Die Entwurfs-Fassung der neuen ePrivacy-Verordnung vom Februar dieses Jahres stößt bei den IT-Sicherheitsexperten der PSW GROUP Consulting auf deutliche Kritik. „Zwar existieren auch im aktuellen Entwurf klare Verbesserungen für den Schutz der Privatsphäre von Nutzenden.
Doch soll für sämtliche Bestimmungen eine Ausnahme gelten, wenn die nationale Sicherheit oder Verteidigung in Gefahr gerate. Heißt im Klartext: Die ePrivacy-Verordnung wird keinen Schutz vor der Überwachung durch Geheimdienste bieten“, kritisiert Geschäftsführerin Patrycja Schrenk.
Um die Privatsphäre in der elektronischen Kommunikation zu schützen, hat die EU-Kommission mit der ePrivacy-Verordnung (ePVO) bereits im Januar 2017 einen Vorschlag vorgelegt. Diese ePrivacy-Verordnung sollte die bisherige ePrivacy-Richtlinie ablösen, die EU-Datenschutz-Grundverordnung (DSGVO) konkretisieren und gemeinsam mit dieser in Kraft treten. Aufgrund heftigen Widerstands aus der Wirtschaft, setzte die Europäische Union die ePrivacy-Verordnung aus. Am 10. Februar diesen Jahres dem Rat der EU-Staaten, sich auf eine Position zu einigen. Immerhin: Dies ebnet nun den Weg zu den Verhandlungen, die über den finalen Text geführt werden müssen. Die Mehrheit der EU-Staaten unter der Führung der portugiesischen Ratspräsidentschaft unterstützte den von Portugal eingebrachten Vorschlag.
Ziel der ePrivacy-Verordnung ist es, Internet-Nutzern zu ermöglichen, Tracking besser kontrollieren zu können. Das Ausspähen von Betroffenen über Cookies oder andere Technologien ohne Einwilligung soll verboten werden und Browser sollen Privatsphäre-freundliche Einstellungen zum Standard machen. Die Kommunikation über Messenger wie Threema oder WhatsApp soll rechtlich vor kommerzieller Auswertung geschützt sein, ebenso wie Anrufe oder SMS. Man möchte eine Art digitales Briefgeheimnis erreichen.
„Von den einst ambitionierten Zielen ist im Entwurf vom Februar 2021 nicht mehr viel zu sehen. Die Schlüsselpassagen wurden deutlich abgespeckt, es gibt wieder Raum für umfangreiches Tracking. Tech-Konzerne wie Facebook oder Google könnten weiter immense Mengen an Nutzerdaten abschöpfen und für Werbezwecke verwenden“, bemängelt Patrycja Schrenk. Die IT-Sicherheitsexpertin wird konkret: „Laut aktuellem Entwurf wäre es erlaubt, die Metadaten der Nutzenden ohne Einwilligung weiterzuverarbeiten – dafür genügen „kompatible Gründe“. Somit hätten Messenger- oder Telefonanbieter die Möglichkeit, die Gewohnheiten der Betroffenen für Werbezwecke abzugreifen. Die neuen Formulierungen würden es zudem ermöglichen, dass persönliche Daten über Cookies auch weiterhin für Werbezwecke gesammelt werden. Auch die Möglichkeit für Nutzende, die Einwilligung zum Verarbeiten ihrer persönlichen Daten jederzeit widerrufen zu können, wurde komplett gestrichen. Weiter fehlt der Passus fürs Einwilligungs-Management über den Browser. Gestrichen wurde auch die Passage, die den Schutz der Privatsphäre in Browsern zur Standardeinstellung machen sollte.“
Hintergrund: So hängen die ePrivacy-Verordnung & DSGVO zusammen
Die DSGVO regelt Allgemeines, die ePrivacy-Verordnung soll in die Tiefe gehen. Während die DSGVO auf den Schutz personenbezogener Daten ausgelegt ist – die Daten sind also schon vorhanden – soll die ePVO das „Wie“ regeln: Wie kommen die Daten zum Unternehmen? Wie werden sie dort behandelt? Oder anders ausgedrückt: Die DSGVO betrifft nicht nur den digitalen Bereich – sie trifft ganz allgemein das Thema Datenschutz. Die ePrivacy-Verordnung hingegen ist speziell auf das Internet ausgerichtet. „Die Verordnung sieht parallele Regelungen vor, jedoch auch welche, die von der DSGVO abweichen und nur auf bestimmte digitale Dienste Anwendung finden sollen. Insbesondere die Digitalwirtschaft kritisiert genau dies, da Asymmetrien dadurch geschaffen werden, dass für vergleichbare Datenverarbeitungsvorgänge unterschiedliche Datenschutzregeln gelten“, erklärt Patrycja Schrenk.
Seit bald vier Jahren wird nun bereits an der ePrivacy-Verordnung gearbeitet, die eigentlich mit dem Start der DSGVO im Mai 2018 in Kraft treten sollte. Bis heute ist das Gesetz lediglich im Entwurfsstadium. Kompromisse sollen es richten, sodass die Zustimmung aller EU-Mitgliedsstaaten sicher ist – jedoch stoßen diese Kompromisse auf starke Kritiken, da sie den Datenschutz eher aufweichen würden. „Das Problem ist auch, dass bei vielen Unternehmen bereits bezüglich der DSGVO schon große Rechtsunsicherheit herrscht. Diese dürfte mit dem Start der ePrivacy-Verordnung nicht schwinden. Dabei wäre es so wichtig für Klarheit zu sorgen, anstatt den Aufwand und die Unsicherheit weiter zu erhöhen“, meint Patrycja Schrenk.
Dem Ganzen setzt ein weiterer Punkt die Krone auf: Bis zum 21. Dezember 2020 hätten auch das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) an die DSGVO angepasst sein müssen. Das ist bis heute nicht geschehen. Stattdessen plant der Gesetzgeber, datenschutzrechtliche Regelungen aus TMG und TKG zu lösen, um diese Regelungen ins Telekommunikations-Telemedien-
„Ob Telekommunikationsmodernisieru
www.psw-consulting.de