E-Privacy-Verordnung: EU-Ratsspitze will breiteren Datenzugriff zulassen

Die EU-Ratspräsidentschaft unternimmt einen neuen Anlauf für den Online-Datenschutz. Metadaten und Cookies sollen unter Auflagen stärker einsetzbar werden.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 51 Beiträge

(Bild: mixmagic/Shutterstock.com)

Von
  • Stefan Krempl

Überraschend schnell hat Portugal, das Anfang des Jahres von Deutschland den Vorsitz beim EU-Ministerrat übernommen hat, einen neuen Entwurf für die seit vier Jahren heftig umstrittene E-Privacy-Verordnung an die anderen Mitgliedsstaaten geschickt. Ziel soll es sein, "den Text zu vereinfachen" und ihn weiter an die Datenschutz-Grundverordnung (DSGVO) anzupassen.

Was zunächst überzeugend klingt, entpuppt sich beim genaueren Hinsehen vor allem als Geschenk an die datenverarbeitende Wirtschaft. Ursprüngliche Absicht der EU-Kommission war es, mit der Verordnung beim Datenschutz im sensiblen Bereich der elektronischen Kommunikation mit ihren zahlreichen Anwendungsbereichen von Messenger-Diensten übers Telefonieren bis hin zum Steuern von Sprachassistenten die Latte höher zu legen. Sollten die zusätzlichen Regeln nun weitgehend an die DSGVO angeglichen werden, erübrigen sie sich eigentlich.

Als "wichtigste Änderung" bezeichnet die portugiesische Regierung nach dem von der Bürgerrechtsorganisation Statewatch veröffentlichten Text ihren Vorschlag, dass Firmen und Behörden Metadaten wie Verbindungsinformationen für andere Zwecke als die ursprünglich vorgesehenen und vom Nutzer gestatteten verwenden können sollen. Wichtigste Voraussetzung dafür ist, dass die Verarbeitung "kompatibel" ist zur zunächst freigegebenen Absicht. Dies soll auch für Eingriffe in "Terminal-Ausrüstung" wie Browser etwa durch das Setzen von Cookies und das Auslesen damit verknüpfter Nutzerinformationen gelten.

Im neuen Artikel 6c und dem Erwägungsgrund 17aa sowie dem erweiterten Artikel 8 und zugehörigen Erläuterungen knüpfen die Portugiesen diese Zweckentfremdung an einige Bedingungen. "Gegebenenfalls" sollen Diensteanbieter die Aufsichtsbehörde kontaktieren, eine Datenschutz-Folgenabschätzung durchführen und persönliche Informationen pseudonymisieren sowie verschlüsseln. Dazu kommt die Anforderung, das Ergebnis einer Analyse zu anonymisieren, bevor Informationen an Dritte weitergegeben werden.

Beim Abweichen vom Zweckprinzip dürfen einschlägige Daten zudem nicht dazu verwendet werden, "die Art oder die Merkmale eines Endnutzers zu bestimmen oder ein Profil" über ihn zu erstellen. So will die Ratsspitze verhindern, dass individuelles Verhalten überwacht oder Rückschlüsse auf das Privatleben gezogen werden können. Standortdaten sind ausgenommen. Ansonsten bleibt dem Betroffenen nur eine Widerspruchsmöglichkeit (Opt-out). Allzu hoch sind diese Hürden für Datensammler nicht.

Die Portugiesen greifen so im Kern auf das Papier der finnischen Ratspräsidentschaft von 2019 zurück. Sie belassen es zwar beim Ansatz Deutschlands, wonach eine Datenverarbeitung aus pauschalem "berechtigtem Interesse" nicht mehr erlaubt sein soll. Firmen können sich bislang auf diese Klausel berufen, um etwa Direktwerbung zu betreiben, Betrug zu verhindern und die Sicherheit eines IT-Systems zu gewährleisten. Schon die Bundesregierung hatte dafür aber als Ersatz einzelne Erlaubnistatbestände eingeführt, die Portugal nun weiter ausbaut.

Wer auf seiner Homepage unentgeltlich Nachrichteninhalte verfügbar macht und sich über Banner finanziert, soll den Zugang dazu etwa mit dem Aufspielen von Cookies ohne Zustimmung der Nutzer verbinden können. Wer nicht für Werbezwecke ausspioniert werden will, muss gegebenenfalls ein kostenpflichtiges Abo abschließen. Diese Passage wird an die Voraussetzung geknüpft, dass der User prinzipiell zwischen verschiedenen News-Diensten wählen kann.

Die Einschränkung, dass Cookies in einem solchen Fall "durch den gleichen Anbieter" gesetzt werden müssen, hat die neue Präsidentschaft gestrichen. Diese sei "zu restriktiv" und stelle eine "Bürde" für Inhalteanbieter wie die Online-Presse dar. Cookies könnten auch ein legitimes und nützliches Mittel sein, die Effektivität eines Dienstes etwa beim Design von Webseiten und Werbung einzuschätzen oder Anzahl der Besucher zu messen, heißt es in dem Entwurf. Statistische Auswertungen sollen generell liberaler gehandhabt werden.

Ein übergreifendes Tracking wäre so zulässig. Von "unerwünschter geschäftlicher Kommunikation" ist gar nicht mehr die Rede. Die Möglichkeiten für das sprachlich bevorzugte Direktmarketing will Portugal auch mithilfe automatisierter Systeme wie Bots erweitern.

Ein weiteres aufgeführtes Beispiel für die kommerzielle Nutzung von Metadaten ist die Bereitstellung sogenannter Heatmaps. Anbieter sollen so Daten unter Einsatz spezieller grafischer Mittel verwenden dürfen, um die Anwesenheit von Personen an speziellen Orten zu visualisieren. Um etwa Verkehrsbewegungen während eines bestimmten Zeitraums darzustellen, dürften laut dem Papier auch personenbezogene Kennungen verwendet werden, um die Positionen von Individuen in bestimmten Zeitintervallen anzuzeigen.

Eine Einwilligung soll auch nicht erforderlich sein, wenn Speicherkapazitäten von Endgeräten genutzt werden, um Sicherheitslücken zu beheben und entsprechende Software-Updates einzuspielen. Der Nutzer muss über diese Praxis aber vorher informiert worden sein. Die Aktualisierungen dürfen die Funktionalität der Hardware oder Software oder die Datenschutzeinstellungen zudem nicht verändern. Verbindungsdaten dürften außerdem zum Schutz lebenswichtiger Interessen verwendet werden wie etwa in humanitären Notsituationen oder in Epidemien.

Sofern verfügbar und technisch machbar, kann ein Nutzer dem Papier nach über Softwareeinstellungen einem bestimmten Anbieter die Erlaubnis zum Setzen von Cookies für einen oder mehrere bestimmte Zwecke erteilen. Auch das Anlegen einer "grünen Liste" soll so möglich sein. Artikel 10 zum "Do not Track"-Standard, der sich in der Praxis kaum durchsetzen konnte, bleibt gestrichen. Das EU-Parlament hatte diesen in seiner Stellungnahme noch gewünscht.

Die Klausel zu einer möglichen nationalen Vorratsdatenspeicherung haben die Portugiesen ebenso gestrichen wie die zum Durchleuchten elektronischer Kommunikation im Kampf gegen Darstellungen sexuellen Kindesmissbrauch. Die EU-Gesetzgeber arbeiten hier parallel schon an separaten Ansätzen. Allgemein soll das Verarbeiten von Daten zulässig sein, "um gesetzliche Auflagen zu befolgen".

Um die Vertraulichkeit elektronischer Kommunikation zu gewährleisten, sollen die Betreiber Sicherheitsmaßnahmen anwenden. Das Verbot des Abfangens von Inhalten will die Präsidentschaft bis zum Empfang einer Nachricht durch den vorgesehenen Adressaten gelten lassen, also während des "Ende-zu-Ende-Austauschs". Andererseits ist der Rat auf der Suche nach Lösungen, mit denen Sicherheitsbehörden auch bei durchgehender Verschlüsselung auf Klartext zugreifen können.

Die Regeln sollen ferner für Kommunikation zwischen Maschinen etwa im Internet der Dinge gelten, solange sie nicht allein in geschlossenen Netzwerken etwa in Fabriken erfolgt. Der Nachrichtenaustausch rein innerhalb von Behörden bleibt außen vor. Voll anwendbar sein soll die Verordnung, die nicht mehr unbedingt in nationales Recht umgesetzt werden muss, nach zwölf Monaten. Bisher waren zwei Jahre Übergangsfrist vorgesehen. (olb)