Datenschutz: Einheitliche Regeln zu Cookies und Bestandsdatenauskunft geplant
Das Wirtschaftsministerium will mit einem Gesetzentwurf für ePrivacy gegen versteckte Mikrofone und Kameras sowie standortbasierte Werbung vorgehen.
(Bild: deepadesigns/Shutterstock.com)
Das Bundeswirtschaftsministerium beabsichtigt, Vorschriften rund um die Privatsphäre für Online-Dienste inklusive Messenger aus der Datenschutzgrundverordnung (DSGVO), dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) zu vereinheitlichen. Ziel des "Telekommunikations-Telemedien-Datenschutz-Gesetzes" (TTDSG) ist es, die verschiedenen Bestimmungen in einem "wirksamen und handhabungsfreundlichen" Rahmen zusammenzuführen.
Das Bundeswirtschaftsministerium von Peter Altmaier (CDU) hat in dem geleakten Referentenentwurf vor allem "die in vielen Fällen erforderliche Einwilligung in die Verarbeitung von Verkehrs- und Standortdaten oder in das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer" im Blick. So sollen erstmals die EU-Vorgaben zu Cookies aus der 2009 überarbeiteten EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation im Lichte der DSGVO in nationales Recht umgesetzt werden. Die Bundesregierung hatte dies bislang nicht für nötig gehalten.
Gegen Cookie-Klick-Arien
"Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt", wenn der Endnutzer darüber im Einklang mit der DSGVO "informiert wurde und er eingewilligt hat", heißt es in Paragraf 9. Dies gelte nicht, wenn das entsprechende Setzen von Cookies "technisch erforderlich ist", um eine Kommunikation elektronisch zu übermitteln oder um Telemedien bereitzustellen, "deren Inanspruchnahme vom Endnutzer gewünscht wird".
Als weitere Ausnahmen für ein Opt-in sieht das Ministerium eine ausdrückliche vertragliche Vereinbarung, "um bestimmte Dienstleistungen zu erbringen", oder gesetzliche Auflagen. Der Endnutzer könne "die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt". Diese Klausel soll offenbar Cookie-Klick-Arien eindämmen, die viele Nutzer nerven. Sie ist allerdings auch schon in der grundlegenden ePrivacy-Richtlinie enthalten und entfaltete darüber keine große Wirkung.
Parallel hat die Bundesregierung auf Ebene des EU-Ministerrats eine Initiative gestartet, um die seit Längerem geplante, aber schon für tot erklärte ePrivacy-Verordnung als Update für die bestehende, in die Jahre gekommene Richtlinie doch noch beschlussreif zu machen. Dabei regt sie etwa an, dass werbefinanzierten Nachrichtenseiten das webseiten- und geräteübergreifende Tracking der Nutzer ohne deren Einwilligung und ohne weitere Schutzvorkehrungen erlaubt sein sollte. Im TTDSG-Entwurf ist davon noch keine Rede. Vielmehr will das Wirtschaftsressort darüber das "Do not Track"-Verfahren stärken.
"Neben Browsereinstellungen sind auch Online-Verfahren zum Einwilligungsmanagement – etwa über Datentreuhänder – denkbar", ist der Begründung zu entnehmen. Zu berücksichtigen seien zudem neue Entwicklungen wie das Internet der Dinge mit Geräten wie intelligenten Stromzählern, die zunehmende Maschine-Maschine-Kommunikation und Künstliche Intelligenz (KI). Auf Basis eines einschlägigen Urteils des Europäischen Gerichtshofs müssten zudem gewisse "Anforderungen an die Wirksamkeit der Einwilligung" einbezogen werden.
Anonymisierte Standortdaten
Sofern der Dienste-Anbieter Standortdaten von Nutzern verarbeitet, die etwa zum Weiterleiten einer Nachricht über ein elektronisches Kommunikationsnetz nicht nötig seien, sollen diese laut Paragraf 14 ohne Plazet des Betroffenen nur verarbeitet werden, soweit und solange dies erforderlich ist, um Services mit Zusatznutzen bereitzustellen. Die Geo-Informationen müssen zudem anonymisiert werden. Der Handy-Nutzer ist zudem per "Textmitteilung an das Endgerät" darüber zu informieren, dass sein Aufenthaltsort ermittelt wurde.
Das Regime für Geodaten für Telemediendienste werde damit deutlich strenger, kommentiert der Cottbusser Rechtsanwalt Jannik Krone: "Standortbasierte Werbung ist dann in Deutschland bei allen Apps mit Nachrichtenfunktion tot." Generell soll es beim Ansatz aus dem TMG bleiben, wonach der Dienste-Anbieter "die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen" hat, "soweit dies technisch möglich und zumutbar ist".
Unbemerktes Abhören
Einen schärferen Riegel will das Ministerium gegen den Missbrauch von Telekommunikationsanlagen vorschieben. Darunter fasst es "technische Einrichtungen oder Systeme, die als Nachrichten identifizierbare elektromagnetische oder optische Signale senden, übertragen, vermitteln, empfangen, steuern oder kontrollieren können". Der Einsatz von versteckten Mikrofonen und Kameras in verschiedensten Produkten nehme stetig zu, "womit die Gefahren für die Privatsphäre sich verstärken", begründet das Bundeswirtschaftsministerium diesen Schritt. "Besonders bei Alltagsgegenständen sollen die Nutzer und Dritte davor geschützt werden, dass sie unbemerkt abgehört werden oder unbemerkt Bilder von ihnen aufgenommen werden."
Im Blick hat das Ressort so nicht etwa nur Webcams, sondern etwa auch intelligente Lautsprecher wie von Amazon, Apple oder Google mit Sprachassistenten wie Alexa oder Siri. "Ist der Nutzer selbst der Aufgenommene, muss er Kenntnis davon haben, dass die Telekommunikationsanlage Audio- oder Bilddateien an den Hersteller oder andere Unternehmen weiterleitet", heißt es dazu. "Darüber hinaus muss er bestimmen können, was von ihm aufgenommen wird." Die entsprechende Situation müsse "durch optische oder akustische Signale für einen arglosen Dritten deutlich erkennbar sein". Ein leicht ablösbares Kamerasymbol reiche "zur Enttarnung nicht aus".
Auch eine "Zwischenspeicherung" von Nachrichteninhalten wie insbesondere Sprach-, Ton-, Text- und Grafikmitteilungen von Teilnehmern will das Ministerium erschweren. In der Cloud dürfte eine solche etwa nur noch erfolgen, wenn der Nutzer dies beauftragt oder entsprechend in das System eingibt.
Verwaltung persönlicher Informationen
Schaffen will das Ressort eine Basis "für die rechtssichere und wirksame Einbindung von anerkannten Diensten zur Verwaltung persönlicher Informationen (Personal Information Management Services)". Dazu zählt insbesondere die Einwilligung "in die Verarbeitung von Verkehrs- und Standortdaten sowie in das Speichern von Informationen auf ihren Endeinrichtungen" und den Zugriff darauf. Für Krone liest sich das auch wie ein Hebel, um Login-Dienste wie NetID und Verimi "in den Markt zu prügeln".
Die umstrittenen, mit dem Gesetz gegen Hasskriminalität und Rechtsextremismus erweiterten Bestimmungen zur Bestandsdatenauskunft sollen in die Paragrafen 22 bis 24 wandern, noch mit Stand vor dem jüngsten Urteil des Bundesverfassungsgerichts zu diesen sensiblen Befugnissen. So dürften personenbezogene Daten auch mit einer zu einem bestimmten Zeitpunkt zugewiesenen IP-Adresse bestimmt werden, steht in dem Papier. Die Karlsruher Richter haben hier aber strengere Vorgaben gefordert. Bei besonders schweren Straftaten sollen Sicherheitsbehörden Passwörter und vergleichbare Kennungen verwenden können.
Die Aufsicht im Bereich des Telekommunikationsdatenschutzes wird dem Entwurf nach bei natürlichen Personen auf den Bundesdatenschutzbeauftragten übergehen. Die Sanktionsmöglichkeiten werden an die DSGVO angepasst, können also bis zu vier Prozent des Jahresumsatzes eines Unternehmens betragen. Die Datenschutzbehörde und die Bundesnetzagentur sollen ferner auch in der Regel für Messenger-Anbieter zuständig sein. Eine Freiheitsstrafe bis zu zwei Jahren oder eine Geldbuße sind vorgesehen, wenn jemand eine Nachricht unberechtigt abhört, den Inhalt Dritten mitteilt oder eine verbotene Telekommunikationsanlage herstellt beziehungsweise auf den Markt bringt. Der Entwurf muss als nächstes vom Bundeskabinett gebilligt werden.
(olb)
