ePrivacy-Verordnung liegt auf Eis
Wer sich im Internet bewegt, gibt Daten von sich preis. Diese zu sammeln und zu verkaufen, ist mittlerweile Grundlage ganzer Geschäftsmodelle. Die EU wollte Nutzerinnen und Nutzer besser vor Datensammlern schützen. Bisher ist es jedoch beim Versuch geblieben: Ursprünglich sollte die ePrivacy-Verordnung bereits 2018 parallel zur Datenschutzgrundverordnung (DSGVO) in Kraft treten. Doch schon zu diesem Zeitpunkt war keine Einigung möglich. Nun hat der EU-Kommissar für Binnenmarkt und Industriepolitik, Thierry Breton, angekündigt, einen neuen Gesetzesentwurf vorlegen zu wollen. Da bereits an der Verordnung gearbeitet wurde, müsse man dafür nicht bei Null anfangen, so Breton.
Zuletzt hatte es einen neuen Vorschlag der finnischen EU-Ratspräsidentschaft gegeben, der die vorgesehenen Regeln bereits aufweichte. Offensichtlich konnten sich die EU-Mitgliedsstaaten hierauf nicht einigen.
Verordnung soll Privatsphäre schützen
Grundsätzlich geht es beim Thema ePrivacy darum, wie im Internet mit personenbezogenen Daten umgegangen wird. Das beinhaltet den Schutz der Privatsphäre.
Bisher gibt es eine ePrivacy-Richtlinie. Diese musste von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Die Verordnung würde die Richtlinie ersetzen und muss nicht weiter in nationales Recht umgesetzt werden, sondern könnte direkt in Kraft treten – so sie denn verabschiedet wird.
Beispielsweise soll die Verordnung einschränken, wie im Internet mit Cookies Daten gesammelt werden. Außerdem sollen für Telekommunikationsanbieter geltende Datenschutzbestimmungen auf Dienste wie den Facebook Messenger, Skype und WhatsApp ausgeweitet werden.
Streit um Cookies
Ein großer Streitpunkt bei der ePrivacy-Verordnung sind Cookies. Dabei handelt es sich um Dateien, die der Browser beim Aufruf einer Webseite auf dem Computer der Nutzerinnen und Nutzer speichern kann.
Cookies werden beispielsweise genutzt, um Anmeldedaten für eine Webseite zu speichern. Webseiten-Betreiber können sie aber auch einsetzen, um Anwender zu “tracken”, also Informationen über sie zu sammeln. Mittels sogenannter “Third Party Cookies” kann das Surf-Verhalten dabei über verschiedene Webseiten hinweg verfolgt werden. Firmen können durch diese Informationen personalisierte Werbung anzeigen.
Die ePrivacy-Verordnung sollte solche Cookies ursprünglich nur noch nach einer expliziten Einwilligung zulassen. Cookies, die beispielsweise dazu dienen, Artikel in einem digitalen Warenkorb zu halten, sollten hiervon nicht betroffen sein. In der Praxis würde das bedeuten, dass Nutzer Tracking-Cookies explizit zustimmen müssten (Opt-in). Ein Hinweis wie “Diese Seite nutzt Cookies” würde damit nicht mehr ausreichen.
Browser mit Datenschutzfunktionen
Die Entscheidung bezüglich der Cookies sollte dabei direkt vom Browser an die Webseiten übermittelt werden. Die Idee war, hier “Privacy by Default” umzusetzen. Das bedeutet, dass Browser standardmäßig datenschutzfreundlich eingestellt sind. Schon jetzt bieten viele Browser die Option “Do not Track”, die Webseiten eine Aufforderung schickt, das Nutzerverhalten nicht zu verfolgen. Allerdings ist dies nicht verpflichtend, sondern vielmehr eine Bitte, die von der Werbeindustrie einfach ignoriert werden kann.
Genau gegen diesen Teil der Verordnung hatte es erhebliche Proteste gegeben. Sowohl von der Werbebranche, als auch von Verlagen, die ihr bisheriges Online-Geschäftsmodell dadurch gefährdet sahen. Zumal ein sogenanntes Kopplungsverbot gefordert wurde: Selbst wenn zielgerichtetes Tracking abgelehnt wird, müsste die Webseite demnach zugänglich bleiben. Zwischen EU-Kommission, EU-Parlament und Europäischem Rat herrschte früh Uneinigkeit über dieses Kopplungsverbot.
Weiterhin ging es darum, wie man mit Metadaten umgeht. Die verraten etwa, wer wann mit wem über einen Messenger-Dienst kommuniziert. Aus manchen Metadaten lässt sich zudem ablesen, mit welchem Gerät Nutzer unterwegs sind. Diese Informationen sind ebenfalls für Unternehmen interessant, natürlich aber auch für Behörden. Kritiker warnen, dass Metadaten alleine ausreichen, um Menschen zu überwachen.
Nach der ursprünglichen Idee für die ePrivacy-Verordnung sollten sich Metadaten ebenfalls nur nach expliziter Einwilligung verwenden lassen. Wichtig dabei ist, dass die Verordnung gelten soll, solange sich Nutzer innerhalb der EU befinden. Sie ist also auch für US-Unternehmen wie Facebook und Google bindend.
Stückweise Abschwächung
Von Anfang an war die ePrivacy-Verordnung hart umkämpft. So wurde im Dezember 2016 ein Entwurf vorab veröffentlicht. Schon der offiziell von der Kommission im Januar 2017 veröffentlichte Entwurf war dem gegenüber abgeschwächt, enthielt aber weiterhin die Regel, dass “Do not Track” beachtet werden muss.
Spätestens dieser Entwurf rief die Lobbyisten auf den Plan. Laut dem Bericht “Big Data is Watching You” des Corporate Europe Observatory soll es sich um eine der intensivsten Lobby-Kampagnen überhaupt gehandelt haben.
In der Folge passierte seitens der EU im Ergebnis nicht viel. Zuletzt gab es Ende November einen weiter abgeschwächten Kompromissvorschlag. Teil des Vorschlags war, Tracking für werbefinanzierte journalistische Angebote grundsätzlich zuzulassen. “Privacy by Default” wurde in dieser Fassung gestrichen. Eine pseudonymisierte Weiterverarbeitung von Metadaten der Kommunikationsdienste war in diesem Vorschlag ebenso vorgesehen. Über diesen sollte eigentlich im Europäischen Rat verhandelt werden. Doch eine Einigung sei derzeit unmöglich, schätzt Breton die Lage ein.
Breton könnte noch an Bedeutung gewinnen. Beobachter erwarten von einem neuen Vorschlag unter seiner Federführung nämlich eine wirtschaftsfreundlichere Haltung. Der Grund: Breton war zuvor unter anderem Geschäftsführer der Telekommunikationsunternehmen France Telecom und Atos.
Wie es nun weitergeht, ist ungewiss. Ein neuer Vorschlag dürfte erst im kommenden Jahr vorliegen. Dann muss es immernoch zur Einigung kommen. Bis dahin gilt weiterhin die ePrivacy-Richtlinie aus dem Jahr 2002 mit der Erweiterung von 2009. (js)