Blogs

Die ePrivacy-Reform: Häufig gestellte Fragen

By EDRi · October 5, 2016

Original version here (English)

Was ist die ePrivacy-Reform?

Die Datenschutzrichtlinie für elektronische Kommunikation (auch: ePrivacy-Richtlinie) ist eine Richtlinie, die sich mit bestimmten, die Privatsphäre und den Datenschutz betreffenden Themen im Bereich der elektronischen Kommunikation auseinandersetzt. Sie wurde 2002 verabschiedet und im Jahre 2009 überarbeitet. Der offizielle Wortlaut der aktuellen Version kann hier abgerufen werden. Sie ist nun erneut in Überarbeitung und wird in Form einer Verordnung vom EU-Parlament, Kommission und Rat aktualisiert.

Wofür brauchen wir diese Verordnung?

Die ePrivacy-Richtlinie wurde ursprünglich geschaffen, um die Privatsphäre und persönliche Daten im Bereich der elektronischen Kommunikation zu schützen, indem die Bereiche, die bisher von der maßgeblichen gesetzlichen Weisung, der Richtlinie für Datenschutz (welche nun als neue Datenschutz-Grundverordnung, kurz DSGVO, gilt), abgedeckt wurden, „ergänzt und spezifiziert“ werden. Beispielsweise wird durch die ePrivacy-Richtlinie die Vertraulichkeit des Inhalts von Kommunikation und die Daten, die auf privaten Geräten gespeichert oder verarbeitet werden, geschützt. Dies wurde durch die DSGVO bisher nicht explizit gewährleistet.

Die Vertraulichkeit von Kommunikationswegen ist ein sehr komplexes Thema, denn es betrifft nicht nur dein Recht auf Privatsphäre und Kommunikation, sondern auch die Kommunikations- und Meinungsfreiheit generell. Werden diese Grundrechte nicht in einen gesetzlichen Rahmen gegossen, so besteht die Gefahr, dass aufgrund der Komplexität der Materie, der Schutz der Vertraulichkeit und die Sicherheit der Kommunikationswege unberechenbar und letztendlich nur unter großen Schwierigkeiten durchsetzbar sein werden. Das Fehlen explizit formulierter Regeln gestaltet es auch für Unternehmen schwieriger, neue und innovative Dienstleistungen anzubieten.

Reicht denn die Datenschutz-Grundverordnung (DSGVO) nicht aus?

Es werden in der DSGVO zwar bereits einige Themen rund um den Datenschutz umrissen, es fehlen jedoch konkrete und präzise Formulierungen, welche das Recht auf Privatsphäre und speziell das Recht auf Kommunikationsfreiheit – beides zwei unveräußerliche Grundrechte – gewährleisten. Es erfordert also die ePrivacy-Verordnung, um überprüfbaren und effektiven Schutz dieser Rechte zu gewährleisten, da diese durch die bestehende Weisung nicht eindeutig abgedeckt werden. Des Weiteren werden in der ePrivacy-Verordnung auch Aktivitäten, bei denen die Weitergabe personenbezogener Daten nicht direkt im Vordergrund steht, wie das Versenden unerwünschter Nachrichten (beispielsweise Spam und personalisierte Werbung), behandelt. Außerdem soll ein Rahmen geschaffen werden, so dass auch die Sicherheit der auf privaten Geräten abgespeicherten Informationen gewährleistet werden kann. Es ist wichtig, sich immer wieder ins Gedächtnis rufen, dass es bei dem Entwurf für die ePrivacy-Verordnung nicht darum geht, neue Gesetze zu schaffen, sondern lediglich die bereits bestehenden Gesetze zu ergänzen – zum Wohle von Privatpersonen und Unternehmen.

Es besteht ein wachsender Bedarf, einen gesetzlichen Rahmen zum Schutze der Privatsphäre und privater Daten im Bereich der elektronischen Kommunikation zu schaffen. Denn es florieren Praktiken, wie das Zurückverfolgen von Online-Aktivitäten oder die Überwachung des E-Mail-Verkehrs zu Marketingzwecken, während Telekommunikationsunternehmen den Internetkonzernen im Sammeln der ihnen anvertrauten Kundendaten, unter anderem Standortinformationen, nacheifern und in bares Geld verwandeln. Es ist außerdem notwendig, die ePrivacy-Regeln regelmäßig zu aktualisieren, um mit den technischen Neuerungen, wie etwa dem Gebrauch von „Instant Messengers“ anstelle von SMS und E-Mail, überhaupt mithalten zu können.

Welche Grundrechte sind von dem Entwurf für eine ePrivacy-Verordnung betroffen?

  • Das im Artikel 7 der Charta verankerte Grundrecht wahrt das Recht auf Vertraulichkeit der Kommunikation. Der neue Text, der die ePrivacy-Richtlinie aktualisieren und verbessern wird, sollte ausdrücklich klarstellen, dass dieses Grundrecht auch all jene Daten betrifft, die durch Online-Aktivitäten und Kommunikation im Internet anfallen. Dies betrifft auch Verkehrs- und Standortdaten, so wie es zurzeit in der ePrivacy-Richtlinie definiert ist. Zudem sollte es auch auf alle anderen Daten angewendet werden können, die durch Internetaktivitäten entstehen. Dies schließt Standortdaten, Browsing-Daten, E-Book-Nutzungsdaten, Apps, Suchverläufe etc. und jedwede im weiteren daraus entstehenden Daten mit ein. Zudem soll durch die neue Verordnung Klarheit darüber geschaffen werden, was es mit der standardmäßigen und strukturellen Implementierung von Privatsphäre auf sich hat.
  • Artikel 8 der Charta wahrt das Grundrecht auf Meinungsfreiheit und Schutz personenbezogener Daten. Der einfachste Weg für EU-Bürger im heutigen Zeitalter Zugang zu Informationen zu erhalten, ist vor allem das Internet. Um diese Möglichkeit auch weiterhin sicherzustellen, sollte die überarbeitete Verordnung Einwilligungszwänge für die Zurückverfolgung von Online-Aktivitäten, sowie die daraus resultierende Profilerstellung und automatisierten Entscheidungen verboten werden (beispielsweise ist es oft nicht möglich Inhalte von Webseiten abzurufen, ohne Cookies im Browser zuzulassen). Dies ist insbesondere dann von großer Wichtigkeit, wenn man bei Zugriff auf Information zugreift, die empfindliche Daten beinhalten, oder beim Gebrauch von Seiten von öffentlichen Behörden.

Welche Themengebiete werden von der ePrivacy-Reform abgedeckt?

  • Vertraulichkeit und Sicherheit von Kommunikationswegen
  • Verkehrs- und Standortdaten, die beim Gebrauch von privaten Geräten entstehen
  • Zurückverfolgung von Nutzern, auch durch den Gebrauch privater Geräte (z. B. zum Zweck aktivitäts- und personenbezogener Werbung)
  • Cookies
  • Sicherheitsmaßnahmen auf Privatgeräten
  • Einzelgebührenerfassung
  • Identifizierung von Rufnummern
  • Öffentliche und private Verzeichnisse
  • Spam und unerwünschte Telefonanrufe zu Marketingzwecken
  • Benachrichtigungen über Datenschutzverstöße (später spezifiziert durch die Regelung 611/2013 der EU)

Welche Bereiche sollten aktualisiert werden?

Alle Aspekte der ePrivacy-Richtlinie, die Online-Aktivitäten betreffen – etwa Vertraulichkeit und Sicherheit der Kommunikationswege und privater Endgeräte, sowie die Zurückverfolgung von Nutzern – müssen auf den neuesten Stand gebracht werden, um neuen und möglicherweise zukünftigen technologischen Entwicklungen gerecht zu werden. Die Regelungen für Einzelentgeldnachweise/ Einzelverbindungsnachweise, Nutzerdatenbanken und unerwünschte Kommunikation müssen neu veranschlagt bewertet werden, um sicherzustellen, dass sie noch mit der GDPR übereinstimmen. Einige der Aspekte, etwa der Umgang mit Verstößen gegen den Datenschutz, benötigen keine spezifische Gesetzgebung und können gestrichen werden. Dies kann durch Vergleiche mit der GDPR erzielt werden, um dadurch Redundanzen zu vermeiden.

Ich bin jetzt schon genervt von Cookie-Hinweisen auf Webseiten. Wird es durch die neue Verordnung noch mehr davon geben?

Im Moment versucht die ePrivacy-Richtlinie mehr Kontrolle über Online-Tracking zu geben, dies jedoch auf relativ rudimentäre Art und Weise. Erfahrung und technologische Entwicklungen haben gezeigt, dass die bisherigen regulatorischen Vorkehrungen der ePrivacy-Richtlinie nachgebessert werden sollten, um höhere Nutzerfreundlichkeit und damit größere Akzeptanz zu generieren.

Cookies sind nur eine der Möglichkeiten, Spuren beim Surfen im Internet zu hinterlassen. Cookies sind sozusagen kleine Informationshäppchen, die beim Aufrufen von Websites automatisiert auf deinem Gerät gespeichert werden. Die nachgebesserten Regelungen in der ePrivacy-Verordnung bezüglich dieser Cookies sollen ein komfortableres Surfen ermöglichen, indem die Einwilligungsverpflichtung für Cookies, welche nicht die Sammlung und Weiterverarbeitung personalisierter Daten, wie beispielsweise die Zurückverfolgung von Usern und Geräten durch Dritte, beseitigt wird. Dies würde zum Beispiel auf durch den Eigentümer der Website erhobene Statistiken zur Nutzung seiner Seite („first party analytic cookies“), welche nicht unnötig personellen persönliche Daten weiterleiten, zutreffen. Grundsätzlich beziehen wir uns hierzu auf die Richtlinien bezüglich Cookies, die die Artikel 29-Arbeitsgruppe vorschlägt.

Wie hängt das Ganze mit dem Schutz vor Massenüberwachung zusammen?

Man kann unbestrittenermaßen davon ausgehen, dass die Nutzung elektronischer Geräte (etwa Smartphones, Tablets, private Computer) und damit verbundene Technologien mit Internetnutzung (etwa das Internet der Dinge) in Zukunft weiterhin zunehmen wird. Diese Entwicklung bringt zwar neue Möglichkeiten zur Onlinekommunikation auf der einen Seite, birgt aber auf der anderen Seite Risiken für die Vertraulichkeit und andere Grundrechte. Zumeist sind viele Unternehmen und Anbieter in Online-Kommunikationen involviert und sie finden über viele Landesgrenzen hinweg statt, ohne dass sich die meisten Nutzer dessen voll bewusst sind.

Wir stimmen mit dem europäischen Datenschutzbeauftragten (EDSB) darin überein, dass die Zahl und Häufigkeit mit der Regierungen bei Internetdienstleistern (Twitter, Gmail und allen anderen) Anfragen tätigen, öffentlich gemacht werden sollten, um Einzelpersonen die Möglichkeit zu bieten sich ein klareres Bild davon machen zu können, in welchem Ausmaß von diesen Verfahren in der Praxis Gebrauch gemacht wird. Wenn die Öffentlichkeit mehr über das Verhalten ihrer Regierung diesbezüglich Bescheid wüsste, würde sie sich leichter tun, diese dafür zur Verantwortung/Rechenschaft heranzuziehen. Eine größere Transparenz wäre in diesem Kontext hilfreich, um das Vertrauen der Menschen in den Sektor der elektronischen Kommunikation wiederzugewinnen.

Inwiefern ist die Sicherheit meiner elektronischen Geräte, wie etwa die meines Smartphones, davon betroffen?

Die Verpflichtungen, die in der DSGVO verankert sind, beziehen sich vor allem auf die Weitergabe von persönlichen Daten, während die ePrivacy-Richtlinie ganz spezifisch darauf abzielt, die Sicherheit unserer Online-Kommunikation zu gewährleisten. Nicht nur die Anbieter von elektronischer Kommunikation (z. B. Telekommunikationsunternehmen) sollten in die Pflicht genommen werden, sondern eben auch beispielsweise App-Entwickler und der Einzelhandel mit elektronischen Geräten. Die Unternehmen, welche hinter den Apps und Geräten stehen, sind zwar oft nicht die einzigen gesetzlich belangbaren Akteure, jedoch sollten sie aufgrund ihrer wichtigen Bedeutung für den Schutz der Sicherheit und Vertraulichkeit von Privatkommunikation Gegenstand von Sicherheitsbestimmungen werden. Genau genommen beziehen wir uns hierbei auf die Empfehlung der Artikel 29-Arbeitsgruppe, Hersteller von Betriebssystemen und Endgeräten sowie andere relevante Interessenvertreter, Sicherheits- und Privatsphärenbestimmungen zu unterwerfen, wie sie im August 2014 in dem Gutachten 8/2014 zum Internet der Dinge veröffentlicht wurde.