E-Privacy-Verordnung

Taming the Cookie-Monster

d'Lëtzebuerger Land vom 23.12.2016

Die anlasslose Vorratsdatenspeicherung ist mit EU-Recht nicht vereinbar. Das haben Europas höchste Richter erneut bekräftigt. Konkret ging es um ein entsprechendes Späh-Gesetz in Großbritannien, das erlaubt, Kommunikationsdaten von britischen Bürgern zu speichern, ohne konkreten Tatverdacht. Die Richter des Europäischen Gerichtshofs stellten mit ihrer Entscheidung fest: Das Unionsrecht stehe einer nationalen Regelung grundsätzlich entgegen, „die eine allgemeine und unterschiedslose Speicherung von Daten vorsieht“.

Beim Urteilsspruch dürfte Justizminister Félix Braz (Déi Gréng) die Ohren gespitzt haben, stellt sie doch auch seinen Entwurf für eine nationale Vorratsdatenspeicherung in Frage. Er begrüße das Urteil, das „mehr Klarheit“ schaffe. Das werde respektiert, so Braz wenige Stunden nach Urteilsverkündung auf Twitter. Das sollte vielleicht lässig klingen, ist für einen Rechtsstaat jedoch eine Selbstverständlichkeit. Die Frage, die sich Braz gefallen lassen muss: Warum hat er nicht schon nach der ersten EuGH-Entscheidung vom April 2014, die bereits Grundsatzkritik gegenüber Datensammelwut ohne konkreten Tatverdacht beinhaltete, seinen Entwurf überarbeitet? Damals hatte Braz sein Festhalten damit gerechtfertigt, dass nicht alle Zweifel ausgeräumt seien. Jetzt rudert der Justizminister zurück, räumt gegenüber dem Wort ein, dass er seinen Entwurf überarbeiten muss. Gleichzeitig will er die aktuelle Regelung, mit der Telefonanbieter Metadaten von Kunden ohne konkreten Anfangsverdacht speichern, in Kraft lassen. Soll doch der Richter entscheiden, ob die Daten im Falle eines Prozesses benutzt werden dürfen.

Die Entscheidung der EuGH-Richter ist nicht nur von Relevanz, was die Formulierung eines – dann hoffentlich – EU-rechtskonformen Luxemburger Entwurfs zur Vorratsdatenspeicherung angeht; eine Woche nach dem blutigen Anschlag auf einen Berliner Weihnachtsmarkt mit zwölf Toten wird sie sicherheitspolitischen Hardlinern, die noch mehr Überwachung und Polizeibefugnisse fordern, die Argumentation nicht eben erleichtern.

Etwa im Hinblick auf die E-Privacy-Verordnung, die derzeit in Brüssel verhandelt wird. Dabei handelt es sich um eine Neuauflage der E-Privacy-Richtlinie von 2002, die die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation regelt und 2009 durch die so genannte Cookie-Richtlinie abgelöst wurde. Sie war fällig geworden, weil mit dem technologischen Fortschritt und der neuen Europäischen Datenschutz-Grundverordnung Regelungslücken aufgetreten sind. Dienste etwa wie Skype, WhatsApp, Facetime oder Facebook werden von den bisherigen nationalen Telekommunikationsgesetzen, die sich auf klassische Telefondienstleister beziehen, häufig nicht erfasst. In besagter E-Privacy-Richtlinie ist die Vorratsdatenspeicherung ohne jeglichen Anfangsverdacht zwar nicht vorgeschrieben, aber ausdrücklich erlaubt. Unter anderem Deutschland wollte diese juristische Basis zur anlasslosen Vorratsdatenspeicherung auch auf so genannte Over-the-Top-Kommunikationsdienste wie WhatsApp, Skype und andere übertragen wissen. Vor gut einer Wochen wurde nun ein geheimer Vorentwurf der Privacy-Verordnung vom Politikmagazin Politico veröffentlicht – besagte Möglichkeit zur anlasslosen Vorratsdatenspeicherung ist darin nach wie vor erhalten. Im Lichte der jüngsten EuGH-Gerichtsentscheidung wird der betreffende Artikel noch einmal überarbeitet werden müssen.

Die geplante Verordnung, von der die EU Kommission am 11. Januar ihren offizieller Entwurf vorlegen will, ist noch aus anderen Gründen wichtig: Grundsätzlich werden hiermit Prinzipien aus der Europäischen Datenschutz-Grundverordnung auf Anbieter von Telefonie-, Internet-, oder E-Mail-Diensten übertragen. Die Richtlinie von 2002 hatte den Grundsatz eingeführt, die Verbreitung unerwünschter Werbung zu begrenzen und die Weiterverarbeitung von Standort- und Verbindungsdaten ohne ausdrückliche Einwilligung zu verbieten. Für den Einsatz von Tracking-Cookies, mit der Unternehmen das Surfverhalten ihrer Kunden ausspähen, mussten Nutzerinnen seit 2009 ihre Einwilligung geben. Das führte allerdings je nach Auslegung in den EU-Ländern zu regelrechten Klick-Orgien, weil ständig Einwilligungsaufforderungen aufpoppen, bevor ein Nutzer auf einer Seite weiterlesen kann. Laut dem in der Europäischen Datenschutzverordnung verankerten Kopplungsverbot sind Internetanbieter ab Mai 2018 gehalten, nicht mehr Kundendaten abzufragen, als nötig, um einen Dienst nutzen zu können.

Wegen der Massenüberwachung sollen Anbieter von Kommunikationsdiensten verpflichtet werden, das Grundrecht auf Schutz personenbezogener Daten künftig auch aktiv zu schützen. Das kann durch Ende-zu-Ende-Verschlüssungstechnologie sein (ohne bewusst offen gehaltenen Hintertüren, wie sie die großen US-Internetfirmen für NSA; CIA und Co. eingebaut haben). Auch die Endgeräte selbst, also beispielsweise Smartphones, müssen sicher sein. Die strengeren Regeln zum Schutz der Privatsphäre bedeuten, dass Browser-Anbieter künftig das Prinzip Privacy by design umsetzen müssen, das heißt, schon ab Werk in den Voreinstellungen für genügend Datenschutz sorgen.

Das klingt alles recht positiv und tatsächlich wird der Vorentwurf von Datenschützern und IT-Bloggern vorsichtig-optimistisch aufgenommen. Obschon es ausreichend Kritikpunkte gibt: Direktes Marketing soll weiter erlaubt sein, es gibt dafür Opt-out-Klauseln beim Tracking. Bei der Verschlüsselung bleiben viele Fragen unbeantwortet. Zudem sieht der Vorschlag eine Einwilligungsfrist von sechs Monaten für Nutzerinnen aus, das widerspricht dem in der Europäischen Datenschutzverordnung festgelegten Grundsatz, wonach ein Nutzer zu jedem Moment seine Einwilligung geben, aber auch widerrufen kann.

Die Regulierungsfreunde haben die Zivilgesellschaft hinter sich: Laut einer Umfrage der EU-Kommission sprachen sich 83 Prozent der teilnehmenden Bürger und zivilgesellschaftlichen Organisationen für spezielle Regeln für den Bereich der elektronischen Kommunikation aus und 73 Prozent fordern dies auch für Verbindungs- und Standortdaten, auf Seiten der Industrie waren es lediglich 31 beziehungsweise 26 Prozent. Einige große Telefonkommunikationsanbieter plädieren sogar dafür, die E-Privacy-Richtlinie ganz abzuschaffen.

Während also in Brüssel die Lobby für und gegen die E-Privacy-Verordnung die Trommel rühren, war der Leak hierzulande bisher kein Thema, auch nicht in der Politik – vielleicht weil niemand da ist, der etwas dazu zu sagen hätte? Die Grünen, einst erklärte Datenschützer und Gegner der anlasslosen Vorratsdatenspeicherung, behandeln das Thema seit sie in der Regierung sitzen, kaum mehr. DP, LSAP und die Oppositionsparteien haben bis heute, 70 Jahre nach dem Bau des ersten digitalen Computers, kaum Expertise in Datenschutzfragen aufgebaut. Bleibt die Piratenpartei, doch seitdem viele Mitglieder von der Schule in den Beruf gewechselt sind, kommt auch von dieser Seite zur Problematik wenig.

Ines Kurschat
© 2017 d’Lëtzebuerger Land