Vor Jahren hat sich die Europäische Union zum Ziel gesetzt, die gesetzlichen Regelungen, die das Recht auf Achtung der Privatsphäre betreffen, an das digitale Zeitalter anzupassen. Mit der Datenschutzgrundverordnung (DSGVO) ist ein großer Schritt für den Schutz personenbezogener Daten gelungen. Der effektive Schutz elektronischer Kommunikation lässt auf sich warten. Dieser sollte mit der ePrivacy-Verordnung neu geregelt werden. Seit Jahren tobt dazu eine wilde Lobbyschlacht. Wie es aussieht, will Österreich als EU-Vorsitzland keine Einigung herbeiführen. Die dringend nötigen Anpassungen werden absichtlich verschleppt.

Keine Datenverarbeitung ohne Einverständnis

Du hast kürzlich nach einem bestimmten Produkt gesucht und seitdem bekommst du auf jeder Seite, die du ansurfst Werbung für solche Produkte eingeblendet? Manchmal mag das ja ganz praktisch sein. Oft ist die Vorstellung aber sehr unangenehm, dass unzählige Firmen wissen, womit du dich im Augenblick beschäftigst. Du kennst nicht einmal die Namen der Unternehmen, die deine Daten verarbeiten aber sie wissen offenbar sehr viel über dich. Genau darum geht es bei der ePrivacy-Verordnung. Du sollst selbst bestimmen können, ob du die angenehmen Aspekte personalisierter Werbung in Anspruch nehmen willst oder lieber selbst entscheidest, wer Geschäfte mit Informationen über dich machen darf. Der wichtigste und auch am heftigsten diskutierte Teil der Verordnung betrifft genau dieses Tracking im Internet. Heute hast du bei der Nutzung von Webseiten keine wirkliche Entscheidungsmöglichkeit: Du musst zwar darüber informiert werden, dass die Seiten so genannte Cookies verwenden – also kleine Dateien, die auf deinem Rechner abgespeichert werden, um dein Nutzungsverhalten aufzuzeichnen und die Informationen an andere Anbieter weiterzugeben – aber du hast keine echte Möglichkeit, dem zu widersprechen. Zwar finden technisch versierte Menschen heute schon Möglichkeiten, Tracking zu umgehen. Sie sind dabei allerdings im ständigen Wettlauf mit Technologieunternehmen und Serviceanbietern, die immer ausgefeiltere Methoden anwenden. Deswegen brauchen wir gesetzliche Rahmenbedingungen, die sicherstellen, dass du wirklich selbst bestimmen kannst. 

Datenschutz als Bauprinzip von Online-Services, privatsphärefreundliche Einstellungen als Standard

Anfang 2017 hat die EU-Kommission einen Vorschlag für die Revision der ePrivacy-Richtlinie vorgelegt. Sie sollte inhaltlich aktualisiert und in eine Verordnung umgewandelt werden, die dann unmittelbar in allen Mitgliedsstaaten gilt. Doch die Wirtschaft unternimmt alles, um das zu blockieren. Große Teile der Telekommunikationsindustrie fordern sogar, die ePrivacy-Richtlinie ersatzlos zu streichen. Sie meinen, dass durch die allgemeine Datenschutz-Grundverordnung bereits alles geregelt sei und den Telekommunikationsunternehmen keine weitergehenden Pflichten oder Beschränkungen auferlegt werden sollen als anderen Datenverarbeitern. Dabei haben sie alleine durch den Betrieb ihrer Services mehr und heiklere Daten als andere - zum Beispiel Standort- und Verkehrsdaten. Hier braucht es besonderen Schutz. Anbieter von Kommunikationsdiensten müssen in die Pflicht genommen werden, Grundrechte aktiv zu schützen. Zum Beispiel durch "Privacy-by-Design" in Form von Ende-zu-Ende-Verschlüsselung, ohne „Hintertüren“ oder Sicherheitslücken, die von Polizei, Geheimdiensten und auch Kriminellen genutzt werden können. Werbetreibende Unternehmen und Online-Händler behaupten seit Jahren, dass personalisierte Werbung ihr Überleben sichert. Im Grunde sagen sie damit, dass Konsumentinnen und Konsumentinnen nicht aus der Vielzahl von Produkten wählen sollen, sondern aus jenen, die Algorithmen für sie auswählen. Weiters sollen Online-Services jeweils mit der privatsphärefreundlichsten Einstellung "ausgeliefert" werden ("Privacy-by-Default"). Du kannst dann selbst entscheiden, ob du weitere Daten von dir preisgibst, um personalisierte Angebote zu bekommen. 

Österreichische Bundesregierung bremst 

Die Kommission hat im Vorfeld Konsultationen durchgeführt. Über 80 % der Bürgerinnen und Bürger stimmen zu, dass besondere Vorschriften für elektronische Kommunikation nötig sind. Fast 90 % sind für Standardeinstellungen zugunsten der Privatsphäre. Die Mehrheit der Unternehmen (63,4 %) sieht das anders. Leider hört auch die österreichische Bundesregierung auf die Stimmen der Wirtschaft. Erst kürzlich hat Österreich als aktuelles EU-Vorsitzland vorgeschlagen, den umstrittensten Artikel aus der Verordnung ersatzlos zu streichen. In Artikel 10 ist vorgesehen, dass Anbieter von Internet-Browsern ihre Software mit der privatsphärefreundlichsten Einstellung ("Do not track") ausliefern müssen. Mit der Streichung des Artikels signalisiert die Regierung ganz klar, dass sie nicht an einer Lösung interessiert ist. Netzpolitik.org hat kürzlich getitelt: "Österreich verschiebt ePrivacy-Reform auf den St. Nimmerleinstag". Dabei fehlt nicht mehr viel, um die Verordnung zu finalisieren. Im Oktober des Vorjahres hat das EU-Parlament die datenschutzfreundliche Position des Innenausschusses trotz der Interventionen der Daten- und Werbeindustrie bestätigt. 

Details

• Strenge Regelungen auch für Skype, WhatsApp etc.: Die Bestimmungen zum Schutz der elektronischen Kommunikation, die aktuell für Telekommunikationsanbieter gelten, sollen auch für so genannte Over-The-Top-Services wie Skype oder WhatsApp angewandt werden.
• Schutz der Privatsphäre sowohl für Kommunikationsinhalte als auch für Metadaten: Die Informationen, wer wann und wie lange mit wem kommuniziert hat, sind genauso schützenswert wie die Inhalte der Kommunikation.
• Keine Datenverarbeitung ohne Einverständnis: Anbieter von Telekommunikationsdiensten dürfen nur Geschäfte mit personenbezogenen Daten machen, wenn die Betroffenen ausdrücklich zugestimmt haben.
• Bessere Regelungen für den Umgang mit Cookies: Aktuell wirst du auf Webseiten gebeten, Cookies zuzulassen. Die Einwilligung in die Aufzeichnung von Daten ist aber eigentlich unwirksam, weil du keine echte Wahl hast.
• Besserer Schutz vor Spam und unerwünschten Direktmarketing-Aktionen: Mit der Verordnung soll vor allem das Telefonmarketing stärker reglementiert werden.
• Grenzen für Offline-Tracking: Immer öfter werden die Bewegungen von Menschen in Innenstädten, Einkaufszentren oder Flughäfen anhand der WLAN- und Bluetooth-Signale ihrer Telefone nachverfolgt und für Marketingzwecke genutzt. Dieses Offline-Tracking soll nur noch dann gestattet sein, wenn du zugestimmt hast, oder wenn die Erhebung zeitlich und räumlich sowie auf rein statistisches Zählen begrenzt ist. Eine Erstellung von individuellen Bewegungsprofilen wäre eindeutig verboten.
• Privacy-by-Default: Hier geht es vor allem darum, dass die "Do-Not-Track"-Einstellungen von Browsern und Smartphone-Betriebssystemen von Beginn an möglichst privatsphärefreundlich sein müssen. 
• Recht auf Verschlüsselung und Privacy-by-Design: Anbieter von Kommunikationsdiensten sollen dazu verpflichtet werden, die Kommunikation ihrer Nutzer nach dem aktuellsten „Stand der Technik“ vor unbefugtem Zugriff zu schützen – explizit auch durch kryptographische Methoden wie Ende-zu-Ende-Verschlüsselung. Auch soll es explizit verboten werden, dass verschlüsselte Kommunikationsdaten durch jemand anderen als den Nutzer selbst entschlüsselt werden. Das bedeutet, dass die Anbieter auch nicht von Regierungen gezwungen werden dürfen, Hintertüren in ihre Dienste einzubauen.
• Mehr Transparenz über staatliche Zugriffe: Die Verordnung enthält auch Ausnahmen des Rechts auf vertrauliche Kommunikation zur Strafverfolgung oder aus Gründen der nationalen Sicherheit. Dafür soll es allerding sehr weitreichende Dokumentations- und Transparenzpflichten geben. 
• Wirkungsvolle Rechtsdurchsetzung: Wie schon bei der Datenschutzgrundverordnung soll es empfindliche Strafen für Unternehmen geben, die gegen die Regelungen verstoßen.

Digitalisierung für die Menschen, nicht für die Wirtschaft!

Im Arbeitsprogramm der Bundesregierung ist viel von Digitalisierung die Rede. Sie hat es in der Hand, diese im Sinne der Konsumentinnen und Konsumenten zu betreiben. Viel fehlt nicht mehr, um die dringend nötige ePrivacy-Verordnung zu finalisieren.

Weiterführende Informationen zum Thema findest du bei unserer Dachorganisation EDRi.