Gravierende Rückschritte beim EU-weiten Datenschutz befürchtet
Der Bundesdatenschutzbeauftragte Peter Schaar hat vor Aufweichungen beim Schutz personenbezogener Daten wie IP-Adressen im Rahmen der vom EU-Parlament beratenen Änderung der elektronischen Datenschutzrichtlinie gewarnt.
Der Bundesdatenschutzbeauftragte Peter Schaar hat vor Aufweichungen beim Schutz personenbeziehbarer Daten wie IP-Adressen im Rahmen geplanter Änderungen an der EU-Richtlinie über den Datenschutz der elektronischen Kommunikation gewarnt. Die im EU-Parlament derzeit beratenen Anträge zur Novellierung der "E-Privacy-Direktive" würden einen "gravierenden Rückschritt" darstellen, beklagte Schaar gegenüber heise online. Die Datenschutzregeln würden bei der Annahme der Änderungsvorschläge nicht mehr für Institutionen gelten, die einen Personenbezug nur indirekt herstellen könnten.
Unter Politikern und Juristen ist umstritten, ob IP-Adressen an sich personenbezogene Daten darstellen und so dem besonderen Schutz des Telekommunikationsgeheimnis' unterliegen. In Deutschland und in Europa werde diese Sicherungsfunktion für entsprechende Daten derzeit für nötig erachtet, "wenn sie Personen zugeordnet werden könnten", erläuterte Schaar. Es werde also bereits auf die Wahrscheinlichkeit abgestellt, mit der Dritte eine Personalisierung der Informationen herstellen könnten. So seien etwa Polizeien und Nachrichtendienste imstande, die Internetkennungen über Monate hinweg leicht bestimmten Personen zuzuordnen, weil sie auf die von den Providern im Rahmen der verdachtsunabhängig auf Vorrat zu speichernden Verbindungsinformationen zugreifen dürfen.
Bei der Annahme der Änderungen, die der Berichterstatter für den Datenschutzteil im geplanten neuen Regulierungspaket für die Telekommunikation, Alexander Alvaro (FDP), vorgeschlagen hat, "würden die auch von Internetanbietern oftmals gespeicherten Nutzungsdaten schlagartig ihren Personenbezug verlieren, obwohl Sicherheitsbehörden auf Grund der Vorratsdatenspeicherung in der Lage seien, sie einzelnen Nutzern zuzuordnen", fürchtet Schaar. Die Konsequenz wäre, dass die bestehenden Speicherungs- und Nutzungsbegrenzungen für diese Daten wegfielen. Dies widerspreche sämtlichen Prinzipien des Datenschutzes.
Zu befürchten sei, dass die für die E-Privacy-Richtlinie vorgeschlagenen Änderungen auch in andere Datenschutzvorschriften übernommen würden und in diesem Fall auch die Daten auf kontaktlos auslesbaren Etiketten auf Basis der RFID-Technik nur noch als personenbezogen anzusehen wären, wenn ein entsprechender Chip direkt mit seinem Träger verknüpft sei, umriss Schaar die große Tragweite der vorgeschlagenen Neudefinition. Telekommunikationsunternehmen könnten sich ferner etwa an die Auswertung von angerufenen Zielrufnummern machen, da diese im ersten Schritt noch nicht direkt personenbezogen seien. Auch bei der Verwendung von Browser-Cookies, die vor allem bei Online-Werbern beliebt sind, gäbe es kaum noch Einschränkungen. Und Suchmaschinenbetreiber wie Google könnten in Folge Suchanfragen einschließlich IP-Adresse länger vorhalten.
Besorgt äußerte sich Schaar zudem über eine von Alvaro ins Spiel gebrachte Ergänzung zu Artikel 15 der Datenschutzrichtlinie für den elektronischen Bereich. Die Bestimmung regelt bislang, dass die Mitgliedsstaaten eigene Rechtsvorschriften erlassen können, um den Schutz von Verbindungs- und Standortdaten etwa im Interesse der öffentlichen Sicherheit sowie zur Verhütung, Ermittlung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen zu lockern. Demnach ist es den nationalen Gesetzgebern auch möglich, die Provider zu verpflichten, die "Verkehrsdaten" für eine begrenzte Zeit auf Vorrat zu speichern. Alvaro plant hier nun den Zusatz, dass die Klausel zudem bei Verletzungen "des Eigentumsrechts" gelten soll.
Auch wenn man daraus nicht direkt eine Erlaubnis zum Zugriff auf die Vorratsdaten zur Verfolgung von Urheberrechtsverletzungen ablesen könne, sieht Schaar diese geplante Ausweitung ebenfalls kritisch. So wäre zu fragen, ob sich Telekommunikationsunternehmen bei der Auswertung von Verkehrsdaten auf die so geänderte Vorschrift berufen könnten, um nach Informationslecks zu suchen, wie dies offenbar bei der Deutschen Telekom geschehen sei. Sie könnten schließlich auf eine Aufklärung von Verstößen gegen Betriebs- und Geschäftsgeheimnisse verweisen und somit etwa Verbindungsdaten zwischen Mitarbeitern und Journalisten auswerten. Schaar forderte die EU-Abgeordneten daher auf, sich bei der nächsten Behandlung des Vorhabens im Innenausschuss am kommenden Dienstag gegen Verschlechterungen beim Datenschutz auszusprechen.
Alvaro kann die Aufregung vor allem beim letzten Punkt dagegen nicht verstehen. Der Europäische Gerichtshof habe in seinem Urteil zur Rechtmäßigkeit von Auskunftsansprüchen bei Urheberrechtsverletzungen bereits klar gestellt, dass den nationalen Gesetzgebern die Hände hier nicht gebunden seien. Es sei daher transparenter, dies auch in die entsprechende Richtliniennorm zu schreiben. Die Direktive erlaube deswegen aber noch lange nicht einem Unternehmen, in Eigenregie Verbindungsdaten auszuwerten. Eine Verwendung der Vorratsdaten für die Verfolgung von Verstößen gegen Immaterialgüterrechte schließe die dafür erlassene Direktive zudem aus.
Den Antrag zur einfacheren Handhabung von IP-Adressen hat Alvaro zudem nach eigenen Angaben am gestrigen Donnerstag zurückgezogen. In die Erwägungsgründe der Novelle solle nun eine Passage aufgenommen werden, wonach die Internetkennungen unter bestimmten Umständen als persönliche Daten aufzufassen seien. Die Kommission solle zudem gebeten werden, sich Gedanken über eine rechtlich einwandfreie Fassung von IP-Adressen zu machen. Generell habe er "80 Prozent der Vorschläge der Datenschützer" in seine Beschlussempfehlungen übernommen, betonte der Liberale. So sollten künftige etwa auch öffentlich zugängliche private Telekommunikationsnetze von der Richtlinie erfasst werden. Eingeschlossen werden könnten so etwa Uni-Netze oder soziale Netzwerke wie StudiVZ oder Facebook. (Stefan Krempl) / (pmz)