„Wenn ich meinen Freund.innen ein Geheimnis anvertraue, überlege ich mir das gut. Aber warum mache ich mir diese Gedanken bei meiner elektronischen Kommunikation nicht? Werden meine Daten via Chats, Messenger oder E-Mail tatsächlich vertraulich behandelt oder werden sie unbemerkt abgegriffen?“, fragte sich unsere Praktikantin Lisa. Die ePrivacy-Verordnung soll genau das ab Mai 2018 regeln, und deswegen hat sich Lisa einen Überblick verschafft.

Inhalt:

Während meiner Recherche habe ich festgestellt, dass die Mehrzahl der Deutschen, wie auch ich, von der klassischen SMS auf Chat-Dienste für das Versenden von Kurznachrichten umgestiegen ist. Dass unsere Nachrichten damit automatisch keinerlei Vertraulichkeit unterliegen, ist den meisten vermutlich kaum bewusst. Auch wenn wir als Kund.innen beim Gang in den Supermarkt fast unbemerkt getrackt werden – es gibt keinen ausreichenden rechtlichen Schutz der Privatsphäre. (Digitalcourage berichtete im September 2017 über Tracking im Einzelhandel). Und habe ich einmalig nach einem bestimmten Produkt im Internet gesucht und es womöglich gar gekauft, erhalten wir anschließend für Wochen Werbung für eben dieses Produkt. Das nervt mich, und während meines Erasmusaufenthalts in den Niederlanden musste ich feststellen: Die gesetzlichen Regelungen zum Schutz unserer Privatsphäre und Daten in der elektronischen Kommunikation sind von EU-Land zu EU-Land unterschiedlich. Eine EU-weit einheitliche Regulierung ist dringend notwendig! Leisten soll das die ePrivacy-Verordnung der EU, die am 25. Mai 2018 in Kraft treten soll.


Die neue ePrivacy-Verordnung: Was ist das eigentlich?

Bereits im Jahr 2002 hatte die EU die sogenannte ePrivacy-Richtlinie, die den Schutz von personenbezogenen Daten und der Privatsphäre in der elektronischen Kommunikation regelt, verabschiedet. Die letzte Aktualisierung fand 2009 statt. Deshalb erkannte die EU im Zuge ihrer Datenschutzreform, dass es nötig ist, elektronische Kommunikation zu regulieren – und zwar so, dass auch Technologien, die noch nicht erfunden sind, abgedeckt werden und die gleichen Bedingungen in allen Mitgliedsstaaten gelten. Im Gegensatz zu einer Richtlinie ist die Verordnung umgehend in allen Mitgliedsstaaten bindend und muss nicht erst in nationales Recht umgesetzt werden. Damit schafft sie die legale Grundlage von (aktuell noch) 28 Ländern. Das Tauziehen von Digitalwirtschaft und Datenschützer.innen um Rechte und Pflichten ist groß. So wurde auch der im Januar 2017 veröffentlichte Gesetzesentwurf der EU-Kommission deutlich abgespeckt. Forderte beispielsweise die geleakte Version vom Dezember 2016 noch „Privacy by Design“ (= Datenschutz durch Technik), ist dieser Abschnitt aus der jetzigen Version gestrichen. Wir berichteten zum Kommissionsentwurf bereits. Aktuell befinden sich nun das Europäische Parlament und der Europäische Rat in der Beratungsphase.


Was geht mich das an?

Konstruieren wir mal folgendes Beispiel: Via Facebook-Chat verabrede ich mich mit einer Freundin zum Essengehen. Anschließend öffne ich meinen Facebook Newsfeed und werde von Restaurant-Empfehlungen in meiner Umgebung überflutet. Zufall? Wohl kaum, denn die Nachricht an meine Freundin wurde nicht vertraulich behandelt und die enthaltende Informationen zu Werbezwecken genutzt. Für 100%-igen Schutz gibt es momentan nur wenige Alternativen: Zurück zur Kommunikation ausschließlich via der klassischen Telekommunikationsdienste (SMS, Telefonie, etc.) oder nur die beschränkte Weitergabe von Informationen via Over-The-Top-Dienste (OTT-Dienste), wie Chat-Dienste, Instant Messenger, Internettelefonie oder webbasierte E-Mails. Da die Verarbeitung und Speicherung von Daten durch die OTT-Dienste nicht ausreichend geregelt ist, stellen sich viele Fragen: Wer darf wann, unter welchen Bedingungen, wie lange und auf welche Daten zugreifen, diese verarbeiten oder womöglich gar speichern? Wer hat denn überhaupt und warum ein Interesse an meinen Daten? Das zeigt: Vertraulichkeit von Kommunikation ist komplex, und ausreichend spezifische, gesetzliche Regelungen müssen klare Gegebenheiten schaffen. Denn nur, wenn der Schutz unserer Kommunikation und Privatsphäre durchgesetzt wird, kommunizieren wir, ohne den Inhalt unserer Nachrichten zu zensieren. Das garantiert unser Recht auf Meinungs- und Kommunikationsfreiheit. Die ePrivacy-Verordnung soll nun E-Mail, WhatsApp, Cookies & Co., Verschlüsselung, Vorgaben für Browser und Software regulieren und die Datenschutzgrundverordnung (DSGVO) so um spezifische Regeln zur elektronischen Kommunikation ergänzen. Die Verordnung soll eine verlässliche Basis für Unternehmen, Kommunikationsanbieter und Nutzer.innen schaffen. Und unser Beispiel wird zeigen: Die Vertraulichkeit unser Kommunikation geht uns alle an!


Werden Telefonie und Facebook-Chat gleichgestellt?

Meine Verabredung via Chat war offensichtlich nicht vertraulich. Hätte ich meine Freundin angerufen, wäre sie das gewesen. Dass Instant-Messenger, Chat-Dienste und Internettelefonie einer geringeren Vertraulichkeit unterliegen als die klassischen Telekommunikationskanäle wie SMS und Telefonie, ist für uns Nutzer.innen aber kaum ersichtlich. Die geringere Vertraulichkeit der OTT-Dienste ist der überholten ePrivacy-Richtlinie geschuldet. Kommunikationsdienste, die nicht auf einer eigenen Infrastruktur basieren, werden schlichtweg nicht erfasst. Die Verordnung muss nun die Anforderungen an die klassischen Telekommunikationsanbieter etwas absenken und die an die OTT-Dienste bemerkbar anheben. Der aktuelle Entwurf der Kommission sieht vor, die Anforderungen an die klassischen Telekommunikationsanbieter abzusenken und die an die OTT-Dienste etwas anzuheben. Die Kommunikation via dieser Dienste wäre etwas besser geschützt und für die Nutzer.innen überschaubarer. Weiter sieht der jetzige Kommissionsentwurf auch vor, dass Dienste wie Facebook-Chat, der Chat des Amazon-Kundenservice und der Voice-Chat eines Computerspiels unter die gleichen Anforderungen fallen. Diese Änderungen sind notwendig, damit sich die Nutzer.innen nicht im Inhalt ihrer Nachrichten einschränken.

Großer Knackpunkt: Die Digitalwirtschaft lobbyiert für eine erhebliche Absenkung der Anforderungen an die klassische Telekommunikationsdienste und nur leicht angehobene Bedingungen für die OTT-Dienste. Die EU und Datenschützer.innen müssen an ihrem ursprünglichen Vorhaben festhalten. Die ePrivacy-Verordnung ist erst dann erfolgreich, wenn die Nutzer.innen die Weitergabe ihrer Daten an Dritte nicht mehr nur zu befürchten haben, sondern dies ohne vorherige Einwilligung tatsächlich auch nicht stattfindet.


Aufgeweichter Schutz, wenn das Unternehmen im Ausland sitzt?

Was ist, wenn sich der Firmensitz meines Chatanbieters nun außerhalb der EU befindet? Gelten die gleichen Regeln wie für europäische Unternehmen und sind meine Daten dann noch geschützt? So richten sich zwar die Dienste von Facebook, WhatsApp, Snapchat & Co. auch an europäische Verbraucher.innen, doch ihre Sitze reichen von den USA bis hin zu den Seychellen. Damit ist klar: Nur die Anforderungen an die OTT-Dienste an die Regulierungen der klassischen Telekommunikationsdienste anzupassen, genügt nicht. Wie die DSGVO, soll auch die ePrivacy-Verordung dem Marktortprinzip (siehe Wikipedia) unterliegen. Sobald sich das Angebot an Verbraucher.innen in Europa richtet, muss sich das Unternehmen auch an europäische Gesetze halten: Beispielsweise, wenn aus der Sprache des Angebots (z.B. die Einstellungsmöglichkeit: Deutsch) ersichtlich ist, dass es sich an europäische Verbraucher.innen richtet. Damit wird die ePrivacy-Verordnung die gleichen Wettbewerbschancen für inner- und außereuropäische Unternehmen schaffen, denn laut dieser Studie bevorzugen die Verbraucher.innen bei gleichen Kosten das privatphärefreundlichere Produkt.


Cookie-Banner adé?

Zurück zu unserem Beispiel: Die Verabredung mit meiner Freundin rückt näher und wir wollen einen Tisch im italienischen Restaurant reservieren. Um dort anzurufen, rufe ich die Website des Restaurants auf. Bevor ich zur Rufnummer komme, poppt schon das erste Cookie-Banner auf. Mit meiner „Einwilligung“ weiß ich, dass ein Cookie angelegt wird und mein Surfverhalten ab sofort aufgezeichnet werden könnte und effektiv widersprechen kann ich auch nicht. Zu welchem Zweck, was genau und wie lange meine Daten gespeichert werden? Darauf liefert das Banner keine Antwort. Dass ich in den nächsten Wochen Werbung für dieses Restaurant und italienische Küche erhalten werde, ist mir wiederum klar. Die ePrivacy-Verordnung soll zu jeglicher Art von Tracking, wie Cookies, Device Fingerprinting, Browser Fingerprinting etc., klare Regulierungen schaffen. Die ePrivacy-Verordnung sollte hier vorschreiben, dass explizite Einwilligungen bei den Nutzer.innen eingeholt werden müssen, sobald die Daten nicht nur zur Übermittlung der Kommunikation oder zur Erbringung eines Dienstes benötigt werden. Nach aktuellem Stand ist aber lediglich die Einholung einer Generaleinstellung bei der Installation vorgesehen. So müssen beispielsweise bei der Installation eines Webbrowsers die Nutzer.innen entscheiden, ob sie Cookies (First- und/oder Third-Party-Cookies) generell aktivieren oder deaktivieren möchten. Das Einbringen von zusätzlichen Einwilligungen, unabhängig von der Softwareinstellung des Browsers, sollte daher den Unternehmen klar untersagt sein. Der jetzige Entwurf sieht zudem vor, die Nutzer.innen alle sechs Monate an die Möglichkeit zu erinnern, ihre Einwilligung zurück ziehen zu können. Damit heißt es augenscheinlich zwar: Cookie-Banner, adé! Aber Cookies wird es weiterhin geben. Wie kann Tracking durch gesetzliche Regelungen generell minimiert werden? Wie verhält es sich mit vorinstallierten Browsern und Anwendungen auf Geräten und was ist mit Browsern und Anwendungen, die vor der ePrivacy-Verordnung installiert wurden? Ein guter Vorschlag kommt hierzu von der Verhandlungsführerin des EU-Parlaments Marju Lauristin und tritt dabei einer starken Gegenallianz entgegen. Lauristin fordert Do-not-Track-Mechanismen als verbindliche Voreinstellungen. Diese Mechanismen signalisieren einer Website oder Webanwendung, dass die Nutzer.innen das Erstellen eines Nutzungsprofils über ihre Aktivitäten ablehnen. Ihre Gegner sind eine Allianz aus Verlegern und Werbewirtschaft. In einem offenen Brief an die EU beklagen die Verleger, darunter auch die Zeit und FAZ, dass sie ihren Leser.innen keine personalisierte Inhalte und Werbung mehr zukommen lassen könnten. Die Option der Verbraucher.innen durch das Ändern ihrer Einstellungen besipielsweise Cookies und damit auch personalsierte Werbung wieder zuzulassen, reicht ihnen nicht aus. Der Ausgang dieses Streitpunkts bleibt weiterhin offen.


Wo sind explizite Einwilligungen, spezifische Regeln zum Offline Tracking und klare Definitionen?

Spinnen wir unser Beispiel noch etwas weiter: Um meiner Freundin eine kleine Freude zu machen, besorge ich kurz vor unserem Treffen ihre Lieblingsschokolade im Supermarkt. Anschließend erhalte ich online die nächsten Wochen sehr viel Werbung für Schokolade. Was hat mein Verhalten dieses Mal verraten? Nicht nur online werden wir getrackt, auch offline werden Daten durch unsere Geräte weitergegeben. Über Bluetooth- und WLAN-Verbindungen unserer Geräte kann der Einzelhandel uns identifizieren, unsere Bewegungen im Geschäft und unsere Aufenthaltsdauer nachverfolgen. Stehen wir vor dem Süßigkeitenregal, kann auch das aufgezeichnet werden. Nach aktuellem Entwurf der Kommission dürfen Inhaltsdaten nur mit Einwilligung der (am Kommunikationsvorgang beteiligten) Nutzer.innen gespeichert und verarbeitet werden. Metadaten dürfen hingegen zur Durchführung der Kommunikation, zur Rechnungsstellung, zur Sicherheit der Kommunikationsnetze und -dienste und mit Einwilligung der Nutzer.innen verarbeitet und gespeichert werden. Da Standort- und Verbindungsdaten von der Kommission aber nicht unter Metadaten kategorisiert werden, ist die jetzige Definition mehr als unzureichend und beispielsweise das Tracking im Supermarkt weiterhin nicht spezifisch genug reguliert. Zudem zeigte ein Selbsttest eines niederländischen Bürgerrechtsaktivisten, dass allein durch die Speicherung und Verarbeitung von Metadaten ein sehr detailliertes Persönlichkeitsprofil (Wohnort, Arbeitsstelle, Hobbies, Partnerin usw.) erstellt werden kann. Marju Lauristin wagte auch hierzu einen datenschutzfreundlicheren Vorstoß. Doch um einen wirklichen Schutz der Privatsphäre zu leisten, sollten die Nutzer.innen zusätzlich vor der Speicherung und Auswertung von allen Metadaten explizit um Einwilligung gefragt werden. Das sieht der Kommissionsentwurf bis jetzt nicht vor, würde aber unsere Privatsphäre auch bei alltäglichen Handlungen wie der Recherche im Internet, Shopping oder Nutzung von vernetzten Gegenständen („Internet of Things“) schützen. Haben die Daten ihren Zweck erfüllt, sieht der Entwurf eine Löschung oder Anonymisierung vor. Wie genau das aussehen soll, ist auch hier nicht klar. Die wirksame Anonymisierung von Kommunikationsmetadaten ist technisch äußerst anspruchsvoll. Das Konzept der Datenminimierung sollte daher in der ePrivacy-Verordnung verankert sein, um nicht mehr Daten zu erheben, als für den Zweck notwendig sind.


Ist Verschlüsselung eine Lösung?

Finden wir eine Lösung für unser Beispiel: Als ich meiner Freundin von meinen Beobachtungen erzähle, beschließen wir, die geheime Unterhaltungsfunktion des Facebook-Chats zu nutzen. Damit sollen unsere Nachrichten ab sofort verschlüsselt übertragen werden. Haben wir damit eine Garantie auf vertrauliche Kommunikation? Nein, denn aktuell arbeiten europäische Regierungen an Plänen zu staatlichen Hacking-Softwaren, die verschlüsselte und geschützte Kommunikation wieder entschlüsseln sollen. Die deutsche Bundesregierung hat ihr Gesetz zum sogenannten Staatstrojaner bereits verabschiedet. Um die Geräte ihrer Bürger.innen später mit der Spy-Software zu infizieren, werden Sicherheitslücken sogar gezielt offen gelassen. Der jetzige ePrivacy-Entwurf sieht bis jetzt keine Regelung hierzu vor, doch der Berichtsentwurf des EU-Parlaments wagt einen mutigen Vorstoß: Die Provider sollen verpflichtet werden, die elektronischen Kommunikationsdaten ihrer Nutzer.innen vor unerlaubten Zugriff und die Enthüllung durch Verschlüsselungssoftware und -technologie zu schützen. Zudem fordert Berichterstatterin Lauristin ein Verbot, verschlüsselten und geschützten Verkehr durch Hintertüren und Reverse Engineering wieder in Klartext umzuwandeln und zu überwachen. Ausnahmen für etwa innere Sicherheit oder Strafverfolgung sind nicht vorgesehen. Das wäre ein herber Schlag gegen Staatstrojaner & Co. und somit ein riesiger Erfolg für die Privatsphäre.


Neues Gerät – alles gut?

Unser konstruiertes Beispiel zeigt: Tracking und fehlender Schutz meiner Kommunikation und Privatsphäre ist in unserem Alltag allgegenwärtig und sehr nervig, sogar gefährlich. Die ePrivacy-Verordnung hat den Anspruch, das ab Mai 2018 zu ändern und legt nahe, dass neu gekaufte Geräte automatisch datenschutzfreundlich ausgestattet sind. Doch ist das tatsächlich so? Lohnt es sich schon heute, auf das Gerät von morgen zu sparen? Bis jetzt zeichnet sich eine solche Investition als kaum lohnend ab. So war im geleakten Entwurf vom Dezember 2016 noch das Konzept Privacy by Design vorgesehen, schien die Digitalwirtschaft im Januar 2017 einen deutlichen Lobbyerfolg verzeichnet zu haben. Von Privacy by Design war keine Spur mehr im offiziellen Kommissionsentwurf. Durch Privacy by Design wäre Datenschutz bereits in der Technik verankert und Hardware und Software so angelegt, dass die Privatsphäre der Nutzer.innen geschützt wird und sie Kontrolle über die eigenen Informationen haben. Datenschutz sollte keine Ausnahme sein und privätsphärefreundliche Standardeinstellungen (=„Privacy by Default“) der Software ein einzuforderndes Minimum in der ePrivacy-Verordnung. Denn so ändern die meisten Nutzer.innen die Einstellungen erst, nachdem sie sich mit den neuen Funktionen und Oberflächen einer Anwendung, Browser, App, soziales Netzwerk etc. vertraut gemacht haben. Dies ist dann oft zu spät und persönliche Daten und Informationen wurden bereits an Dritte weitergegeben. Nach aktuellem Entwurf müssen die Nutzer.innen bei der Installation der Software lediglich über die Möglichkeiten informiert werden und ihnen die Einwilligung für die Einstellungen abverlangt werden. Auch hier hat die Berichterstatterin des EU-Parlaments Marju Lauristin einen erneuten Anlauf genommen und in ihrem Berichtsentwurf für die Wiederaufnahme von Privacy by Design und Privacy by Default plädiert.


Wer wird meine Rechte in der Zukunft garantieren?

Wie die Datenschutzgrundverordnung, soll auch die ePrivacy-Verordnung bei Rechtsbruch mit Sanktionen ausgestattet werden. Doch im Gegensatz zur DSGVO fehlt der ePrivacy-Verordnung das Verbandsklagerecht. Mit dem Verbandsklagerecht können Verbände und Vereine Klagebefugnis zugesprochen werden, wenn eine Rechtsverletzung vorliegt. Sie vertreten damit das Interesse der Allgemeinheit. Ein konkretes Beispiel wäre eine Beratungsgespräch via Kundenchat: Sollten Kund.innen im Anschluss personalisierte Werbung angezeigt werden, obwohl sie in die Weitergabe ihrer Daten nicht eingewilligt haben, könnte ein Verein für Verbraucherschutz die Firma verklagen. Daneben ist ein klares Ziel der EU, den Gesetzestext der neuen ePrivacy-Verordnung technologieneutral zu formulieren. Die EU spricht hier von future proof und möchte damit vermeiden, dass beim Aufkommen neuer Technologien die ePrivacy-Verordnung bereits wieder veraltet ist. Auch regelmäßige Checks durch ein Gremium sind spätestens alle drei Jahre vorgesehen. Sollten sich dann Teile der Verordnung als überholt rausstellen, soll die Verordnung aktualisiert werden.


Wie geht es mit der ePrivacy-Verordnung jetzt weiter?

„Für eine Einschätzung ist es noch zu früh“, sagt Werner Hülsmann von der Deutschen Vereinigung für Datenschutz. Er ist Experte, wenn es um die neuen Datenschutzregelungen in der EU geht. „Die Änderungsvorschläge des Ministerrates und des LIBE-Ausschusses des EU-Parlaments gehen in verschiedene Richtungen."

Während das EU-Parlament und seine Ausschüsse eher verbraucher- und datenschutzfreundliche Vorschläge äußern, würden einige Vorschläge des Ministerrates den Datenschutz schwächen. Die ePrivacy-Verordnung soll die Vertraulichkeit unser Kommunikation wieder herstellen. Dennoch konnte sich die Bundesregierung in vielen wichtigen Streitpunkten, wie dem Tracking und datenschutzfreundlichen Voreinstellungen, nicht einigen und geht hierzu ohne Positionen in die Verhandlungen des Ministerrates. Zudem lässt der jetzige Kommissionsentwurf bewusst Räume für die Vorratsdatenspeicherung. Digitalcourage berichtete hierzu bereits, dass die Trio-Präsidentschaft aktuell prüft, wie diese Räume genutzt werden können und die Vorratsdatenspeicherung in die ePrivacy-Verordnung festgeschrieben werden kann. Sollte das Trio einen Weg finden, die Vorratsdatenspeicherung, trotz zwei Urteilen des Europäischen Gerichtshofes, in der ePrivacy-Verordnung unterzubringen, würde diese ab Mai 2018 europaweit verbindlich umgesetzt werden. Das wäre ein herber Schlag gegen unsere Grundrechte.


Fazit: Europäische Solidarität und zivilgesellschaftliche Zusammenarbeit ist gefragt

Mit der Digitalwirtschaft haben Daten- und Verbraucherschützer.innen einen starken Gegner im Tauziehen um die ePrivacy-Verordnung. Doch die ePrivacy-Verordnung ist noch in der Beratungs- und Änderungsphase und der Ausgang vieler Streitfragen noch offen. Europäische Daten- und Verbraucherverbände müssen dem Parlament und dem Ministerrat klar machen, was Vertraulichkeit der Kommunikation für die europäischen Verbraucher.innen bedeutet und auch von ihnen gefordert wird. Ein Umfrage des Eurobaromters unter zivilgesellschaftlichen Interessengruppen im Vorfeld der ePrivacy-Verordnung bestätigte das. Auch wir EU-Bürger.innen können mit EU-Abgeordenten in Kontakt treten und die Stärkung des Datenschutzes im Bereich der elektronischen Kommunikation einfordern. Lasst uns gemeinsam die ePrivacy-Verordnung einen Erfolg werden: Nicht nur die Befürchtung von Datenmissbrauch muss beendet werden, sondern Daten und Privatsphäre müssen auch tatsächlich geschützt werden! Bis dahin werde ich nun zu Hause für meine Freund.innen kochen. Aber ich bleibe dran. Und Ihr?


Weiterführende Links

Text: Lisa Fuchs
Titelbild: Digitalcourage CC BY SA 4.0

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld