Nach dem Entwurf einer neuen E-Privacy-Verordnung (EPVO), den die Europäische Kommission im Januar vorgelegt hat, soll für alle Inhalte der Telekommunikation und somit für alle Anrufe, Mails und Textnachrichten das Verbotsprinzip gelten. Dies ist ein gefährlicher Irrweg. So richtig es ist, die Vertraulichkeit von Kommunikationsinhalten umfassend zu schützen, so falsch wäre es, für den kommunikativen Austausch übermäßige regulatorische Schranken zu errichten. Zu den ungewollten Nebenfolgen des Entwurfs gehört es, dass man in Zukunft den Spammer um Erlaubnis fragen müsste, wenn ein Spam-Filter eingesetzt wird.
Telekommunikationsgeheimnis nach geltendem Recht
Die neue EPVO soll an die Stelle der E-Privacy-Richtlinie (EPRL) treten und gleichzeitig mit der Datenschutz-Grundverordnung (DSGVO) am 25.5.2018 in Kraft treten. Durch die EPVO würden deutsche Bestimmungen zum Schutz des Telekommunikationsgeheimnisses und zum Datenschutz bei der Telekommunikation (§§ 88 ff. TKG) obsolet.
Das Telekommunikationsgeheimnis ist in § 88 TKG geregelt. Es schützt den Inhalt der Telekommunikation und ihre näheren Umstände. Telekommunikationsunternehmen dürfen Telefonate nicht mithören und E-Mails, Chats und andere elektronische Nachrichten nicht abfangen und mitlesen. Anders als in anderen Ländern Europas ist das Telekommunikationsgeheimnis hierzulande (gemeinsam mit dem Postgeheimnis) ein eigenständiges Grundrecht (Art. 10 GG). In der Europäischen Grundrechtscharta (GRCh) findet sich ein solches Grundrecht nicht. Nach der GRCh ist das Telekommunikationsgeheimnis ein Teil des umfassenden Schutzes des Privat- und Familienlebens, den Art. 7 GRCh gewährt.
Schutzzweck des Telekommunikationsgeheimnisses
Beim Telekommunikationsgeheimnis geht es um den Schutz der Vertraulichkeit der Fernkommunikation. Dies ist etwas anderes als der Schutz der informationellen Selbstbestimmung. Es geht beim Telekommunikationsgeheimnis nicht darum, wer was über einen Bürger wissen darf. Über den Inhalt eines Telefonats dürfen der Staat und die Telekommunikationsunternehmen überhaupt nichts wissen. Das Telekommunikationsgeheimnis schützt vielmehr die freie Kommunikation gegen den Zugriff Dritter.
Die Vertraulichkeit der Telekommunikation gehört zu den zentralen Schutzanliegen der EPRL. Dementsprechend heißt es in Art. 5 Abs. 1 EPRL:
 „Die Mitgliedstaaten stellen die Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten durch innerstaatliche Vorschriften sicher. Insbesondere untersagen sie das Mithören, Abhören und Speichern sowie andere Arten des Abfangens oder Ãœberwachens von Nachrichten und der damit verbundenen Verkehrsdaten durch andere Personen als die Nutzer, wenn keine Einwilligung der betroffenen Nutzer vorliegt, es sei denn, dass diese Personen gemäß Artikel 15 Absatz 1 gesetzlich dazu ermächtigt sind. Diese Bestimmung steht – unbeschadet des Grundsatzes der Vertraulichkeit – der für die Weiterleitung einer Nachricht erforderlichen technischen Speicherung nicht entgegen.“
[Hervorhebungen hinzugefügt]
„Nachrichten“ werden somit geschützt gegen das „Mitlauschen“ („Mithören, Abhören“) und gegen das „Abfangen“ sowie – ganz allgemein – gegen das „Überwachen“. Hinzu kommt der Schutz gegen die unbefugte Aufzeichnung von Gesprächen – gegen das „Speichern“.
Schutzzweck nach dem Verordnungsentwurf
Art. 5 EPVO-E sieht eine Erweiterung dieses Schutzes vor:
 „Elektronische Kommunikationsdaten sind vertraulich. Eingriffe in elektronische Kommunikationsdaten wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens oder Überwachens oder Verarbeitens elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer sind untersagt, sofern sie nicht durch diese Verordnung erlaubt werden.“
[Hervorhebungen hinzugefügt]
Das „Scannen“ von Nachrichten wird auf eine Stufe mit dem „Abhören“ gestellt. Zudem wird das „Verarbeiten“ von „Kommunikationsdaten“ pauschal unter Erlaubnisvorbehalt gestellt.
„Verarbeiten von Kommunikationsdaten“
Was unter einem „Verarbeiten elektronischer Kommunikationsdaten“ zu verstehen sein soll, wird in dem EPVO-E nicht geregelt. Wahrscheinlich glaubt man, mit dem weiten Begriff der „Verarbeitung“ auskommen zu können, der sich in Art. 4 Nr. 2 DSGVO findet:
„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.
[Hervorhebungen hinzugefügt]
Unter diese Definition fällt jedes Telefonat, jede Mail, jede Messenger-Nachricht. Fernkommunikation ist heutzutage ohne die Verarbeitung personenbezogener Daten unmöglich. Art. 5 EPVO-E stellt somit die gesamte Telekommunikation unter Erlaubnisvorbehalt. Damit verlagert sich der Schutzfokus. Die Kommunikation wird nicht mehr nur gegen den Zugriff Dritter geschützt. Stattdessen werden die Bürger gegen Gefahren der Kommunikation geschützt:
Schutz vor Kommunikation statt Schutz von Kommunikation.
Erlaubnisnormen nach dem Verordnungsentwurf
Fragt man jetzt weiter, unter welchen Voraussetzungen die nach Art. 5 EPVO-E unter Erlaubnisvorbehalt gestellte Fernkommunikation erlaubt sein soll, ergibt sich ein verwirrendes Bild:
- Einwilligung und Notwendigkeit für Dienstleistung:
Nach Art. 6 Abs. 3 lit. a EPVO-E soll die Verarbeitung elektronischer Kommunikationsinhalte erlaubt sein
„zum alleinigen Zweck der Bereitstellung eines bestimmten Dienstes für einen Endnutzer, wenn der bzw. die betreffenden Endnutzer ihre Einwilligung zur Verarbeitung ihrer elektronischen Kommunikationsinhalte gegeben haben und die Dienstleistung ohne Verarbeitung dieser Inhalte nicht erbracht werden kann“.
Die Formulierung ist rätselhaft. Nimmt man den einfachen Fall eines E-Mail-Dienstes, so bedarf die Erstellung und Versendung einer Mail gewiss der Datenverarbeitung, sodass „die Dienstleistung ohne Verarbeitung dieser Inhalte nicht erbracht werden kann“.
Warum die Erlaubnis der Versendung darüber hinaus noch von einer Einwilligung abhängen soll, erschließt sich indes nicht. Ebenso bleibt unklar, was sich hinter den Worten „der bzw. die betreffenden Endnutzer“ verbirgt und ob damit etwa gemeint ist, dass die Übermittlung einer Mail von der Einwilligung sowohl des Versenders als auch des Empfängers abhängen soll.
Das Erfordernis von Einwilligung erschwert jedenfalls die Kommunikation, die der EPVO-E eigentlich schützen möchte, ohne dass ersichtlich ist, welcher Schutzgedanke hinter dem Einwilligungserfordernis stehen soll.
- Erforderlichkeit zur Ãœbermittlung der Kommunikation:
Noch verwirrender wird das Bild durch Art. 6 Abs. 1 lit. a EPVO-E: Danach ist die Verarbeitung von „Kommunikationsdaten“ erlaubt, wenn
„dies zur Durchführung der Übermittlung der Kommunikation nötig ist, für die dazu erforderliche Dauer“.
„Kommunikationsinhalte“ zählen – ebenso wie „Kommunikationsmetadaten“ – zu den „Kommunikationsdaten“ (Art. 4 Abs. 3 lit. b EPVO-E). In welchem Verhältnis Art. 6 Abs. 1 lit. a EPVO-E zu Art. 6 Abs. 3 lit. a EPVO-E steht, erschließt sich nicht.
Der offenkundige Widerspruch, dass es einmal (in Art. 6 Abs. 3 lit. a EPVO-E) auf Einwilligung(en) ankommen soll und einmal nicht (Art. 6 Abs. 1 lit. a EPVO-E), bleibt unaufgelöst.
- Schutz gegen unerwünschtes „Scannen“
Der Verwirrung nicht genug: In Art. 6 Abs. 3 lit. b Satz 1 EPVO-E findet sich ein weiterer Erlaubnistatbestand,
„wenn alle betreffenden Endnutzer ihre Einwilligung zur Verarbeitung ihrer elektronischen Kommunikationsinhalte für einen oder mehrere bestimmte Zwecke gegeben haben, die durch eine Verarbeitung anonymisierter Informationen nicht erreicht werden können, und wenn der Betreiber hierzu die Aufsichtsbehörde konsultiert hat.“
Anwendungsszenarien: Ausweislich Erwägungsgrund 19 Satz 4 bis 7 EPVO-E hat man hierbei Anwendungen im Blick, bei denen E-Mail-Bestände mit Suchbegriffen gescannt werden, um Werbeeinblendungen zu personalisieren. Wie eine Anonymisierung höchst persönlicher Nachrichten funktionieren soll, bleibt unklar. Mit einem bloßen Fortlassen der Namen von Absender und Empfänger wird es jedenfalls nicht getan sein, da Nachrichten vielfach persönliche Informationen enthalten, die eine Re-Identifizierung der Beteiligten ohne größeren Aufwand ermöglichen.
Verhältnis zur DSGVO: Art. 5 und 6 EPVO-E schützen Kommunikationsinhalte auf dem Übertragungsweg. Sind dagegen die Inhalte beim Empfänger angekommen, unterfallen sie dem „normalen“ Datenschutzrecht gemäß der DSGVO. Dementsprechend heißt es in Erwägungsgrund 19 Satz 8 und 9 EPVO-E:
„Nachdem elektronische Kommunikationsinhalte vom Endnutzer verschickt und von dem bzw. den bestimmungsgemäßen Endnutzern empfangen wurden, können sie von den Endnutzern oder von einem Dritten, der von den Endnutzern mit der Aufzeichnung oder Speicherung solcher Daten beauftragt wurde, aufgezeichnet oder gespeichert werden. Eine solche Verarbeitung der Daten muss im Einklang mit der Verordnung (EU) 2016/679 stehen.“
Widerspruch: Werden Mails mit Suchbegriffen gescannt, geschieht dies in aller Regel nach dem Übertragungsvorgang. Somit ist Art. 6 Abs. 3 lit. b Satz 1 EPVO-E auf einen Sachverhalt zugeschneidert, für den nach der Systematik des EPVO-E nicht die EPVO, sondern die DSGVO gelten soll. Auch diesen Widerspruch löst der EPVO-E nicht auf.
Regelungsdublette: Weitergehend stellt sich die Frage, ob es richtig ist, in Art. 5 EPVO-E das „Scannen“ von Mails dem „Abhören“ von Telefonaten und dem „Abfangen“ und „Mitlesen“ von Textnachrichten gleichzustellen. Für die Vertraulichkeit der Kommunikation ist es ein erheblicher Unterschied, ob ein Mensch „mitliest“ oder eine Maschine. Zudem überzeugt es, dass das BVerfG in seiner „KFZ-Kennzeichen“-Entscheidung im bloßen Scannen und Abgleichen per se keinen Grundrechtseingriff sehen wollte und einen Grundrechtseingriff nur für den Fall eines positiven Ergebnisses des Abgleichs mit nachfolgender Datenspeicherung bejaht hat (grundlegend hierzu Ziebarth, CR 2015, 687 ff.). Eine Speicherung von Daten aus Mails und eine Verwendung dieser Daten zur Personalisierung von Werbung unterfällt indes dem Verbotsprinzip des Art. 6 DSGVO und es dient weder der Rechtssicherheit, noch sind andere Gründe ersichtlich, ein und denselben Sachverhalt zusätzlich in der EPVO zu regeln.
Konsequenzen für Spam-Filter
Noch ein weiteres kommt hinzu: Die strengen Anforderungen des Art. 6 Abs. 3 lit. b EPVO-E würden in der Konsequenz bedeuten, dass Spam-Filter nicht mehr eingesetzt werden dürften, ohne den Spammer zu fragen. Ohne Spam-Filter würden die meisten E-Mail-Nutzer mit Spam-Mails überhäuft und müssten einen erheblichen Teil ihrer Online-Zeit mit der Identifizierung und Löschung solcher Nachrichten verbringen. Spam-Filter beruhen auf einer Technologie, die E-Mails systematisch scannt und nach typischen Merkmalen unerwünschter Nachrichten durchsucht, die ausgefiltert werden. Für derartige Filter nicht nur das Einverständnis des Empfängers der Nachricht zu verlangen, sondern auch das Einverständnis des Absenders, führt in letzter Konsequenz dazu, dass Spam-Mails filterfrei und ungehindert ihren Weg zum Empfänger finden können.
Verhältnis zur DSGVO und Wertungswidersprüche
Die dem EPVO-E zugrunde liegende Anwendung datenschutzrechtlicher Grundsätze auf die Inhalte der Fernkommunikation führt insgesamt zu unauflöslichen Wertungswidersprüchen und zu einer schwer nachvollziehbaren Abgrenzung zwischen EPVO und DSGVO. Die Anforderungen an eine Erlaubnis gemäß Art. 6 Abs. 1 und 3 EPVO-E sind wesentlich höher und enger als die Anforderungen, die Art. 6 Abs. 1 DSGVO vorsieht. Weshalb es für eine Datenverarbeitung nach der DSGVO ausreichend sein soll, dass sich der Datenverarbeiter auf „berechtigte Interessen“ beruft (Art. 6 Abs. 1 Satz 1 lit. f DSGVO), während Art. 6 EPVO-E einen solchen Erlaubnistatbestand nicht vorsieht, erschließt sich nicht. Auch bleibt unklar, ob die allgemeinen Prinzipien des Datenschutzes gemäß Art. 5 DSGVO auch für die Verarbeitung von Daten nach der EPVO gelten sollen. Wenn Art. 5 DSGVO Anwendung findet, wären Telekommunikationsunternehmen dafür verantwortlich, Kommunikationsdaten zu minimieren (Art. 5 Abs. 1 lit. c DSGVO) und für deren sachliche Richtigkeit Sorge zu tragen (Art. 5 Abs. 1 lit. d DSGVO). Dies kann kaum ernsthaft gewollt sein, bleibt nach dem Wortlaut des EPVO-E jedoch offen.
Fazit: Zurück zum Vertraulichkeitsschutz
Der Versuch, telekommunikative Inhalte in dem EPVO-E mit datenschutzrechtlichen Instrumentarien zu regulieren, ist ein Irrweg, der Kommunikation behindert, statt sie zu schützen. Die EPVO sollte es – wie die EPRL – beim Vertraulichkeitsschutz belassen und von dem Versuch Abstand nehmen, diesen Vertraulichkeitsschutz mit anderen Elementen des Datenschutzes zu vermengen.