Der Kampf um die ePrivacy-Verordnung

4 Apr 2018

Auf dem Chaos Communications Congress kommen Experten zusammen, um die Top-Themen rund um Sicherheit, Privatsphäre und Menschenrechte des digitalen Zeitalters zu diskutieren. Natürlich stand dieses Jahr die neue europäische Datenschutzrichtlinie für elektronische Kommunikation auf der Tagesordnung.

Ingo Dachwitz, Redakteur der Nachrichten-Website zu digitalen Freiheitsrechten und anderen netzpolitischen Themen Netzpolitik.org, sprach über die neue Regulierung – worum es dabei genau geht, wie sie das Internet verändern kann und warum die meisten Vertreter der Internetwirtschaft der Meinung sind, dass die Folgen katastrophal sein werden.

Eine kurze Geschichte der Datenschutzregulierung in Europa

Vielleicht kennen Sie die ePrivacy-Verordnung bereits oder haben zumindest davon gehört. In der EU wurde eine öffentliche Konsultation durchgeführt, die bereits in vielen europäischen Medien diskutiert wurde. In diesem Beitrag fassen wir die Anfänge der ePrivacy in Europa für Sie zusammen.

In den 90er Jahren erfuhren das Internet und somit auch die Anzahl der Nutzerdaten ein rapides Wachstum. Unternehmen entwickelten neue Methoden Nutzerdaten zu erwerben und zu verarbeiten, die sich folglicherweise in ein wertvolles Gut verwandelten. Denn je mehr Nutzerdaten ein Unternehmen besitzt und je effektiver es diese Daten analysiert, desto präziser kann das Unternehmen Zielkunden anvisieren und Produkte verkaufen, indem es den Nutzern Anzeigen basierend auf den von ihnen generierten Daten darlegt.

Die Europäische Kommission fing damit an, allen Bereichen rund um das Thema ePrivacy besondere Aufmerksamkeit zu schenken und kam zu dem Schluss, dass die aktuelle Situation eine gesetzliche Regulierung auf höherem Niveau als zuvor erforderlich machte. Aus diesem Grund wurde die Datenschutzrichtlinie, der erste Rechtsakt zum Schutz personenbezogener Daten, stolze 21 Jahre später, im April 2017, durch die Datenschutz-Grundverordnung (DSGVO) abgelöst.

Die Verordnung zielt darauf ab, personenbezogene Daten strenger zu definieren und kategorisieren sowie die Schutzvorschriften bezüglich der Daten von EU-Bürgern – seien es genetische, intellektuelle, kulturelle, wirtschaftliche oder soziale Informationen – zu vereinheitlichen und zu stärken. Beispiele dafür sind unter anderem IP-Adressen, Kundennamen, Telefonnummern, Lieferantenstammdaten, Mitarbeiterdaten und vieles mehr.

Die Definition der neuen ePrivacy-Verordnung

Die ePrivacy-Verordnung, die im Mai 2018 in Kraft tritt, spezifiziert die DSGVO  im Hinblick auf Vorgaben für datenschutzfreundliche Software-Technik. Größtenteils ähneln ihre Prinzipien weitesgehend denen der DSGVO; der Hauptunterschied besteht jedoch darin, dass die ePrivacy-Verordnung personenbezogene Daten in zwei große Teile unterteilt: Inhaltsdaten (Textnachrichten, Bilder, verwendete Sprachen usw.) und Metadaten – „Daten über die Daten“ bzw. Informationen über die Inhaltsdateien. Metadaten für Websites enthalten beispielsweise Schlüsselwörter, Cookies, Fingerabdruckdaten, usw. Metadaten sind enorm wichtig für jeden, der andere im Netz definieren, tracken und ihr Verhalten analysieren möchte.

Obwohl diese Folie von einem anderen Vortrag auf dem Chaos Communication Congress stammt, kommt hier gut zur Geltung, wie wichtig Metadaten heute sind

Das Leitprinzip der ePrivacy-Verordnung bezüglich aller Arten von Nutzerdaten im Netz lautet: „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Das bedeutet:

  • Daten können nur mit der aktiven Zustimmung eines Benutzers gesammelt werden und müssen gelöscht oder anonymisiert werden, wenn sie für eine Kommunikation nicht mehr benötigt werden (Artikel 6).
  • Alle Formen des Online-Trackings müssen streng kontrolliert werden, beginnend damit, dass Benutzer gefragt werden müssen, ob sie getrackt werden möchten. Tracking (standardmäßig ohne die Erlaubnis des Benutzers) und sogenannte „Tracking Walls“ (die den Zugriff auf Website-Inhalte blockieren, wenn der Nutzer dem Tracking nicht ausdrücklich zustimmt) sind verboten (Artikel 7, 8, 9).
  • Offline-Tracking (mittels Bluetooth oder WLAN) darf nur zu statistischen Zwecken oder nach ausdrücklicher Zustimmung eines Nutzers verwendet werden (Artikel 8).
  • Die Anbieter von Kommunikationsdiensten müssen Nutzerdaten mithilfe von End-to-End-Verschlüsselung schützen; diese Daten können ausschließlich vom Nutzer selbst entschlüsselt werden (Artikel 17).
  • Die Anwendung von Schutzmaßnahmen seitens der Nutzer vor Tracking oder Targeting (z. B. Werbeblocker) darf von Kommunikationsdienstleistern nicht verboten werden (Artikel 17).

Das Schlachtfeld

Mit dem Vorschlag der Verordnung im Januar 2017, wurden seitens der europäischen Gesellschaft hitzige Debatten diesbezüglich geführt. Europas größte Medien sowie Vertreter von Internetunternehmen haben den gemeinsamen Standpunkt geäußert, dass die Verordnung nicht nur wenig hilfreich für Nutzer, sondern zudem auch benutzerunfreundlich und unproduktiv ist.

Branchenlobbyisten für ePrivacy in der EU, wie das Interactive Advertising Bureau (IAB), DigitalEurope, die EACA (Europäische Vereinigung der Kommunikationsagenturen), die European Magazine Media Association (EMMA) und viele mehr (zu den Mitgliedern dieser Organisationen zählen unter anderem Unternehmen wie Amazon, Facebook, Google, Apple, Microsoft, die größten europäischen Digital-, Werbe- und PR-Agenturen sowie Medienunternehmen) riefen eine Internetkampagne namens „Like a Bad Movie“ gegen die Verordnung ins Leben. Behauptet wird, dass die Genehmigung der Verordnung den Nutzern und dem Internet als Ganzes schaden wird:

  • Datengetriebene Werbeeinnahmen zu begrenzen wird die Menge an qualitativ hochwertigem Journalismus verringern; das wiederum führt zu weniger hochwertigen Informationsquellen und weniger Meinungsvielfalt im Internet;
  • Die Geschäftsmodelle nützlicher Apps, die von datengetriebenen Werbeeinnahmen leben, fallen auseinander;
  • Die Verordnung verwirrt die Verbraucher und zwingt sie, die Datenschutzeinstellungen auf jedem einzelnen Gerät, in jedem Browser und auf jeder Website individuell zu verwalten;
  • Es werden deutlich weniger kostenlose Inhalte zur Verfügung stehen, da Websites keine Einnahmen aus datengetriebenen Anzeigen mehr erzielen können.

Aus Sicht der Lobbyisten bedroht die Verordnung datengetriebene Geschäftsmodelle und wird deshalb stark angefechtet. Von den 41 Lobbysitzungen zu ePrivacy, die 2016 mit EU-Kommissaren gehalten wurden, vertraten 36 unternehmerische Interessen. Folglicherweise fehlen dem endgültigen Vorschlag der Verordnung bereits einige Dinge, die im Entwurf enthalten waren. Die Definition von Metadaten ist beispielsweise sehr vage und der Vorschlag, die Standard-Einstellungen für die Privatsphäre auf Computerausrüstungen sicherzustellen, wurde ausgeschlossen.

Der Kampf geht weiter. Die am 23. Oktober 2017 vom Europäischen Parlament vorgenommenen Änderungen der Verordnung verschärfen die Vorschriften, die die Branchenvertreter weiterhin einschränken. Die Lobbyisten haben das Handtuch allerdings noch nicht geschmissen; noch gibt es Zeit für neue Abänderungen, die das Dokument vollständig verändern könnten.

Das ist alles, was wir bisher zum Thema wissen. Natürlich werden wir den Ablauf der Geschehnisse im Auge behalten und empfehlen Ihnen, das Gleiche zu tun. Die globale Auswirkung der Verordnung wird enorm sein, da das Internet möglicherweise nicht mehr von Nutzerdaten finanziert werden kann. Das macht die Regulierung, wenn sie verabschiedet wird, zu einem der wichtigsten bevorstehenden Events des Jahres – sie wird für die Weltwirtschaft definitiv mehr bedeuten als die kommende Fussball-Weltmeisterschaft.