E-Privacy:

Heftige Kritik an EU-Verordnung

Wenn der Entwurf der E-Privacy-Verordnung so umgesetzt wird, wie jetzt von der EU-Kommission vorgeschlagen, dann dürften die Änderungen im Webbrowser jedes Internetnutzers zu bemerken sein und fast alle im Netz aktiven Unternehmen müssten Anpassungen vornehmen. Unter anderem enthält der Entwurf neue Regeln für die Zustimmung zu Cookies und zur Nutzung von Metadaten bei Kommunikationsverbindungen. Der EU-Kommissionvizepräsident Frans Timmermans, der für den digitalen Binnenmarkt zuständige Vizepräsident Andrus Ansip und die Kommissarin für Justiz, Verbraucher und Gleichstellung, Věra Jourová, stellten den Entwurf am 10. Januar in Brüssel vor.

; CC by Flickr User g4ll4is
Eine neue EU ePrivacy Verordnung soll die in die Jahre gekommenen gleichnamige Richtlinie ersetzen; CC by Flickr User g4ll4is

Der Vorschlag für eine Verordnung „on privacy and electronic communications“ soll jetzt in den Trilog gehen. Die Kommission appellierte an das Parlament und den Rat, die Arbeiten daran „zügig abzuschließen. Nach ihren Vorstellungen soll die E-Privacy-Verordnung zusammen mit der Datenschutzgrundverordnung am 25. Mai 2018 in Kraft treten. Bevor es dazu kommt werden verschiedene Branchen und auch die Verbraucherverbände aber versuchen, bei einer ganzen Reihe von Vorschriften noch Änderungen zu erreichen. Das lässt sich aus den ersten Stellungnahmen der Verbände bereits erkennen.

Auf noch vergleichsweise wenig Widerstand dürfte die Vorschrift stoßen, dass die Verordnung auch für „neue Unternehmen“ gilt, die elektronische Kommunikationsdienste anbieten. Die EU-Kommission nennt als Beispiele WhatsApp, Facebook, Messenger, Skype, Gmail, iMessage und Viber. Die bisher geltende e-Datenschutz-Richtlinie galt nur für herkömmliche Telekommunikationsanbieter. Die hatten schon lange gefordert, dass ihre Konkurrenz beim Messaging genauso reguliert wird wie sie.

Auch der Verbraucherzentrale Bundesverband (vzbv) begrüßte die Gleichbehandlung. Der Kern des Konflikts um den Entwurf liegt in der Frage, welche Daten Unternehmen künftig ohne Zustimmung des Nutzers verarbeiten dürfen. EU-Kommissar Ansip nannte den Entwurf „einen gesunden Mittelweg zwischen einem hohen Verbraucherschutzniveau und Innovationsmöglichkeiten für Unternehmen.“ Der Bundesverband Digitale Wirtschaft (BVDW) warnte dagegen vor „einer fundamentalen Gefährdung der heutigen Informationsgesellschaft.“ Eine Einwilligungspflicht in beinahe jede Form der Datenverarbeitung im Internet entziehe zahlreichen Geschäftsmodellen der Digitalen Wirtschaft die Grundlage und gefährde die Grundfeste der digitalen Gesellschaft.

Beispiel Cookies: Die Kommission lobt ihren Vorschlag, nachdem Nutzer in den Browsereinstellungen ihre Entscheidung zum Akzeptieren von Cookies treffen. Umfassende Transparenz ermögliche es ihnen, frei zu wählen, wie stark sie ihre Privatsphäre schützen möchten. „Dies entspricht dem Schutz der Privatsphäre als ‚Grundeinstellung‘ (,Privacy by design‘) und wird übermäßigen Zustimmungsanfragen, die Internetbenutzer beantworten müssen, ein Ende setzen.

Gleichzeitig wird das Surfen im Internet angenehmer, weil Cookies die der problemlosen Nutzung einer Webseite dienen, nicht mehr der Einwilligung bedürfen“, heißt es in den Fragen und Antworten der Kommission zum Entwurf. Entfallen kann die Einwilligung z.B. bei Cookies, „die den Inhalt des Warenkorbs für den späteren Abruf speichern, das Ausfüllen von Online- Formularen über mehrere Seiten hinweg ermöglichen oder die Anmeldedaten für die aktuelle Sitzung speichern. Auch für Cookies, die von einer besuchten Webseite gespeichert werden, um die Zahl ihrer Besucher zu ermitteln, wird keine Einwilligung mehr nötig sein.“

Der BVDW weist dagegen darauf hin, dass dem Entwurf zufolge „etwa Third-Party-Cookies in den allermeisten Fällen nicht mehr ohne explizite Einwilligung eingesetzt werden dürfen.“ Darauf basierende Technologien dienten beispielsweise der Reichweitenmessung oder der Besuchsanalyse von Webseiten oder als Grundlage für die Ausspielung digitaler Werbung, durch die die Mehrzahl der kostenfrei zugänglichen Inhalte und Services im Internet finanziert werde.

Konflikt mit Vorratsdatenspeicherung

Die EU-Kommission setzt in ihrem Entwurf bei mehreren Themen stark auf die Einwilligung der Nutzer: Ohne Zustimmung der Kunden sollen zum Beispiel Metadaten von Kommunikationsverbindungen von den Anbietern gelöscht oder anonymisiert werden – außer, wenn sie für Abrechnungszwecke benötigt werden. Auf den möglichen Konflikt mit den nationalen Regelungen zur Vorratsdatenspeicherung geht die EU-Kommission in ihrem Frage-und-Antwort-Papier ein.

Sie verweist einerseits darauf, dass es den Mitgliedsstaaten frei stehe, die Vertraulichkeit der Kommunikation der Bürger zu beschränken, „um ein oder mehrere der in Artikel 23 Absatz 1 Buchstaben a bis e der Datenschutz-Grundverordnung genannten allgemeinen öffentlichen Interessen zu schützen“. Dies gelte insbesondere für Gründe der nationalen Sicherheit. Andererseits müssten die Beschränkungen mit dem Wesen der Grundrechte im Einklang stehen und gemäß der Eu-GH-Rechtsprechung – wie zuletzt im Urteil vom 21.12.2016 – festgehalten, „erforderlich geeignet und verhältnismäßig sein“.

E-Privacy-Richtlinie und Datenschutzgrundverordnung

Wenn ein Nutzer der Verarbeitung von Kommunikationsdaten aber zustimme, dann sollen „herkömmliche Telekommunikationsbetreiber“ künftig mehr Möglichkeiten haben, die Daten zu nutzen und zusätzliche Dienste anzubieten. Als Beispiel werden „Heatmaps“ genannt, aus denen hervorgehe, wo sich bestimmte Personen befinden. Diese könnten Behörden und Transportunternehmen bei der Planung helfen. Der Bitkom ist dagegen skeptisch, dass diese Regelung neue Anwendungen und Geschäftsmodelle ermöglicht. In vielen Fällen mache die geforderte Einwilligung der Nutzer eine Datenverarbeitung komplizierter oder nahezu unmöglich.

Der Bitkom kritisiert zudem, dass das Verhältnis zwischen den Regelungen der E-Privacy-Verordnung und der DSGVO unklar sei. So fänden sich im Entwurf der E-Privacy-Verordnung eigene Vorgaben zu den Einwilligungen. Nach der DSGVO reiche dagegen in vielen Fällen ein berechtigtes Interesse der Anbieter für die Datenverarbeitung aus. Auch der eco–Verband der Internetwirtschaft merkt an, dass die DSGVO ein hohes Maß zum Schutz der persönlichen Daten der Nutzer garantiere: „Der vorliegende Entwurf zur E-Privacy-Verordnung wirft in Bezug auf Definitionen neue Fragen auf, die bei der Realisierung einer einheitlichen Regulierung der Internetwirtschaft nicht hilfreich sind.“

Die EU-Kommission erklärt die Abgrenzung zwischen beiden Verordnungen so: Die DSGVO sei nur auf die Verarbeitung persönlicher Daten von Einzelpersonen anwendbar. „Von der Verordnung wird weder die Kommunikation zwischen Unternehmen noch die Kommunikation zwischen Einzelpersonen erfasst, soweit sie keine personenbezogenen Daten enthält.“

Bürger und Unternehmen würden durch die neue Verordnung einen konkreten Schutz und bestimmte Rechte erhalten, die in der DSGVO nicht vorgesehen seien. „So wird beispielsweise die Vertraulichkeit und Integrität der Endgeräte der Nutzer (Laptop, Smartphone, Tablet usw.) gewährleistet, da auf ‚intelligente‘ Geräte nur nach vorheriger Zustimmung des Nutzers zugegriffen werden darf.“

Keine Regelungen zur Verschlüsselung

Zum Thema Verschlüsselung enthält der Entwurf keine Regelungen. In ihren Erläuterungen verweist die Kommission darauf, dass alle Betreiber elektronischer Kommunikationsdienste angemessene Sicherheitsvorkehrungen treffen müssten. Die DSGVO nenne Verschlüsselung explizit als angemessene technische und organisatorische Maßnahme: „Die vorgeschlagene Verordnung über die Privatsphäre sieht außerdem vor, dass Betreiber die Endnutzer über Maßnahmen informieren müssen, die diese treffen können, um ihre Kommunikation zu schützen, und nennt Verschlüsselung als Beispiel für solche Maßnahmen.“

Weitere Mitteilungen zur Netzpolitik

Zusammen mit dem Entwurf der E-Privacy-Verordnung hat die EU-Kommission weitere Papiere zur Netzpolitik veröffentlicht: Unter anderem einen Aktionsplan „Eine europäische Datenwirtschaft schaffen“. Dazu leitete sie zwei öffentliche Konsultationen ein und nahm Gespräche mit den Mitgliedstaaten und Interessenträgern auf, um die nächsten Schritte zu konkretisieren. Mit einer Mitteilung zum „Austausch und Schutz personenbezogener Daten in einer globalisierten Welt“ will die Kommission den freien Fluss personenbezogener Daten in Länder mit im Wesentlichen gleichwertigen Datenschutzvorschriften wie die EU ermöglichen. Gedacht ist dabei an wichtige Handelspartner in Ost- und Südost-Asien, aber auch an interessierte Länder in Lateinamerika und die Nachbarländer der EU. Die Gespräche mit Japan und Korea sollen noch im Jahr 2017 beginnen.

Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Sascha Klettke ist Chef vom Dienst und Analyst für Netzpolitik.

Kommentieren Sie den Artikel