Die EU-Kommission hat einen Entwurf für eine ePrivacy-Verordnung erarbeitet. Trotz vereinzelter Schwächen stärkt der Entwurf die Rechte und Interessen der Nutzerinnen und Nutzer elektronischer Kommunikationsdienste. Nun bleibt zu hoffen, dass die positiven Ansätze nicht im Rahmen des Gesetzgebungsverfahrens durch die Mitgliedstaaten zerrieben werden.
Über den Entwurf für eine ePrivacy-Verordnung sprachen wir am Mittwoch auch in unserer Reihe „In digitaler Gesellschaft“ beim Berliner Radiosender FluxFM.
Seit 2002 schützt die sogenannte ePrivacy-Richtlinie die Grundrechte und die Privatsphäre von EU-Einwohnern bei der elektronischen Kommunikation. Zuletzt wurde sie 2009 durch die Cookies-Richtlinie geändert. Seitdem haben sich die Kommunikationsmittel und -kanäle erheblich und nachhaltig gewandelt. Messenger-Dienste, Video-Telefonie, Kurznachrichtendienste oder Photosharing-Apps treten zunehmend an die Stelle des klassischen Telefonanrufs, der E-Mail oder der SMS. Im Internet der Dinge kommunizieren außerdem auch immer mehr Maschinen untereinander.
Höchste Zeit also die ePrivacy-Richtlinie an die veränderten Bedingungen anzupassen und fit für die digitale Gegenwart zu machen. Zu diesem Zweck hatte die EU-Kommission von April bis Juni 2016 eine Konsultation durchgeführt, an der sich neben Datenschutzbehörden und NGOs auch Unternehmen und Handelsverbände beteiligten. Am vergangenen Montag Abend schließlich hat das Online-Magazin Politico.eu einen ersten Entwurf der Kommission für das lang erwartete Update geleakt.
Obwohl insbesondere die Online-Wirtschaft sich in der Konsultation vehement gegen eine Regulierung aussprach, ist der Entwurf trotz vereinzelter Schwächen insgesamt vergleichweise grundrechts- und verbraucherfreundlich ausgefallen.
Verordnung mit Ausnahmen: Abstriche bei der Harmonisierungswirkung
Erfreulich ist bereits die Entscheidung der Kommission, die Rechte der EU-Bevölkerung bei der elektronischen Kommunikation künftig nicht mehr durch eine Richtlinie, sondern im Wege einer Verordnung zu schützen. Im Gegensatz zu einer Richtlinie bedarf eine Verordnung nicht der Umsetzung in nationales Recht, sondern gilt in den Mitgliedstaaten stets unmittelbar. Auf diese Weise wird der Weg hin zu einem europaweit einheitlichen Datenschutzniveau, welcher mit der Datenschutzgrundverordnung eingeschlagen wurde, weiter verfolgt.
Leider weicht die Kommission diesen eigentlich begrüßenswerten Ansatz zu einem guten Teil auch gleich wieder auf, indem sie die Verordnung mit weitreichenden Ausnahmen und Öffnungsklauseln versieht. Strafverfolgungs- und Gefahrenabwehrbehörden etwa sind vom Anwendungsbereich der Verordnung pauschal ausgenommen. Außerdem erhalten die EU-Mitgliedstaaten ausdrücklich die Möglichkeit, bei allen wesentlichen Betroffenenrechten abweichende Regelungen zu treffen, um „die nationale Sicherheit, die Verteidigung, die öffentliche Sicherheit und die Verhinderung, Aufklärung, Entdeckung oder Verfolgung von Straftaten oder der Vollstreckung von Strafsanktionen oder der unauthorisierten Nutzung elektronischer Kommunikationssysteme zu gewährleisten“. Damit spielt die Kommission Überwachungshardlinern wie Bundesinnenminister Thomas de Maizière in die Hände. Der machte bereits im vergangenen August seine Pläne öffentlich, künftig sämtliche elektronischen Kommunikationsdienste der Vorratsdatenspeicherung zu unterwerfen.
Abgesehen davon bergen derart weit gefasst Öffnungsklauseln stets die Gefahr, dass das Datenschutzniveau im Ergebnis weiter abgesenkt statt erhöht wird. Eindrucksvoll ließ sich dies etwa an dem Ende November veröffentlichten Referentenentwurf des Bundesinnenministeriums (BMI) zur Anpassung des deutschen Datenschutzrechts an die Datenschutzgrundverordnung ablesen. Dort wurden die europarechtlichen Öffnungsklauseln dazu genutzt, die Datenschutzregeln sogar hinter den Stand des geltenden Rechts zurückzudrehen. Dem Ziel eines europaweit einheitlichen Grundrechtschutzes wird mit solchen Abweichungsoptionen also tendenziell ein Bärendienst erwiesen.
Geltungsbereich: Alle in der EU verfügbaren Dienste, alle Daten
Abgesehen davon sind Geltungsbereich und Reichweite der Verordnung nicht zu beanstanden: Sie soll für die Verarbeitung sowohl von Inhalts- als auch von Metadaten durch jegliche elektronischen Kommunikationsdienste gelten, die in der EU verfügbar sind. Dabei ist es gleichgültig, ob die Datenverarbeitung innerhalb oder außerhalb der Union stattfindet.
Das Territorialprinzip, das der EuGH in seiner Entscheidung zum „Recht auf Vergessenwerden“ begründete und das nun auch in der Datenschutzgrundverordnung festgeschrieben ist, wird hier also noch einmal und sogar in besonders scharfer Form konstituiert: Wer in der EU Kommunikationsdienste anbietet, die anfallenden Daten aber außerhalb der EU verarbeitet, muss sich an die Regeln der geplanten ePrivacy-Verordnung halten. Außerdem muss ein solches Unternehmen in mindestens einem EU-Mitgliedstaat, in dem der Dienst verfügbar ist, schriftlich einen konkreten Verantwortlichen benennen. Diese Person muss den Aufsichtsbehörden, Gerichten sowie Endnutzerinnen und Endnutzern zu allen Fragen im Zusammenhang mit der Datenverarbeitung Rede und Antwort stehen können.
Verarbeitung von Metadaten: Viel Licht und etwas Schatten
Einige erfreuliche Neuerungen sieht der Entwurf auch bei den eigentlichen Regeln für die Verarbeitung von Kommunikationsdaten vor. So soll es grundsätzlich verboten werden, in Kommunikationsvorgänge einzugreifen oder Daten aus solchen Vorgängen zu verarbeiten. Abweichungen von diesem Grundsatz sind nur erlaubt, soweit sie in der Verordnung ausdrücklich vorgesehen sind. Während das Verbot für die Inhalte elektronischer Kommunikation unbeschränkt gilt, sind für Metadaten, also Informationen über den Kommunikationsvorgang selbst wie zum Beispiel Ort, Zeit, Dauer, Teilnehmer, Telefonnummer und IP-Adresse, verschiedene Ausnahmen vorgesehen.
Metadaten dürfen danach nur verarbeitet werden, um die Qualitätsanforderungen einzelner Dienste oder die Sicherheit von Netzwerken und Kommunikationsdiensten zu gewährleisten. Zulässig ist die Verarbeitung des Weiteren auch für Notfalldienste oder schlicht dann, wenn Endnutzerinnen und Endnutzer eingewilligt haben. Soweit keine dieser Ausnahmen greift, müssen die Metadaten außerdem unmittelbar nach dem Ende eines Kommunikationsvorgangs gelöscht oder zumindest anonymisiert werden. Speziell für Rechnungszwecke dürfen die Daten darüber hinaus auch so lange aufbewahrt werden, wie noch eine Rechnung gestellt oder durchgesetzt werden kann – also bis zum Ablauf der Verjährung der Zahlungsansprüche beziehungsweise der Vollstreckungstitel.
Zwar werden auch durch diese Ausnahmen die grundsätzlich strikten Regeln zum Umgang mit Metadaten in gewisser Weise aufgeweicht; angesichts der bisherigen Praxis vieler Kommunikationsdienste, solche Daten auch weit über die Abrechnungszeiträume hinaus zu bevorraten, stellt insbesondere die diesbezügliche Regelung jedoch durchaus einen Fortschritt dar.
Endlich: Privacy by design wird Gesetz
Privacy by design soll zwingende Vorgabe für sämtliche am Markt verfügbaren Endgeräte und Browser werden. Laut Entwurf müssen alle Hardwarekomponenten ab Werk so konfiguriert sein, dass Dritte davon abgehalten werden, Informationen über die Hardware zu speichern, darauf gespeicherte Informationen zu verarbeiten oder die Verarbeitungskapazitäten der Geräte zu nutzen. Softwarekomponenten wie etwa Browser wiederum müssen so voreingestellt sein, dass sie es Dritten nicht erlauben, Informationen auf den Endgeräten zu speichern oder dort gespeicherte Informationen zu verarbeiten. Mit dieser Vorgabe leistet der Entwurf einen wesentlichen Beitrag zur Verbesserung des Datenschutzes und der Privatsphäre, zumal Ausnahmen oder Abweichungen von dieser Anforderung nicht vorgesehen sind.
Der Verordnungsentwurf verbietet es unbefugten Dritten außerdem, Informationen über fremde Endgeräte oder Software zu sammeln oder deren Rechen- und Speicherkapazitäten auszunutzen. Damit werden etwa der Betrieb von Botnetzen oder die Anwendung invasiver Tracking-Praktiken wie Browser-Fingerprinting pauschal untersagt. Bislang waren diese Techniken zumindest in Deutschland nicht zwingend illegal. Das war nur dann der Fall, wenn die betroffenen Endnutzerinnen und Endnutzer spezifische Vorkehrungen gegen derartige Fremdzugriffe getroffen hatten. Neben einigen aus Praktikabilitätsgründen durchaus sinnvollen Ausnahmen von dem Verbot regelt der Entwurf allerdings auch, dass Daten über die Endgeräte jedenfalls dann gesammelt werden dürfen, wenn Endnutzerinnen und Endnutzer zunächst klar und deutlich auf die Datenerhebung hingewiesen worden sind. Ihrer ausdrücklichen Einwilligung bedarf es dann nicht mehr. Die Daten dürfen außerdem im Direktmarketing und zu Profilingzwecken verwendet werden. Den Betroffenen steht in diesem Fall nur ein Widerspruchsrecht nach der Datenschutzgrundverordnung zu.
Diese Aussicht wiederum ist gerade in Deutschland wenig tröstlich. Das BMI möchte nämlich genau dieses Widerspruchsrecht, noch dazu ausgerechnet im Hinblick auf Profiling, beseitigen. Dies geht aus einem kürzlich veröffentlichten Referentenentwurf des BMI zur Anpassung des deutschen Datenschutzrechts an die Datenschutzgrundverordnung hervor. Dringt das BMI mit seinen Plänen durch, so würde das bedeuten, dass die ePrivacy-Verordnung auf ein Widerspruchsrecht in der Datenschutzgrundverordnung verweist, welches wiederum für Betroffene in Deutschland nicht verfügbar ist. An dieser Stelle wird einmal mehr deutlich, wie das Ziel, das Datenschutzniveau in Europa flächendeckend zu verbessern, durch Öffnungsklauseln für nationale Sonderwege schnell ausgehebelt und ins Gegenteil verkehrt werden kann. Es wäre daher wünschenswert, dass die ePrivacy-Verordnung an dieser Stelle eine eigene Regelung zum Widerspruchsrecht ohne Hintertüren für abweichende Regelungen der Mitgliedstaaten vorsehen würde, statt auf die Datenschutzgrundverordnung zu verweisen.
Telefonische Kommunikation: Mehr Souveränität für Endnutzerinnen und Endnutzer
Speziell für die „nummernbasierte interpersonale Kommunikation“, also Telefongespräche, verankert der Entwurf einige wichtige Kontrollrechte für Endnutzerinnen und Endnutzer. Anrufende und Angerufene können danach verlangen, dass ihre Rufnummern kostenlos verborgen werden. Ausnahmen bestehen bei Notfalldiensten und abweichenden Regelungen durch die Mitgliedstaaten. Außerdem müssen sie die Möglichkeit haben, Anrufe von bestimmten Nummern zu blocken und automatische Anrufweiterleitungen durch Dritte effektiv zu beenden. Bevor ihre Kontaktdaten in öffentliche, durchsuchbare Telefonbücher aufgenommen werden, müssen Endnutzerinnen und Endnutzer informiert und ihre ausdrückliche Einwilligung eingeholt werden.
Auch telefonisches Direktmarketing darf nur mit vorheriger Einwilligung der Betroffenen stattfinden. Dabei muss die Identität des Anschlusses, von dem aus der Kontakt aufgenommen wurde, erkennbar sein. Außerdem muss kenntlich gemacht werden, dass es sich um einen Direktmarketing-Anruf handelt. Leider erlaubt der Entwurf den Mitgliedstaaten an dieser Stelle Abweichungen zuungunsten der Betroffenen. So können nationale Regelungen vorsehen, dass Sprachanrufe nur bei Personen zulässig sind, die nicht ausdrücklich widersprochen haben. Statt des eigentlich vorgesehenen Opt-In-Modells können die Mitgliedstaaten sich hier also auch für eine Opt-Out-Lösung entscheiden.
Kein zahnloser Papiertiger: Diensteanbieter in der Pflicht
Der Entwurf der ePrivacy-Verordnung ist jedoch weit davon entfernt, ein bloßer zahnloser Papiertiger zu sein. So belässt er es nicht dabei, die Anbieter von Kommunikationsdiensten dazu zu verpflichten, Nutzerinnen und Nutzer über Risiken für die Sicherheit der Netzwerke und der Dienste zu informieren und, soweit das Risiko außerhalb ihres Einflussbereiches liegt, auf Abhilfemöglichkeiten sowie die dafür voraussichtlich anfallenden Kosten hinzuweisen. Vielmehr sieht er zur Durchsetzung von Betroffenenrechten und Anbieterpflichten ein umfangreiches rechtliches Instrumentarium vor.
Für Verstöße gegen die Vorgaben der Verordnung können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes eines Unternehmens verhängen. Diensteanbieter haften außerdem für alle materiellen und immateriellen Schäden, die Endnutzerinnen und Endnutzer durch die Verletzung der Verordnung erleiden, es sei denn, der Anbieter kann beweisen, dass er in keiner Weise für die Schäden verantwortlich ist.
Doch damit nicht genug: Gegen Verletzungen ihrer Rechte können Endnutzerinnen und Endnutzer Beschwerde bei den Aufsichtsbehörden einlegen. Gegen rechtlich bindende Entscheidungen der Behörden steht ihnen außerdem effektiver Rechtsschutz zu. Auch Dritte, die durch Verletzungen der Verordnung betroffen sind und ein berechtigtes Interesse daran haben, dass die Verletzung beendet oder verboten wird, können Rechtsmittel einlegen. Außerdem sieht der Entwurf vor, dass Endnutzerinnen und Endnutzer die Verteidigung ihrer Rechte nicht selbst in die Hand nehmen müssen, sondern eine gemeinnützige Organisation, die sich für den Datenschutz einsetzt, damit beauftragen können, in ihrem Namen Beschwerde einzulegen, Klage zu erheben oder Schadensersatz zu verlangen. Schließlich stellt es der Entwurf den Mitgliedstaaten auch noch frei, solchen Organisationen zu erlauben, unabhängig von Beauftragung durch Endnutzer Rechtsmittel gegen Verstöße einzulegen.
Fazit: Gute Ansätze verteidigen und ausbauen
Der Entwurf einer ePrivacy-Verordnung enthält viele gute Ansätze, die es im weiteren Gesetzgebungsverfahren gegen die erwartbaren Widerstände insbesondere von Seiten der Mitgliedstaaten zu verteidigen und auszubauen gilt. Gelingt dies, so wäre ein wichtiger Beitrag geleistet, um das Vertrauen in elektronische Kommunikationsdienste zu stärken. Dies würde nicht nur dem Schutz der Grundrechte und der Verbraucherinteressen dienen, sondern zugleich einheitliche Marktbedingungen für europäische und nicht-europäische Kommunikationsanbieter herstellen.