FM4-Logo

jetzt live:

Aktueller Musiktitel:

Schlosssymbol vor html-Textcode auf Bildschirm

CC0

Erich Moechel

EU-Verordnung zu E-Privacy wieder in Bewegung

Mit drei Trilogverhandlungen und einer Unzahl technischer Meetings ist der nächste Versuch zur Finalisierung des wichtigsten Konsumentenschutzgesetzes für das Netz wieder angelaufen.

Von Erich Moechel

Die französische Ratspräsidentschaft hat die seit Jahren festgefahrene Verordnung zu E-Privacy tatsächlich wieder flottgemacht. Das zeigen zwei interne Dokumente der Präsidentschaft zum aktuellen Stand der Verhandlungen zwischen Rat und Parlament.

Die Präsidentschaft hat nun um Unterstützung des Rats für ein neues Mandat verlangt. Es soll also Änderungen der Ratsposition in bestimmten Punkten geben. Einzelne Mitgliedsstaaten hatten die wichtigste Konsumentenschutzregelung für das Netz seit 2018 blockiert.

Screenshot aus Dokument

EU Ministerrat

Das Dokument enthält ein in der Landessprache gehaltenes Schreiben der französischen Ratspräsidentschaft an den Rat der ständigen Vertretungen (COREPER) in Brüssel. Dieses Schreiben, datiert mit 28. März, verweist auf die Änderungen im Text, die im für Trilogverhandlungen üblichen Vierspaltenmodus präsentiert wird (siehe unten). Das als „limité“ klassifizierte Ratsdokument 7458/22 wurde von der britischen Bürgerrechtsorganisation Statewatch veröffentlicht.

Bereits drei Trilog-Verhandlungen 2022

Aktuell dazu in ORF.at

Die jüngst finalisierte Verordnung zu Digitalen Diensten enthält eine ganze Reihe von Passagen, an die E-Privacy andocken wird.

„Die Präsidentschaft ersucht die Beteiligten um Unterstützung für das revidierte Verhandlungsmandat, das sich im Annex befindet“, heißt es da einleitend. Damit hat die französische Ratspräsidentschaft im COREPER (Siehe Bildunterschrift oben) die Zustimmung der anderen 26 Mitgliedsstaaten zu jenen Passagen eingeholt, die im Dokument gelistet werden. Das Mandat betrifft die nunmehrigen Positionen des Rats für die Trilog-Verhandlungen mit Parlament und Kommission zur Finalisierung der Verordnung, die mittlerweile zehn Ratspräsidentschaften ohne nennenswerte Fortschritte überdauert hat.

Aus diesem Grund war auch die Ankündigung der französischen Ratspräsidentschaft im Jänner, E-Privacy wieder aufs Tapet zu bringen, mit einiger Skepsis aufgenommen worden. Aus den „Metadaten“ dieses Dokuments geht nun hervor, dass es die französische Ratspräsidentschaft damit tatsächlich ernst meint. Der Trilog am 31. März war bereits die dritte Trilog-Verhandlung zwischen Kommission, Rat und Parlament in diesem Jahr. Zur Vorbereitung allein dieser Sitzung waren sechs technische Meetings nötig, wie dem Dokument zu entnehmen ist.

Screenshot aus Dokument

EU Ministerrat

Links sieht man den ursprünglichen Entwurf der EU-Kommission von Anfang 2017, die nächste Spalte zeigt die Version des EU-Parlaments, die dritte enthält die bisherige Position des Rats, ganz rechts folgt dann die Version der französischen Ratspräsidentschaft, die in den nachfolgenden Trilog-Verhandlungen entweder abgesegnet oder verändert wird.

Was Metadaten in Dokumenten verraten

Im Jänner war E-Privacy im Programm der französischen Ratspräsidentschaft wieder aufgetaucht, die Begleitumstände gaben freilich wenig Grund für Optimismus.

In nicht für die Öffentlichkeit bestimmten EU-Dokumenten finden sich interessante Metadaten sehr selten im Menüpunkt „Eigenschaften“ („document properties“), wohl aber in der Einleitung, im Nachwort bzw. in den Fußnoten. Als da sind: Datum des vorhergehenden und des kommenden Meetings, die zeitliche Abfolge der Triloge, der Umfang der bereits ausverhandelten Erwägungsgründe und Artikel umgelegt auf die Verhandlungsdauer. Der seit Jänner laufende Prozess, um E-Privacy nach sechs Jahren der Blockade und Stagnation zu finalisieren, kann unter diesen Kriterien nur als „sehr ambitioniert“ bezeichnet werden.

Ein solches Tempo war bei dieser Regulierung zuletzt Anfang 2017 zu beobachten gewesen, als der von der damals neuen Datenschutzgrundverordnung direkt abgeleitete Kommissionsentwurf zu E-Privacy in die Parlamentsgremien kam und in den Folgemonaten rasante Fortschritte verzeichnet hatte. So sieht es auch jetzt aus, allerdings mit einer Einschränkung. Seit Jänner wurden nämlich nur die am wenigsten kontroversiellen Teile der Regulierung behandelt, nämlich die Kapitel eins und drei. Wie auch der Ausschnitt oben zeigt, ging es zuletzt um „Direct Marketing“ und die dabei eingesetzten Methoden.

Screenshot aus Dokument

EU Ministerrat

Dieser Ausriss stammt aus Artikel 17, Absatz 1(a) und zwar in der Fassung des EU-Parlaments. Ob dieses klare Verbot für alle Anbieter von Ende-zu-Ende-Verschlüsselung (E2E), verschlüsselte Kommunikationen aus welchem Grund auch immer aufzubrechen, den Trilog Ende März überlebt hat, ist derzeit noch unbekannt (siehe unten). Genau diese Maßnahme aber hatte der Rat zum Zweck der Strafverfolgung wieder und wieder gefordert, zuletzt in einer Resolution zum Jahresende 2020.

Schlüsselpassage zur Verschlüsselung

Der ursprüngliche Kommissionsentwurf zu E-Privacy war Ende Dezember 2016 durch ein Leak bekanntgeworden. Anfang 2017 wurde er Rat und Parlament vorgelegt.

Ein explizites Verbot für die Provider, in Ende-zu-Ende-Verschlüsselung der Benutzer einzugreifen, wäre ein Novum in der Geschichte dieser Regulierung. Bis dato hatte noch jede Ratspräsidentschaft diese steckengebliebene Neuversion einer Richtlinie von 2002 entweder ignoriert, wie etwa die österreichische Ratspräsidentschaft. Oder der Kommissionsentwurf wurde entlang der Überwachungswünsche einzelner Mitgliedsstaaten bis zur Unkenntlichkeit verunstaltet. Den Vogel dabei hatte die portugiesische Ratspräsidentschaft vor einem Jahr abgeschossen und eine Art Pflicht für Provider, ihre Plattformen so zu gestalten, dass die Benutzer:innen jederzeit polizeilich überwachbar sind, im Text verankert.

Das wäre einem Verbot für sichere Verschlüsselung gleichgekommen. Zu allem Überfluss hatten die Portugies:innen auch noch die Notwendigkeit einer EU-weiten Vorratsdatenspeicherung in diese „Verordnung zur Respektierung der Privatsphäre und zum Schutz der persönlichen Daten“ eingebaut. Die entsprechende Richtlinie war bereits 2014 durch den EU-Gerichtshof wegen Verfassungswidrigkeit rückwirkend annulliert worden. Man sieht also, dass in dieser Regulierung so gut alles möglich ist. Daher sollte einer einzelnen solchen Passage zur Legitimität sicherer Verschlüsselung nicht allzuviel Gewicht beigemessen werden. Es sieht zwar derzeit danach aus, als würde der Rat seine Positionen in der Überwachungsfrage revidieren, eine Bestätigung dafür gibt es freilich noch nicht. Ein wichtiges Indiz, das entweder dafür oder dagegen spricht, wird die oben zitierte Passage ergeben, ob sie nämlich den Trilog am 31. März überlebt hat oder eben nicht.

Der RSS-Feed zu diesem Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: