[datensicherheit.de, 02.05.2021] Die Entwurfs-Fassung der neuen ePrivacy-Verordnung vom Februar 2021 stößt laut einer aktuellen Stellungnahme der PSW GROUP Consulting bei ihren IT-Sicherheitsexperten auf deutliche Kritik: „Zwar existieren auch im aktuellen Entwurf klare Verbesserungen für den Schutz der Privatsphäre von Nutzenden. Doch soll für sämtliche Bestimmungen eine Ausnahme gelten, wenn die nationale Sicherheit oder Verteidigung in Gefahr gerate“, kritisiert Geschäftsführerin Patrycja Schrenk. Im Klartext heiße dies: „Die ePrivacy-Verordnung wird keinen Schutz vor der Überwachung durch Geheimdienste bieten.“

Foto: PSW GROUP

Patrycja Schrenk: Von den einst ambitionierten Zielen ist im Entwurf vom Februar 2021 nicht mehr viel zu sehen!

ePrivacy-Verordnung sollte bisherige ePrivacy-Richtlinie ablösen und die DSGVO konkretisieren

Um die Privatsphäre in der elektronischen Kommunikation zu schützen, habe die EU-Kommission mit der ePrivacy-Verordnung (ePVO) bereits im Januar 2017 einen Vorschlag vorgelegt. Diese habe die bisherige ePrivacy-Richtlinie ablösen sollen, die EU-Datenschutz-Grundverordnung (DSGVO) konkretisieren und gemeinsam mit dieser in Kraft treten.
Aufgrund heftigen Widerstands aus der Wirtschaft, habe die Europäische Union die ePrivacy-Verordnung jedoch ausgesetzt. Immerhin ebne dies nun den Weg zu den Verhandlungen, welche über den finalen Text geführt werden müssten. Die Mehrheit der EU-Staaten unter der Führung der portugiesischen Ratspräsidentschaft habe den von Portugal eingebrachten Vorschlag unterstützt.

ePrivacy-Verordnung sollte es Internet-Nutzern eigentlich ermöglichen, Tracking besser kontrollieren zu können

Ziel der ePrivacy-Verordnung sei es, Internet-Nutzern zu ermöglichen, Tracking besser kontrollieren zu können. Das Ausspähen von Betroffenen über Cookies oder andere Technologien ohne Einwilligung solle verboten werden und Browser sollten Privatsphäre-freundliche Einstellungen zum Standard machen. Die Kommunikation über „Messenger“ wie „Threema“ oder „WhatsApp“ solle rechtlich vor kommerzieller Auswertung geschützt sein, ebenso wie Anrufe oder SMS. „Man möchte eine Art digitales Briefgeheimnis erreichen.“
Schrenk moniert: „Von den einst ambitionierten Zielen ist im Entwurf vom Februar 2021 nicht mehr viel zu sehen. Die Schlüsselpassagen wurden deutlich abgespeckt, es gibt wieder Raum für umfangreiches Tracking. Tech-Konzerne wie Facebook oder Google könnten weiter immense Mengen an Nutzerdaten abschöpfen und für Werbezwecke verwenden.“ Laut aktuellem Entwurf wäre es erlaubt, die Metadaten der Nutzenden ohne Einwilligung weiterzuverarbeiten – dafür genügten „kompatible Gründe“. Somit hätten Messenger- oder Telefonanbieter die Möglichkeit, die Gewohnheiten der Betroffenen für Werbezwecke abzugreifen.

eprivacy-Verordnung: Sammlung persönlicher Daten über Cookies weiterhin für Werbezwecke möglich

Die neuen Formulierungen würden es zudem ermöglichen, dass persönliche Daten über Cookies auch weiterhin für Werbezwecke gesammelt werden könnten. Auch die Möglichkeit für Nutzende, die Einwilligung zum Verarbeiten ihrer persönlichen Daten jederzeit widerrufen zu können, sei komplett gestrichen worden. Weiter fehle der Passus fürs Einwilligungs-Management über den Browser. „Gestrichen wurde auch die Passage, die den Schutz der Privatsphäre in Browsern zur Standardeinstellung machen sollte.“
Schrenk erläutert den Hintergrund: „Die DSGVO regelt Allgemeines, die ePrivacy-Verordnung soll in die Tiefe gehen. Während die DSGVO auf den Schutz personenbezogener Daten ausgelegt ist – die Daten sind also schon vorhanden – soll die ePVO das ,Wie‘ regeln: Wie kommen die Daten zum Unternehmen? Wie werden sie dort behandelt? Oder anders ausgedrückt: Die DSGVO betrifft nicht nur den digitalen Bereich – sie trifft ganz allgemein das Thema Datenschutz. Die ePrivacy-Verordnung hingegen ist speziell auf das Internet ausgerichtet.“ Die Verordnung sehe parallele Regelungen vor, jedoch auch welche, die von der DSGVO abwichen und nur auf bestimmte digitale Dienste Anwendung finden sollten. Insbesondere die Digitalwirtschaft kritisiere genau dies, da Asymmetrien dadurch geschaffen würden, „dass für vergleichbare Datenverarbeitungsvorgänge unterschiedliche Datenschutzregeln gelten“.

Bald vier Jahren wirde nun bereits an der ePrivacy-Verordnung gearbeitet

Seit bald vier Jahren werde nun bereits an der ePrivacy-Verordnung gearbeitet, die eigentlich mit dem Start der DSGVO im Mai 2018 in Kraft hätte treten sollen. „Bis heute ist das Gesetz lediglich im Entwurfsstadium. Kompromisse sollen es richten, so dass die Zustimmung aller EU-Mitgliedsstaaten sicher ist – jedoch stoßen diese Kompromisse auf starke Kritiken, da sie den Datenschutz eher aufweichen würden.“
Schrenk führt weiter aus: „Das Problem ist auch, dass bei vielen Unternehmen bereits bezüglich der DSGVO schon große Rechtsunsicherheit herrscht. Diese dürfte mit dem Start der ePrivacy-Verordnung nicht schwinden. Dabei wäre es so wichtig für Klarheit zu sorgen, anstatt den Aufwand und die Unsicherheit weiter zu erhöhen.“

ePrivacy-Verordnung sollte eigentlich Verbraucherrechte im Internet stärken

Dem Ganzen setze ein weiterer Punkt die Krone auf: Bis zum 21. Dezember 2020 hätten auch das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) an die DSGVO angepasst sein müssen. Dies sei bis heute nicht geschehen. Stattdessen plane der Gesetzgeber, datenschutzrechtliche Regelungen aus TMG und TKG zu lösen, um diese Regelungen ins Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) überführen zu können. Zu allem Überfluss solle der Kodex elektronischer Kommunikation durch ein Telekommunikationsmodernisierungsgesetz (TKModG) in nationales Recht umgesetzt werden.
„Ob Telekommunikationsmodernisierungsgesetz und Telekommunikations-Telemedien-Datenschutzgesetz noch vor der diesjährigen Bundestagswahl verabschiedet werden, wage ich zu bezweifeln. Wichtig wäre jedoch, dass beide Gesetze zeitgleich wirksam werden“, betont Schrenk. Andernfalls sorgten Gesetzeslücken dafür, dass die Privatheit in der elektronischen Kommunikation massiv gefährdet sein könnte. Genauso wichtig wäre es, eine ePrivacy-Verordnung zu schaffen, welche die Verbraucherrechte im Internet stärkt, Entwickler und Betreiber in die Pflicht nimmt und vor allem Rechtssicherheit bei Unternehmen schafft.

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 01.03.2021
ePrivacy-Verordnung 2021: Was ändert sich beim EU-Datenschutz?

datensicherheit.de, 10.02.2021
ePrivacy-Verordnung: Ulrich Kelber kritisiert Position des EU-Rats / Der BfDI sieht in der am 10. Februar 2021 verabschiedeten Fassung der ePrivacy-Verordnung deutliche Fehler

datensicherheit.de, 18.11.2019
Starker Verbraucherschutz für die ePrivacy-Verordnung gefordert / vzbv-Vorstand Klaus Müller sieht Überschreitung Roter Linien beim gegenwärtigen Entwurf

[datensicherheit.de, 10.02.2021] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, sieht nach eigenen Angaben in der am 10. Februar 2021 vom Rat der EU verabschiedeten Fassung der ePrivacy-Verordnung deutliche Fehler: „Wenn die ePrivacy-Verordnung so bleibt, wie der Rat der EU sie heute beschlossen hat, wäre das ein schwerer Schlag für den Datenschutz. Ich appelliere dringend an das Europäische Parlament und die EU-Kommission während der Trilog-Verhandlungen für eine Anhebung des Datenschutzniveaus einzutreten.“

ePrivacy-Verordnung sieht u.a. Wiedereinführung der Vorratsdatenspeicherung vor

Der BfDI benennt klar die größten Gefahren, die aktuell von der ePrivacy-Verordnung ausgehen: „Die Verordnung sieht die Wiedereinführung der Vorratsdatenspeicherung vor, die schon vor so vielen Gerichten gescheitert ist. Auch bei den Regeln im Internet gäbe es Rückschritte, denn mit der Verordnung wären sogenannte .Cookie Walls# zulässig. Es wurden außerdem einige wichtige Garantien für Nutzer, wie beispielsweise das Widerspruchsrecht und die Datenschutz-Folgenabschätzung gestrichen.“
Auch ein Rückgriff auf die Garantien der Datenschutz-Grundverordnung (DSGVO) sei ausgeschlossen. Nicht zuletzt ermögliche diese Version der ePrivacy-Verordnung, dass personenbezogene Daten ohne Einwilligung der Nutzenden zu anderen Zwecken weiterverarbeitet werden könnten. Professor Kelber kritisiert: „Es macht mich fassungslos, wie schwerwiegend hier in Grundrechte der europäischen Bürgerinnen und Bürger eingegriffen wird.“

Ohne Nachbesserungen der ePrivacy-Verordnung würden beim Datenschutz mehrere Rote Linien gleichzeitig überschritten

Sollte es während der sogenannten Trilog-Verhandlungen nicht zu erheblichen Nachbesserungen an der Verordnung kommen, würden damit im Bereich Datenschutz mehrere Rote Linien gleichzeitig überschritten. Die EU-Mitgliedstaaten arbeiteten mittlerweile seit vier Jahren daran, die ePrivacy-Verordnung auf den Weg zu bringen.
„Das Europäische Parlament hatte sich hingegen schon neun Monate nach Vorlage des Verordnungsentwurfs durch die EU-Kommission auf seine Verhandlungsposition festgelegt. Eine Einigung auf gemeinsame Regeln ist überfällig“, so Professor Kelber. Der BfDI werde sich national und auf europäischer Ebene dafür einsetzen, „dass der Ergebnisdruck nicht zu einer Schwächung des Datenschutzniveaus führt“.

Weitere Informationen zum Thema:

datensicherheit.de, 18.11.2019
Starker Verbraucherschutz für die ePrivacy-Verordnung gefordert / vzbv-Vorstand Klaus Müller sieht Überschreitung Roter Linien beim gegenwärtigen Entwurf

[datensicherheit.de, 07.10.2020] Prof. Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) fordert nach eigenen Angaben die Bundesregierung auf, das Urteil des Europäischen Gerichtshofes (EuGH) zur Vorratsdatenspeicherung als Grenze für zukünftige Gesetze zu sehen. Der europäische und deutsche Gesetzgeber sollten sich bei zukünftigen Rechtssetzungsvorhaben am Urteil des EuGH orientieren. Auch die Parteien sollten das Urteil in ihren Wahlprogrammen für die Bundestagswahl 2021 berücksichtigen.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber seit Jahren kritisch gegenüber anlassloser Vorratsdatenspeicherung

Auf europäischer Ebene sollten keine neuen Regelungen zur Vorratsdatenspeicherung entstehen!

„Es ist nicht nachvollziehbar, dass ein Jahr vor der Bundestagswahl im Schnellverfahren anstehende Gesetze im Bereich Telekommunikation geplant sind, die der Linie des EuGH widersprechen“, so Professor Kelber.
Vielmehr sollte sich Deutschland während seiner Ratspräsidentschaft dafür einsetzen, „dass auf europäischer Ebene keine neuen Regelungen zur Vorratsdatenspeicherung entstehen“. Dies gelte insbesondere für die aktuell diskutierte „ePrivacy“-Verordnung.

Wegweisendes EuGH-Urteil zur anlasslosen und pauschalen Vorratsdatenspeicherung

Der BfDI äußere sich bereits seit Jahren kritisch zu einer anlasslosen Vorratsdatenspeicherung und sehe sich durch das Urteil des EuGH bestätigt:
Mit diesem „wegweisenden Urteil“ werde die anlasslose und pauschale Vorratsdatenspeicherung von Verkehrs- und Standortdaten, die dokumentierten, wer mit wem, wann, wie lange und von wo aus telefoniert hat, für unvereinbar mit europäischem Recht erklärt.

Gezielte Vorratsdatenspeicherung zur Aufklärung von Straftaten oder Gefahrenabwehr zeitlich begrenzt möglich

Gleichzeitig stelle der EuGH klar, dass zur Abwehr von schweren Straftaten und zur Sicherstellung der nationalen Sicherheit weiterhin unter bestimmten Bedingungen eine Vorratsdatenspeicherung möglich sei.
Die jeweilige nationale Anordnung zur Vornahme der Speicherung müsse jedoch zeitlich befristet sein und einer wirksamen Überprüfung durch ein Gericht oder eine unabhängige Verwaltungsbehörde unterliegen.

Weitere Informationen zum Thema:

datensicherheit.de, 06.10.2020
EuGH: Pauschale Vorratsdatenspeicherung rechtswidrig / Nichtregierungsorganisationen fordern in einem Offenem Brief an EU-Kommission Verzicht auf anlasslose Vorratsdatenspeicherung