Von Ralf Keuper
Die Beratungen zur ePrivacy-Verordnung gehen in die letzte Runde.
In der vergangenen Woche hatte sich der Rechtsausschuss des EU-Parlaments für einen datenschutzfreundlichen Kurs entschieden (Vgl. dazu: E-Privacy: EU-Parlamentsausschuss setzt datenschutzfreundlichen Kurs).
Wenig erfreut über die geplante e-Privacy-Verordnung ist die Werbe- und Internetwirtschaft, die ihre Position u.a. in dem Paper Datensouveränität statt digitaler Hürdenlauf formuliert hat.
Nach Ansicht der Autoren führe die ePrivacy-Verordnung dazu, die Marktmacht der Internetkonzerne zu stärken und den Datenschutz – entgegen der ursprünglichen Absicht – zu schwächen:
Die ePrivacy-Verordnung droht deshalb die digitale Wertschöpfung in ganz Europa auszubremsen. Gleichzeitig würde der aktuelle Entwurf der ePrivacy-Verordnung zu einer weiteren Stärkung der dominanten Internetplattformen führen. Sie können in ihren großen digitalen Ökosystemen zahlreiche digitale Dienstleistungen anbieten und notwendige Nutzereinwilligungen kundenfreundlich bündeln. So könnte die geplante ePrivacy-Verordnung eine weitere Konzentration personenbezogener Daten in den Händen einer kleinen Zahl marktbeherrschender Unternehmen verursachen und letztlich – und paradoxerweise – den Datenschutz in Europa schwächen. Dies widerspräche dem erklärten Ziel der Europäischen Kommission, auf Grundlage eines digitalen Binnenmarkts und fairer Wettbewerbsbedingungen digitale Innovationen zu fördern und Europa zur führenden Region in der weltweiten Internetwirtschaft zu machen.
Besonders kritisch sieht man die Behandlung von Cookies. Das führe u.a. zu einer Beeinträchtigung der Nutzerfreundlichkeit und einer Dominanz der Browser-Hersteller:
Nach dem Vorschlag der ePrivacy-Verordnung würde Internet-Browsern künftig eine noch größere Rolle bei der Ausgestaltung zukommen, welche Internetangebote Informationen auf das Gerät des Nutzers (zum Beispiel Cookies) schreiben dürfen und welche nicht. Die entsprechenden Entscheidungen sollen vom Nutzer zentral in den Einstellungen des Browsers getroffen werden. Bei der künftigen Nutzung von Internetangeboten im Browser würde daher nicht allein die entsprechende Einwilligung per Klick auf der Seite des Anbieters ausreichen. Der Browser würde weiterhin durch die entgegenstehenden zentralen Einstellungen das Schreiben von Cookies verhindern. Der Nutzer müsste also im (regelmäßig komplexen) Einstellungsmenü des Browsers die entsprechenden Ausnahmen zusätzlich bestätigen, was erfahrungsgemäß die wenigsten Nutzer auf sich nehmen. Eine technische Schnittstelle, die Einzelausnahmen direkt und für den Nutzer bequem in die zentralen Einstellungen überträgt, ist nach dem Verordnungsvorschlag nicht vorgesehen. Die Anbieter wären daher vom Wohlwollen der Browser-Hersteller abhängig und der Ausgestaltung der Schnittstellendefinitionen des Browser-Herstellers ausgeliefert, so dieser überhaupt welche vorsieht.
Es gelte die Datensouveränität zu fördern, statt die Hoffnungen allein auf Bestimmungen wie ePrivacy und DSGVO zu setzen:
Zur Stärkung der individuellen Datensouveränität sollte die geplante Verordnung deshalb allen Bürgern einen informierten und selbstbestimmten Umgang mit ihren personenbezogenen Daten ermöglichen. So würde die digitale Mündigkeit der Bürger gestärkt und gleichzeitig eine Grundlage für einen zukunftsfähigen digitalen Binnenmarkt geschaffen. Im jetzigen Entwurf würde die Kombination aus dem sehr breiten Anwendungsbereich und den vor allem im Vergleich zur DSGVO noch größeren Hürden für die Verarbeitung personenbezogener Daten zu einer Schwächung des europäischen Wirtschaftsstandorts führen.
Wie genau die Datensouveränität erreicht werden kann, bleibt offen. Was auf der einen Seite – im Fall der Cookies – als Überforderungen der Nutzer kritisiert wurde, ist auf der anderen Seite – der Datensouveränität – auf einmal das Mittel der Wahl.
In Tracking rechtswidrig, wenn sich die E-Privacy-Verordnung verspätet? wird die Frage behandelt, wie das Tracking datenschutzrechtlich zu behandeln ist, wenn die ePrivacy, wovon der Autor ausgeht, zu einem späteren Zeitpunkt rechtswirksam wird als die DSGVO. Ursprünglich geplant war es, dass beide Verordnungen im Mai kommenden Jahres gültig werden. Über das Zusammenspiel von DSGVO und e-Privacy:
An die Stelle der abzuschaffenden, datenschutzrechtlichen Bestimmungen des TMG tritt zuvorderst die DSGVO. Diese enthält zwar keine Spezialbestimmungen über Nutzungsprofile, jedoch zahlreiche allgemeine Vorschriften, welche auch auf Nutzungsprofile anwendbar sind (u.a. Art. 6 Abs. 1 lit. f, 4 Nr. 4, Art. 21 Abs. 2 DSGVO). Als lex specialis wird die E-Privacy-Verordnung alle Regelungen verdrängen, die auf Grundlage der ePrivacyRL 2002/58 und der Richtlinie 2009/136 (sog. Cookie-Richtlinie) ergangen sind. Die Folge ist, dass die §§ 11 – 15 TMG, insbesondere der § 15 Abs. 3 TMG, keine Anwendung mehr finden.
Auf Netzpolitik benennt Ingo Dachwitz sechs Gründe, weshalb die e-Privacy-Verordnung für jeden von uns wichtig ist:
- Keine Datenverarbeitung ohne Einverständnis
- Einfacher Schutz vor Online-Tracking
- Privacy by Default
- Grenzen für Offline-Tracking
- Recht auf Verschlüsselung
- Mehr Transparenz über staatliche Zugriffe
Weitere Informationen / Update
ePrivacy: Wichtiger Etappensieg für Nutzerrechte im EU-Parlament [Update: Reaktionen]
E-Privacy-Verordnung: EU-Parlament votiert für Tracking-Schutz
Die Reform der ePrivacy nutzt am Ende nur Google und Co.