Im Kampf um unsere Privatsphäre wird die Reform der ePrivacy-Richtlinie 2017 das wichtigste Schlachtfeld. Ein geleakter Entwurf zeigt: Die EU-Kommission macht zwar gute Vorschläge zur besseren Kontrolle von Web-Tracking – grundsätzlich dürfen uns Unternehmen und Staaten aber weiter analysieren.

Seit Montagabend kursiert im Netz der erste Leak eines Vorschlags der EU-Kommission für die Reform der ePrivacy-Richtlinie. Sie regelt bislang als Ergänzung zur EU-Datenschutzrichtlinie, welche Pflichten Anbieter von Kommunikationsdiensten für den Schutz von Privatsphäre und Vertraulichkeit der Kommunikation haben. Politico hat eine nicht-finale Fassung von Ende November [PDF] öffentlich gemacht, die tiefe Einblicke erlaubt, welche Regeln der federführenden Generaldirektion Kommunikationsnetze, Inhalte und Technologien unter Kommissar Günther Oettinger vorschweben.

Mehr zur Funktion der ePrivacy-Richtlinie und zu den umstrittenen Punkten der Reform finden sich in unserem Überblicksartikel und im 12np-Talk „Reform der ePrivacy-Richtlinie: Die nächste EU-Lobbyschlacht um unsere Privatsphäre“.

Verbindlichere Regeln mit größerer Reichweite

In vielen Punkten nimmt der Entwurf Bezug auf die ab Mai 2018 anzuwendende Datenschutzgrundverordnung (DSGVO) und ergänzt bzw. konkretisiert diese. Wenig überraschend ist, dass die Kommission vorschlägt, aus der Richtlinie eine Verordnung zu machen, so dass ihre Vorgaben in den Mitgliedsstaaten auch ohne nationale Umsetzungsgesetze gelten. Das dadurch erhoffte höhere Maß an Verbindlichkeit und Einheitlichkeit entspricht den Forderungen von Aufsichtsbehörden, NGOs und Bürgern – und auch die Internetindustrie kann damit leben, selbst wenn es ihr noch lieber gewesen wäre, wenn die ePrivacy-Regeln gleich ganz entsorgt worden wären.

Wie erwartet will die Kommission zudem die Reichweite der Regeln auf die sogenannten over-the-top-Dienste (OTT-Dienste) ausweiten, also auf internetbasierte Kommunikationsdienste wie Messenger, E-Mail, Direktnachrichten in Sozialen Netzwerken oder Internettelefonie. Bislang waren primär klassische Telekommunikationsdienste wie Telefonie und SMS von den Regeln erfasst. Das dürfte unter anderem Google gar nicht passen, weil die von Verbraucherschützern schon lange kritisierte Praxis, die Inhalte von GMail-Postfächern automatisch für Werbezwecke zu analysieren, dann klar verboten wäre.

Bemerkenswert ist, dass zudem auch die machine-to-machine-Kommunikation des sogenannten „Internet der Dinge“ umfasst werden soll, sofern dort personenbezogene Daten anfallen. Die Kommission will darüber hinaus – wie schon bei der DSGVO – klarstellen, dass die Regeln für jegliche Verarbeitung personenbezogener Daten europäischer Endnutzer von Kommunikationsdiensten gilt, auch wenn die Datenverarbeitung außerhalb der EU vorgenommen wird.

Kein besonderer Schutz für Kommunikationsmetadaten

Zentraler Streitpunkt bei der ePrivacy-Reform sind die Themen Tracking, Profiling und Werbung. Die bisherigen Vorgaben der Richtlinie waren in weiten Teilen wenig effektiv, die Kommission formuliert aber nun den Anspruch, mit der neuen Verordnung klare Regeln für „den Schutz des Privatlebens und der Kommunikation bei der Verarbeitung personenbezogener Daten in Zusammenhang mit dem Angebot und der Nutzung elektronischer Kommunikation“ vorzugeben. Als zweites Ziel der Reform benannte die Kommission immer wieder die Schaffung gleicher Marktbedingungen in der Big-Data-Wirtschaft.

Dass beide Ziele nicht immer gut miteinander harmonsieren, zeigt sich zum Beispiel in Artikel 6: Anders als von NGOs und Datenschützern gefordert, sollen Kommunikationsmetadaten weiterhin nicht besonders geschützt werden. Nach dem Willen der Kommission (Art. 6 Abs. 1.e) sollen Anbieter von Kommunikationsdiensten die Metadaten ihrer Kunden auch weiter für sogenannte „Mehrwerdienste“ (wie zum Beispiel Werbung) verarbeiten dürfen, wenn die Kunden ihre Zustimmung geben. In Erwägungsgrund (21) heißt es dazu:

Providing more leeway to providers of electronic communications services to process metadata may foster a data market and encourage innovation in the Union.

Immerhin: Die Kommission gestattet hier nicht, dass eine Verarbeitung von Metadaten auch auf Grundlage einer Abwägung zwischen dem „berechtigten Interesse“ (aka Geschäftsmodell) des Unternehmens und den Grundrechten des Betroffenen geschieht, wie dies die DSGVO in Art. 6 möglich macht. Mobilfunkanbieter dürften das gleich bleiben des Schutzniveaus trotzdem als Aufforderung verstehen, ihre zögerlichen Schritte zur Monetarisierung der Metadaten ihrer Kunden nun zu beschleunigen.

Das hier kein besserer Schutz vorgesehen ist, ist besonders deshalb schade, weil die Kommission in Erwägungsgrund (2) selbst betont, wie hoch die Aussagekraft und Sensibilität von Kommunikationsmetadaten ist:

In addition to the content of communications electronic communication metadata, which includes, the websites visited, one’s geographical location, the time, data and duration when an individual made a call, etc, may also expose very sensitive and personal information, allowing precise conclcusions to be drawn regarding the private lives of the persons, such as their social relationships, their habits and activities of everyday life, their interests, tastes etc.

Direktmarketing per Mail weiter ohne Einwilligung möglich

Auch in Sachen Direktmarketing (Art. 16) scheut sich die Kommission vor einer klaren Einschränkung der bisherigen Praxis. Zwar soll dieses grundsätzlich nur nach Opt-In erlaubt sein – für Direktmarketing via E-Mail entfällt diese strikte Vorschrift aber, sofern bereits ein Kundenverhältnis besteht. Dann nämlich sollen sich Kunden erst bewusst gegen die unaufgeforderten Nachrichten entscheiden und den Unternehmen Bescheid geben müssen (Opt-Out). Das heißt konkret: Unternehmen, bei denen ich einmal Pizza oder Schuhe bestellt habe, können solange weiter mit targeted-advertising-Mails auf mich zielen, bis ich es ihnen explizit untersage.

Licht und Schatten beim Third-Party-Tracking

Deutliche Fortschritte könnten die Vorschläge der Kommission beim Schutz vor Third-Party-Tracking beim Websurfing bringen. Im entsprechenden Artikel 8 Abs. 1 wird nun eine Formulierung verwendet, die sich nicht mehr nur auf Cookies beziehen lässt, sondern deutlich auch andere Tracking-Instrumente wie etwa Fingerprinting-Methoden umfasst. Diese sollen verboten sein – es sei denn, Nutzer geben ihr Einverständnis. Klargestellt wird, dass der Einsatz von First-Party-Cookies, die für die Funktion der Seite oder das Ausfüllen von Formularen notwendig sind, kein Einverständnis vorraussetzen. Die Kommission folgt damit einer Empfehlung der Artikel-29-Datenschutzgruppe [PDF], die den Ermüdungserscheinungen beim Wegklicken von Cookie-Info-Boxen entgegenwirken soll.

Kritisch wird es jedoch in Abs. 2 des gleichen Artikels, der die Vorgaben für das Sammeln und Verwerten von Daten regeln soll, die anfallen, wenn Geräte sich mit anderen Geräten oder Netzwerken verbinden. Dies kann für die Datenpraxis bei „Internet of Things“-Geräten relevant werden. Wie Erwägungsgrund (29) klarstellt, zielt es primär jedoch erstmal auf die zunehmende Praxis ab, Kunden in Geschäften anhand der Informationen zu tracken, die ihre Smartphones bei der Suche nach WLAN- oder Bluetooth-Signalen mitsenden:

Wireless and cellular telepfone standards similarly involve the broadcasting of active signals containing unique identifiers such as MAC adress , the IMEI (International Mobile Station Equipment Identity), the IMSI (International Mobile Subscriber Identity), etc. A single wireless base station (i.e. a transmitter and receiver), such as wireless access point, has a specific range within such information may be captured. Service providers have emerged who offer tracking services based on the scanning equipment related information with diverse functionalities, including people counting, providing data on the number of people waiting in line, ascertaining the number of people in a specific area, etc. This information may be used for more intrusive purposes, such as to send commercial messages to users as they enter, for example stores, with personalized offers.

Diese immer wichtiger werdende Form des Offline-Tracking soll zukünftig dann erlaubt sein, wenn eine öffentlich wahrnehmbare Information darüber angezeigt wird, unter welchen Bedingungen und zu welchem Zweck das Tracking stattfindet, wer dafür verantwortlich ist und welche Maßnahmen Nutzer ergreifen können, um das Tracking zu beschränken. Wenn die Daten für Werbung genutzt werden, sollen Nutzer nach dem Willen der Kommission zudem explizit widersprechen müssen, um dies zu unterbinden (Opt-Out).

Die aus Sicherheitsgründen zusätzlich vorgesehene Pseudonymisierung der Daten entsprechend Art. 32 der DSGVO ist in Anbetracht der Leichtigkeit, mit denen Pseudonymisierungen rückgängig gemacht werden können, ein schwacher Trost.

Einwilligung zu Webtracking: Neue Chance für „Do not Track“

Die Einwilligung zur Datenverarbeitung behält auch nach dem Reformvorschlag der Kommission ihre entscheidende Rolle für die Rechtmäßigkeit einer Datenverarbeitung. Hier ist bislang vorgesehen, dass die Regeln der Datenschutzgrundverordnung gelten, die eine freiwillige und nachweisbare Einwilligung vorsehen. In Erwägungsgrund (22) heißt es dazu:

The provision of electronic communication services shall not be made conditional upon obtaining the end-user’s consent to the processing of their electronic communications metadata; whether end-user’s consent is freely given, shall be assessed on a case by case basis; relevant aspects to determine whether the end-user has a genuine or free choice; shall include whether similar services are available at affordable prices […].

Entscheidend wird also nach wie vor sein, wie eine freiwillige Zustimmung interpretiert und wie die Einhaltung dieser Regel durchgesetzt wird. Schon bislang sieht die Richtlinie vor, dass Einwilligungen zur Datenerhebung und -verarbeitung freiwillig gemacht werden. Während in Deutschland aufgrund der mangelnden Durchsetzung dieser Regeln aber „Walled Gardens“ an der Tagesordnung sind und man viele Webseiten nur nutzen kann, wenn man dem Einsatz von Tracking-Cookies zustimmt, sorgt die französische Datenschutzaufsicht durch regelmäßige Kontrollen und Strafen dafür, dass man auf französischen Webseiten eine echte Wahl hat.

Mit dem Verweis auf die Einwilligungsvorraussetzungen der Datenschutzgrundverordnung stellt die Kommission zudem klar, dass das dort vorgesehene Koppelungsverbot auch explizit für den Bereich der elektronischen Kommunikation gelten soll. Das Innenministerium in Deutschland will dieses Prinzip jedoch gerade aufweichen.

Eine besondere Neuerung des Kommissionsvorschlags ist, dass auch entsprechende Einstellungen in der genutzten Software grundsätzlich Einwilligung und Widerspruch zum Third-Party-Tracking signalisieren soll. Der von Tracking-Firmen bislang ignorierten Do-Not-Track-Funktion im Browser würde also endlich eine Bedeutung zukommen. Gerade in Kombination mit einer wirksamen Durchsetzung der neuen in Artikel 10 vorgesehenen Regeln für „Privacy by Design“ könnten sich daraus dann tatsächlich Fortschritte für den Schutz der Privatsphäre ergeben. Dieser Artikel sieht nämlich vor, dass Geräte und Software (z. B. Browser) so ausgeliefert werden sollen, dass ihre Einstellungen Tracking durch Drittparteien von Beginn an unterbinden.

Offene Türen für eine Ausweitung der Vorratsdatenspeicherung

Aus grundrechtlicher Perspektive klar enttäuschend an dem Kommissionentwurf ist das, was er ausspart – nämlich die Themen Vorratsdatenspeicherung (VDS) und Verschlüsselung.

Artikel 11, der die Ausnahmen der Vorschriften zu Integrität und Vertraulichkeit elektronischer Kommunikation im Namen der nationalen Sicherheit und der Strafverfolgung regeln soll, enthält anders als in der aktuellen Richtlinie zwar keine explizite Öffnungsklausel für Vorratsdatenspeicherungen von Kommunikationsmetadaten mehr. Er verzichtet aber auch darauf, nationale Vorratsdatenspeicherungen im Einklang mit der Rechtsprechung des Europäischen Gerichtshofes (EuGH) auszuschließen. Wie aus dem beiliegenden Begründungstext (Ziffer 1.3) hervorgeht, soll so Neutralität in dieser Frage gewahrt werden – Mitgliedsstaaten können selbst über nationale VDS bestimmen.

De facto hieße das aber: Die bestehende Ausnahmeregelungen, die Vorratsdatenspeicherungen offenbar auch ohne explizite Öffnungsklausel ermöglichen, bleiben bestehen – und durch die Ausweitung der Verordnung auf OTT-Dienste, gelten die Ausnahmen plötzlich auch für diese. Überwachungsverfechter wie der deutsche Innenminister Thomas de Maizière dürften das als explizite Einladung verstehen, ihre Forderung umzusetzen, die VDS endlich auch auf Messenger auszuweiten.

Das ist umso wahrscheinlicher, als dass Abs. 2 desselben Artikels Anbieter elektronischer Kommunikationsdienste verpflichteen soll, interne Verfahren für die Beantwortung von staatlichen Anfragen auf Herausgabe von Nutzungsdaten zu etablieren.

Kein Rückenwind für Ende-zu-Ende-Verschlüsselung

Auch in Sachen Ende-zu-Ende-Verschlüsselung bleibt der Entwurf der Kommission hinter den Erwartungen zurück. Wie dem beiliegenden Begründungstext (Ziffer 3.2) zu entnehmen ist, haben ganze 90 Prozent der 27 000 im Sommer dazu befragten Europäer der Aussage zugestimmt, dass sie die Möglichkeit haben wollen, ihre Nachrichten und Anrufe so zu verschlüsseln, dass sie nur vom Empfänger gelesen werden können. Progressiv wäre es deshalb gewesen, Anbieter dazu zu verpflichten, Ende-zu-Ende-Verschlüsselung einzusetzen oder zumindest anzubieten.

In den Text hat es in Erwägungsgrund (42) dann aber nur die schwache Anregung geschafft, dass Anbieter elektronischer Kommunikationsdienste ihre Kunden über die Möglichkeit eigener Schutzmaßnahmen informieren sollten („should inform“), etwa den Einsatz von Verschlüsselungstechnologie. Dass es nicht noch schlimmer kam und etwa eine explizite Vorschrift von Verschlüsselungs-Backdoors eingefügt wurde, ist laut Brüsseler Kreisen wohl auch dem Einsatz der Industrie zu verdanken, die sich (so wie Datenschutzbehörden und NGOs auch) gegen solche Vorgaben ausgesprochen hat. Wir dürfen gespannt sein, ob die Forderung vieler Innenminister und „Sicherheitspolitiker“ es während der gerade stattfindenden Ressortabstimmung noch in den Vorschlag schafft.

EU-Kommission bleibt sich treu

Spätestens am 11. Januar wissen wir mehr, denn dann stellt die Kommission ihren Entwurf offiziell vor. Der Leak zeigt aber, dass sie ihrem selbst gesteckt Ziel eines effektiven Schutzes des Privatlebens und der Kommunikation der Menschen in Europa nur bedingt gerecht wird. Ihr zweites Ziel aber, für die europäische Digitalwirtschaft ein „Level Playing Field“ zu schaffen, würde die Verordnung umso mehr erreichen.

Die bislang weniger stark regulierten OTT-Diensteanbieter, größtenteils US-Firmen, müssten sich künftig an mehr und an klarere Regeln bei der Datenverwertung halten. Gerade im Bereich Webtracking, von Googles E-Mail-Analysen bis Third-Party-Tracking mittels Cookies und Fingerprinting, könnten tatsächlich klare Grenzen gezogen werden – auch wenn viel davon abhängen würde, wie die Einwilligungsvorgaben im Detail interpretiert und durchgesetzt würden. Die europäischen Mobilfunkanbieter aber würden die Vorschläge der Kommission vermutlich als klares Signal verstehen, ihren Metadatenschatz endlich offensiver zu monetarisieren. Und das junge Feld des Offfline-Tracking bliebe mit schwachen Vorgaben offen für hungrige Start-Ups aus Europa. Das Feld der staatlichen Überwachung hingegen würde nicht angetastet und weiter dem Überwachungswillen der Mitgliedsstaaten überlassen werden.

Ob das alles am Ende wirklich so kommt, hängt natürlich davon ab, wie der politische Prozess weitergeht. Ende Januar kommen der Rat und das Parlament ins Spiel. Mal wieder lasten die Hoffnungen auf ein Mehr an Grundrechten und einen effektiven Schutz des Privatlebens auf letzterem.