PIMS vs. Browser-Voreinstellung Wirrwarr um europäischen Datenschutz

Autor / Redakteur: Dr. Dietmar Müller / Elke Witmer-Goßner

Das Bundeskabinett hat ein neues TK-Datenschutzgesetz beschlossen. Am selben Tag wurde der EU ein in weiten Teilen anderslautender Vorschlag zur ePrivacy-Verordnung vorgelegt. Kritik daran hagelt es von allen Seiten, sei es von Verbrauchervertretern oder von der Industrie.

Firma zum Thema

Der europäische Datenschutz ist weit von einer einheitlichen Regelung entfernt.
Der europäische Datenschutz ist weit von einer einheitlichen Regelung entfernt.
(Bild: gemeinfrei© TheDigitalArtist / Pixabay )

Worum geht es beim Aktuellen Streit genau? Das Bundeskabinett hat vergangene Woche im Schatten der Corona-Panik und ohne Aussprache an einem Tag 35 Gesetzesentwürfe, Verordnungen und Aktionsprogramme auf den Weg gebracht, darunter das neue Datenschutzrecht für Telekommunikation & Telemedien (TTDSG). Es soll die bislang getrennten Bereiche des Telekommunikationsdatenschutzes und des Telemediendatenschutzes in einem neuen Gesetz zusammenführen.

Das ist nötig, weil die Bundesregierung seit jeher und immer noch zwischen „Kommunikationsdiensten“ und „Telemedien“ unterscheidet, wenngleich dies nicht mehr zeitgemäß erscheint. Zu den Kommunikationsdiensten zählen Mittel für die direkte menschliche Kommunikation, allen voran das Telefon und SMS. Zu den „Telemedien“ zählen alle Formen der Internet-basierten Kommunikation, als da wären Websites, E-Commerce-Angebote, Foren, soziale Netzwerke, Suchmaschinen, E-Mail, etc.

Das Bundeskabinett will das TTDSG

Entsprechend dem im Januar vorgelegten „Gesetz zur Anpassung der Regelungen über die Bestandsdatenauskunft an die Vorgaben aus der Entscheidung des Bundesverfassungsgerichts vom 27. Mai 2020“, das vom Bundesrat aber abgelehnt wurde, haben Strafverfolger und andere Behörden wie etwa Geheimdienste mit dem TTDSG nun größere Zugriffsmöglichkeiten auf persönliche Daten. Provider, Website- und Forenbetreiber müssen auf Verlangen ihre Bestandsdaten über Nutzer herausgeben. Die Gründe dafür können verschiedener Natur sein, etwa wegen mutmaßlicher Verstöße gegen das Netzwerkdurchsetzungsgesetz oder Urheberrechtsverletzungen.

Das Bundesministerium formuliert dies etwas verklausulierter: „Bestandsdaten sind alle Daten, die von Telemedienanbietern nach Maßgabe der DSGVO zu Vertragszwecken erhoben und dauerhaft gespeichert werden dürfen. Die Auskunft über Bestandsdaten hat der Bundestag am 28. Januar 2021 im Gesetz zur Anpassung der Regelungen über die Bestandsdatenauskunft an die Vorgaben aus der Entscheidung des Bundesverfassungsgerichts vom 27. Mai 2020 beschlossen. Diese Regelungen sind im TTDSG berücksichtigt.“

Was man vielleicht dazusagen sollte: Abfragen von Bestandsdaten können ohne richterliche Zustimmung erfolgen, sofern sie sich auf Telemedien beziehen, also eine dynamische IP-Adresse zugewiesen wurde. Rechtsexperten kritisieren, dass solche Abfragen hundertausendfach (!) am Tag erfolgen.

Man kann davon ausgehen, dass das Bundesverfassungsgericht das TTDSG wieder einkassieren wird. Sei es, weil es dem Geist der Entscheidung des Gerichts vom 27. Mai 2020 konterkarikiert – die Verfassungsrichter wollten eigentlich höhere Hürden für das Abfragen von Bestandsdaten sehen –, oder sei es wegen der juristisch schwer zu haltenden Unterscheidung von Telemedien und Kommunikationsdiensten.

Der Umgang mit Cookies ist umstritten

Neben einigem anderen ist der Umgang mit Cookies ein weiterer wesentlicher Bestandteil des TTDSG. Die Klärung, wie Nutzer sich vor den lästigen Schnüffelkeksen schützen können sollen, ist eine seit Jahren schwelende Frage und geht auf die E-Privacy-Richtlinie von 2008 (!) zurück. Entsprechend der DSGVO dürfen Unternehmen nun nur mehr Cookies einsetzen, wenn Besucher einer Website dies erlauben. Die Frage ist nur: Wie? Denn hier stehen zunächst zwei verschiedene Mittel zur Wahl. Dazu gleich mehr.

Weitere neue Datenschutzbestimmungen im TTDSG sind etwa die zum Digitalen Nachlass und zur Aufsicht über den Datenschutz: So sollen künftig Erben gegenüber Telekommunikationsanbietern Rechte eines verstorbenen Anwenders wahrnehmen können. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit soll, soweit es um Regelungen zum Schutz der personenbezogenen Daten geht, mehr Macht bekommen. Wie auch immer, dies wird nicht weiter ausgeführt.

Zwei unabhängige Vorschläge

Das eigentliche Problem liegt nun darin, dass ausgerechnet am selben Tag, an dem das Kabinett das TTDSG verabschiedet hat, auch die portugiesische EU-Ratspräsidentschaft einen Vorschlag für eine neue ePrivacy-Verordnung vorlegte. Auch im „Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications)” wird der Umgang mit Cookies geregelt. Browser sollen demnach künftig so voreingestellt sein, dass sie Cookies automatisch ablehnen.

Davon ist im TTDSG keine Rede oder, wie es der Bitkom ausdrückt: „Der Referentenentwurf des TTDSG beinhaltet bislang keine Befolgungspflicht, durch die sichergestellt ist, dass erteilte Einwilligungen von Endnutzern gemäß § 22 effektive Wirkung entfalten.“ Die Einwilligung eines Nutzers sollte vielmehr über Personal Information Management Systemen (PIMS) erfolgen. Diese sollten grundsätzlich Vorrang vor Softwareeinstellungen beispielsweise in Browsern oder Betriebssystemen haben.

Ja, noch mehr: Das Bundesministerium für Wirtschaft und Energie spricht sich im TTDSG für die Einführung einer Regelung aus, „die verhindern soll, dass Browser herstellerseitig so eingestellt werden, dass der Zugriff auf die Informationen in Endeinrichtungen verhindert wird, auch wenn der Endnutzer eingewilligt hat“, so der eco in einer Stellungnahme.

Beide Entwürfe sind also nicht vereinbar und augenscheinlich ohne Absprache vorgelegt worden, was eco-Chef Süme gar nicht gefällt: „Wenn Berlin und Brüssel quasi zeitgleich an Gesetzentwürfen zum Datenschutz und der Privatsphäre im Internet arbeiten, muss klar sein, dass sich nationale und europäische Regelungen nicht konterkarieren.“ Naja, so klar war das anscheinend eher nicht.

Weiterer Vorschlag vom November

Bereits im November 2020 hatte übrigens die deutsche EU-Ratspräsidentschaft einen eigenen Vorschlag zur ePrivacy-Verordnung vorgelegt. Er sollte die unterschiedlichen Ansätze zum Datenschutz in Europa unter einen Hut bringen, hat aber de facto nur eine neue Front eröffnet. Der Vorschlag wurde diskutiert und dann abgelehnt. Auch dazu fand Süme deutliche Worte: „Der Entwurf wird den Anforderungen an ein kohärentes und verhältnismäßiges Datenschutzregime nicht gerecht: Dabei haben wir seit Beginn der Beratungen immer wieder darauf hingewiesen, dass die ePrivacy-Verordnung das Ziel eines verbesserten Datenschutzes komplett verfehlt und gleichzeitig digitale Geschäftsmodelle enorm belastet.“ Kurz gesprochen sei der deutsche Vorschlag ein „herber Rückschlag für die Digitalisierung“.

Die Kritik des Verbandes entzündete sich damals vor allem daran, dass Softwareupdates nur noch als legitim im Rahmen der ePrivacy-Verordnung angesehen werden. Auch bestand die Sorge, dass Servicefunktionen wie Rechtschreibprüfungen oder Standortdienste durch die neue Verordnung beeinträchtigt werden und sich diese nachteilig für Unternehmen in der EU auswirken könnten.

Aber auch für Anwender hatte der Vorschlag, der in wenig modifizierter Form bereits ein Jahr zuvor abgeschmettert worden war, wenig Gutes zu bieten: Werbefinanzierte Websites wie etwa News-Portale sollen demnach wie bisher Nutzerdaten erheben und verarbeiten dürfen, ohne dass der Anwender darauf Einfluss nehmen kann. Auch war – anders als vor einem Jahr – nun keine Rede mehr von der Möglichkeit der Browser-Voreinstellung zum Zwecke der Cookie-Abwehr.

Unverantwortliche Eigenbrödelei

Zusammenfassend kann gesagt werden, dass der europäische Datenschutz im Internet weit von einer einheitlichen Regelung entfernt ist. Egal, ob es um die zentrale Frage „PIMS oder Browser-Voreinstellung“ oder um irgendwelche anderen Teilaspekte geht: Offenkundig bauen diverse Behörden ihre eigenen Elfenbeintürme. Sowohl die Interessen von Unternehmen als auch die der Anwender scheinen nicht befriedigt werden zu können. Ohne bessere Absprachen wird das auf absehbare Zeit auch nichts werden.

(ID:47141517)

Über den Autor

Dr. Dietmar Müller

Dr. Dietmar Müller

Journalist