Drucksache 17/13000
72 ––
–– 72
Wie soll eine Lösung aussehen? Der Vorstoß der SPDBundestagsfraktion vom Januar 2012 (Bundestagsdrucksache 17/8454), die Einwilligungslösung durch eine Änderung des TMG festzuschreiben, war erfolglos. Ebenso
meine Bemühungen im Rahmen der Novellierung des Telekommunikationsgesetzes (vgl. Nr. 6.4). Einschwenken
auf die Position des Ministeriums? Direktes Anwenden
der Richtlinie wegen nicht erfolgter Umsetzung? Warten
auf ein Zeichen der Kommission? Einen Königsweg gibt
es hier wohl nicht. Vielleicht bleibt nur der (Um-)Weg
über ein Gericht, das zumindest die Richtung weisen
kann.
Erste technische Realisierungen für eine Einwilligung
werden schon eingesetzt oder entwickelt. Da aber auch
hier Unklarheiten bestehen, hat die Artikel-29-Gruppe
begonnen, verschiedene Lösungen zu sammeln und zu
bewerten, um europaweit zu einer einheitlichen Umsetzung des Cookie-Paragraphen zu gelangen. Sie orientiert
sich dabei auch an ihrer „Stellungnahme zur Ausnahme
von Cookies von der Einwilligungspflicht“ (WP 194).
Die Ergebnisse werden zu gegebener Zeit veröffentlicht.
Auf internationaler Ebene gibt es Bestrebungen, einen
„Do-not-track-Standard“ (DNT) zu entwickeln, der es
den Nutzern ermöglichen soll, eine verbindliche Willenserklärung zur Erfassung ihres Surfverhaltens beim Besuch einer Website abzugeben. Dies umfasst dann auch
das Setzen von Cookies. Der DNT-Standard, an dem vom
W3C (World Wide Web Consortium) gearbeitet wird,
sollte ursprünglich Anfang 2013 veröffentlicht werden.
Allerdings ziehen sich die Arbeiten – auch aufgrund von
unterschiedlichen Interessen und deutlichen Zielkonflikten innerhalb der W3C-Arbeitsgruppe – noch hin.
Die Artikel-29-Gruppe hat daher erhebliche Zweifel, ob
der Standard – jedenfalls in seiner „weichen“ Form, wie
ihn die meisten wirtschaftsnahen Vertreter in der W3C
befürworten – tatsächlich die Anforderungen des Artikels 5 Absatz 3 der E-Privacy-Richtlinie erfüllen wird.
Europarechtskonform wäre nur eine Lösung, bei der das
„do not track“ im Header eines Browser-Befehls verbindlich ist und nicht erst das Einblenden von Werbung, sondern auch schon das Setzen von Cookies und das Erheben
von Daten für Werbezwecke verhindert. Und das muss für
alle Anbieter gelten, unabhängig davon, ob sie Anbieter
der besuchten Website (first party) oder Werbeanbieter
(third party) sind.
5.5
Hinter verschlossenen Türen: ICANN
und die neuen Verträge mit den
Registraren
Weitgehend unbemerkt werden die Verträge zwischen
ICANN und den Registrierungsstellen überarbeitet und
um zusätzliche Pflichten erweitert – leider auch zu Lasten
des Datenschutzes.
Die wenigsten Internetnutzer wissen, wer ICANN ist und
was diese Stelle tut. Kurz gesagt: Die Internet Corporation for Assigned Names and Numbers ist eine nicht auf
Gewinn ausgerichtete Organisation mit Sitz in den USA
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
und koordiniert die Vergabe von Namen und Adressen im
Internet. Registrierungsstellen in den verschiedenen Ländern – oftmals sind dies Internetzugangsanbieter – übernehmen als letztes Glied die lokale Vergabe von Domainnamen und die Verteilung von IP-Adressen an Personen
und Organisationen. Zu diesem Zweck schließt ICANN
mit den Registraren Verträge ab, in denen unter anderem
geregelt ist, welche Daten von den Endkunden erhoben,
gespeichert und in den WhoIs-Datenbanken veröffentlicht werden müssen.
Diese Verträge werden derzeit überarbeitet. An dem Prozess sind neben den Registraren auch Vertreter der Strafverfolgungsbehörden und – nur beratend – der Regierungsbeirat GAC (Governmental Advisory Committee)
beteiligt, der einen ständigen Sitz bei der EU-Kommission hat. Datenschützer haben keine Stimme.
Es verwundert daher nicht, dass insbesondere die „Wünsche“ der Strafverfolger berücksichtigt und in die neuen
Verträge aufgenommen werden sollen: die jährliche Reverifizierung von Kontaktdaten der Registranten (E-MailAdresse, Telefonnummer), die beide auch in der WhoIsDatenbank veröffentlicht werden sollen, und die Speicherung von personenbezogenen Daten, die weit über das für
betriebliche Zwecke erforderliche Maß hinausgehen, wie
z. B. zusätzliche Bankdaten, IP-Adressen, Logfiles etc.
Diese Daten sollen die Arbeit der Strafverfolger erleichtern, damit die zunehmenden illegalen Handlungen und
Geschäfte im Internet, wenn nicht verhindert, so doch zumindest aufgeklärt werden können.
Ein wesentlicher Grund für die vielfach falschen Angaben in WhoIs-Datenbanken ist ICANN seit langem bekannt: Richtige Kontaktdaten, vor allem von Privatpersonen, sind eine Quelle für Spammer, und daher werden bei
der Registrierung zum eigenen Schutz falsche Daten angegeben. Dem könnte z. B. durch Einführung des OpoCModels (Operational Point of Contact) abgeholfen werden, was bisher nicht geschehen ist. Anfragen berechtigter Stellen würden dann von einer vertrauenswürdigen
Stelle beantwortet, die die WhoIs-Daten verwaltet. Dieses
Modell würde die öffentlichen WhoIs-Datenbanken ersetzen und damit auch den Interessen der Privatpersonen am
Schutz ihrer Daten Rechnung tragen.
Die Artikel-29-Gruppe hat sich im September 2012 mit
einem Schreiben an ICANN gewandt und sich gegen die
Erweiterungen in den Verträgen ausgesprochen, da sie
nach europäischem Recht unzulässig seien. Denn Registrare dürfen nicht vorsorglich und ohne Rechtsgrundlage
Daten für Strafverfolgungszwecke sammeln und vorhalten, die weder für vertragliche Zwecke noch für die Erbringung des Dienstes erforderlich sind. Würden sie dazu
vertraglich von ICANN verpflichtet, verstießen sie gegen
europäisches Recht.
Ob ein Kompromiss gefunden werden kann und es eine
Ausnahmeregelung für EU-Registrare geben wird, ist offen. Eine solche wurde jedenfalls in dem Antwortschreiben von ICANN in Aussicht gestellt. Die Verhandlungen
dauern noch an.