{"id":1128,"date":"2017-11-07T10:10:06","date_gmt":"2017-11-07T10:10:06","guid":{"rendered":"https:\/\/blog.esmt.org\/dsi\/?p=1128"},"modified":"2018-01-12T13:59:15","modified_gmt":"2018-01-12T13:59:15","slug":"eprivacy-verordnung-eu-parlament-verabschiedet-strenge-regeln-fur-elektronische-kommunikation-auswirkungen-auf-die-it-sicherheit","status":"publish","type":"post","link":"https:\/\/blog.esmt.org\/dsi\/general\/eprivacy-verordnung-eu-parlament-verabschiedet-strenge-regeln-fur-elektronische-kommunikation-auswirkungen-auf-die-it-sicherheit\/","title":{"rendered":"ePrivacy-Verordnung: EU-Parlament verabschiedet strenge Regeln f\u00fcr elektronische Kommunikation \u00e2\u20ac\u201c Auswirkungen auf die IT-Sicherheit"},"content":{"rendered":"<p>Das Europ\u00e4ische Parlament hat mit einer knappen Mehrheit von 318 zu 280 Stimmen die Parlamentsfassung der sogenannten <em>ePrivacy-Verordnung<\/em> verabschiedet. Sie \u00e4ndert den im Januar 2017 von der Europ\u00e4ischen Kommission vorgelegten Entwurf in zentralen Punkten in Richtung st\u00e4rkerer Datenschutz- und Sicherheitsvorschriften f\u00fcr elektronische Kommunikation. Nun beginnt im n\u00e4chsten Schritt der sogenannte Trilog, die Verhandlungen zwischen EU-Parlament, EU-Rat (also Mitgliedsstaaten) und EU-Kommission; mit einer Verabschiedung wird f\u00fcr Sommer 2018 gerechnet.<!--more--><\/p>\n<p>Die ePrivacy-Verordnung soll <em>Regeln f\u00fcr den Datenschutz und die Datensicherheit elektronischer Kommunikation<\/em> festlegen und die entsprechende ePrivacy-Richtlinie von 2002 ersetzen. Sie wird damit sozusagen eine bereichsspezifische Konkretisierung der Datenschutz-Grundverordnung f\u00fcr jede Art elektronischer Kommunikation &#8211; mit unmittelbarer Geltung in allen EU-Mitgliedsstaaten. Der Begriff der elektronischen Kommunikation ist dabei weit gefasst. Nicht nur werden bisher erfasste Kommunikationsdienste wie eMail oder SMS erg\u00e4nzt um neue Dienste wie WhatsApp, andere Messenger oder auch webbasierte Kommunikationsplattformen. Kommunikation im Sinne des Verordnungsentwurfs des Parlaments ist auch die Nutzung von Onlinediensten durch Kunden, also das Aufrufen von Websites, die Nutzung von Apps mit Internetverbindung etc. \u00dcber den Vorschlag der Kommission hinaus hat das Parlament die Kommunikationsdienste auch auf diejenigen Datenverarbeitungsvorg\u00e4nge erstreckt, die in einem zur Kommunikation genutzten Endger\u00e4t, also z.B. Smartphone oder Tablet stattfinden. Die Verordnung soll daher auch vor dem Zugriff Dritter auf das Endger\u00e4t sch\u00fctzen.<\/p>\n<p>Zentraler Grundsatz des Verordnungsentwurfs ist es, dass elektronische Kommunikationsdaten vom Anbieter vertraulich behandelt werden m\u00fcssen, sofern die Verordnung keine ausdr\u00fcckliche Erlaubnis gibt, sie zu verwenden. Das Parlament erstreckte dieses Vertraulichkeitsgebot gleicht dreifach: auch gespeicherte Kommunikation muss vertraulich behandelt werden (also z.B. Mailboxinhalte), das Kommunikationsger\u00e4t selbst muss vertraulich bleiben (also das Smartphone) und auch machine-to-machine-Kommunikation muss vertraulich behandelt werden, sofern sie in irgendeiner Art und Weise auf eine Person bezogen werden kann.<\/p>\n<p>Die Kommunikationsdaten d\u00fcrfen grunds\u00e4tzlich nur f\u00fcr die Durchf\u00fchrung der Kommunikation selbst genutzt werden sowie zu Abrechnungszwecken, aber auch zur Aufrechterhaltung und Wiederherstellung der Sicherheit der Kommunikation. Mit dieser Regelung wird den Telekommunikations- und Telemediendienstanbietern die immer wieder umstrittene Befugnis gegeben, Systeme zur <em>Erkennung und Abwehr von Cyberangriffen<\/em> einzusetzen, auch wenn diese Kommunikationsdaten analysieren. Nur die Kommunikationsinhalte sind hierf\u00fcr tabu &#8211; es sei denn, der Nutzer hat seine ausdr\u00fcckliche Einwilligung gegeben.<\/p>\n<p>Mit dem Schutz der von Nutzern eingesetzten Endger\u00e4te verbindet der Verordnungsentwurf den Grundgedanken, dass Smartphones und Tablets nicht ohne Wissen und Einwilligung des Besitzers genutzt oder ver\u00e4ndert werden sollen. Hier hat das Parlament f\u00fcr <em>Sicherheitsupdates<\/em> eine Ausnahme vorgesehen: unter strengen Bedingungen d\u00fcrfen solche Updates automatisch eingespielt werden. Der Nutzer muss allerdings informiert werden und das automatische Einspielen abschalten k\u00f6nnen.<\/p>\n<p>Eine erhebliche Versch\u00e4rfung hat das Parlament im Hinblick auf eine Pflicht zur <em>Verschl\u00fcsselung der Kommunikation<\/em> vorgenommen. Der Parlamentsentwurf sieht in Art. 17 Abs. 1a nun vor, dass vertraulich zu haltende Kommunikationsdaten grunds\u00e4tzlich Ende-zu-Ende-verschl\u00fcsselt sein sollen. Den Mitgliedsstaaten soll EU-rechtlich untersagt werden, gesetzliche Regelungen zu erlassen, die den Providern eine Abschw\u00e4chung der Verschl\u00fcsselung oder den Einbau von Hintert\u00fcren vorschreiben.<\/p>\n<p>Neben dieser sehr speziellen Regelung f\u00fcr elektronische Kommunikation stellt der Verordnungsentwurf elektronische Kommunikationsdienste im Hinblick auf die IT-Sicherheitsanforderungen weitgehend der Telekommunikation gleich. Indem auf die IT-Sicherheitsregeln in Art. 40 des European Electronic Communication Code verwiesen wird, sollen die dortigen, eigentlich f\u00fcr die &#8220;Kritische Infrastruktur&#8221; Telekommunikation gedachten Regelungen \u00fcber Sicherheitsma\u00dfnahmen und Meldepflichten, nun auch f\u00fcr Kommunikationsdienste gelten. Zudem sieht das Parlament &#8211; wie schon die Kommission &#8211; vor, dass Anbieter elektronische Kommunikation verpflichtet sind, die <em>Kunden zu warnen<\/em>, wenn sie IT-Sicherheitsrisiken bei deren Systemen ausmachen.<\/p>\n<p>W\u00fcrde die Verordnung in der Fassung des Parlaments verabschiedet, f\u00fcgte der Europ\u00e4ische Gesetzgeber der jetzt schon komplexen Gemengelage im europ\u00e4ischen IT-Sicherheitsrecht eine neue Komplexit\u00e4tsstufe hinzu: Sicherheitsvorschriften f\u00fcr elektronische Kommunikation liegen ebenso wie schon die Datenschutzgrundverordnung quer zu den europ\u00e4ischen Regeln f\u00fcr kritische Infrastrukturen und digitale Dienste. Denn elektronische Kommunikation findet in all diesen EU-rechtlich bereits erfassten Bereichen statt. F\u00fcr die Anbieter bedeutet das, zus\u00e4tzliche Ma\u00dfnahmen nach ePrivacy-Verordnung ergreifen zu m\u00fcssen.<\/p>\n<p>Trotz aller inhaltlichen Fortschritte f\u00fcr die IT-Sicherheit in dem Parlamentsentwurf kann man nur hoffen, dass im Trilog ein st\u00e4rkerer Abgleich mit den bestehenden Regeln erfolgt und die Vorschriften der ePrivacy-Verordnung besser mit dem IT-Sicherheitsrecht harmonisiert werden.<\/p>\n<p><a href=\"http:\/\/www.europarl.europa.eu\/news\/de\/headlines\/society\/20171012STO85933\/e-privacy-eu-parlament-mochte-unsere-privatsphare-besser-schutzen\">http:\/\/www.europarl.europa.eu\/news\/de\/headlines\/society\/20171012STO85933\/e-privacy-eu-parlament-mochte-unsere-privatsphare-besser-schutzen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das Europ\u00e4ische Parlament hat mit einer knappen Mehrheit von 318 zu 280 Stimmen die Parlamentsfassung der sogenannten ePrivacy-Verordnung verabschiedet. Sie \u00e4ndert den im Januar 2017 von der Europ\u00e4ischen Kommission vorgelegten Entwurf in zentralen Punkten in Richtung st\u00e4rkerer Datenschutz- und Sicherheitsvorschriften &hellip; <a href=\"https:\/\/blog.esmt.org\/dsi\/general\/eprivacy-verordnung-eu-parlament-verabschiedet-strenge-regeln-fur-elektronische-kommunikation-auswirkungen-auf-die-it-sicherheit\/\">Continue reading <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":126,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,1],"tags":[],"class_list":["post-1128","post","type-post","status-publish","format-standard","hentry","category-dsi-policy-monitor","category-general"],"post_mailing_queue_ids":[],"_links":{"self":[{"href":"https:\/\/blog.esmt.org\/dsi\/wp-json\/wp\/v2\/posts\/1128","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.esmt.org\/dsi\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.esmt.org\/dsi\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.esmt.org\/dsi\/wp-json\/wp\/v2\/users\/126"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.esmt.org\/dsi\/wp-json\/wp\/v2\/comments?post=1128"}],"version-history":[{"count":1,"href":"https:\/\/blog.esmt.org\/dsi\/wp-json\/wp\/v2\/posts\/1128\/revisions"}],"predecessor-version":[{"id":1136,"href":"https:\/\/blog.esmt.org\/dsi\/wp-json\/wp\/v2\/posts\/1128\/revisions\/1136"}],"wp:attachment":[{"href":"https:\/\/blog.esmt.org\/dsi\/wp-json\/wp\/v2\/media?parent=1128"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.esmt.org\/dsi\/wp-json\/wp\/v2\/categories?post=1128"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.esmt.org\/dsi\/wp-json\/wp\/v2\/tags?post=1128"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}