Das Europäische Parlament hat mit einer knappen Mehrheit von 318 zu 280 Stimmen die Parlamentsfassung der sogenannten ePrivacy-Verordnung verabschiedet. Sie ändert den im Januar 2017 von der Europäischen Kommission vorgelegten Entwurf in zentralen Punkten in Richtung stärkerer Datenschutz- und Sicherheitsvorschriften für elektronische Kommunikation. Nun beginnt im nächsten Schritt der sogenannte Trilog, die Verhandlungen zwischen EU-Parlament, EU-Rat (also Mitgliedsstaaten) und EU-Kommission; mit einer Verabschiedung wird für Sommer 2018 gerechnet.
Die ePrivacy-Verordnung soll Regeln für den Datenschutz und die Datensicherheit elektronischer Kommunikation festlegen und die entsprechende ePrivacy-Richtlinie von 2002 ersetzen. Sie wird damit sozusagen eine bereichsspezifische Konkretisierung der Datenschutz-Grundverordnung für jede Art elektronischer Kommunikation – mit unmittelbarer Geltung in allen EU-Mitgliedsstaaten. Der Begriff der elektronischen Kommunikation ist dabei weit gefasst. Nicht nur werden bisher erfasste Kommunikationsdienste wie eMail oder SMS ergänzt um neue Dienste wie WhatsApp, andere Messenger oder auch webbasierte Kommunikationsplattformen. Kommunikation im Sinne des Verordnungsentwurfs des Parlaments ist auch die Nutzung von Onlinediensten durch Kunden, also das Aufrufen von Websites, die Nutzung von Apps mit Internetverbindung etc. Über den Vorschlag der Kommission hinaus hat das Parlament die Kommunikationsdienste auch auf diejenigen Datenverarbeitungsvorgänge erstreckt, die in einem zur Kommunikation genutzten Endgerät, also z.B. Smartphone oder Tablet stattfinden. Die Verordnung soll daher auch vor dem Zugriff Dritter auf das Endgerät schützen.
Zentraler Grundsatz des Verordnungsentwurfs ist es, dass elektronische Kommunikationsdaten vom Anbieter vertraulich behandelt werden müssen, sofern die Verordnung keine ausdrückliche Erlaubnis gibt, sie zu verwenden. Das Parlament erstreckte dieses Vertraulichkeitsgebot gleicht dreifach: auch gespeicherte Kommunikation muss vertraulich behandelt werden (also z.B. Mailboxinhalte), das Kommunikationsgerät selbst muss vertraulich bleiben (also das Smartphone) und auch machine-to-machine-Kommunikation muss vertraulich behandelt werden, sofern sie in irgendeiner Art und Weise auf eine Person bezogen werden kann.
Die Kommunikationsdaten dürfen grundsätzlich nur für die Durchführung der Kommunikation selbst genutzt werden sowie zu Abrechnungszwecken, aber auch zur Aufrechterhaltung und Wiederherstellung der Sicherheit der Kommunikation. Mit dieser Regelung wird den Telekommunikations- und Telemediendienstanbietern die immer wieder umstrittene Befugnis gegeben, Systeme zur Erkennung und Abwehr von Cyberangriffen einzusetzen, auch wenn diese Kommunikationsdaten analysieren. Nur die Kommunikationsinhalte sind hierfür tabu – es sei denn, der Nutzer hat seine ausdrückliche Einwilligung gegeben.
Mit dem Schutz der von Nutzern eingesetzten Endgeräte verbindet der Verordnungsentwurf den Grundgedanken, dass Smartphones und Tablets nicht ohne Wissen und Einwilligung des Besitzers genutzt oder verändert werden sollen. Hier hat das Parlament für Sicherheitsupdates eine Ausnahme vorgesehen: unter strengen Bedingungen dürfen solche Updates automatisch eingespielt werden. Der Nutzer muss allerdings informiert werden und das automatische Einspielen abschalten können.
Eine erhebliche Verschärfung hat das Parlament im Hinblick auf eine Pflicht zur Verschlüsselung der Kommunikation vorgenommen. Der Parlamentsentwurf sieht in Art. 17 Abs. 1a nun vor, dass vertraulich zu haltende Kommunikationsdaten grundsätzlich Ende-zu-Ende-verschlüsselt sein sollen. Den Mitgliedsstaaten soll EU-rechtlich untersagt werden, gesetzliche Regelungen zu erlassen, die den Providern eine Abschwächung der Verschlüsselung oder den Einbau von Hintertüren vorschreiben.
Neben dieser sehr speziellen Regelung für elektronische Kommunikation stellt der Verordnungsentwurf elektronische Kommunikationsdienste im Hinblick auf die IT-Sicherheitsanforderungen weitgehend der Telekommunikation gleich. Indem auf die IT-Sicherheitsregeln in Art. 40 des European Electronic Communication Code verwiesen wird, sollen die dortigen, eigentlich für die “Kritische Infrastruktur” Telekommunikation gedachten Regelungen über Sicherheitsmaßnahmen und Meldepflichten, nun auch für Kommunikationsdienste gelten. Zudem sieht das Parlament – wie schon die Kommission – vor, dass Anbieter elektronische Kommunikation verpflichtet sind, die Kunden zu warnen, wenn sie IT-Sicherheitsrisiken bei deren Systemen ausmachen.
Würde die Verordnung in der Fassung des Parlaments verabschiedet, fügte der Europäische Gesetzgeber der jetzt schon komplexen Gemengelage im europäischen IT-Sicherheitsrecht eine neue Komplexitätsstufe hinzu: Sicherheitsvorschriften für elektronische Kommunikation liegen ebenso wie schon die Datenschutzgrundverordnung quer zu den europäischen Regeln für kritische Infrastrukturen und digitale Dienste. Denn elektronische Kommunikation findet in all diesen EU-rechtlich bereits erfassten Bereichen statt. Für die Anbieter bedeutet das, zusätzliche Maßnahmen nach ePrivacy-Verordnung ergreifen zu müssen.
Trotz aller inhaltlichen Fortschritte für die IT-Sicherheit in dem Parlamentsentwurf kann man nur hoffen, dass im Trilog ein stärkerer Abgleich mit den bestehenden Regeln erfolgt und die Vorschriften der ePrivacy-Verordnung besser mit dem IT-Sicherheitsrecht harmonisiert werden.