Ja, hallo auch von meiner Seite. Schön, dass ihr da seid und schön, dass ich hier sein darf. Ich freue mich tatsächlich riesig, dass ich hier in dem EU-Track dabei sein kann und versuche das zu machen, was Markus vorhin angekündigt hat, nämlich über ein Thema

zu sprechen oder über eine Entscheidung zu sprechen, die irgendwann ansteht, noch bevor sie ansteht oder bevor sie ganz akut ist, sondern das Thema ein bisschen im Vorfeld beleuchten zu können. Es geht um die Reform der E-Privacy-Richtlinie. Klingt jetzt erstmal nicht so spannend, ist es aber, ich habe es versucht im Untertitel ein bisschen

stärker zuzuspitzen, damit es auch interessant ist, die nächste EU-Lobby-Schlacht um unsere Privatsphäre. Klingt vielleicht ein bisschen reißerisch, aber im Prinzip geht es genau darum. Schon wieder Lobby-Schlacht, werden sich jetzt einige denken um unsere Privatsphäre, das hatten wir doch erst die letzten Jahre, Datenschutz-Grundverordnung und so weiter, aber es ist so, die Datenschutz-Grundverordnung war nicht der Kampf, sondern war wahrscheinlich

die erste oder eine Schlacht um unsere Privatsphäre, die nächste steht jetzt an. Und ehrlich gesagt, sind wir, klingt es in meiner Ankündigung ein bisschen so, als würde das jetzt erst anstehen, aber wir sind ehrlich gesagt mithin drin in dieser Lobby-Schlacht. Spätestens seit dem

15. Juli, da ist nämlich ein Bündnis aus 12 Industrie- und Handelsinstitutionen auf den Plan getreten, die sich in einem gemeinsamen Statement geäußert haben, für eine Abschaffung der ePrivacy-Richtlinie. Ich sage gleich noch, was genau das ist, aber zum Einstieg mal so einen Einblick, wer findet die eigentlich nicht so gut. Und das sind einige, der Blick

auf die Organisationen ist jetzt vielleicht erstmal nicht so spannend, gucken wir uns mal an, wer dahinter steht. Siebenmal Google innerhalb dieser zwölf Organisationen, Microsoft, Facebook, Apple, Amazon, Samsung, Blackberry, LG, Huawei, IBM, Toshiba, Philips, HB, Cisco, Intel, Deutsche Telekom, T-Systems, Rudafone, Orange, Telefonica, Canon, Fujifilm,

Siemens, Siemens Health Lineas, Bayer, Airbus und diverse Tracking- und Werbefirmen. Also durchaus eine Gruppe, die es in sich hat. Das spricht wohl dafür, dass diese ePrivacy-Richtlinie ein tolles Ding ist oder zumindest ein entscheidendes Ding ist.

Im Volltext heißt sie Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, kurz ePrivacy-Richtlinie. Ganz kurz, was ist das eigentlich? Das ist eine 2002 erlassene und 2006 und 2009

überarbeitete Richtlinie, die Regeln für Anbieter von Kommunikationsnetzen und Kommunikationsdiensten vorgibt, und zwar zum Schutz der Sicherheit, Vertraulichkeit und Privatsphäre bei der elektronischen Kommunikation. Und als sektorspezifische Ergänzung ist sie gedacht für den Bereich der elektronischen Kommunikation explizit als Ergänzung zu der

Datenschutz-Richtlinie, die seit 1995 galt. Die Datenschutz-Richtlinie von 95, genauso wie die jetzt kommende Datenschutz-Grundverordnung regeln ja allgemein den Datenschutz und die ePrivacy-Richtlinie ist dafür da, um besondere Regeln für den spezifische Regeln für den Bereich der elektronischen Kommunikation festzulegen.

Und da geht es eben nicht nur um Privatsphäre, sondern explizit nimmt die Richtlinie auch Bezug auf das EU-Grundrecht, auf die Achtung des Privatlebens und der Kommunikation. Es geht also nicht nur um Privatsphäre, sondern tatsächlich auch um Sicherheit. Was heißt das konkret? Wer von euch, das interessiert mich tatsächlich mal,

wer von euch würde sagen, er oder sie kennt die ePrivacy-Richtlinie oder weiß, worum es da geht? Sind das viele oder eher nicht so? Dann kann ich mir das... Okay, eher geht es so. Okay, nicht gar nicht mal so überraschend. Nur mal ein kurzer Blick darauf, was steht

da eigentlich drin? Was regelt die ePrivacy-Richtlinie bislang? Da sind zum Beispiel unter anderem Schutzvorschriften drinne. Also steht zum Beispiel drinne, dass unsere Daten, persönliche Daten davor geschützt werden müssen von den Betreibern von Kommunikationsdiensten

davor, dass sie zerstört werden, davor, dass sie verloren gehen oder davor, dass sie manipuliert werden. Da sind Informationspflichten für die Betreiber von Kommunikationsdiensten drinne bei Datenlecks, also falls es einen Hack gibt oder so. Da steht zum Beispiel das Recht auf Rufnummernunterdrückung drinne oder ein Verbot von ungewünschten

Nachrichten, Spam, das der illegal ist, kommt unter anderem daher. Aber es steht eben auch das Verbot von Überwachung und Tracking da drinne. Konkret das Verbot des Mithörends, Abfangs oder Mitschneidens von elektronischer Kommunikation und personenbezogenen Daten und in dem Zusammenhang auch Schutz vor Spyware, Schutz vor Cookies und so weiter.

Die Richtlinie wird etwas fehlgeleitet, manchmal auch Cookie-Richtlinie genannt, weil sie seit der Änderung 2009 einige spezifische Regelungen für den Bereich Tracking bzw. Cookies enthält. Diese Verbote von Überwachung und Tracking genauso wie der

besondere Schutz von Kommunikationsmetadaten sind allerdings Verbote mit Erlaubnisvorbehalt, also das, was Nutzerinnen und Nutzer, wozu die ihre Einwilligung geben, das ist okay, das ist erlaubt. Grundsätzlich ist es erstmal verboten, aber wenn Nutzerinnen ihre Einwilligung geben, dann ist das okay. Besonderer Schutz von Metadaten,

das habe ich eben schon gesagt, die fallen bei der Telekommunikation ja besonders häufig an, also Standortdaten, Verbindungsdaten, wer, wann, mit wem, wie lange, an welchem Ort. Die sind besonders geschützt und bedürfen eben auch eine Einwilligung, bevor sie verarbeitet werden dürfen, sofern sie nicht anonymisiert verarbeitet werden. Das klingt jetzt erstmal nach einer ganz guten Sache, wenn wir mal an unsere Realität denken,

funktioniert von den Sachen, die ich eben erzählt habe, manches besser, Recht auf Rufnummernunterdrückung zum Beispiel, funktioniert glaube ich ganz gut und andere Sachen eher schlechter. Also viele Menschen haben glaube ich zum Beispiel das Gefühl, dass sie vor Tracking nicht richtig gut geschützt sind und deshalb muss man eben

mangelhafter Schutz derzeit. Auch wenn viele der festgeschriebenen Grundsätze und konkreten Regeln eigentlich richtig und wichtig sind, ist der Schutz nicht wirksam. Das fanden auch 76 Prozent der Bürgerinnen und Bürger und NGOs, die an einer EU-Konsultation zu dem Thema teilgenommen haben. Also klares Urteil funktioniert nicht. Dafür gibt es unterschiedliche

Gründe. Einer davon ist, dass die E-Privacy-Richtlinie nicht für sogenannte Over-the-Top-Dienste gilt. Es gibt ja in den letzten zehn Jahren, 20 Jahren wie auch immer einen gewissen Medienwandel zu beobachten, innerhalb dessen Dienste wie Messenger oder Voice-over-IP die Funktionen klassischer Telekommunikationsdienste wie Telefon,

SMS und so weiter übernehmen, ergänzen, ersetzen. Die Regeln in der E-Privacy-Richtlinie gelten allerdings nicht für diese sogenannten Over-the-Top-Dienste wie Messenger, sondern gelten nur für die klassischen Telekommunikationsdienste bislang.

Ein weiteres Problem ist die inkonsistente Umsetzung der Richtlinie. Es ist eben nur eine EU-Richtlinie und keine Verordnung. Das heißt, sie entfaltet keine unmittelbare Wirkung in den Mitgliedstaaten, sondern muss von denen erst in nationales Recht umgewandelt werden. Und das passiert durchaus in unterschiedlicher Maße. Es gibt zum Beispiel in den

EU-Richtlinien, in der E-Privacy-Richtlinie und in der E-Privacy-Richtlinie, dass die E-Privacy-Richtlinien nicht nur in den Mitgliedstaaten zuständig sind und auch das Thema Cookies wird in unterschiedlichen Staaten sehr unterschiedlich gehandhabt. In Frankreich zum Beispiel sind die Aufsichtsbehörden da deutlich mehr hinterher, dass die Cookie-Regeln eingehalten werden. Und man muss aber eben auch konstatieren, es sind ungenaue Regeln teilweise und sie sind eben leider mangelhaft umgesetzt.

Genau deshalb wird diese E-Privacy-Richtlinie jetzt und in Zukunft genauer unter die Lupe genommen. Es findet eine Überprüfung und Überarbeitung durch die EU-Kommission statt, die unterschiedliche Ziele hat. Zum Beispiel sollen Inkonsistenzen behoben werden, also sie sollen in Einklang gebracht werden mit der Datenschutz-Grundverordnung,

die dann ab 2018 gilt. Aber es gibt eigentlich auch das Ziel, eine Harmonisierung zwischen den Staaten herzustellen. Die soll auf ihre Effektivität und Effizienz geprüft werden und zwar inhaltliche Ziele gibt es. Die EU-Kommission möchte gerne ein Level-Playing-Field für alle Marktteilnehmer schaffen, denn es ist eben so, dass von diesen

E-Privacy-Regeln bislang vor allen Dingen klassische Telekommunikationsbetreiber, die klassischen Telcos betroffen sind und die disruptive Konkurrenz Facebook, Google und so weiter eben bislang von diesen Regeln nicht betroffen sind und deshalb etwas freier wirtschaften können mit unseren Daten. Und ein weiteres Ziel ist auch noch der Schutz der

Individuen. Schauen wir mal, bevor wir uns auf die konkreten Streitfragen gucken, einen Blick auf die Prioritäten der Kommission. Das Ganze ist Teil des Prestige-Projekts der EU-Kommission, einen Digital Single Market zu schaffen, einen gemeinsamen digitalen

Binnenmarkt für Europa und dieses Projekt muss ein Erfolg werden. Zuständig sind EU-Digital Kommissar Günther Oettinger und der Kommissionsvizepräsident Andrus Ansip und Äußerungen der Kommissionsspitze lassen vorsichtige Mutmaßungen zu, sage ich mal, welcher der Punkte neben der Harmonisierung für die EU-Kommission am wichtigsten ist, nämlich dem Wachstum, Wachstum und Wachstum.

Es bedeutet demnach vor allen Dingen, dass die Schaffung dieses Level-Playing-Fields gleicher Marktbedingungen für Telekommunikationsdienste eines der Hauptanliegen ist, denn, wie ihr vielleicht schon festgestellt habt, sind die weniger regulierten

OTT-Diensteanbieter größtenteils amerikanische Firmen, während die klassischen Telekommunikationsunternehmen, Telekom, Vodafone, O2 und so weiter, europäische Unternehmen sind und die fühlen

sich ungerecht behandelt und die EU-Kommission möchte eben jetzt eine dafür gleiche Marktchancen sorgen. Und das ist tatsächlich auch ein bisschen gruselig, weil, wenn man sich die Statements mal anschaut, scheint sogar auch der Schutz der Individuen vor allen Dingen diesem Ziel zu dienen. Die Argumentation ist, Schutz der Individuen ist vor allen Dingen deshalb interessant, weil sie dann Vertrauen in die Kommunikationsdienste haben, also benutzen

sie sie, also Wachstum. Also, aber zurück zur Lobby-Schlacht. Die EU-Kommission wird wahrscheinlich im Januar ihren Vorschlag zur Überarbeitung dieser Richtlinie vorlegen und

natürlich soll sie dann spätestens 2018 mit der neuen Datenschutz-Grundverordnung in Kraft treten. Wir befinden uns also noch eher am Anfang. Allerdings sind wir in der Lobby-Schlacht schon mittendrin. Die ersten Truppen sind bereits in Stellung. Der Europäische Verband der Netzbetreiber Eetno reicht auf Twitter und in Brüssel eine Studie,

sage ich mal in Anführungszeichen rum, die dafür sorgen soll, dass die, die untermauern soll, warum es eben wichtig ist, aus Sicht der Telekommunikationsanbieter, dass, oder aus Sicht der Netzbetreiber, dass die E-Privacy-Richtlinie komplett wegfällt. Genau, gucken wir mal auf die Detailfragen. Ich habe sechs konkrete Fragen mitgebracht.

Wie sieht es mit der Zeit aus? Ja, passt. Das erste ist die Frage nach dem Regulierungsinstrument. Ich habe schon gesagt, die Telcos bzw. die Internetindustrie will eigentlich geschlossen, dass diese Regel komplett wegfällt, dass das E-Privacy-Instrumente komplett wegfällt. Die Konsultation, die ich schon erwähnt habe, der EU-Kommission hat

gezeigt, dass die meisten öffentlichen Stellenministerien, aber auch Aufsichtsbehörden, genauso wie NGOs und Bürgerinnen und Bürger dafür sind, aus der Richtlinie eine Verordnung zu machen, um eine einheitliche Regelung zu schaffen. Und es sieht auch so aus, als

würde das passieren, nach dem, was man aus Brüssel so hört bislang. Also das sind die Fragen. Wird es eine Richtlinie, wird es eine Verordnung oder wird sie abgeschafft? Die zweite spannende Frage ist die der Reichweite der Regulierung. Ich hatte bislang nicht auf die OOTD-Dienste bezieht und somit nur bedingt wirkungsvoll ist in

unserer aktuellen Kommunikationswelt. Und hier gibt es dann auch wieder drei Optionen eigentlich zur Auswahl. Werden weiterhin nur die Telcos reguliert, werden auch die OOTD-Dienste miteinbezogen oder, so wie es Datenschutzorganisationen bzw.

auch NGOs fordern, wie Edri Kirsten, die sagen, wenn wir das jetzt schon überarbeiten, dann lass uns das mal versuchen mit einem etwas progressiveren und weiterreichenden Ansatz und auch das Internet of Things miteinbeziehen. Denn,

wie der europäische Datenschutzbeauftragte Giovanni Buttarelli schreibt, das Internet of Things ist ja eigentlich ein Internet of Things that are connected to people, also auch beim Smart Home, beim Smart TV, beim Smart Auto und so weiter fallen ja personenbezogene Daten an, die durchaus schützenswert sind. Also, nach dem,

was man hört aus Brüssel, wird es wahrscheinlich auf die Mittelvariante rauslaufen, also Ausweitung auf OOTD, Messenger und so weiter, aber eben nicht der ganz große Wurf inklusive Internet of Things. Eine der

spannendsten Fragen ist dann das Thema Tracking, wie wir alle wissen und fühlen und täglich erfahren, ist es mit dem informierten Einverständnis zum Tracking, dass eigentlich die Voraussetzung dafür ist, nur so bedingt weit her,

kann man von informierter Einwilligung sprechen, wenn man als Nutzer absolut nicht absehen kann, was mit den eigenen Daten passiert und welche Konsequenzen das hat. Fragwürdig. NGOs wie EDRI und ExisNow, aber auch der Verbraucherzentralen Bundesverband, aber auch die europäischen Datenschutzbeauftragten in der Artikel

29 Gruppe und der europäische Datenschutzbeauftragte haben wirklich viel Arbeit rein investiert, Vorschläge zu machen, wie man das Thema konkret verbessern könnte, wie man die Zustimmung oder wie man das Zustimmungsprinzip beim Tracking reformieren könnte, also Stichwort

Informationen, bessere Informationen, mehr Widerspruchsmöglichkeiten oder leichtere Widerspruchsmöglichkeiten und vor allen Dingen eben keine Cookie Walls, wie wir sie gerade erfahren, denn die Erfahrung was Cookies angeht, ist derzeit natürlich, wir klicken auf eine Seite, bekommen oben oder unten dieses kleine Informationsbanner, wir setzen

übrigens Cookies ein, du kannst widersprechen und gehen oder du kannst zustimmen und auf unserer Seite bleiben. Außerdem auch eher progressive Vorschläge, wie zum Beispiel Tracking komplett zu verbieten im Bereich der Gesundheit, also Fitness Apps, in Sachen

von Fitness Apps und Informationen über Gesundheitsthemen sollte kein Tracking erlaubt sein oder bei öffentlich finanzierten Diensten oder Angeboten sollte eben auch kein Tracking möglich sein. Da müssen wir uns überraschen lassen, inwiefern die EU-Kommission auf

diesen Vorschlag eingeht. Der vierte Punkt ist nochmal das explizite Thema Metadaten, wie aussagekräftig und wie unbedingt schützenswert Kommunikationsmetadaten sind, führe ich in Anbetracht der Zeit jetzt mal nicht mehr aus. Eine der zentralen Fragen wird aber tatsächlich sein, ob der gleiche hohe Schutz dieser Datenart bestehen bleibt.

Es geht schließlich um richtig viel Geld. NGOs wie eDRI und Exis, VZBV und so weiter, die ich eben schon genannt habe, setzen sich stark dafür ein, dass das bestehende hohe Schutzniveau für Kommunikationsmetadaten bestehen bleibt, vor allem die Telcos machen hier aber Druck, die haben

natürlich, sitzen auf einem Milliardenschatz sozusagen und würden gerne die unsere Telekommunikationsmetadaten freier verwenden können. Und hier gibt es tatsächlich nicht so gute Nachrichten von dem, was man so hört bislang. Die Kommission erwägt nämlich hier auch das berechtigte Interesse

der Datenverarbeiter, so wie es die Datenschutz Grundverordnung einführt, zum Prinzip zu machen. Das würde heißen, auch ein Geschäftsinteresse, auch ein Geschäftszweck kann zu diesem berechtigten Interesse fühlen. Das würde de facto eine Abschwächung des hohen Schutzniveaus bedeuten und eine gewisse Unsicherheit für

Nutzerinnen und Nutzer, wie dann im Zweifelsfall Gerichte entscheiden werden, die jetzt mein Persönlichkeitsrecht höher oder das berechtigte Interesse. Also aus Verbraucherschutzsicht wäre das eine mittlere Katastrophe, würde ich mal sagen. Und natürlich keine Lobby, Schlacht und Privatsphäre im Internet ohne vermeintliche Sicherheitspolitiker.

Und hier geht es jetzt tatsächlich noch mal richtig ans Eingemachte, auch für die Leute, die vielleicht sagen, Herr, kommerzielle Überwachung ist doch alles legitim, Geschäftsmodelle, denn es geht, die ePrivacy-Richtlinie regelt auch die nationalen Ausnahmen in Artikel 15, ermöglicht sie nämlich Ausnahmen zum Schutz der nationalen Sicherheit für Strafverfolgung und so weiter.

Und zwar und explizit hier aus dem Jahr 2006 auch der Zusatz, dass eine Vorratsdatenspeicherung möglich ist. Und wer unseren Blog aufmerksam verfolgt oder andere Medien weiß vielleicht, dass gerade in diesem Sommer, gerade vom

Innenminister, aber auch von anderen wiederholt die Forderung kam, die Vorratsdatenspeicherung auch auszudehnen auf Messenger, auf Voice-over-IP-Telefonie, also nicht mehr nur bei der klassischen Telekommunikations zu belassen, sondern sie auszuweiten. Unter anderem hier abgebildet mit dem französischen

Amtskollegen Casneuf, hat er es auch gemeinsam gefordert. Hier gibt es drei Optionen, von denen noch nicht ganz klar ist offenbar, für welche die Kommission sich entscheidet. Es könnte sein, dass der Satz einfach so stehen bleibt oder dieser Zusatz, dass eine Vorratsdatenspeicherung möglich ist. Eine zweite Möglichkeit ist, dass explizit, dass der

Satz stehen bleibt, aber explizit klargemacht wird. Es darf keine Vorratsdatenspeicherung von OTTs geben, aber es könnte auch sein, dass der komplette Absatz einfach gestrichen wird. Da müssen wir etwas geduldig sein. Und der letzte Punkt, dann komme ich fast zum

Schluss, ist das Thema Sicherheit. Da geht es eben auch nochmal ans Eingemachte. Wir haben eben bei Kirsten schon gehört, dass der Angriff auf das Recht auf Verschlüsselung nach wie vor auf Hochtouren läuft und offensichtlich gibt es auch großen Lobbyaufwand, etwa von Interpol, im Rahmen der E-Privacy Reform, das Recht

auf Verschlüsselung zu schwächen bzw. Hintertüren mit einzubauen. Das ist ja genau die Frage des Problems mit den Hintertüren. Datenschutzbeauftragte und die eben bereits genannten NGOs sprechen sich natürlich dafür aus, das Recht auf Verschlüsselung unbedingt

drinne zu lassen und zwar uneingeschränkt bzw. wäre eigentlich der Clou noch weiterzugehen und nicht zu sagen, es geht darum, dass Einzelne, die das Recht haben, das zu machen, sondern die Betreiber von Diensten haben die Pflicht, eben für die Sicherheit mittels Verschlüsselung zu sorgen. Okay, das war ein kurzer Einblick in das, was im kommenden Jahr auf dem

Spiel steht, wenn die Reform der E-Privacy-Richtlinie verhandelt wird. Vom Zeitplan her sieht es so aus, dass das Ding im Idealfall bis 2018 verabschiedet werden soll, damit es mit der Datenschutz-Grundverordnung gemeinsam in Kraft treten kann. Im Januar wird die EU-Kommission wohl ihren Vorschlag vorlegen und

spätestens im nächsten Jahr sind dann wir alle gefragt, weil das Thema dann Öffentlichkeit braucht, wenn es im Rat, aber vor allen Dingen auch im Parlament verhandelt wird und dort die bürgerrechtsfreundlichen und verbraucherschutzfreundlichen Kräfte massive Unterstützung brauchen. Deshalb, womit könnte ich hier anders enden als mit dem Aufruf Fight for Digital Rights, gerade bei diesem

Thema, Fight for a Good E-Privacy-Regulation. Also setzt euch ein für verbindliche Regeln durch eine Verordnung für weitreichenden Schutz, inklusive Over-the-Top-Diensten wie Messengers und des Internet of Things, Tracking-Schutz, echte Einwilligung statt weiterhin Take it or Leave it, ein hohes Datenschutzniveau bei Metadaten, das nicht

abgesenkt wird, keine Ausweitung der VDS auf Messenger und Internet-Telefonie, sondern eigentlich sogar Abschaffung der VDS natürlich und eine Stärkung von Verschlüsselung und Sicherheitspflichten für Anbieter. Falls ihr euch zu dem Thema auf dem Laufenden halten wollt weiter, dann könnt ihr es natürlich bei uns im Blog. Auf Twitter ist der entsprechende

Hashtag ePrivacy, der wird bislang bevölkert von so fünf bis sechs Leuten und der EU-Kommission. Da lohnt es sich aber trotzdem mal vorbeizukommen, gerade wenn man eine verbraucherschutzfreundliche Position hat, denn es ist deutlich wahrnehmbar, dass die Industrieverbände da auch Twitter nutzen, um ihre Studie zu verteilen und um Stimmung gegen die ePrivacy-Richtlinien zu machen.

Von daher, ja, Fight for Digital Rights, bitte unterstützt uns dabei und bleibt wachsam. Danke.