ePrivacy-Verordnung 2021: Ausnahmen unterlaufen Schutz vor Überwachung durch Geheimdienste

Patrycja Schrenk kritisiert abgespeckte Schlüsselpassagen im aktuellen Entwurf der ePrivacy-Verordnung

[datensicherheit.de, 02.05.2021] Die Entwurfs-Fassung der neuen ePrivacy-Verordnung vom Februar 2021 stößt laut einer aktuellen Stellungnahme der PSW GROUP Consulting bei ihren IT-Sicherheitsexperten auf deutliche Kritik: „Zwar existieren auch im aktuellen Entwurf klare Verbesserungen für den Schutz der Privatsphäre von Nutzenden. Doch soll für sämtliche Bestimmungen eine Ausnahme gelten, wenn die nationale Sicherheit oder Verteidigung in Gefahr gerate“, kritisiert Geschäftsführerin Patrycja Schrenk. Im Klartext heiße dies: „Die ePrivacy-Verordnung wird keinen Schutz vor der Überwachung durch Geheimdienste bieten.“

Foto: PSW GROUP

Patrycja Schrenk: Von den einst ambitionierten Zielen ist im Entwurf vom Februar 2021 nicht mehr viel zu sehen!

ePrivacy-Verordnung sollte bisherige ePrivacy-Richtlinie ablösen und die DSGVO konkretisieren

Um die Privatsphäre in der elektronischen Kommunikation zu schützen, habe die EU-Kommission mit der ePrivacy-Verordnung (ePVO) bereits im Januar 2017 einen Vorschlag vorgelegt. Diese habe die bisherige ePrivacy-Richtlinie ablösen sollen, die EU-Datenschutz-Grundverordnung (DSGVO) konkretisieren und gemeinsam mit dieser in Kraft treten.
Aufgrund heftigen Widerstands aus der Wirtschaft, habe die Europäische Union die ePrivacy-Verordnung jedoch ausgesetzt. Immerhin ebne dies nun den Weg zu den Verhandlungen, welche über den finalen Text geführt werden müssten. Die Mehrheit der EU-Staaten unter der Führung der portugiesischen Ratspräsidentschaft habe den von Portugal eingebrachten Vorschlag unterstützt.

ePrivacy-Verordnung sollte es Internet-Nutzern eigentlich ermöglichen, Tracking besser kontrollieren zu können

Ziel der ePrivacy-Verordnung sei es, Internet-Nutzern zu ermöglichen, Tracking besser kontrollieren zu können. Das Ausspähen von Betroffenen über Cookies oder andere Technologien ohne Einwilligung solle verboten werden und Browser sollten Privatsphäre-freundliche Einstellungen zum Standard machen. Die Kommunikation über „Messenger“ wie „Threema“ oder „WhatsApp“ solle rechtlich vor kommerzieller Auswertung geschützt sein, ebenso wie Anrufe oder SMS. „Man möchte eine Art digitales Briefgeheimnis erreichen.“
Schrenk moniert: „Von den einst ambitionierten Zielen ist im Entwurf vom Februar 2021 nicht mehr viel zu sehen. Die Schlüsselpassagen wurden deutlich abgespeckt, es gibt wieder Raum für umfangreiches Tracking. Tech-Konzerne wie Facebook oder Google könnten weiter immense Mengen an Nutzerdaten abschöpfen und für Werbezwecke verwenden.“ Laut aktuellem Entwurf wäre es erlaubt, die Metadaten der Nutzenden ohne Einwilligung weiterzuverarbeiten – dafür genügten „kompatible Gründe“. Somit hätten Messenger- oder Telefonanbieter die Möglichkeit, die Gewohnheiten der Betroffenen für Werbezwecke abzugreifen.

eprivacy-Verordnung: Sammlung persönlicher Daten über Cookies weiterhin für Werbezwecke möglich

Die neuen Formulierungen würden es zudem ermöglichen, dass persönliche Daten über Cookies auch weiterhin für Werbezwecke gesammelt werden könnten. Auch die Möglichkeit für Nutzende, die Einwilligung zum Verarbeiten ihrer persönlichen Daten jederzeit widerrufen zu können, sei komplett gestrichen worden. Weiter fehle der Passus fürs Einwilligungs-Management über den Browser. „Gestrichen wurde auch die Passage, die den Schutz der Privatsphäre in Browsern zur Standardeinstellung machen sollte.“
Schrenk erläutert den Hintergrund: „Die DSGVO regelt Allgemeines, die ePrivacy-Verordnung soll in die Tiefe gehen. Während die DSGVO auf den Schutz personenbezogener Daten ausgelegt ist – die Daten sind also schon vorhanden – soll die ePVO das ,Wie‘ regeln: Wie kommen die Daten zum Unternehmen? Wie werden sie dort behandelt? Oder anders ausgedrückt: Die DSGVO betrifft nicht nur den digitalen Bereich – sie trifft ganz allgemein das Thema Datenschutz. Die ePrivacy-Verordnung hingegen ist speziell auf das Internet ausgerichtet.“ Die Verordnung sehe parallele Regelungen vor, jedoch auch welche, die von der DSGVO abwichen und nur auf bestimmte digitale Dienste Anwendung finden sollten. Insbesondere die Digitalwirtschaft kritisiere genau dies, da Asymmetrien dadurch geschaffen würden, „dass für vergleichbare Datenverarbeitungsvorgänge unterschiedliche Datenschutzregeln gelten“.

Bald vier Jahren wirde nun bereits an der ePrivacy-Verordnung gearbeitet

Seit bald vier Jahren werde nun bereits an der ePrivacy-Verordnung gearbeitet, die eigentlich mit dem Start der DSGVO im Mai 2018 in Kraft hätte treten sollen. „Bis heute ist das Gesetz lediglich im Entwurfsstadium. Kompromisse sollen es richten, so dass die Zustimmung aller EU-Mitgliedsstaaten sicher ist – jedoch stoßen diese Kompromisse auf starke Kritiken, da sie den Datenschutz eher aufweichen würden.“
Schrenk führt weiter aus: „Das Problem ist auch, dass bei vielen Unternehmen bereits bezüglich der DSGVO schon große Rechtsunsicherheit herrscht. Diese dürfte mit dem Start der ePrivacy-Verordnung nicht schwinden. Dabei wäre es so wichtig für Klarheit zu sorgen, anstatt den Aufwand und die Unsicherheit weiter zu erhöhen.“

ePrivacy-Verordnung sollte eigentlich Verbraucherrechte im Internet stärken

Dem Ganzen setze ein weiterer Punkt die Krone auf: Bis zum 21. Dezember 2020 hätten auch das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) an die DSGVO angepasst sein müssen. Dies sei bis heute nicht geschehen. Stattdessen plane der Gesetzgeber, datenschutzrechtliche Regelungen aus TMG und TKG zu lösen, um diese Regelungen ins Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) überführen zu können. Zu allem Überfluss solle der Kodex elektronischer Kommunikation durch ein Telekommunikationsmodernisierungsgesetz (TKModG) in nationales Recht umgesetzt werden.
„Ob Telekommunikationsmodernisierungsgesetz und Telekommunikations-Telemedien-Datenschutzgesetz noch vor der diesjährigen Bundestagswahl verabschiedet werden, wage ich zu bezweifeln. Wichtig wäre jedoch, dass beide Gesetze zeitgleich wirksam werden“, betont Schrenk. Andernfalls sorgten Gesetzeslücken dafür, dass die Privatheit in der elektronischen Kommunikation massiv gefährdet sein könnte. Genauso wichtig wäre es, eine ePrivacy-Verordnung zu schaffen, welche die Verbraucherrechte im Internet stärkt, Entwickler und Betreiber in die Pflicht nimmt und vor allem Rechtssicherheit bei Unternehmen schafft.

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 01.03.2021
ePrivacy-Verordnung 2021: Was ändert sich beim EU-Datenschutz?

datensicherheit.de, 10.02.2021
ePrivacy-Verordnung: Ulrich Kelber kritisiert Position des EU-Rats / Der BfDI sieht in der am 10. Februar 2021 verabschiedeten Fassung der ePrivacy-Verordnung deutliche Fehler

datensicherheit.de, 18.11.2019
Starker Verbraucherschutz für die ePrivacy-Verordnung gefordert / vzbv-Vorstand Klaus Müller sieht Überschreitung Roter Linien beim gegenwärtigen Entwurf