-Reform massive Aktivitäten von Interessenvertretern wahrnehmbar – es geht schließlich um Datenmilliarden. Bereits im vergangenen Jahr versuchte ein breites Unternehmensbündnis, die Kommission dazu zu bewegen, die ePrivacy-Regeln ersatzlos zu streichen. Zu der illustren Runde gehörten Industrie- und Handelsverbände, die unter anderem die Interessen von Google, Facebook, Amazon, Apple und Microsoft, von Telekommunikationsunternehmen wie Vodafone, Telefonica und der Deutschen Telekom sowie von Siemens und Bayer vertreten.
Die Aktion blieb ohne Erfolg. Zu eindeutig ist der Bedarf nach modernen und wirksamen Datenschutzregeln für die elektronische Kommunikation – nicht zuletzt festgestellt in einer öffentlichen Konsultation der EU-Kommission. Als im Dezember dann ein vergleichsweise progressiver Verordnungsentwurf der Kommission geleakt wurde, liefen in Brüssel die Lobbydrähte heiß. Der endgültige Vorschlag ist an einigen Stellen bereits entsprechend verwässert.
Und dennoch laufen Teile der Digitalindustrie seit Januar immer noch Sturm gegen die Pläne. Brüssel torpediere die digitale Gesellschaft, ließ der Vizepräsident des Bundesverbands Digitale Wirtschaft, Thomas Duhr, verlauten. Und weiter:
Diese Verordnung stellt etablierte und von den Verbrauchern akzeptierte Geschäftsmodelle in Frage und negiert fundamentale Prinzipien der Digitalen Wirtschaft. Das Internet, wie wir es heute kennen, wird es damit nicht mehr geben.
Erst vor wenigen Tagen ließen auch der Verband der Zeitungsverleger und der Bundesverband Deutscher Zeitungsverleger, bei denen alle großen deutschen Verlage von Springer und FAZ über Spiegel bis Zeit Mitglied sind, verlauten, der Verordnungsvorschlag sei ein „ein Angriff auf freien Journalismus im Netz“. Die Argumentation: Weil die Medienhäuser inzwischen in hohem Maße von Einnahmen durch Tracking und verhaltensbasierte Werbung abhängig sind, würde es die Pressevielfalt bedrohen, wenn Nutzer selbst entscheiden könnten, ob ihr Online-Verhalten aufgezeichnet und ausgewertet werden soll oder nicht. Gestern legte dann ein internationales Verleger-Bündnis nach und forderte, Nutzern beim Online-Tracking auf keinen Fall mehr Selbstbestimmung zu ermöglichen.
Daten- und Verbraucherschützer fordern erhebliche Nachbesserungen
Dass die Vorschläge der EU-Kommission mitnichten das Internet kaputtmachen, sondern erheblich nachgebessert werden müssen, um tatsächliche Fortschritte für den Schutz von Privatsphäre und Kommunikationsfreiheit zu gewährleisten, zeigen die Positionierungen diverser Verbraucher- und Datenschutzorganisationen.
Der EU-Datenschutzbeauftragte Giovanni Buttarelli [PDF] etwa hält in seiner Stellungnahme fest, er habe „Bedenken, ob der Vorschlag in seiner aktuellen Form das selbst gemachte Versprechen einlösen kann, ein hohes Schutzniveau für die Privatsphäre in der elektronischen Kommunikation sicherzustellen. Wir brauchen einen rechtlichen Rahmen für ePrivacy – aber einen klügeren, klareren und stärkeren.“
Auch der Bundesverband der Verbraucherzentralen hat zahlreiche Verbesserungsvorschläge [PDF] und „fordert die Institutionen der Europäischen Union sowie die Bundesregierung auf, die Rechte der einzelnen Verbraucher und Bürger konsequent ins Zentrum der Ausgestaltung der ePVO zu stellen. Ausgangspunkt der Betrachtungen und Ausgestaltung muss zwingend das Individuum und sein Recht auf Privatsphäre und Vertraulichkeit im Bereich der elektronischen Kommunikation sein.“
Noch deutlicher wird in einer Pressemitteilung zu ihrer Stellungnahme [PDF] die Deutsche Vereinigung für Datenschutz:
Die Verleger wollen an den Datenschatz, den sich bisher Google und Facebook für Werbezwecke unter den Nagel gerissen haben. Mit der ePrivacy-Verordnung kann ein Instrument geschaffen werden, dieses globale Werbe-Oligopol zumindest für den europäischen Markt zu zerschlagen und den Nutzern ihre digitale Souveränität zurückzugeben.
European Digital Rights [PDF] weist zudem darauf hin, dass es auch im Interesse von Innovation und Wirtschaftswachstum ist, wenn Nutzer sich auf die Vertraulichkeit ihrer Kommunikation und die Integrität ihrer Geräte verlassen können: „Ohne Vertrauen in den Schutz ihrer digitalen Kommunikation werden Internetnutzer Online-Dienste nur widerwillig nutzen.“ Selbst die Studien des Industrieverbands Bitkom stützen diese These: So ergab beispielsweise eine Umfrage im Jahr 2016, dass drei Viertel der befragten Verbraucher davor zurückschrecken, Assistenzsysteme wie Amazon Echo zu nutzen, weil sie der Wirtschaft in Sachen Daten nicht vertrauen.
Umfassende öffentliche Stellungnahmen gibt es darüber hinaus auch von den Datenschutzbehörden der EU-Mitgliedsstaaten, die in der Artikel-29-Datenschutzgruppe zusammenarbeiten [PDF], vom Verein Digitale Gesellschaft [PDF], von Access Now [PDF] und von der Europäischen Akademie für den Datenschutz und die Informationsfreiheit [PDF]. Weil die kritischen Punkte bei der ePrivacy-Reform zu viel Stoff für einen einzigen Artikel bieten, werden wir in den kommenden Wochen in einer Reihe unterschiedliche Aspekte eingehender beleuchten. An dieser Stelle schon mal ein grober Überblick.
Wichtige Grundlagen für funktionierenden Datenschutz
Bereits in unserer ersten Analyse des Vorschlags im Januar („EU-Kommission bleibt beim Datenschutz auf halber Strecke stehen“) hatten wir festgestellt, dass der Aufschlag der Kommission einige wichtige Schritte enthält, die notwendige Grundlagen für wirksamen Schutz von Privatsphäre und Kommunikationsfreiheit legen. Für mehr Einheitlichkeit und Verbindlichkeit soll aus der Richtlinie eine Verordnung werden, so dass ihre Vorgaben in den Mitgliedstaaten auch ohne nationale Umsetzungsgesetze unmittelbar gelten.
Außerdem soll der Geltungsbereich auf die sogenannten Over-The-Top-Dienste ausgeweitet werden, die keine eigenen Netze bieten, sondern auf der Signalübertragung durch Telekommunikationsdienste basieren. Dazu zählen die oben erwähnten Messenger wie Signal, Threema, WhatsApp oder iMessage, Internettelefonie wie Skype oder Facetime, Webmail und Direktnachrichten in Sozialen Netzwerken, Spielen oder Dating-Apps. In Anbetracht der großen Bedeutung dieser Dienste für die alltägliche Kommunikation vieler Menschen begrüßen die genannten Daten- und Verbraucherschutzorganisationen diesen Schritt einhellig. Die (quasi-)öffentliche Kommunikation auf Social-Media-Plattformen, die nicht in Form von Direktnachrichten geschieht, soll von der Verordnung nicht reguliert werden.
Zudem enthält der Kommissionsvorschlag Klarstellungen, um die aktuellen Durchsetzungsdefizite beim Datenschutz zu beheben. Dazu gehört, dass in allen Mitgliedsstaaten die Datenschutzbehörden für die Aufsicht und Kontrolle zuständig sein sollen. Außerdem sollen diese die Möglichkeit bekommen, empfindliche Strafzahlungen von bis zu vier Prozent des weltweiten Umsatzes für Verstöße gegen zentrale Aspekte der ePrivacy-Regeln zu verhängen.
Do not Track, Privacy by Default, Offline-Tracking
An vielen anderen Stellen sehen Daten- und Verbraucherschützer jedoch erheblichen Nachbesserungsbedarf. Die Einwilligung der Betroffenen soll für eine legale Datenerhebung und -verarbeitung das zentrale Mittel bleiben. Kommunikationsmetadaten sollen dabei jedoch schlechter geschützt werden als Kommunikationsinhalte. Viele der genannten Organisationen fordern, Inhalts- und Metadaten aufgrund der hohen Aussagekraft von Metadaten gleich gut zu schützen. Sie bilden schließlich einen zentralen Rohstoff für die lukrativen Big-Data-Analysen zur Vorhersage menschlichen Verhaltens.
Auch Web-Tracking, also die Aufzeichnung und Verknüpfung des Verhaltens im Netz, soll unabhängig von der verwendeten Technik zustimmungspflichtig sein. Die Kommission schlägt vor, dass die Zustimmung oder Ablehnung zum Tracking auch über entsprechende Einstellungen im Web-Browser signalisiert werden kann. Bislang wird der hierfür entwickelte Do-Not-Track-Standard von den meisten Firmen ignoriert. Daten- und Verbraucherschützer begrüßen deshalb den Vorschlag, fordern jedoch einige Klarstellungen.
Dem vzbv zufolge muss beispielsweise klargestellt werden, dass Firmen Nutzer nicht ständig wieder um eine Erlaubnis bitten dürfen, obwohl diese bereits über ihre Software-Einstellungen signalisiert haben, dass sie kein Tracking wollen. Bislang will die Kommission dies den Trackern explizit gestatten. Es droht also, dass sich im Vergleich zu heute wenig verbessert, weil Unternehmen sich bei jedem Webseitenbesuch über die altbekannten Cookie-Banner doch ein Einverständnis abholen.
Mit der steigenden Bedeutung von Datenschutzeinstellungen rückt auch deren automatische Voreinstellung in den Fokus – erfahrungsgemäß wollen sich schließlich die wenigsten Nutzer lange mit diesen Einstellungen auseinandersetzen. In einem geleakten Entwurf des Verordnungsvorschlags war deshalb eine Verpflichtung zu datenschutzfreundlichen Voreinstellungen der Browser „ab Werk“ vorgesehen. Zum Leidwesen der Daten- und Verbraucherschützer ist diese Regel wieder rausgeflogen: Jetzt heißt es im Vorschlag nur noch, dass Nutzer bei der Installation der Software nach ihren Wunscheinstellungen gefragt werden sollen. Die Forderung lautet daher nach einer klaren Verpflichtung zu Privacy-by-Default für Kommunikationsdienste und Browser.
Besonders kritisch sehen die Daten- und Verbraucherschützer, dass Offline-Tracking in Innenstädten, Flughäfen oder Geschäften unter Nutzung der WLAN- und Bluetooth-Funktion von Smartphones und anderen Geräten auch ohne Einverständnis der Nutzer erlaubt sein soll. Diese relativ unbekannte, aber bereits eingesetzte Methode der Konsumentenverfolgung nutzt die technische Eigenschaft, dass eindeutige Gerätekennungen wie MAC-Adressen und Mobilfunkkennungen (IMEI und IMSI) mitübermittelt werden, wenn sich Smartphones und andere Geräte auf die Suche nach mobilen Kommunikationsnetzen wie WLAN, Bluetooth oder anderen Verbindungen machen. So ist es möglich, nicht nur die Bewegungen innerhalb eines Geschäfts aufzuzeichnen, sondern auch Kunden wiederzuerkennen, die in eine andere Filiale des gleichen Unternehmens gehen. Die Informationen können dank des Identifiers auch mit anderen Informationen, etwa aus Sozialen Medien oder über das Einkaufsverhalten, verknüpft werden.
Nach dem Willen der Kommission sollen Firmen, die die Bewegungen von Kunden und Passanten auf diese Weise aufzeichnen wollen, lediglich irgendwo eine öffentlich wahrnehmbare Information darüber anzeigen. Die einzige Möglichkeit, sich zu wehren, bliebe das Abschalten von WLAN- und Bluetooth-Funktionen. vzbv, Digitale Gesellschaft, der europäische Datenschutzbeauftragte und auch die Artikel-29-Gruppe fordern deshalb unter anderem, dass dieses Offline-Tracking ebenfalls nur nach dem ausdrücklichen Einverständnis der Betroffenen erfolgen darf.
Grenzen für staatliche Überwachung, Recht auf Datenselbstschutz
Auch in Sachen staatlicher Überwachung sind Datenschützer nicht zufrieden. Die ePrivacy-Verordnung enthält neben den Ausnahmen vom Überwachungsverbot für kommerzielle Zwecke nämlich auch Freiräume für den Staat. So ist die Vorratsdatenspeicherung nur aufgrund einer Ausnahmeregelung in der alten ePrivacy-Richtlinie möglich. Trotz des eindeutigen Urteils des Europäischen Gerichtshofs zur VDS im vergangenen Dezember, scheut die EU-Kommission ein klares Verbot. Stattdessen will sie die Entscheidung den Mitgliedstaaten überlassen.
Kritiker wie die Digitale Gesellschaft weisen darauf hin, dass Überwachungsfreunde dieses Schlupfloch als Vorwand nutzen könnten, die Vorratsdatenspeicherung gleich auch auf Messenger auszuweiten. Sie warnen zudem davor, dass im Rahmen der Verordnung eine technische Schnittstelle für den automatisierten Zugriff staatlicher Stellen auf bei Kommunikationsdiensten gespeicherte Daten eingeführt werden soll.
Darüber hinaus findet sich statt eines klaren Bekenntnises zum Recht auf verschlüsselte Kommunikation oder gar einer Verpflichtung von Kommunikationsanbietern zur Verschlüsselung lediglich eine Randnotiz, dass Unternehmen ihre Nutzer auf Möglichkeiten des Selbstschutzes hinweisen sollten. Eine echte Absage an von vermeintlichen Sicherheitspolitikern oft geforderte Crypto-Backdoors sieht anders aus.
AdBlocker, die in Anbetracht von Mal- und Scamvertising ebenfalls Instrumente des digitalen Selbstschutzes sind, sollen zwar nicht verboten werden. Gleichzeitig will die Kommission den Einsatz von AdBlocker-Detektoren, wie sie etwa bei Facebook, Springer und der Süddeutschen eingesetzt werden, nicht verbieten. Firmen könnten Nutzer, die sich mit AdBlockern schützen, also weiterhin von ihren Inhalten ausschließen. Der vzbv fordert deshalb: „Endnutzer sollten das Recht haben, Schutzmaßnahmen gegen unrechtmäßige Angriffe auf Ihre IT-Systeme vorzunehmen. Es sollte verboten sein, IT-Sicherheitsmaßnahmen der Endnutzer zu umgehen oder zu schwächen.“
Vielen Dank für den detaillierten Überblick! Eine Nachfrage: Wie unterscheiden sich die ePrivacy-Richtlinie und die Datenschutzgrundverordnung? Kann letztere ebenfalls durch den Bundestag und die anderen Staatsparlamente interpretiert/verwässert werden?
Gerne, und danke für das Feedback! Also die DSGVO ist bereits beschlossen, aber wird erst ab Mai 2018 wirksam. Sie regelt grundsätzliche Fragen des Datenschutzes. Komplementär dazu soll die ePVO darüber hinaus gehende (strengere) Regeln für den Sektor der elektronischen Kommunikation schaffen. Also dann auch für OTT-Anbieter wie WhatsApp (konkret: Was dürfen die mit den Metadaten ihrer Nutzer unter welchen Bedingungen machen?) oder auch für Browser-Anbieter, die ja selbst eigentlich keine Daten erheben (sollten), die über Do Not Track für den Schutz vor Tracking aber eine zentrale Rolle spielen könnten. Eine der spannendsten Fragen ist dann tatsächlich das Verhältnis der beiden zueinander, etwa wenn die Regeln in Konflikt stehen. Daten- und Verbraucherschützer fordern deshalb, eindeutig klarzustellen, dass die Verbote der ePVO auch dort gelten, wo die DSGVO bestimmte Sachen eigentlich erlauben würde und das dort, wo die ePVO Ausnahmen erlaubt, trotzdem die Regeln der DSGVO gelten.
Was das verwässern angeht: Einerseits nimmt die Bundesregierung natürlich auf die Positionierung des Rates Einfluss, der sich am Ende mit dem EU-Parlament und der EU-Kommission auf ein finales Dokument einigen muss. Andererseits wird es sicher auch in Deutschland ein Umsetzungsgesetz geben, allein schon, weil die Vorgaben der bisher geltenden ePrivacy-Richtlinie größtenteils im deutschen Telemediengesetz umgesetzt sind, das dann entsprechend geändert werden muss.
Echt guter Artikel, habe nicht viel gewusst zu diesem Thema. Ich setze privat schon lange auf Apps wie Threema und Protonmails, da ich meine Daten nicht preisgeben möchte. Allerdings bin ich nach wie vor abhängig von Google. Wie ich da wegkomme, weiss ich bis jetzt noch nicht.
Danke!
E-Mail oder Websuche oder Navigation oder Browser oder Cloud? Alternativen gibt’s für alles, nur nicht so bequem :P
Hallo.
Ganz herzlichen Dank für den Artikel, Ingo!
Er gibt mir weitere Argumente für ein wichtiges Gespräch zu dem Thema, welches ich Ende des Monats mit einem Behördenleiter führen darf.
@LukasJager: Natürlich geht eine Ablösung von Google nicht von Heute auf Morgen. Teilweise muss man bis in die Registry von firefox eingreifen, um vor automatischen ( und damit überraschenden) Datenverbindungen zu Google sicher zu sein. Auch ein Eintrag in die „hosts“-Datei wäre möglich. Doch diese beiden Ansätze sind den „Otto-Normal-Internetnutzern“ bereits zu kompliziert.
Was möglich ist:
* „NoScript“ installieren und damit Javascripte, welche eindeutig von Servern ausserhalb der EU nachgeladen werden, sperren;
* Als Suchmaschine (nutze ich):
a) „Startpage“ ( https://www.startpage.com/deu/#hmb ) Firmensitz: Niederlande;
b) „unbubble“ ( https://www.unbubble.eu/?uil=de-DE&lang=de-DE&cx ) Firmensitz: Deutschland: Ahrensburg;
c) „MetaGer“ ( https://metager.de/ ) Firmensitz: Deutschland: Hannover, Betreiber: „SUMA-EV“;
* Kartenmaterial/ Routenplaner:
a) „OpenStreetmap“ ( https://www.openstreetmap.de/ ) Firmensitz: Deutschland: Kirchzarten;
b) „Driving Directions – GraphHopperMaps“ ( https://graphhopper.com/maps/ ) Firmsitz: Deutschland: München.