Beitrag von Jürgen Klute

Die Aufregung um die DSGVO – die Datenschutzgrundverordnung der EU – und die EU-Urheberrechts-Richtlinie ist sicher vielen noch in guter Erinnerung. Während die DSGVO den Bürger*innen ein deutliches Plus an Schutz vor dem ungezügelten Datenhunger vieler IT-Unternehmen gebracht hat, ist die Urheberrechtsreform bis heute umstritten. Aber immerhin nimmt die EU die Notwendigkeit von Datenschutz ernst und zeigt sich bereit und fähig, sich auch mit Konzernen wie Facebook, Google, Apple, etc. anzulegen im Interesse der Bürger*innen. Von den Regierungen der EU-Mitgliedsländer – versammelt im Europäischen Rat – lässt sich das nicht belegen.

Darauf verweist der Europaabgeordnete Patrick Breyer, der im Mai 2019 für die Piratenpartei ins Europäische Parlament gewählt wurde. Er ist Schattenberichterstatter seiner Fraktion, Die Grünen/EFA, für die bereits seit 2017 auf der EU-Tagesordnung stehende EU-Verordnung über Privatsphäre und elektronische Kommunikation (bzw. Achtung des Privatlebens und Schutz personenbezogener Daten in der elektronischen Kommunikation und Aufhebung der Richtlinie 2002/58/EG).

Gegenstand dieser EU-Verordnung (zu EU-Verordnungen siehe den entsprechenden Wikipedia-Artikel) sind sowohl die Inhalte und die Metadaten (Adressen, Absender, Betreff, etc.) elektronischer Kommunikation als auch die Informationen über die Endgeräte der Nutzer*innen: Laptops, PCs, Handys und Tablets. Mit anderen Worten geht es dabei dieser EU-Verordnung um die Vertraulichkeit elektronischer Kommunikation, um das Recht auf Ungestörtheit, also die Beschränkung elektronischer Massenkommunikation (Spam) und um die Kontrolle von Endbenutzer*innen über ihre Geräte (Cookies).

Das Europäische Parlament hatte seinen Beratungsprozess zu dieser Verordnung bereits im Oktober 2017 abgeschlossen und dem Verhandlungsteam das Mandat für den so genannten Tiolog erteilt, also für die Kompromissverhandlungen zwischen den drei am EU-Gesetzgebungsverfahren beteiligten Institutionen Europäische Parlament, Europäischer Rat (die beide als gleichberechtigte Ko-Gesetzgeber fungieren) und der Europäischen Kommission als ursprünglicher Einbringer der Verordnung und Überwacherin der Einhaltung der Europäischen Verträge im Gesetzgebungsverfahren.

Der Europäische Rat hat sich jedoch bis heute nicht zu einer gemeinsamen Position durchringen können. Folglich hat der Triolog nicht immer nicht begonnen. Wohl aber hat der Vorsitzende des Europäische Rats ein Dokument veröffentlicht, in dem Forderungen des Rates im Blick auf die Verordnung über Privatsphäre und elektronische Kommunikation formuliert sind.

“Die Regierungen versuchen, diese Verordnung zu kapern, um verpflichtende und freiwillige Vorratsdatenspeicherung, Tracking und Uploadfilter zu legalisieren. Ehrlicherweise sollten sie die ePrivacy-Verordnung gleich umbenennen in ‘dePrivacy’. Mit uns ist dieser Anschlag auf unsere digitale Selbstbestimmung nicht zu machen!” So der Kommentar von Patrick Breyer zu den Vorstellungen der Regierungen der EU-Mitgliedsstaaten.

Breyer hat seine Kritik an dem Rats-Dokument in einem Stichworte-Papier (EN), das auf seiner Webseite veröffentlicht ist, konkretisiert.

So will der Rat für den Geltungsbereich der Verordnung (Artikel 2) Ausnahmen für “Aktivitäten im Bereich Sicherheit und Verteidigung” durchsetzen. Damit, so Breyer, lässt der Rat die Tür für eine verpflichtende Datenspeicherung offen, die es aus Sicht der Parlamentarier nicht geben soll. Bereits gespeicherte Kommunikationsdaten sollen nach den Vorstellungen des Rate ebenfalls nicht in den Anwendungsbereich der Verordnung fallen.

Weiterhin will der EU-Rat die Verordnung auf Nutzer*innen beschränken, die sich in der Europäischen Union befinden (Artikel 3).

Im Interesse der IT-Unternehmen will der Rat eine Hintertür für eine kommerzielle Datenspeicherung in Form einer Einwilligungserklärung ohne jede Schutzfunktion für Nutzer*innen in die Verordnung einbauen (Artikel 6), so Breyer weiter.

Diese Form der kommerziellen Datenspeicherung bezieht sich sowohl auf Inhalte wie auf Metadaten. Als Argument für die Speicherung von Inhalten nennt der Rat laut Breyer verschwommene Gründe wie “Netzwerksicherheit”, “technische Fehler erkennen”, “Sicherheitsrisiken”, “Angriffe”, “Sicherheitsrisiken erkennen oder verhindern und/oder Angriffe auf Endgeräte der Endnutzer”, jede “rechtliche Verpflichtung” nach nationalem Recht zum “Schutz der öffentlichen Sicherheit”. Letzteres, so die Einschätzung Breyers, ist die Hintertür zur Durchsetzung einer Datenspeicherung.

Die Speicherung von Metadaten sei in dem Rats-Dokument ähnlich unpräzise begründet: “Netzmanagement”, “Netzoptimierung”, “Dienstqualität”, “Aufdeckung oder Beendigung der betrügerischen oder missbräuchlichen Nutzung oder Subskription von elektronischen Kommunikationsdiensten”, “zum Schutz der lebenswichtigen Interessen einer natürlichen Person im Notfall, im Allgemeinen auf Ersuchen einer zuständigen Behörde”, “Statistik/Forschungszwecke”.

Ganz in dieser Logik verbleibend nennt das Rats-Dokument weder Sicherheitsvorkehrungen für die Bürger*innen noch Einschränkungen auf bestimmte Fälle. Der Begriff „Verarbeitung“ von Daten umfasst aus Sicht des Rates auch eine Übermittlung von Daten an Dritte. Ein Zweckbindung der Datenspeicherung beinhaltet der Ratsvorschlag ebensowenig wie Höchstfristen der Speicherung (etwa in der Art wie “bis zum Ende der Frist, in der ein Wechsel rechtmäßig angefochten oder eine Zahlung nach nationalem Recht verfolgt werden kann”).

Zu Artikel 6d schlägt der Rat vor, dass Anbieter von Kommunikationsdiensten elektronische Kommunikationsdaten ausschließlich zum Zwecke der Verhinderung von sexuellem Missbrauch und sexueller Ausbeutung von Kindern durch Aufdeckung, Löschung und Meldung von Material verarbeiten dürfen. Was hier als scheinbar strikte Einschränkung einer Datenverarbeitung durch Kommunikationsdienstleister auf äußerst verwerfliche kriminelle Handlungen formuliert ist, öffnet jedoch Türen für Datenschnüffelei. Will man einen solchen Missbrauch über elektronische Kommunikationsweg effektiv verhindern – und wer wollte sich dem entgegenstellen –, dann muss man die komplette elektronische Kommunikation auf entsprechend verdächtige Stichworte hin kontrollieren, statt die Überprüfung strikt auf begründete Verdachtsfälle mit richterlicher Erlaubnis einzugrenzen.

In Artikel 7 will der Rat zum Schutz der öffentlichen Sicherheit das Recht der Union oder der Mitgliedstaaten gemäß Artikel 11 dahingehend ausweiten, dass die Metadaten der elektronischen Kommunikation für einen begrenzten Zeitraum aufbewahrt werden können, der länger als der in diesem Artikel festgelegte Zeitraum ist.

Im Blick auf Cookies wünscht sich der Rat eine Einwilligung zur Erbringung eines angeforderten Dienstes für das Publikum – einschließlich einer Messung durch Dritte – zwecks Sicherheit der Dienste der Informationsgesellschaft oder Endgeräte des Endnutzers sowie zur Betrugsprävention oder Aufdeckung technischer Fehler (Artikel 8).

Die Kommunikation von Maschine zu Maschine über nicht-öffentliche Netze einschließlich IoT-Geräte (IoT = Internet of Things / Internet der Dinge) wie intelligente Zähler will der Rat von den Cookie-Regeln ausnehmen (vgl. auch Erwägungsgrund 21 der Verordnung).

Die in der Verordnung vorgesehen Anforderung an Browserhersteller, die Funktion „nicht verfolgen“ – also Ausschluss von Tracking durch Cookies – (Artikel 10) will der Rat gestrichen wissen.

In Artikel 11 hätte der Rat gerne vorgesehen, dass EU-Mitgliedsländer Vertraulichkeitsregeln auch bei der Durchsetzung von Zivilklagen außer Kraft setzen können.

Den Mitgliedsländern will der Rat in Artikel 16 zudem zugestehen, per Gesetz eine bestimmte Zeitspanne nach dem Verkauf eines Produkts oder einer Dienstleistung festzulegen, innerhalb derer eine natürliche oder juristische Person die Kontaktdaten ihres Kunden bzw. des Endverbrauchers, der eine natürliche Person ist, für Direktmarketingzwecke nutzen kann.

Schließlich will der Rat keine Information von Nutzern über Sicherheitsrisiken und er will so genannte „Tracking Walls“ (Artikel 17), also eine Zugangsschranke zu Webseiten, die nur zu überwinden ist, wenn die Nutzer*innen den Tracking-Wünschen des Webseiteninhabers – also dem Setzen von Cookies – zustimmen. Mit „Tracking Walls“ lässt sich die DSGVO auszuhebeln. Gleiches gilt im Blick auf Werbung. Wer Adblocker setzt, dem wird der Zugang zur Webseite gesperrt. Das machen insbesondere Zeitungsportale.

Dass der Rat dann auch noch Verschlüsselungsanforderungen für elektronische Kommunikation zurückweist, überrascht nach all dem, was Patrick Breyer über das Rats-Dokument zu sagen weiß, nicht mehr.

Damit erweisen sich die demokratisch gewählten Regierungen der EU-Mitgliedsländer, die den Europäischen Rat bilden, einmal mehr als die größten Wirtschaftslobbyisten innerhalb der EU, denen Bürgerrechte – im konkreten Fall die Interessen ihrer Wähler*innen an Datenschutz und Schutz vor übergriffigen Interessen der IT-Konzerne – wenig bis gar nichts bedeuten.

Es bleibt zu hoffen, dass Patrick Breyer ausreichend Mitstreiter*innen im Europäischen Parlament findet, die sich seine klare Ansage zueigen machen: “Mit uns ist dieser Anschlag auf unsere digitale Selbstbestimmung nicht zu machen!”


Update 26.11.2019: Der Link auf das Rats-Dokument, auf das Patrick Breyer sich bezieht, wurde eingefügt.

Titelbild: Digitalcourage | Foto: Verena Hornung CC BY-SA 2.0

974