Neue EU-Offensive gegen Spam

Eine EG-Richtlinie soll die Bekämpfung von Spam vereinheitlichen. Dazu werden Datenlecks in Hinkunft meldepflichtig, allerdings nur für Telekoms und Internet-Provider. Sehr zum Unwillen des EU-Datenschutzbeauftragten Peter Hustinx sollen von E-Banking bis Web 2.0 die Service-Anbieter davon ausgenommen sein.

Gewissermaßen als Kompensation für die heftig umstrittene EG-Richtlinie zur Vorratsdatenspeicherung von 2006 ["Data-Retention"] hatten EU-Kommission und Ministerrat angekündigt, Daten- und Konsumentenschutz in einer neuen Richtlinie ["E-Privacy"] zu stärken.

Am Donnerstag und Freitag tagte der EU-Ministerrat zum Thema "E-Privacy", unter anderem ging es um die mögliche Einarbeitung der Forderungen des EU-Datenschutzbeauftragten Hustinx sowie der Artikel-29-Gruppe. Das sind die Datenschutzbeauftragten der 27 Mitgliedsstaaten.

Fragliche Artikel

Umstritten sind vor allem Artikel 4 und 13 des Entwurfs, der drei existierende Richtlinien anpassen wird. Artikel 4 betrifft die zukünftige Meldepflicht von Vorfällen, die den Datenschutz der Kunden gefährden können, für Telekoms und Internet-Provider.

Artikel 13 enthält neue Maßnahmen zur einheitlichen, europaweiten Bekämpfung von Spam.

Wie aus dem in der vergangenen Woche im Rat diskutierten Richtlinienentwurf, der ORF.at vorliegt, zu ersehen ist, wurde den Forderungen der Datenschützer nur zu einem sehr geringen Teil stattgegeben.

Spammer EU-weit belangbar

Demnach soll es für Internet-Provider und betroffene Individuen, Firmen und Organisationen EU-weit einfacher werden, Spammer, die Mail-Header fälschen, zivilrechtlich zu verfolgen.

Aber auch Firmen, die ihren Kunden kein "Opt-out" aus Mailing-Listen anbieten und diese gegen deren Willen weiter mit E-Mails, Faxen oder Telefonaten eindecken, sind künftig europaweit zivilrechtlich belangbar.

Die Spammer

Ein Teil der Spammer - vor allem solche, die im selben Staat oder Sprachraum tätig und damit einfacher verfolgbar sind - behauptet in den Spam-Mails nämlich, der jeweilige Adressat sei Kunde oder habe über ein Webformular seine Zustimmung erteilt, und damit sei die Aussendung kein Spam.

Die Provider

Gänzlich unberücksichtigt blieben die Forderungen der Datenschützer in der Neuformulierung von Artikel 4.

Die Meldepflicht für Vorfälle, in denen die Sicherheit der persönlichen Daten von Kunden gefährdet ist, beschränkt sich im Richtlinienentwurf auf solche von Telekoms und Internet-Providern, also Zugangsanbietern.

E-Banking nicht meldepflichtig

Bei einem sicherheitsrelevanten Vorfall - Datenverlust, Einbrüche ins Netzwerk usw. - evaluieren diese obendrein selbst, ob es sich um eine ernsthafte und damit meldepflichtige Gefährdung des Datenschutzes ihrer Kunden handelt.

Online-Banking und andere E-Business-Anwendungen sind gegen den erklärten Willen der Datenschützer nicht in die Meldepflicht eingeschlossen, obwohl gerade hier das Gefährdungspotenzial am größten ist.

Der Zugang

Zum einen sind diese Serviceanbieter - von der Hausbank üder Auktions- und Wettanbieter bis zu Web-2.0-Services - haushoch in der Überzahl gegenüber einfachen Zugangsanbietern.

Zum anderen werden bei Services in der Regel sensible Daten in einem viel weniger sicheren Umfeld als bei Zugangsanbietern prozessiert, die ganz vorne in der Kommunikationskette sitzen und vom Router, der beim Kunden steht, angefangen ihr eigenes Netzwerk kontrollieren können.

Die Services

Reine Service-Provider verarbeiten hingegen von Kunden eingegebene Daten, die von einer beliebigen IP-Adresse kommen können, die Authentifizierung läuft in der Regel über fremde Router vermittels Web-Interface. Zumeist stehen dabei Konto- und Kreditkarteninformationen im Zentrum des Datentransfers.

Und genau da soll es bei Sicherheitslücken, die Kundendaten kompromittieren können, keine Meldepflicht geben. Logisch ist das nicht.

Nationale Vorbehalte

Deutschland, Schweden, Irland, Dänemark und Griechenland gehen offenbar sogar die eher weichen Regeln in Artikel 4 Absatz 3a zu weit, sie haben Vorbehalte angemeldet.

Artikel 4 Absatz 3a schreibt vor, dass die nationalen Datenschutzbehörden detaillierte Regeln vorschreiben können, ab wann ein meldepflichtiger Vorfall gegeben ist.

Irland will mehr

Der Richtlinienentwurf wurde von der britischen Bürgerrechtsorganisation Statewatch veröffentlicht, ein Zeitplan für die Verabschiedung der Richtlinie ist noch nicht bekannt.

Was die Richtlinie zur Vorratsdatenspeicherung betrifft, so wird eine Entscheidung des EU-Gerichtshofs für den 1. Juli erwartet.

Geklagt hatte die Republik Irland, der die vorgeschriebene Speicherfrist der Verkehrsdaten aus Telefonnetzen und dem Internet von bis zu zwei Jahren nicht weit genug ging.

• Position des Datenschutzbeauftragten [PDF]

• Artikel-29-Gruppe zum Thema

• Richtlinienentwurf bei Statewatch [PDF]

• Peter Hustinx im Gespräch mit ORF.at

(futurezone | Erich Moechel)