Das Problem mit der Netzneutralität bei EU-Telekommunikationsunternehmen

Europäische Internetdienstanbieter werden auf die Verwendung der Deep Packet Inspection (DPI), einer fortschrittlichen Methode zur Untersuchung des Datenverkehrs über das Internet, geprüft.

Ähnlich wie bei der Post werden Informationen in Datenpaketen über das Netzwerk gesendet, die normalerweise durch Betrachten des Headers jedes Pakets gefiltert oder verwaltet werden, sodass der Inhalt privat bleibt – mit anderen Worten, der „Umschlag“ wurde nicht geöffnet.

Nach geltendem EU-Recht ist DPI für die Netzwerkoptimierung oder das „Verkehrsmanagement“ zulässig. Es ist nicht für kommerzielle oder Überwachungszwecke zulässig.

Dies könnte sich jedoch bald ändern. Die im Rahmen der Verordnung (EU) 2015/2120 gebündelten europäischen Regeln für die Netzneutralität stehen kurz vor der Überarbeitung, und einige Telekommunikationsbetreiber hoffen, den Druck auf die Nutzung der DPI-Technologie auszuüben (Wortspiel beabsichtigt!). Eine öffentliche Konsultation wird im Herbst dieses Jahres erwartet, wobei die endgültige Regelung voraussichtlich im ersten Halbjahr 2020 vereinbart wird.

Die European Digital Rights Group (EDRi) ist besorgt. Zusammen mit 45 NRO, Wissenschaftlern und Unternehmen aus 15 Ländern hat sie einen offenen Brief an europäische Entscheidungsträger und Regulierungsbehörden gesendet, in dem sie vor der weit verbreiteten und potenziell schädlichen Nutzung von DPI durch Internetdienstanbieter warnt.

Mit DPI können Anbieter von Internetzugangsdiensten – auch bekannt als Telcos – die gesendeten Daten im Detail überprüfen. Insbesondere ermöglicht DPI Internet Service Providern, genau zu sehen, welche Art von Datenpaketen Benutzer empfangen: E-Mails, Websites, Musik-, Video- oder Softwaredateien usw. Telcos kann dann bestimmte Pakete blockieren, filtern, drosseln oder umleiten.

Es gibt berechtigte Gründe, warum ein Betreiber dies tun möchte, um die Überlastung des Netzwerks zu verringern. Beispielsweise kann ein VoIP- oder Videokonferenzanruf, der eine geringe Latenzzeit erfordert, Vorrang vor dem Surfen im Internet haben, was nicht der Fall ist.

Es gibt jedoch eine Reihe weiterer zweifelhafter Gründe, aus denen DPI eingesetzt werden könnte und die gegen die Regeln für Netzneutralität oder Datenschutz verstoßen könnten. Auch wenn sie aus unheimlichen Gründen nicht aktiv eingesetzt werden, sollte die weit verbreitete Verwendung von DPI Anlass zur Sorge geben.

DPI ist derzeit nicht für kommerzielle oder Überwachungszwecke zulässig – die Telekommunikationsunternehmen hoffen, dies zu ändern

„Es gibt eine Reihe potenzieller Anwendungsfälle, in denen DPI nützlich sein kann. Die Möglichkeit, den Zugriff auf oder die Verbreitung von Bildern zu Kindesmissbrauch zu verfolgen, ist eine davon “, sagt der Rechtsexperte Daragh O’Brien, Managing Director von Castlebridge in Irland. „Damit ist es jedoch möglich, die Dinge, nach denen die Leute suchen und die sie online betrachten, auf einer sehr detaillierten Ebene zu identifizieren. Tatsächlich ist DPI so, als würde jemand aus der Telekommunikations-Marketingabteilung Ihnen über die Schulter schauen und sich in Echtzeit detaillierte Notizen darüber machen, auf was Sie über das Netzwerk zugreifen. “

Er fügte hinzu, dass es sich lohnt, DPI von herkömmlichen ISP-Protokolldaten zu unterscheiden, die besuchte Websites aufzeichnen, da DPI viel detaillierter und weitaus aussagekräftiger ist.

Trotz der Tatsache, dass die Verwendung von DPI für kommerzielle Zwecke nach geltendem Recht verboten ist, tun dies bereits viele Telekommunikationsunternehmen.

Eines der EDRi-Mitglieder, Epicenter Works, hat sogenannte Zero-Rating-Angebote (bei denen einige Dienste oder Plattformen in Paketen von Telekommunikationsunternehmen kostenlos angeboten werden und andere Websites auslassen) abgebildet und 186 solche Produkte identifiziert, die möglicherweise die DPI-Technologie in Europa nutzen.

„Telekommunikationsbetreiber möchten mehr Kontrolle über den Informationsfluss in ihren Netzwerken haben“, sagt Thomas Lohninger, Executive Director von Epicenter Works. “Die Monetarisierung von Benutzerinformationen und die vertikale Integration der eigenen Produkte in die Dienste, die wir im Internet nutzen, wie im Fall der Nullbewertung, funktioniert nur mit dem Kontrollniveau, das ihnen eine eingehende Paketinspektion bietet.”

“DPI ist wie ein Blick über die Schulter von jemandem aus der Telekommunikations-Marketing-Abteilung, der sich detaillierte Notizen darüber macht, auf was Sie zugreifen” – Daragh O’Brien

Eine solche Verletzung der Netzneutralität ist in Europa keine Seltenheit. Berichten aus dem Jahr 2017 zufolge haben europäische Internetdienstanbieter in ihren Datenplänen mindestens 75 Apps mit dem Wert Null angeboten.

„Die Wahlfreiheit der Verbraucher wird durch Telekommunikationsanbieter ersetzt, die für uns entscheiden, was wir online tun können und was nicht und wie viel wir für welchen Service bezahlen“, sagt Lohninger.

Netzneutralität ist nicht der einzige Bereich, der Anlass zur Sorge gibt. Laut Lohninger sollten auch Befürworter der Privatsphäre alarmiert werden.

„Telekommunikationsunternehmen wissen viel über unser Leben, wo wir sind und was wir online tun. Ohne starken rechtlichen Schutz vor missbräuchlichen Geschäftsmodellen wird unsere Informationsgesellschaft bald dystopisch “, sagt er. „Unsere Freiheit, frei zu wählen und zu sprechen, hängt auch von der Privatsphäre und dem Korrespondenzgeheimnis ab. Wenn man das weiß, ist es schwer zu verstehen, warum Politiker und Aufsichtsbehörden unserer Privatsphäre keinen höheren Stellenwert beimessen. “

In dem offenen Brief an die politischen Entscheidungsträger der EU hat die EDRI die Aufsichtsbehörden angeklagt, „bisher ein Auge auf diese Verstöße gegen die Netzneutralität geworfen zu haben. Anstatt ihre Durchsetzungspflichten zu erfüllen, scheinen sie nun die Regeln zu verwässern, die DPI verbieten. “

In der Zwischenzeit halten sich die Telekommunikationsunternehmen selbst strikt an die gesetzlichen Bestimmungen.

“EU-Telekommunikationsunternehmen setzen sich mit Stolz für das Prinzip der Vertraulichkeit von Informationen ein”, sagt Alessandro Gropelli, Sprecher von ETNO (European Telecoms Network Operators). „Darüber hinaus befürworten wir die Ausweitung auf alle Arten der Kommunikation. Dies kommt zur vollständigen Einhaltung sowohl der DSGVO als auch der Open-Internet-Verordnung hinzu. “

Im Gegensatz zu Internetunternehmen und Anbietern von Apps und anderen Plattformen wie Sprachassistenten unterliegen europäische Telekommunikationsunternehmen der Datenschutzrichtlinie für elektronische Kommunikation (ein weiteres EU-Recht, das derzeit überprüft wird) und müssen auch das Prinzip der Vertraulichkeit von Informationen einhalten.

Telcos argumentiert, dass DPI-basiertes Verkehrsmanagement die Zustimmung des Benutzers erfordert – daher die Einhaltung der DSGVO – und dass die Verkehrsanalyse auf den verwendeten Protokollen oder Anwendungen basiert. Da es sich nicht um eine kundenbezogene, sondern um eine allgemeine Angelegenheit handelt, handelt es sich nicht um personenbezogene Daten.

Laut Pat Walshe, Berater für Datenschutz und Privatsphäre, haben frühere Beispiele für die Verwendung von DPI jedoch das Datenschutzgesetz, die Datenschutzrichtlinie für elektronische Kommunikation und Vorschriften zum Abfangen von Kommunikation nicht ordnungsgemäß eingehalten.

“Die gegenwärtigen Praktiken lassen noch viel offen, was die Transparenz ihrer Verwendung und die rechtliche Grundlage der Verwendung betrifft”, sagt er. “DPI kann für gute und schlechte Zwecke verwendet werden. Es ist jedoch eine andere Frage, wie tief eine Analyse des Webverkehrs gehen muss, um sich vor Bedrohungen für Netzwerke und Einzelpersonen zu schützen, und eine Frage, die angesichts der weltweit zunehmenden Verwendung von DPI erneut diskutiert werden muss. “

Inwieweit DPI für „schlechte“ Zwecke eingesetzt werden kann, ist für den Online-Datenschutz von Belang.

“Mit der weit verbreiteten DPI könnten Telekommunikationsunternehmen ähnlich wie Facebook und Google mikrogezielte Datensätze erstellen, allerdings auf Geräteebene und in Bezug auf die Interaktion mit einer Website oder einer App”, so O’Brien. „Dies würde eine Erweiterung des Überwachungskapitalismusmodells bedeuten. Ich würde vielleicht nicht Google oder Facebook verwenden, aber ich habe keine andere Wahl, ob ich einen Internetdienstanbieter für den Online-Zugriff verwende, damit die Ernte auf einem allgegenwärtigeren Niveau stattfinden würde. “

Frühere Beispiele für die Verwendung von DPI haben nicht alle datenschutzrechtlichen Bestimmungen eingehalten.

Können uns VPNs also schützen? Einige Beweise dafür, dass VPNs uns tatsächlich vor solchen Eingriffen schützen, liegen in der Tatsache, dass die chinesische Regierung Apple zwingt, VPN-Anwendungen aus dem App Store zu entfernen, betont O’Brien.

VPNs sind jedoch an sich kein Geheimtipp gegen Eingriffe in den Online-Datenschutz, da sie den ISP als die Einheit ersetzen, die den Webverkehr der Benutzer anzeigen kann, und es daher unerlässlich ist, eine solche mit einer geeigneten Datenschutzrichtlinie zu wählen.

„VPN-Anbieter haben selbst Zugangsprovider, die möglicherweise sogar unter völlig anderen rechtlichen Rahmenbedingungen arbeiten“, sagt Lohninger. „Datenschutz bei der Kommunikation sollte auf jeden Fall jedem gewährt werden und nicht nur technisch versierten Personen, die wissen, wie man ein VPN verwendet.

Sollten sich die europäischen Telekommunikationsunternehmen durch das Gesetz durchsetzen, könnte eine verstärkte DPI-Nutzung in etwa so aussehen, als würde die Post jeden Brief oder jedes Paket öffnen, den Inhalt dieses Briefes klassifizieren und kategorisieren und Beurteilungen und Schlussfolgerungen darüber ziehen, wer Sie sind ( und vielleicht was du kaufen willst).

DPI ist eine bevorzugte Technologie von Regimen wie dem Iran, Nordkorea und China. Ob sich die EU bei der Nutzung dieser Technologie solchen Menschenrechtsverletzern anschließen wird, werden Aktivisten für digitale Rechte in den kommenden Monaten schwer bekämpfen.

Bildnachweis: Muhammad Raufan Yusup