ePrivacy-Verordnung : Mehr Datenschutz für Dienste wie WhatsApp und Skype

ePrivacy-Verordnung: Mehr Datenschutz für Dienste wie WhatsApp und Skype
Bild: Sébastien Bertrand (CC BY 2.0)

Die EU-Kommission hat einen Entwurf für die neue ePrivacy-Richtlinie vorgelegt. Dieser umfasst Vorgaben für Internet-Dienste wie WhatsApp und Skype, die künftig genauso behandelt werden sollen wie die klassischen Telkos. Neue Vorgaben gibt es zudem für Cookies, um die Privatsphäre der Nutzer besser zu schützen.

Gleiches Recht für klassische Telekommunikationsanbieter und Internetdienste

Mit der neuen ePrivacy-Verordnung sollen die Vorgaben nun auch für Internetdienste gelten, die eine elektronische Kommunikation ermöglichen. Es betrifft also die Anbieter von Instant-Messengern wie Facebook und WhatsApp, aber auch VoIP-Dienste wie Skype oder E-Mail-Dienste wie Gmail. Bis dato gilt die ePrivacy-Richtlinie nur für die klassischen Telekommunikationsanbieter, im Kern beschränken sich die Regeln damit also auf Telefonate und SMS. Die verlieren aber seit Jahren zunehmend an Bedeutung, sodass die Ausweitung für die EU-Kommission ein folgerichtiger Schritt ist, um die Privatsphäre der Nutzer besser zu schützen.

Das betrifft zum Beispiel die Vorgaben, die ein Anbieter einhalten muss, um Nutzerdaten zu verarbeiten. Das Ziel der EU-Kommission ist die Zweckbindung: Anbieter müssen sowohl die Inhalte als auch die Metadaten von Chats und Gesprächen entweder anonymisieren oder die Zustimmung der Nutzer einholen, um diese Informationen etwa zu kommerziellen Zwecken auszuwerten. Ansonsten gilt eine Löschpflicht, wenn die Daten nicht noch für die Abrechnungen benötigt werden.

Im Zuge der Gleichbehandlung mit den Internetdiensten will die EU-Kommission allerdings den klassischen Telekommunikationsanbieter ermöglichen, neue Geschäftsfelder zu entwickeln. Doch auch hier gilt: Diese müssen im Einklang mit der ePrivacy-Richtlinie sein. Nutzer müssen also vor dem Auswerten der Daten einwilligen. Denkbar wäre laut der EU-Kommission etwa, dass solche Informationen bei modernen Infrastrukturprojekten zum Einsatz kommen, um die Verkehrslage zu ermitteln – smarte Städte ist hier das Stichwort.

Neue Cookie-Vorgaben für Tracking-Kontrolle

Nachbessern will die EU-Kommission auch bei der Cookie-Richtlinie. Bereits heute müssen Webseiten schon ein Einverständnis der Nutzer einholen, um Cookies zu setzen. Nur ist man bei der alten Regelung über das Ziel hinausgeschossen. Nutzer werden mit den Hinweisen schlicht überhäuft, sodass die Richtlinie das Ziel verfehlt. Deswegen sollen die neuen Regeln nun so gestaltet werden, damit Nutzer wirklich mehr Kontrolle erhalten.

Das gilt etwa für Tracking-Cookies und weitere Maßnahmen, die Nutzer identifizieren und damit ein Risiko für die Privatsphäre darstellen. Hier soll es einfacher werden, die entsprechenden Tracking-Optionen zu akzeptieren oder abzulehnen. Künftig kommt es also vermehrt auf die Einstellungen im Browser an. Klargestellt wird mit den neuen Vorgaben hingegen, dass Webseiten-Betreiber keine Erlaubnis für Cookies brauchen, die nicht die Privatsphäre beeinträchtigen.

Abgesehen davon will die EU-Kommission auch Spam verbieten, sofern die Nutzer nicht einwilligen. Das gilt für E-Mails, SMS und Telefon-Marketing.

Ein umstrittener Schritt in die richtige Richtung

Grundsätzlich wird die neue ePrivacy-Richtlinie als überfälliger Schritt bewertet, wie Reaktionen von Datenschützern und Wirtschaftsvertretern zeigen. In einer ersten Stellungnahme schreibt etwa Jan Philipp Albrecht, Abgeordneter für die Grünen im EU-Parlament: „Mit diesen Vorschlägen macht die Europäische Kommission die Reform des Datenschutzrechts komplett. Es war ein längst überfälliger Schritt ins digitale Zeitalter, die Datenschutzregeln für elektronische Kommunikation auch auf Dienste wie Skype oder WhatsApp anzuwenden.

Diverse Punkte sind aber noch umstritten, wozu insbesondere die Einwilligung der Nutzer zählt. Es sei kein gelungener Datenschutz, wenn Kommunikationsanbieter „in Zukunft die Daten der Nutzer verfolgen und für kommerzielle Zwecke nutzen dürfen, solange die Betroffenen dies nicht ausdrücklich verbieten“, so Albrecht. Ähnlich bewertet der Bundesverband der Verbraucherzentralen (vzbv) den Entwurf der EU-Kommission. Dass Instant-Messenger und VoIP-Dienste künftig genauso behandelt werden wie klassische Telekommunikationsdienste, wird begrüßt. Nicht konsequent wären hingegen die Regeln, die das Tracking im Netz eindämmen sollen. Anstelle der „nervigen Cookie-Banner“ komme es nun auf die Einstellungen in den Browsern an. „Die EU-Kommission konnte sich aber nicht dazu durchringen, zu regeln, dass die Webbrowser stets datenschutzfreundlich voreingestellt sein müssen“, so vzbv-Vorstand Klaus Müller.

Kritisch bewerten auch Wirtschaftsverbände wie der Bitkom diese Vorgaben – nur eben von der anderen Seite. Wenn Nutzer stets einwilligen müssen, wenn Anbieter die Daten zu einem anderen Zweck als der Sicherung der Dienste verarbeiten wollen, erschwere das die Entwicklung neuer Geschäftsmodelle. „In der digitalen Welt entstehen laufend neue Anwendungen und Geschäftsmodelle. Dafür sind flexible Regelungen bei der Datenverarbeitung notwendig“, sagte Susanne Dehmel, Bitkom-Geschäftsleiterin für Datenschutz und Sicherheit.

Fahrplan für kommenden Monate

Zunächst handelt es sich bei dem Entwurf nur um einen Vorschlag der EU-Kommission, der noch mit dem Europäischen Parlament und dem EU-Rat abgestimmt werden muss. Wenn es nach dem Plan der Kommission geht, soll die neue ePrivacy-Verordnung bis zum Mai 2018 stehen, um die 2015 beschlossene Datenschutzreform abzurunden.