E-Privacy-Verordnung: EU-Staaten wählen die nutzerfeindlichsten Optionen
Was Beobachter kaum noch für möglich gehalten hätten, ist nun doch noch eingetreten: Die 27 EU-Mitgliedstaaten haben sich auf eine gemeinsame Verhandlungsposition (PDF)(öffnet im neuen Fenster) zur sogenannten E-Privacy-Verordnung geeinigt. Damit können nach jahrelanger Blockade die finalen Verhandlungen mit der EU-Kommission und dem Europaparlament über den Schutz von Kommunikationsdaten beginnen. Wie zu erwarten war, liegen die Positionen zwischen Parlament und Ministerrat weit auseinander. In den Trilogverhandlungen dürfte heftig um die Interessen der Wirtschaft und der Nutzer gerungen werden.
Noch im vergangenen November war die deutsche Ratspräsidentschaft mit ihrem Kompromissvorschlag bei den anderen EU-Staaten abgeblitzt . Doch mit einer deutlichen Verschärfung der deutschen Vorschläge ist es der portugiesischen Präsidentschaft nun gelungen, eine Mehrheit für ihren neuen Entwurf zu gewinnen.
Nutzer bleiben auf der Strecke
Der beschlossene Entwurf klaubt im Grunde diejenigen Vorschläge aus früheren Entwürfen zusammen, die der Wirtschaft und den Sicherheitsbehörden am weitesten entgegenkommen. Demnach sollen journalistische Angebote, die teilweise oder komplett durch Werbung finanziert sind, weiterhin die Daten von Nutzern ohne deren explizite Zustimmung verarbeiten dürfen. Auch das Tracking durch Drittanbieter bleibt möglich.
Dabei hatte die Verordnung ursprünglich zum Ziel, den Umgang mit Cookies zu vereinfachen . Nach dem Willen des Europaparlaments sollte der Browser so voreingestellt sein , dass Tracking nur bei gewissen Ausnahmen wie zum Zweck der Reichweitenmessung zulässig ist. Damit Nutzer nicht zum Akzeptieren von Cookies gezwungen werden können, findet sich in einem eigenen Absatz 1a von Artikel 8 des Parlamentsentwurfs ein ausdrückliches Kopplungsverbot.
Cookie Walls könnten wiederkommen
Doch nun haben die EU-Staaten einen Vorschlag Finnlands aus dem November 2019 angenommen, der eine Tracking-Ausnahme für Medien vorsieht. Bei diesen könne "die Nutzung der Verarbeitungs- und Speichermöglichkeiten von Endgeräten und das Sammeln von Informationen von Endgeräten der Endnutzer erforderlich sein" , wenn die Angebote "ganz oder überwiegend durch Werbung finanziert werden" , heißt es nun in Erwägungsgrund 21aa. Voraussetzung dafür ist lediglich, dass der Nutzer "klare, präzise und benutzerfreundliche Informationen über die Zwecke von Cookies oder ähnlichen Techniken erhält und diese Verwendung akzeptiert" .
Ein solches "Akzeptieren" wird nicht näher definiert und könnte beispielsweise durch einen einfachen OK-Button umgesetzt werden, wie sie früher in Cookie-Bannern üblich waren und inzwischen auf Druck von Datenschützern durch differenziertere Zustimmungsoptionen ersetzt wurden. Das unterscheidet sich zudem von einer expliziten Zustimmung, wie sie die Bundesregierung in dem am Mittwoch beschlossenen Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) vorsieht.
Kritik an der geplanten Einigung kam umgehend vom Bundesdatenschutzbeauftragten Ulrich Kelber. Denn mit der Verordnung wären sogenannte Cookie Walls zulässig, hieß es in einer Mitteilung(öffnet im neuen Fenster) .
Noch bedenklicher findet Kelber die in dem Vorschlag vorgesehene Wiedereinführung der Vorratsdatenspeicherung.
Vorratsdatenspeicherung trotz ablehnender EuGH-Urteile
Die Einigung greift nun praktisch unverändert einen Vorschlag der kroatischen Ratspräsidentschaft vom März 2020 (PDF)(öffnet im neuen Fenster) auf. Damit sollen sowohl die EU-Mitgliedstaaten als auch die EU gesetzliche Regelungen zur Speicherung von "Metadaten" für einen "begrenzten Zeitraum" vorsehen können. Als Grund werden die "Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen" sowie "der Schutz vor und die Verhinderung von Bedrohungen der öffentlichen Sicherheit" genannt.
Mit Blick auf eine Entscheidung des Europäischen Gerichtshofs (EuGH) vom Oktober 2020, in dem das Verbot einer anlasslosen Vorratsdatenspeicherung bekräftigt wurde , wollte Deutschland diesen Passus in Artikel 7 komplett streichen.
Doch nun wurde der Vorschlag sogar noch leicht verschärft. Denn den Mitgliedstaaten soll die Möglichkeit vorbehalten bleiben, den "begrenzten Zeitraum" auszuweiten, wenn die Bedrohung der öffentlichen Sicherheit länger bestehen bleibt.
Drittanbieter-Tracking möglich
Konsequent eliminiert bleiben im Vorschlag der Mitgliedstaaten fast sämtliche Punkte, die dem Nutzer ein möglichst einfaches Zustimmungsmanagement verschaffen sollen. So wird Artikel 10, der einen Do-not-track-Mechanismus gegenüber Drittanbietern bei Browsern vorschreibt, komplett gestrichen. Auch Artikel 9, der die rechtlichen Vorgaben für eine wirksame Zustimmung präzisiert, soll nach dem Willen der Mitgliedstaaten entfallen.
Während EU-Kommission und Parlament das Tracking durch Drittanbieter einschränken wollten, sehen die Mitgliedstaaten in Artikel 8 eine ausdrückliche Erlaubnis für Firmen wie Google oder Facebook vor. Demnach dürfen nicht nur die Anbieter selbst "ohne Zustimmung der Nutzer" Daten erheben, sofern das "für reinen Zweck der Messung des Webpublikums nötig" ist. Dies soll künftig auch Drittanbietern möglich sein, wenn diese als Auftragsverarbeiter oder gemeinsam Verantwortliche die Daten für die Informationsdienste erheben.
Metadaten-Nutzung ohne Zustimmung
Deutlich ergänzt wird in dem Vorschlag zudem der Artikel 6, der den Providern Vorgaben zur Nutzung von Metadaten und Kommunikationsinhalten macht. So sollen Provider die Metadaten, zu denen auch Standortdaten gehören, laut Artikel 6c unter bestimmten Bedingungen für Zwecke verwenden dürfen, für die sie nicht ursprünglich erhoben wurden. Allerdings sollen diese Daten nur in anonymisierter Form an Dritte weitergegeben werden dürfen. Eine zwischenzeitlich vorgesehene Verpflichtung der Provider, den Nutzer über eine solche "kompatible Verarbeitung" seiner Daten zu informieren und ihm ein Widerspruchsrecht einzuräumen, wurde jedoch wieder gestrichen.
Scharfe Kritik an der Einigung, der Deutschland und Österreich nicht zugestimmt haben sollen, kam vom Verbraucherzentrale Bundesverband (VZBV). "Aus Verbrauchersicht ist die Position der EU-Mitgliedsstaaten ein Skandal. Künftig sollen Telekommunikationsanbieter sensible Daten wie Standortdaten auch zu anderen Zwecken verarbeiten dürfen, als ursprünglich erhoben. Darüber hinaus soll das Tracking der Nutzerinnen und Nutzer im Internet erleichtert werden" , monierte Verbandschef Klaus Müller(öffnet im neuen Fenster) .
Grüne: Enttäuschung auf ganzer Linie
Aus Sicht der Verbraucherschützer schränkt die Vereinbarung "den Datenschutz und die Vertraulichkeit der elektronischen Kommunikation massiv ein und zerstört das Vertrauen der Verbraucher" . Müller forderte die EU-Kommission, das EU-Parlament und die Bundesregierung dazu auf, die derzeitige Rechtslage zu verteidigen.
Nach Ansicht der Grünen-Bundestagsfraktion(öffnet im neuen Fenster) enttäuscht der nun akzeptierte Vorschlag "auf ganzer Linie" . Damit drohe "eine weitere Aufweichung des mühsam erkämpften Grundrechtsschutzes der Menschen in Europa. Bestehende Schutzstandards werden untergraben, zahlreiche Fragen bleiben ungeklärt" . Das Europaparlament muss nach Ansicht der Grünen in den Trilog-Verhandlungen "mit aller Klarheit für ein deutlich stärkeres Datenschutzniveau eintreten und für erhebliche Nachbesserungen an der Verordnung sorgen" .