E-Privacy-Verordnung: Zustimmungspflicht für Tracking könnte bald kommen

Die deutschen Datenschutzbehörden könnten in absehbarer Zeit eine Zustimmungspflicht für den Einsatz von Tracking-Mechanismen auf Internetseiten verlangen. Die niedersächsische Datenschutzbeauftragte Barbara Thiel sagte am 27. September im Gespräch mit Golem.de, dass sich die Datenschutzkonferenz (DSK) Anfang November das nächste Mal mit diesem Thema beschäftigen werde. Schon Ende April 2018 hatte die DSK eine entsprechende Zustimmungspflicht gefordert, anders als angekündigt jedoch nicht durchgesetzt. Nun sollen im November die Ergebnisse einer Konsultation mit betroffenen Unternehmen besprochen werden.

Hintergrund des Vorgehens ist die Verzögerung der sogenannten E-Privacy-Verordnung. Eigentlich sollte das EU-Gesetz im Mai 2018 gleichzeitig mit der Datenschutzgrundverordnung (DSGVO) in Kraft treten, doch bislang konnten sich die EU-Mitgliedstaaten noch immer nicht auf eine gemeinsame Position einigen. Nach Ansicht der Datenschützer müssen daher die Vorgaben der DSGVO eingehalten werden und nicht mehr die Regelungen des Telemediengesetzes (TMG). Ohnehin vertreten die Behörden die Auffassung, dass das TMG die Vorgaben der E-Privacy-Richtlinie - auch Cookie-Richtlinie genannt - nicht richtig umgesetzt hat.

Hohe Einnahmeverluste befürchtet

Internetfirmen laufen jedoch seit Monaten Sturm gegen die Pläne. Sie befürchten unter anderem, dass die Werbeeinnahmen stark sinken, weil personalisierte Werbung durch die Zustimmungspflicht beim Tracking erschwert wird. Das geht auch aus einer Umfrage hervor, die der Branchenverband Bitkom am Donnerstag veröffentlichte. Demnach gehen 51 Prozent der befragten 325 Unternehmen davon aus, "dass nur noch Anbieter mit Login-Modellen im Werbemarkt eine Chance haben".

Auch die Bundesregierung lehnt die aktuellen Vorschläge von Europaparlament und EU-Kommission ab. In den Verhandlungen will sie unter anderem das sogenannte Kopplungsverbot für die Nutzung personenbezogener Daten aufweichen. Demnach soll es künftig den Betreibern von Webseiten erlaubt sein, die Nutzung eines Dienstes vom Einsatz von Cookies oder Tracking-Tools abhängig zu machen.

Regierung will länger verhandeln

Die ablehnende Position bekräftigte die zuständige Unterabteilungsleiterin im Bundeswirtschaftsministerium, Daniela Brönstrup, am Donnerstag auf der Bitkom-Datenschutzkonferenz in Berlin. Der Entwurf sei noch nicht ausbalanciert genug, sagte Brönstrup. Die Regierung habe den Eindruck, dass die Verhandlungen noch "ein bisschen mehr Zeit" benötigten. Sie hoffe auf eine Einigung in diesem Jahr, sodass die Trilog-Verhandlungen mit Parlament und EU-Kommission noch vor den Europawahlen im kommenden Frühjahr abgeschlossen werden könnten. "Doch wir müssen sehen, ob das noch möglich ist", sagte Brönstrup.

Der aktuelle Vorschlag der österreichischen Ratspräsidentschaft sieht vor, dass der entsprechende Artikel 10 zur Zustimmungspflicht beim Tracking komplett gestrichen wird. Dass diese Position im Rat eine Mehrheit findet, ist allerdings eher unwahrscheinlich. Zudem würde sie diametral der Position des Europaparlaments entgegenstehen, das den Vorschlag der EU-Kommission in diesem Punkt sogar noch verschärft hatte (PDF). Der Vorschlag Österreichs wurde am 27. September in Brüssel von den Mitgliedstaaten diskutiert.

Keine Überprüfung gestartet

Nach Ansicht der Datenschutzkonferenz ist eine solche Opt-out-Möglichkeit, wie sie derzeit schon von Seiten wie wunderground.com praktiziert wird, bereits auf Basis der DSGVO erforderlich. Die entsprechenden Paragrafen 12, 13 und 15 des TMG könnten nicht mehr angewandt werden, hieß es in einer Erklärung vom vergangenen April (PDF). Damals soll das Bayerische Landesamt für Datenschutzaufsicht bereits angekündigt haben, mit dem automatisierten Abfragen von Internetseiten zu überprüfen, ob die Diensteanbieter tatsächlich die Zustimmung der Nutzer einholen. Doch dazu kam es bislang nicht.

Ob die DSK die Bedenken der Wirtschaft berücksichtigen wird, ist unklar. Sollte sie bei ihrer Rechtsauffassung bleiben, wäre es inkonsequent, deren Durchsetzung weiterhin aufzuschieben. Allerdings räumte Thiel ein, dass es eigentlich nicht die primäre Aufgabe der Aufsichtsbehörden gewesen sei, eine solche Positionsbestimmung vorzunehmen. Doch weil die Bundesregierung die Frage nicht geklärt habe, seien die Datenschützer selbst aktiv geworden.