Die ePrivacy-Verordnung als IT-Sicherheitsgrundlage

Lesezeit: 5 Minuten

Seit dem 25.05.2018 gelten die Vorschriften der sog. Datenschutz-Grundverordnung (DSGVO) und entfalten in jedem Mitgliedstaat der Europäischen Union unmittelbare Wirkung. Das Ziel der DSGVO ist eine unionsweit einheitliche Regulierung des Umgangs mit personenbezogenen Daten durch private und öffentliche Stellen. Ursprünglich sollte zu dem genannten Stichtag ein weiteres EU-Regelungsregime in Kraft treten und gleichzeitig mit der DSGVO zur Geltung gelangen – die „Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG“ (kurz: ePrivacy-VO).

Nachdem die Europäische Kommission zunächst am 10.01.2017 einen ersten Verordnungsvorschlag[1] vorgelegt hatte, der durch das Europäische Parlament mit zahlreichen Änderungen am 26.10.2017 (durch Beschluss eines eigenen Entwurfes) angenommen wurde[2], hat nun kürzlich (04.05.2018) auch der Rat der Europäischen Union eine eigene Entwurfsfassung veröffentlicht.[3] Anders als ursprünglich geplant ist mit einem Inkrafttreten der ePrivacy-VO voraussichtlich erst 2019, mit der Anwendbarkeit der dort kodifizierten Regeln erst nach Ablauf einer höchstwahrscheinlich vorgesehenen Übergangsfrist in den Jahren 2020–2021 zu rechnen.[4]

Sinn und Zweck der geplanten ePrivacy-VO ist es, die Privatsphäre von Bürgern im digitalen Bereich zu stärken. So sieht das Regelungswerk insbesondere Verbesserungen des Verbraucherdatenschutzes im Online-Bereich vor. Unter anderem sollen die Regeln für den Umgang mit sog. Cookies vereinfacht und die Vorgaben zur Datensicherheit bei Kommunikations-Diensten wie WhatsApp oder Skype ausgeweitet werden. Adressiert ist die Verordnung somit hauptsächlich an in der Online-Branche tätige Unternehmen.

Durch die geplante ePrivacy-VO soll die bisher geltende Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG, kurz: ePrivacy-RL), die im Jahre 2009 durch die sog. Cookie-Richtlinie (Richtlinie 2009/136/EG) ergänzt wurde, ersetzt und die seit kurzem geltende DSGVO „flankiert“ werden. Damit werden beide Regelungsregime auf eine Stufe gestellt: Wie auch die DSGVO wird die ePrivacy-VO als unionsrechtliche Verordnung in allen ihren Teilen verbindlich sein und als unmittelbares Recht in jedem Mitgliedsstaat gelten. Demgegenüber ist eine Richtlinie zwar für die adressierten Mitgliedstaaten hinsichtlich des zu erreichenden Ziels verbindlich, sie überlässt jedoch die konkrete Umsetzung (in Form von nationalen Gesetzen) den Stellen der jeweiligen Mitgliedstaaten. Die Mitgliedstaaten müssen Richtlinien also grundsätzlich erst in nationales Recht überführen, damit ihre Regelungen gelten.

Die Vorgaben der allgemein gehaltenen DSGVO sollen durch die ePrivacy-VO in bestimmten Bereichen (z.B. dem des Online-Datenschutzes) konkretisiert werden. Die ePrivacy-VO ist dann sog. „lex specialis“ gegenüber der DSGVO als „lex generalis“.

Die ePrivacy-Verordnung aus IT-sicherheitsrechtlicher Sicht

In den Erwägungsgründen nimmt sowohl der Entwurf der EU-Kommission zur ePrivacy-VO als auch derjenige des EU-Parlaments Bezug auf die Art. 7, 8 der Charta der Grundrechte der Europäischen Union (GrCh). Während Art. 7 GrCh die Achtung des Privat- und Familienlebens schützt, garantiert Art. 8 GrCh den Schutz personenbezogener Daten. Über dieses Schutzziel gehen die Entwürfe zur ePrivacy-VO allerdings hinaus. Das zeigt sich etwa an Art. 8 Abs. 1 ePrivacy-VO-Entwurf, der grundsätzlich sämtliche Informationen aus Endgeräten (PC, Smartphone) der Endnutzer unter ein generelles Verarbeitungsverbot stellt. Die ePrivacy-VO entfernt sich damit an Stellen vom Begriff der personenbezogenen Daten und vermischt diese mit systemrelevanten Daten. Ausgehend davon stellt sich die Frage, ob und wie sich die ePrivacy-VO auch auf die IT-Sicherheit als Ganzes auswirkt. Betrachtet werden soll das anhand der drei Grundwerte der Informationssicherheit: der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen.

Die Vertraulichkeit von Informationen in der ePrivacy-VO

Ein Hauptpunkt der ePrivacy-VO ist die Verbesserung der Vertraulichkeit von Informationen, d.h. Informationen sollen vor der Preisgabe an unbefugte Dritte geschützt werden. Art. 8 Abs. 1 ePrivacy-VO-Kommissionsentwurf verbietet daher „jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktion von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware […]“. Etwas anderes gilt nur dann, wenn bestimmte Ausnahmetatbestände erfüllt sind. Als Beispiel sei hier das Vorliegen einer Einwilligung des jeweiligen Endnutzers genannt (Art. 8 Abs. 1 b ePrivacy-VO- Kommissionsentwurf). Etwas ganz ähnliches ist auch in Art. 8 Abs. 1 ePrivacy-VO-Parlamentsentwurf vorgesehen.

Nachdem die übrigen Erlaubnistatbestände beider Entwurfsfassungen das unbestimmte Kriterium der „Notwendigkeit“ enthalten, ist zu befürchten, dass Anbieter von Webseiten, Apps und Kommunikationsplattformen im Zweifel dazu tendieren werden, stets eine Einwilligung der Endnutzer einzuholen Auf den ersten Blick scheint das begrüßenswert. Die flächendeckende Einholung von Einwilligungen wird aber häufig nur „größeren“ Anbietern möglich sein, so dass diese im Ergebnis bevorzugt werden könnten. In diesem Fall würde sich die Datenverarbeitung auf zentrale Stellen konzentrieren. Das könnte der Vertraulichkeit von Informationen schaden, denn Phishing-Angriffe etwa lassen sich gut auf einzelne Institutionen zuschneiden.

Kritisiert wird auch, dass die Entwürfe zur ePrivacy-VO (im Gegensatz zur finalen Fassung der DSGVO) nicht vorschreiben, dass Technik, die in den Geltungsbereich der ePrivacy-VO fällt, datenschutzfreundliche Voreinstellungen (Privacy by Default) besitzen muss oder in ihrem Aufbau datenschutzfreundlich gestaltet (Privacy by Design) sein soll. Ein inoffizieller Entwurf aus dem Dezember 2016 hatte das noch vorgesehen.[5]

Positiv wird an den Entwürfen zur ePrivacy-VO gesehen, dass sie den Datenschutz verbessern, indem sie im Gegensatz zur DSGVO risikospezifische Regeln für die elektronische Kommunikation vorsehen.

Die Verfügbarkeit von Informationen in der ePrivacy-VO

Nach dem Grundwert der „Verfügbarkeit“ sollen dem Nutzer Dienstleistungen, Funktionen eines IT-Systems oder auch Informationen zum geforderten Zeitpunkt zur Verfügung stehen.[6] Wie bereits angesprochen darf die Erhebung von Informationen sowie die Verarbeitung und Speicherung von Daten ohne Einwilligung des Nutzers nur aufgrund bestimmter Erlaubnistatbestände erfolgen, die alle eine gewisse „Notwendigkeit“ der Maßnahme voraussetzen. Das Merkmal der Notwendigkeit wird in den Entwürfen zur ePrivacy-VO nicht näher bestimmt, seine Auslegung ist daher umstritten.

Praktische Bedeutung erlangt dieses Problem der Unbestimmtheit dadurch, dass etwa eine Verbindung zu einer Webseite gar nicht möglich ist, ohne dass die IP-Adresse des Nutzers ausgelesen wird. Eine denkbare Lösung für die Bestimmung des Notwendigkeitskriteriums wäre daher etwa, nur die Datenerhebungen als notwendig zuzulassen, die benötigt werden, um eine optisch und technisch auf das Minimum reduzierte Webseite anzuzeigen. Ebenso könnte man aber auch auf das „schönste“ mögliche Ergebnis abstellen.

Es ist insofern unklar, welche Daten einem Endverbraucher im Geltungsbereich der ePrivacy-VO zur Verfügung gestellt werden können, weil er, um Daten empfangen zu können, seinerseits wieder Daten versenden muss. Anders ausgedrückt: Die von den Entwürfen zur ePrivacy-VO vorgesehene Datensparsamkeit steht in Konkurrenz zur Verfügbarkeit von Daten. Ein Nutzer könnte sich deshalb häufig in der Notwendigkeit sehen, seine Einwilligung in die Datenerhebung zu erteilen. Der Entwurf des EU-Parlaments zur ePrivacy-VO sieht daher vor, dass der Zugang zu einem gewissen Dienst oder einem Funktionselement der Informationsgesellschaft nicht deshalb verwehrt werden darf, weil der Nutzer nicht in eine über das für die Nutzung des Dienstes erforderlich Maß hinausgehende Datenverarbeitung eingewilligt hat, Art. 8 Abs. 1 a ePrivacy-VO-Parlamentsentwurf (sog. Kopplungsverbot).[7]

Die Integrität von Daten in der ePrivacy-VO

Integrität bedeutet, dass Daten vollständig und unverändert übermittelt werden. Gefährdet wird die Integrität von Daten etwa durch gezielte Angriffe. Art. 17 Abs. 1a ePrivacy-VO-Parlamentsentwurf verpflichtet Betreiber elektronischer Kommunikationsdienste daher, einen ausreichenden Schutz der Kommunikationsdaten vor dem Zugriff oder der Änderung durch Dritte sicherzustellen und Daten während der Kommunikation zu verschlüsseln. Außerdem soll nach Art. 19 bd) vii) ePrivacy-VO-Parlamentsentwurf der Europäische Datenschutzausschuss die Kommission über Maßnahmen zur Wahrung der Integrität der Kommunikation beraten. In den Erwägungsgründen 1a und 26a spricht sich das EU-Parlament für die Förderung von Verschlüsselungstechniken, insbesondere der Ende-zu-Ende-Verschlüsselung aus. Die EU-Kommission führt in Erwägungsgrund 37 an, dass Anbieter Endnutzer darüber beraten sollen, wie sie ihre Kommunikation schützen können.

Fazit

Die Entwürfe zur ePrivacy-VO stellen neue Regelungen zu Integrität, Vertraulichkeit und Verfügbarkeit von Informationen auf, sodass sich die Verordnung letztlich auch auf die Sicherheit von informationstechnischen Systemen auswirken wird. Die endgültige Tragweite der entsprechenden Regelungen ist jedoch aufgrund unterschiedlicher Entwurfsfassungen und auslegungsbedürftiger Rechtbegriffe bisher noch unklar.

Weiterführende Quellen

  • Engeler/Felber, Entwurf der ePrivacy-VO aus Perspektive der aufsichtsbehördlichen Praxis, ZD 2017, S. 251 ff
  • Engeler, Die ePrivacy-Verordnung zwischen Trilog und Ungewissheit, ZD 2017, S. 549 ff.
  • Böttger, Vorsicht, Steinschlag!, iX 07/2017, S. 44 ff.
  • Roßnagel, Entwurf einer ePrivacy-Verordnung-Licht und Schatten, ZRP 2017, S. 33.
  • Die ePrivacy-Verordnung ist auf dem Weg! Womit müssen Sie rechnen?, 1&1 Digital Guide, zuletzt abgerufen am 04.06.2018.

[1] ePrivacy-VO-Vorschlag der Europäischen Kommission, zuletzt abgerufen am 04.06.2018.

[2] Vgl. zu den Fassungen der Kommission und des Parlaments eine Synopse der ePrivacy-VO erstellt durch das Bayerische Landesamt für Datenschutzaufsicht, zuletzt abgerufen am 04.06.2018.

[3] Dokument 2017/0003 (COD), zuletzt abgerufen am 04.06.2018; zuletzt hat der Europäische Datenschutzausschuss (EDPB) am 25.05.2018 eine Stellungnahme zur revidierten Fassung des ePrivacy-VO-Entwurfs veröffentlicht, zuletzt abgerufen am 04.06.2018.

[4] Vgl. die Übersicht über Stand des Gesetzgebungsverfahrens zur geplanten ePrivacy-Verordnung des BVDW, zuletzt abgerufen am 04.06.2018.

[5] Vorschlag der Europäischen Kommission, zuletzt abgerufen am 04.06.2018.

[6] Leitfaden Informationssicherheit, BSI, S. 14.

[7] Der Entwurf des Rates sieht dies – soweit ersichtlich –  in solcher Ausdrücklichkeit und Konsequenz nicht mehr vor, befasst sich mit der Problemstellung aber anhand der Regelung des Umgangs mit Cookies, vgl. Erwägungsgründe 20 ff., zuletzt abgerufen am 04.06.2018.

Schreiben Sie einen Kommentar