Nach monatelangen stagnierenden Debatten über die ePrivacy-Verordnung sind EU-Gesetzgeber und Diplomaten dazu übergegangen, das heikle Thema der Verarbeitung elektronischer Kommunikationsdaten, Metadaten und Inhalte zu diskutieren.
Am 10. November trafen sich Vertreter des Europäischen Parlaments und des EU-Rates zu einem Fachgespräch über die ePrivacy-Verordnung, eine viel diskutierte und seit Jahren festgefahrene Gesetzesinitiative.
Die EU-Länder erreichten erst im Februar 2021, vier Jahre nach Vorlage des Vorschlags, eine gemeinsame Position. Seitdem haben die Verhandlungsteams der beiden Institutionen kaum einen Durchbruch erzielt, da sich die technischen Diskussionen auf weniger kontroverse Teile der Vorschläge konzentrierten.
Ein gemeinsames Non-Paper der Berichterstatterin des Parlaments, Birgit Sippel, und der tschechischen EU-Ratspräsidentschaft, das letzte Woche diskutiert und von EURACTIV eingesehen wurde, markierte einen Aufbruch in diesem Sinne und befasste sich mit dem kritischen Teil des Schutzes elektronischer Kommunikation.
Das technische Treffen war nicht abschließend, aber der Text bildet die Grundlage für zukünftige Diskussionen. Die Fraktionen im Parlament haben bis Freitag (18. November) Zeit, dem Berichterstatter schriftliche Rückmeldungen zu übermitteln.
Elektronische Kommunikationsdaten
Im Mittelpunkt der Diskussion stand der Artikel, der definiert, unter welchen Bedingungen elektronische Kommunikationsdaten verarbeitet werden dürfen, nämlich nur insoweit, als dies unbedingt erforderlich ist, um die Übertragung der Kommunikation zu erreichen und die Sicherheit der Kommunikationsnetze zu gewährleisten.
„Die Notwendigkeit der Verarbeitung elektronischer Kommunikationsdaten für die in dieser Verordnung vorgesehenen Zwecke sollte nur auf der Grundlage objektiver technischer Anforderungen und nicht auf der Grundlage kommerzieller Erwägungen beurteilt werden“, heißt es in einem neu vorgeschlagenen Absatz für die Präambel des Textes.
Zusätzliche Formulierungen wurden eingeführt, um bestimmte Fälle abzudecken, in denen die Speicherung der übermittelten elektronischen Kommunikation Teil der Kommunikationsanfrage des Benutzers ist, beispielsweise bei E-Mail-Diensten, bei denen die E-Mails in einer Cloud gespeichert werden, wo der Benutzer später danach suchen kann .
Hinsichtlich des Sicherheitsaspekts schlug die EU-Politik vor, festzulegen, dass Dienstleister keine auf den Geräten der Nutzer gespeicherten oder von diesen gesendeten Daten verarbeiten dürfen, um technische Störungen und Fehler zu erkennen, ein Kompromissversuch mit dem Gesetzgeber, der diesen Punkt insgesamt gestrichen hat.
Das heikle Thema Vorratsdatenspeicherung wurde vorerst auf Eis gelegt.
Elektronische Kommunikationsmetadaten
Ein weiterer kritischer Diskussionspunkt in der ePrivacy-Verordnung sind Metadaten, Informationen darüber, wer wie kommuniziert, beispielsweise in Bezug auf Zeit, Ort und IP-Adresse. Die Verarbeitung von Metadaten kann nur unter bestimmten Szenarien im Kompromisstext zugelassen werden.
Eine davon ist, dass die Benutzer ihre ausdrückliche Zustimmung für einen oder mehrere Zwecke gegeben haben, die ohne solche Metadaten nicht erfüllt werden können. Besteht jedoch ein hohes Risiko, die Rechte und Freiheiten der Nutzer zu gefährden, müsste zuvor eine Datenschutz-Folgenabschätzung durchgeführt werden.
Ein zweites Szenario ist, dass die Verarbeitung von Metadaten für die Rechnungsstellung, die Bestimmung von Zusammenschaltungszahlungen und die Erkennung oder Unterbindung betrügerischer oder missbräuchlicher Nutzung elektronischer Kommunikationsdienste unbedingt erforderlich ist.
Eine dritte Möglichkeit besteht darin, dass die Metadatenanalyse für den Telekommunikationssektor erforderlich ist, um den europäischen Kodex für elektronische Kommunikation einzuhalten, Netzwerküberlastungen gemäß der Open-Internet-Verordnung zu vermeiden oder die Netzwerkleistung zu optimieren.
„Die Verarbeitung von Kommunikationsmetadaten zum Zwecke der Netzoptimierung sollte nur zulässig sein, wenn die erforderlichen Metadaten in erheblichem Umfang und nach dem Stand der Technik aggregiert werden, bevor eine andere Verarbeitung eingeleitet wird“, heißt es in dem erläuternden Absatz.
Insbesondere bei Standortdaten besteht die Idee darin, die Verarbeitung zuzulassen, soweit dies zum Schutz lebenswichtiger Interessen einer Person im Notfall unbedingt erforderlich ist, und nur, wenn die betroffene Person nicht einwilligen kann.
Darüber hinaus können Standortdaten auf Anfrage einer öffentlichen Behörde oder aufgrund einer bestimmten vertraglichen Verpflichtung für statistische Analysen gespeichert werden. In diesem Fall müssten die Standortdaten umgehend pseudonymisiert, schnellstmöglich aggregiert, während der Speicherung verschlüsselt und gelöscht werden, wenn sie nicht mehr erforderlich sind.
Elektronische Kommunikationsinhalte
Das Non-Paper gibt die Bedingungen an, unter denen Kommunikationsdiensteanbieter Inhalte verarbeiten können. Eine der Möglichkeiten besteht darin, dass alle betroffenen Endnutzer ihre Zustimmung zur Verarbeitung des Inhalts der Kommunikation für einen oder mehrere bestimmte Zwecke gegeben haben.
Eine zweite Möglichkeit besteht darin, dass ein einzelner Nutzer einen Kommunikationsdienst anfordert, der ohne die Verarbeitung des Kommunikationsinhalts nicht erbracht werden kann, „unter der Voraussetzung, dass durch diese Verarbeitung keine Grundrechte und Interessen einer anderen betroffenen Person beeinträchtigt werden“.
Auch in diesem Fall müsste der Dienstleister eine Datenschutz-Folgenabschätzung durchführen.
Kompatible Verarbeitung elektronischer Kommunikationsmetadaten
Bevor das Non-Paper zu einem gemeinsamen Unterfangen mit dem Berichterstatter des Parlaments wurde, hatte der tschechische Ratsvorsitz eine Version in Umlauf gebracht, die den Artikel des Rates über die kompatible Verarbeitung elektronischer Kommunikationsmetadaten enthielt.
EURACTIV geht davon aus, dass dieser Artikel herausgenommen wurde, weil die Berichterstatterin Birgit Sippel dagegen war, da er die Tür für eine weitere Metadatenverarbeitung zu anderen als den in der Verordnung angegebenen Zwecken öffnen würde. Das Büro von Sippel lehnte die Bitte von EURACTIV um Stellungnahme ab.