ePrivacy-Direktive wird im Bürgerrechtskomitee des Europäischen Parlaments diskutiert

Am 25. Juni 2008 hat das Ständige Komitee für Bürgerrechte, Justiz und Inneres Maßnahmen zur Abänderung des Vorschlags der Europäischen Kommission zur Richtlinie zu Privatsphäre und Elektronischer Kommunikation gefordert (ePrivacy-Direktive).

„Wir haben einige Punkte eingeführt, die den Konsumentenschutz und die Handhabbarkeit verbessern sollen“, um „den Datenschutz allgemein zu verbessern und auf die veränderten Situation abzugleichen“, sagte dazu der Berichterstatter für das Projekt, MEP Alexander Alvaro (FDP).

Peter Hustinx, der Europäische Datenschutzbeauftragte (EDPS) hat am 14. April eine Stellungnahme zum Vorschlag der Europäischen Kommission angenommen, der unter anderem die ePrivacy-Direktive abändert. Der EDPS unterstützte den Vorschlag der EC grundsätzlich und hat einige Empfehlungen eingebracht, wie die Verpflichtung, jeden Verstoß gegen die Sicherheit nicht nur von Seiten der Anbieter öffentlicher elektronischer Kommunikationsdienste in öffentlichen Netzwerken unverzüglich melden zu müssen, sondern auch von Seiten der Anbieter von Diensten der Informationsgesellschaft, die empfindliche persönliche Daten verarbeiten.

Was die MEPs nun fordern, ist ein Verfahren, dass User informiert, wenn Sicherheitsverstöße von Dienstanbietern begangen wurden und besseren Schutz vor Überwachungen bietet. Für die Maßnahmen, die von den Anbietern elektronischer Dienste verlangen, die User von Verstößen in Kenntnis zu setzen, wollen die MEPs eine Zwischenbehörde einsetzen. Die Firmen werden nationale Telekommunikationsregulatoren informieren oder ander „kompetente Behörden“ von „ernsthaften“ Verstößen gegen die Sicherheit von persönlichen Daten in Kenntnis setzen, die regulierenden Behörden sollen daraufhin entscheiden, ob die Konsumenten umgehend zu informieren sind. Die Firmen könnten außerdem verpflichtet werden, das Auftreten von Sicherheitsproblemen in ihren Jahresberichten anzuführen.

Einer der Aspekte, die im Komitee umfassend diskutiert wurden, bezog sich auf die Erfassung persönlicher Daten wie IP-Adressen, ein Kompromiss, der schlussendlich im Hinblick darauf erreicht wurde, dass eine Online-Identität ausdrücklich als ein Teil der Personendaten angesehen werden sollte, die besonderen Schutz erfordert, wenn sie sich in Verbindung mit anderen Daten auf eine Einzelperson bezieht. Das EP Komitee forderte die Europäische Kommission auf, innerhalb der nächsten zwei Jahre präzise Entwürfe zur Gesetzgebung für die Handhabung der IP-Adressen als Personendaten einzureichen, nachdem sie sich mit den EU Datenschutzbehörden abgesprochen hat.

Alvaros Vorschlag, die Bedingungen zuzulassen, die es Mitgliedsstaaten erlauben würden, ihre eigene Gesetzgebung einzusetzen, um den Schutz der Verbindungs- und Ortsdaten für die öffentliche Sicherheit zu lockern und die Prävention, Aufdeckung und Verfolgung krimineller Straftaten oder die Benutzung elektronischer Kommunikationssysteme auf Fälle auszuweiten, wo Inhaberrechte verletzt werden, wurde abgelehnt, weil Datenschutzbeamte wie der deutsche Datenschutzbeauftragte Peter Schaar ihre diesbezüglichen Bedenken geäußert hatten.

Dennoch war Alvaro bei der Verabschiedung anderer seiner Vorschläge erfolgreich, wie die zukünftige Anwendung der Richtlinie auf öffentlich zugängliche private Telekommunikationsnetzwerke einschließlich Universitätsnetzwerke oder soziale Netzwerke wie StudiVZ oder Facebook. Firmen, die Anwendungen zur Verfügung stellen, um auf Personendaten oder Festplatten oder andere IT-Systeme wie USB-Flashdrives zuzugreifen, werden die Zustimmung der User im Vorfeld auf Basis des Opt-in Prinzips einholen müssen. Alvaro richtete die Aufmerksamkeit darauf, dass ein User, der seinem Browser so einstellt, dass Cookies erlaubt werden, als ein User eingestuft würde, der seine Zustimmung zur Erfassung seiner oder ihrer Daten gibt. Dennoch werden Cookies, die Userinformationen mithilfe der Flash-Multimedia-Anwendung speichern, laut Richtlinie in Zukunft eine gesonderte Einverständniserklärung des Users benötigen.

Alvaro zufolge werden die Ergänzungen, die vom Ständigen Komitee für Bürgerrechte, Justiz und Inneres vorgelegt wurden, in den Bericht des Komitees für den Binnenmarkt und Konsumentenschutz eingearbeitet werden, der vordergründig für das Telekommunikationspaket verantwortliche zeichnet. Über das gesamte Paket für die Regulierung der Telekommunikationsfirmen und der ISPs wird im September nach der ersten Lesung in der Plenarsitzung abgestimmt werden. Der Europäische Rat wird daraufhin seine Stellungnahmen abgeben.

Während der 66. Plenarsitzung, die von 24. Bis 25. Juni in Brüssel stattgefunden hat, hat die Arbeitsgruppe Artikel 29 ihre Stellungnahme zur Überarbeitung der ePrivacy-Direktive abgegeben und unterstützte “die vorgeschlagene Stärkung von Artikel 4 zur Sicherheit durch die Verpflichtung der Anbieter zur Meldung von Verstößen“ voll und „unterstreicht die Wichtigkeit, alle Personen in Kenntnis zu setzen, die davon betroffen sind, wenn persönliche Daten gefährdet wurden oder gefährdet sind“.

Dennoch ist die Arbeitsgruppe der Ansicht, dass es immer noch offene Fragen gibt, die besprochen werden müssen, wie die notwendige Ausweitung der Verpflichtung zur Meldung von Sicherheitspannen auf die Anbieter von Informationsgesellschaftsdiensten sowie der Reichweite der zu benachrichtigenden Personen auf alle betroffenen Personen, nicht nur die „Teilnehmer“.

MEPs adopt draft "e-privacy directive" reforms (27.06.2008)

Press Release - Article 29 Working Party (26.06.2008)

Working Party Article 29, Opinion on the review of the Directive 2002/58/EC on privacy and electronic communications (ePrivacy Directive) (15.05.2008)

unwatched - Europäischer Datenschutzbeauftragter unterstützt die Verordnung zur Benachrichtigung über Datenverstöße in der ePrivacy Richtlinie (23.04.2008)