Dürfen Unternehmen für eigene Zwecke Verbindungsdaten auswerten? Im Rat haben mehrere Mitgliedstaaten dies anlässlich der Beratungen über Änderungen der Richtlinie zum Datenschutz in der elektronischen Kommunikation (2002/58/EG) vorgeschlagen. Damit folgen sie den Vorstellungen der Business Software Alliance, einer US-amerikanischen Lobby-Vereinigung der Software-Industrie. Erika Mann lehnt diesen Vorstoß klar ab.

In Zukunft sollen einzelfallunabhängig Verkehrsdaten zur Gewährleistung der Netz- und Informationssicherheit, also etwa zur Verfolgung von Hackerangriffen, verarbeitet werden dürfen.

In Artikel 6 § 6a heißt es im gegenwärtigen Entwurf: ”[…] Verkehrsdaten können im […] strikt notwendigen Ausmaß verarbeitet werden, um […] die Netz- und Informationssicherheit gemäß der Definition in Artikel 4 Buchstabe c derVerordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit zu gewährleisten […].”

Kern des Vorstoßes ist eine Neudefinition von “personenbezogenen Daten”. So sollen IP-Adressen in einer in Artikel 6 § 6a verankerten Ausnahmeregelung für Sicherheit nicht mehr als personenbezogene Daten gelten.

In Deutschland erlaubt § 100 Telekommunikationsgesetz auf der Grundlage der geltenden Richtlinie bereits den Telekommunikationsdiensteanbietern eine zielgerichtete, einzelfallbezogene Datenverarbeitung zur Fehlerbeseitigung und Missbrauchsbekämpfung. Diese Regelung hat sich in der Praxis bewährt. Außerdem sind Anbieter von Telekommunikationsdiensten aufgefordert, ihre Systeme so sicher zu gestalten, dass Angriffe von vornherein erfolglos bleiben.

Auf Initiative mehrerer Mitgliedstaaten soll nun eine generelle Ermächtigung in die Richtlinie aufgenommen werden, wonach “jede natürliche oder juristische Person mit einem berechtigten Interesse” berechtigt sein soll, Verkehrsdaten zu verarbeiten, um “technische Maßnahmen zur Gewährleistung der Sicherheit eines öffentlichen Telekommunikationsdienstes, eines öffentlichen oder privaten Telekommunikationsnetzes, eines Dienstes der Informationsgesellschaft oder von Endgeräten zu deren Nutzung” zu ergreifen.

Dies bedeutet, dass nicht nur der jeweilige Diensteanbieter, der Maßnahmen zum Schutz des eigenen Angebots treffen will, zur einzelfallunabhängigen Speicherung von Verkehrsdaten berechtigt sein soll, sondern praktisch jeder mit einem wirtschaftlichen Verarbeitungsinteresse.

Gleichzeitig soll die Benachrichtigungspflicht bei Datenschutzverletzungen geschwächt werden. Zwar sieht die Parlamentsfassung etwa die direkte Benachrichtigung der Betroffenen in manchen Fällen vor, doch sie ist so formuliert, dass sie kaum Bestand haben wird. Der Rat wird vermutlich weitere Einschränkungen vornehmen, sodass zu befürchten ist, dass letzten Endes niemand benachrichtigt werden wird.

Die Europäische Kommission hat bislang eine Änderung der Rechtslage nicht für erforderlich gehalten.

Reaktionen

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder lehnt eine zeitlich unbegrenzte und inhaltlich unbestimmte Blanko-Ermächtigung als inakzeptabel ab. Der Hinweis auf die „Informationssicherheit“ rechtfertigt es nicht, dass Verkehrsdaten nahezu uferlos auch von Dritten verarbeitet werden. Sie hat die Bundesregierung aufgefordert, einer derartigen Aufweichung des Telekommunikationsgeheimnisses im Rat ihre Zustimmung zu verweigern.

Erika Mann lehnt den Vorstoß ab

Erika Mann lehnt die geplanten Änderungen ab: “Die Pläne schießen weit über das intendierte Ziel hinaus. Es kann nicht sein, dass nun jeder, der ein wie auch immer berechtigtes Interesse vorweisen kann, auf Verbindungsdaten zugreifen darf. Damit würde ein wichtiges Grundrecht, nämlich das Recht auf informationelle Selbstbestimmung dramatisch ausgehöhlt werden.” Erika Mann warnt deshalb: „Es darf keine automatische Erlaubnis grundsätzlicher Art geben. Eine Ausdehnung der Gewährleistung von Netz- und Informationssicherheit in neue Bereiche hinein kann nur unter strengen Auflagen erfolgen und sollte auf gar keinen Fall Teil der jetzigen Telekommunikationsgesetze sein, sondern muss in einer getrennten Verordnung diskutiert, beraten und notfalls verabschiedet werden."

Hilfreiche Links

• Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr.2006/2004 über die Zusammenarbeit im Verbraucherschutz, noch nicht online verfügbar.
• EDRI
• Entschließung der 76. Nationalen Datenschutz-Konferenz am 6./ 7. November 2008, Gegen Blankettbefugnisse für die Software-Industrie