E-Privacy Verordnung kommt wieder auf Kurs
Von Erich Moechel
Die portugiesische Ratspräsidentschaft hat kurz nach ihrem Amtsantritt am 1. Jänner bereits einen Neuentwurf der E-Privacy-Verordnung vorgelegt. Deren Verabschiedung war eigentlich bereits für Mai 2016 geplant, doch im Rat legten sich die Minister mehrerer Mitgliedsstaaten quer. Jahrelang wurde versucht, in dieser Begleitregelung zur Datenschutzgrundverordnung (DSGVO) - von der Vorratsdatenspeicherung bis zu Upload-Filtern - Ausnahmen zu verankern.
Keiner dieser Vorstöße fand im Rat eine Mehrheit. Die Neufassung aus Portugal geht nun wieder in die ursprüngliche Richtung einer Daten- und Verbraucherschutzverordnung. „Die Präsidentschaft schlägt hier vor, den Text zu vereinfachen und ihn an die Datenschutzgrundverordung anzunähern“, heißt es denn auch einleitend. Anders als von den Hardlinern im Rat gefordert, wird Ende-zu-Ende-Verschlüsselung nicht unterminiert, sondern explizit geschützt.
ePrivacy
In Artikel 7, Abschnitt 4 hatte die deutsche Ratspräsidentschaft die Verankerung der Vorratsdatenspeicherung hinterlassen. Die Neufassung der Verordnung zum Schutz des Privatlebens und der persönlichen Daten in der elektronischen Kommunikation
Die portugiesische Methode
Unter der kroatischen Ratspräsidentschaft kam die zentrale Forderung der Datenhandelslobby in die E-Privacy-Verordnung. Die Version vom März 2020 las sich passagenweise wie eine Parodie eines bauernschlauen Lobbyistentexts.
„Diese Verordnung senkt das Schutzniveau für natürliche Personen nicht unter das Schutzniveau der EU-Verordnung 2016/679“, heißt es ebenso programmatisch wie lapіdar im einleitenden Erwägungsgrund 2a. Besagte Regulation ist die DSGVO, an der sich nur der ursprüngliche Kommissionsentwurf und in Folge die ersten Versionen im EU-Parlament orientiert hatten. Sämtliche Versionen, die der Ministerrat in Folge produzierte, hatten sich nacheinander als nicht mehrheitѕfähig erwiesen.
Nachdem zuletzt noch die deutsche Ratspräsisdentschaft im Text herumgefuhrwerkt hatte, ähnelte der mehr einer Überwachungsregelung, als einem Konsumenten- und Datenschutzgesetz. Der Text war zudem in den fünf Jahren im Ministerrat in so vielen Passagen mit Ausnahmen und Zusätzen versehen worden, die teilweise wieder gestrichen wurden, dass die Präsidentschaft jetzt eine Neufassung anging. In einem Absatz verschachtelte Erwägungsgründe wurden zerlegt und einzeln aufgelistet, vor allem aber wurde gestrichen, wie an den Screenshots hier ersichtlich ist.
ePrivacy
Artikel 6d, über den eine Upload-Filterpflicht zur Entdeckung von Kindesmissbrauch in dieser Verordnung zum Schutz der Privatsphäre festgeschrieben werden sollte, wurde samt allen Unterpunkten ersatzlos gestrichen. Damit wollten vor allem Deutschland und Frankreich E2E-Verschlüsselung aus dem Netz verdrängen, da bei dieser sicheren Art von Verschlüssung automatisches Durchsuchen nicht möglich ist.
Wie mit E-Privacy umgesprungen wurde
Im Sommer 2019 wurden Forderungen nach datenschutzkonformen Standardeinstellungen von Apps und Browsern und die verpflichtende Zustimmung der Benutzer zur Datenweitergabe ihrer Daten im Rat niedergestimmt.
Was alle Ratsversionen bisher einte, war ein mehr oder weniger direkter Freibrief für die globale Datenhandelsbranche. Mit einem einzigen Klick sollten etwa beliebige Datenweitergaben autorisiert werden, ohne die Benutzer auch nur zu informieren, dass ihre Interessen, Gewohnheiten oder auch Einkäufe über mit Trackern verseuchte Werbebanner beliebig abgegriffen wurden. Die kroatische Ratspräsidentschaft wiederum schrieb das Recht der Servicebetreiber, Daten ohne Zustimmung des Benutzers zu erheben und zu verkaufen als „legitimes Geschäftsinteresse“ in den Text. Unter der Ägide Deutschlands kamen dann noch Vorratsdatenspeicherung und Upload-Filter als Draufgabe dazu.
Man glaubte sich all das erlauben zu können, weil E-Privacy als eine „Lex Specialis“ definiert ist, die eine bestimmte allgemein gültige Regulation - in diesem Fall die DSGVO und nur diese - ergänzt und anhand der praktischen Anwendung im Datenverkehr präzisiert. Beispielsweise enthält die derzeit immer noch gültige E-Privacy-Richtlinie von 2002 Regelungen gegen Massenmails und unerwünschte Werbeanrufe, die eben zu speziell und vor allem zu technik- und zeitabhängig waren, um in der alten Richtlinie zum Datenschutz Platz zu finden, die zwei Jahrzehnte lang unverändert galt. Im Ministerrat verstanden vor allem Deutschland, Frankreich und Großbritannien darunter eine Sammlung von Ausnahmeregelungen, die durchaus in diametralem Widerspruch zur DSGVO stehen konnten, weil E-Privacy nun einmal eine „Lex Specialis“ sei.
Public Domain
Private Kommunikationen wie etwa Chats, Videotelefonate etc. dürfen vom Plattformanbieter nicht abgefangen werden, nach der Beendigung der Kommunikation ist es auch untersagt, deren Inhalte samt den Metadaten zu speichern, heißt es in Erwägungsgrund 15a.
Ende-zu-Ende Kommunikation
Anders als E-Privacy wurde die Ratsresolution gegen sichere Verschlüsselung im neuen Richtlinienentwurf für „hochklassige Cybersicherheit“ verankert.
Was Ende-zu-Ende Verschlüsselung angeht, so wird die im Text der portugiesischen Ratspräsidentschaft nicht explizit erwähnt. Im Erwägungsgrund 15a heißt es allerdings „Das Überwachungsverbot für die Inhalte elektronischer Kommunikationen gilt bis zum Empfang der Kommunikation durch den Empfänger“. Sobald der Empfang erfolgt ist, seien „die Inhalte und Metadaten zu löschen oder so anonymisieren, dass weder natürliche noch juristische Personen identifiziert werden können, außer die Verarbeitung wird im Rahmen dieser Verordnung erlaubt.“
Artikel 6C erlaubt nämlich grundsätzlich eine Weiterverarbeitung und auch Weitergabe von Metadaten an Dritte, allerdings nur unter bestimmten Umständen, die in Folge auch aufgelistet werden. Personenbezogene Geodaten sind davon grundsätzlich ausgeschlossen, Geodaten dürfen ausschließlich anonymisiert weitergegeben werden. Ebenfalls untersagt wird, dass die Metadaten vom Empfänger zum Profiling genutzt werden, Dritte dürfen also damit keine personenbezogenen Profile anlegen. Am Ende einer längeren Liste von Auflagen ist noch das Recht der Benutzer „auf Information zu den spezifischen Formen der Weiterverarbeitung“ und ein Widerspruchsrecht verankert.
ePrivacy
E-Privacy, Erwägungsgrund 17aa
Die feine Klinge Portugals
Im Sommer 2017 startete die erste Großkampagne von Medien- und Werbekonzernen für freien Handel mit personenbezogenen Metadaten, ohne das den Nutzern mitzuteilen.
Laut der portugiesischen Ratspräsіdentschaft sind diese in Artikel 6c and Erwägungsgrund 17aa erlaubten Weiterverarbeitungsmöglichkeiten in vollem Einklang mit den Artikeln 5 und 6 der Datenschutzgrundverordnung. Eine genauere Überprüfung des diesbezüglichen Sachverhalts muss freilich Juristen vorbehalten bleiben. Aus der fachjournalistischen Perspektive sieht es jedenfalls danach aus, als habe die Ratspräsidentschaft Portugals alle Möglichkeiten zu weiteren Datenverarbeitungen ausgereizt, die im Rahmen der DSGVO möglich sind.
Dafür wurden fast alle dieser oben aufgeführten Sonderwünsche nach Ausnahmen und Überwachungsmaßnahmen aus dem Text gestrichen, denn die hatten ja erst zu dieser vierjährigen Stagnation im Ministerrat geführt, weil sie nicht mehrheitsfähig waren. Und während es im Rat Usus ist, bei jeder Übernahme eines in Arbeit befindlichen Regulationsentwurfs durch eine neue Präsidentschaft in demselben wenigstens einmal auf die Verdienste der scheidenden Ratspräsidentschaft um die Textgenese hinzuweisen, findet sich in der portugiesischen Version auf 114 Seiten nur ein einziger expliziter Verweis auf die deutsche Ratspräsidentschaft. Er betrifft Annex II mit der Liste aller vorgenommenen Änderungen „Hier wurden Struktur und Textorganisation des Dokuments 9931/20 der deutschen Ratspräsidentschaft vom 4. November 2020 übernommen“.
Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 17.01.2021
