ePrivacy: Mehr Datenschutz nötig bei Tracking, Cookies und Messengern
Die EU-Kommission hat im Januar 2017 einen Entwurf für die sogenannte ePrivacy-Verordnung vorgestellt (englisch lesen). Diese soll die Vertraulichkeit von Kommunikation sichern. Aber die Datenindustrie setzt alles daran, die Rechte der Nutzer.innen einzuschränken – wir halten dagegen.
ePrivacy: Was ist das?
Seit 2002 gilt in der Europäischen Union die Datenschutzrichtlinie für elektronische Kommunikation, die ePrivacy-Richtlinie. Am 25. August 2018 treten mit der Datenschutzgrundverordnung (DSGVO) neue Regeln für Datenschutz in Kraft. Im Zuge der EU-Datenschutzreform wird aus der Richtlinie eine Verordnung. Das ist notwendig, denn eine Verordnung ist bindend für alle EU-Mitgliedstaaten und muss nicht mehr in die nationale Rechtssprechung umgesetzt werden. In Ergänzung zur DSGVO regelt die neue ePrivacy-Verordnung spezifisch die Telekommunikation in der gesamten EU. Die Regeln betreffen unter anderem Cookies, E-Mail, WhatsApp & Co., Verschlüsselung und Vorgaben für Browser und andere Software.
Konzerne wollen Hoheit über Daten
Die Verordnung, die eigentlich die Privatsphäre und die Daten der Menschen in Europa schützen soll, ist hart umkämpft. Die Wirtschaftslobby will möglichst viele private Daten sammeln und auswerten dürfen – mit einigen Forderungen hatte sie bereits Erfolg: Der Entwurf der Kommission vom 10. Januar 2017, hat im Vergleich zur im Dezember geleakten Version einiges an Substanz verloren.
Was sind die Probleme?
Der aktuelle ePrivacy-Entwurf enthält Lücken, die Tür und Tor für Tracking und Überwachung offen halten. Wir fordern die EU-Kommission auf, diese Lücken zu schließen!
Druck der Datenindustrie: US-Bedingungen auch in der EU?
Die ePrivacy-Verordnung wird, ebenso wie die Datenschutzgrundverordnung, für alle Unternehmen gelten, die in Europa ihre Dienstleistungen und Produkte anbieten. Bisher galten die Regeln nur für Unternehmen, die ihren Sitz in der EU haben und damit nicht für US-Unternehmen. Gleiche Regeln für alle sind notwendig, aber wenn die Datenindustrie Druck macht, ist das eine Gefahr für die Privatsphäre und Selbstbestimmung von allen Menschen, die in Europa im Netz surfen. Denn große Kommunikations- und Internetanbieter, sowie Soft- und Hardwarehersteller beeinflussen die EU-Kommission mit Lobbyarbeit. Sie haben das Ziel, möglichst viele Türen für kommerzielle Überwachung zu öffnen. Ihr Geschäftsmodell lautet: Je tiefer sie in das Privatleben ihrer Kundinnen und Kunden eindringen, desto mehr Profit können sie mit dem Handel und der Analyse von Daten machen. Begehrt sind Fitness- und Standortdaten, Informationen über besuchte Websites, Angaben über soziale Kontakte, das Arbeitsleben und die Kaufkraft.
Verschlüsselung fehlt
Nur durch verschlüsselte Kommunikation ohne Hintertüren ist die Privatsphäre von Menschen faktisch geschützt. Die neue ePrivacy-Verordnung regelt auch sogenannte Over-the-Top-Dienste (OTT) wie WhatsApp, Skype & Co. und könnte hier für verschlüsselte Kommunikation sorgen. Aber die EU-Kommission hat das nicht vorgesehen. Sie hat in ihrem Entwurf auch eine anlasslose Massenüberwachung von Messengern (Vorratsdatenspeicherung) nicht ausgeschlossen. Digitalcourage fordert klare Vorgaben für ein Recht auf verschlüsselte Kommunikation und ein explizites Verbot von Vorratsdatenspeicherung für sogenannte Over-the-top-Dienste (OTT-Dienste) wie WhatsApp & Co.
Tracking über Metadaten
Metadaten sind Informationen über das Surf-, Arbeits-, Alltags- und Kommunikationsverhalten von Menschen (Wikipedia-Artikel, Digitalcourage: „Metadaten sind ausreichend für Überwachung“). Metadaten umfassen nicht die Inhalte von Kommunikation, sind aber genauso sensibel und einfacher auszuwerten. Metadaten sind zum Beispiel Geodaten, Verbindungsdaten und Uhrzeiten und erlauben das Erstellen von Profilen. Die ePrivacy-Verordnung muss Metadaten deutlich besser schützen. Derzeit soll nur die Verwertung von Metadaten geschützt sein, die im Bereich der Online-Kommunikation anfallen. In dieser Form wäre Privatsphäre der Nutzer.innen bei alltäglichen Handlungen nicht gewährleistet: bei der Recherche im Internet, beim Shopping oder beim Gebrauch vernetzter Gegenstände („Internet der Dinge“). Digitalcourage fordert: Nutzerinnen und Nutzer müssen vor der Speicherung und Auswertung von allen Metadaten explizit um Einwilligung gefragt werden.
Smartphones und andere Geräte versenden eindeutig wiedererkennbare Signale, um eine Telefon-, Internet-, WLAN- oder Bluetooth-Verbindung zu ermöglichen. (…) So können Unternehmen, beispielsweise im Einzelhandel, einen Verbraucher wiedererkennen, wenn er zum wiederholten Male ein Geschäft betritt oder seine Bewegungen innerhalb des Geschäftes nachverfolgen. (…) Dieses Offline-Tracking soll künftig ohne die Einwilligung der Verbraucher erlaubt sein – (…) [ohne] Widerspruchsmöglichkeit(…). (Quelle: vzbv.de)
Fehlendes Klagerecht für Zivilgesellschaft
Im Umweltschutz gibt es das Verbandsklagerecht schon lange: Ein Biotop ist durch den Bau einer Autobahn betroffen und ein Umweltschutzverein klagt gegen das Projekt. Einzelpersonen könnten nur klagen, wenn sie beispielsweise als Landbesitzende durch den Bau betroffen wären. In Deutschland gibt es seit Dezember 2015 auch das Verbandsklagerecht für Datenschutz. In der EU allerdings noch nicht. Die ePrivacy-Verordnung könnte es einführen. Im Entwurf der Kommission wurde es gestrichen – obwohl es vorgesehen war. Hier hat sich die Lobby der Datenindustrie durchgesetzt. Damit ginge ein wichtiges Instrument verloren, um Verbraucherinnen und Verbrauchern ein Stimme zu geben. Digitalcourage fordert: EU-weites Verbandsklagerecht für Datenschutz.
Keine datenschutzfreundlichen Voreinstellungen
Zum Schutz der Nutzerinnen und Nutzer war für die ePrivacy-Verordnung vorgesehen, dass Hard- und Software mit datenschutzfreundlichen Voreinstellungen geliefert werden müssen. Das heißt, wer seine Geräte und Einstellungen nicht verändert, ist sicher im Netz unterwegs und wird nicht verfolgt. Dieses Prinzip heipt „Privacy by Default“. Diese Vorschrift fehlt im aktuellen Entwurf. Wir fordern, dass „Privacy by Default“ wieder in die Verordnung aufgenommen wird. Digitalcourage fordert: Klare Regeln für „Privacy by Default“ und „Privacy by Design“.
Fazit: Digitalcourage wird handeln!
Digitalcourage setzt sich dafür ein, dass das Recht auf Privatsphäre mit der neuen Verordnung gestärkt und nicht abgebaut wird. Überall wo Hintertüren eingebaut sind, um den EU-Staaten eigene Regulierungsmöglichkeiten offen zu lassen, droht einerseits Verwässerung des Datenschutzes durch nationale Gesetze. Andererseits steht es auch dem Ziel entgegen, der Wirtschaft ein einheitliches Regelwerk zu bieten. Ein Flickenteppich benachteiligt kleine und mittlere Unternehmen gegenüber Global Playern, die sich eine gewaltige Rechtsabteilung leisten können.
„Die Kommission hat sich einigen Forderungen der Daten-Industrie gebeugt und den Schutz der Privatsphäre der Bevölkerung gegenüber dem Entwurf vom Dezember 2016 weiter abgesenkt“, sagt Friedemann Ebelt von Digitalcourage. „Der Entwurf ist ein schwacher Start für diese Etappe der EU-Datenschutz-Reform, aber es ist ein Start. Digitalcourage wird sich im weiteren Verlauf für die Rechte derer einsetzen, die vertraulich und unbeobachtet im Netz kommunizieren und surfen wollen.“
Weiterführende Links
- Pressemitteilung von Digitalcourage zum Entwurf aus Januar 2017
- Volltext der Richtlinie (Englisch)
- arstechnica.com: Tech industry gangs up on European Commission, calls for cookie law to be scrapped
- Stellungnahme Verbraucherverband Bundeszentrale
- Analyse des Entwurfs aus Januar 2017 von netzpolitik.org
- Dokumentenpool von EDRi und FAQ
- Ingo Dachwitz: #12np: Reform der ePrivacy-Richtlinie – die nächste EU-Lobbyschlacht um unsere Privatsphäre (digitalcourage.video)
- Pressemitteilung von Access Now zum Entwurf aus Januar 2017