E-Privacy-Verordnung

Aus Linux-Magazin 02/2020

E-Privacy-Verordnung

Von

© Sergey Nivens, 123RF

Ist die E-Privacy-Verordnung endgültig gescheitert? Nachdem sich die EU-Mitgliedstaaten erneut auf keinen Vorschlag einigen konnten, droht jetzt eine weitere jahrelange Verzögerung. Datenschutzjuristen zeigen sich ratlos.

Die Einigung über die geplante E-Privacy-Verordnung in der EU könnte sich um weitere Jahre verzögern. Nachdem die Mitgliedstaaten der Union im November einen Kompromissvorschlag der finnischen EU-Ratspräsidentschaft ablehnten, ist unklar, ob im kommenden Jahr unter den Ratspräsidentschaften Kroatiens und Deutschlands eine gemeinsame Position zustandekommt. Selbst ein völliges Scheitern der Pläne steht nun im Raum. Daher bleibt auf absehbare Zeit unklar, wie Webseitenbetreiber mit den Daten ihrer Nutzer umgehen dürfen und welche Einwilligungen sie dazu einholen müssen.

Das Problem: Während manche Staaten die Datenschutzvorgaben des Vorschlags als zu weitgehend ablehnen, halten andere den Schutz der Nutzer vor Tracking für zu stark aufgeweicht. Es scheint sehr schwierig zu sein, diese entgegengesetzten Positionen auf einen gemeinsamen Nenner zu bringen. Daher votierten in der vergangenen Woche in einem Treffen auf Expertenebene (Coreper) von den 27 EU-Mitgliedstaaten 14 gegen den finnischen Vorschlag, 9 stimmten dafür. Es gab eine Enthaltung, drei Staaten äußerten sich überhaupt nicht. Deutschland soll ebenfalls mit Nein gestimmt haben.

Intention der Verordnung schon aufgeweicht

Der Kompromissvorschlag Finnlands hatte die ursprüngliche Intention der Verordnung schon stark abgeschwächt. So sollten Webseitenbetreiber, die ihr Angebot vor allem über Online-Werbung finanzieren, die Daten von Nutzern ohne deren explizite Zustimmung verarbeiten dürfen. Zudem sollen Provider die Metadaten ihrer Nutzer unter bestimmten Bedingungen auch für Zwecke verwenden dürfen, für die sie nicht ursprünglich erhoben wurden.

Zwar hätte es nach einem erfolgreichen Votum noch einige Zeit gedauert, bis die Verordnung nach den Trilogverhandlungen mit EU-Kommission und Europaparlament tatsächlich beschlossen worden und in Kraft getreten wäre. Dennoch zeigen sich mehrere Datenschutzexperten nun ratlos, wie Anbieter angesichts der aktuellen Rechtslage mit Nutzertracking und Einwilligungen umgehen sollen: Neben der 2018 in Kraft getretenen EU-Datenschutzgrundverordnung (DSGVO) gilt eigentlich noch die Cookie-Richtlinie von 2002, die aber in Deutschland nie richtig umgesetzt wurde.

Gerichtliche Klärung erforderlich

So schreibt der Jurist Nicolas Hermann auf Datenschutzbeauftragter-info.de [1]: “So gerne Berater wie Anwälte derzeit eine konkrete Handlungsempfehlung geben würden: Eine seriöse und belastbare Antwort auf die Frage ‘Was nun?’ gibt es derzeit nicht.” Der Rechtsanwalt Olaf Koglin vom Axel-Springer-Verlag ist der Ansicht [2]: “Was ist nun wahr? Die einzig seriöse anwaltliche Auskunft ist: Das weiß man nicht. Man kann es nie ganz richtig, aber auch nie vollkommen falsch machen.”

Zwar haben die deutschen Datenschutzbehörden inzwischen dargelegt, wie ihrer Ansicht nach ein DSGVO-konformes Nutzertracking [3] gestaltet werden könnte. Doch für Hermann sind diese Vorschläge lediglich “Ansichten”. Ob diese richtig oder falsch seien, “wird sich vorerst nur gerichtlich klären lassen”. Selbst der Einsatz sogenannter Consent-Manager sei nicht immer eine sichere Lösung, denn Anbieter müssten damit rechnen, “dass die damit eingeholten Einwilligungen nach den Anforderungen der Aufsichtsbehörden aufgrund fehlender Transparenz wohl zumindest angreifbar, wenn nicht gar unwirksam sein dürften”.

Einsatz von Tracking-Tools überdenken

Auch Koglin weist darauf hin: “Wer auf Einwilligungen setzt, muss sich bewusst sein, dass diese nach den Anforderungen der Aufsichtsbehörden praktisch immer unwirksam sind.” Das hatte zumindest eine im September 2019 veröffentlichte Studie der Ruhr-Universität Bochum [4] ergeben.

Allerdings bedeutet das nicht, dass es überhaupt nicht möglich ist, DSGVO-konforme Einwilligungen nach den Vorgaben der deutschen Datenschutzbehörden einzuholen. Sie müssten vor allem differenzierter ausfallen als ein einfaches Banner, mit dem der Nutzer sämtliche Cookies pauschal akzeptiert.

Hermann gibt den Verantwortlichen den Tipp, “den Einsatz von Tracking-Mechaniken und Cookies auf der eigenen Website zumindest zu durchdenken”. So sollte der Anbieter analysieren, welche Relevanz das Tracking für den Betrieb der Webseite tatsächlich hat. “Oftmals werden Tracking-Lösungen genutzt, aber überhaupt nicht ausgewertet”, sagt Hermann.

Netzaktivisten bedauern Entscheidung

Nach dem vorläufigen Scheitern einer europaweiten Einigung hängt nun viel davon ab, wie die nationalen Aufsichtsbehörden auf Basis der DSGVO und der alten Cookie-Richtlinie das Nutzertracking beurteilen. Sollten Anbieter deren Vorgaben ablehnen, wovon man ausgehen kann, müssten am Ende die Gerichte über die richtige Umsetzung des EU-Rechts entscheiden. Dabei sollte möglichst schnell der Europäische Gerichtshof (EuGH) angerufen werden, um die Fragen höchstrichterlich zu klären (Abbildung 1).

Abbildung 1&: Der Europäische Gerichtshof könnte höchstrichterlich zum Nutzertracking entscheiden. Quelle: Gerichtshof der Europäischen Union

Abbildung 1: Der Europäische Gerichtshof könnte höchstrichterlich zum Nutzertracking entscheiden. Quelle: Gerichtshof der Europäischen Union

Auch wenn der Ausgang dieser Verfahren offen ist und durchaus den Datenschutz der Nutzer stärken könnte, bedauern Netzaktivisten die Entscheidung vom vergangenen Freitag. Damit habe der Ministerrat eine Haltung eingenommen, “um die Interessen von Online-Tracking-Werbetreibenden zu schützen und die Dominanz von Big Tech sicherzustellen”, ärgert sich Diego Naranjo von European Digital Rights (EDRi [5]). Er fordert die EU-Kommission auf, den Bürgern zur Seite zu stehen, “indem sie den Vorschlag verteidigt und den Rat auffordert, bis 2020 einen stark überarbeiteten Text vorzulegen”.

Kompromiss finden

Die Datenschutzorganisation Access Now befürchtet gar [6]: “Dieses Votum könnte einen monatelangen Stillstand für die E-Privacy-Reform bedeuten, die sogar von der EU-Kommission komplett zurückgezogen werden könnte.”

Wieder Bewegung in die festgefahrenen Verhandlungen zu bringen, wird am ehesten noch der deutschen Ratspräsidentschaft im zweiten Halbjahr 2020 zugetraut. Sollte es aber in gut einem Jahr endlich eine gemeinsame Verhandlungsposition der EU-Mitgliedsstaaten geben, dürfte es noch einige weitere Jahre dauern, bis die Reform dann in Kraft tritt.

Während Hermann erst im Jahr 2023 mit einer Endfassung der Verordnung rechnet, hält Koglin es immerhin für möglich, dass sie schon 2023 in Kraft tritt – vorausgesetzt, die EU-Mitgliedstaaten können sich in den Trilogverhandlungen überhaupt mit Kommission und Parlament auf einen gemeinsamen Text einigen.

Staaten wollten weiter verhandeln

Angesichts der aktuellen Vorlage ist das jedoch keineswegs ausgemacht. Nach Einschätzung von Access Now haben die EU-Mitgliedstaaten aus der Verordnung, die die Rechte der Nutzer im Internet stärken sollte, ein Überwachungswerkzeug gemacht. Die Abstimmung vom 22. November 2019 sollte dennoch kein Signal sein, dass eine Reform überhaupt nicht möglich ist. “Stattdessen müssen die Staaten an den Verhandlungstisch zurückkehren und das liefern, was den EU-Bürgern versprochen wurde: einen stärkeren Schutz der Privatsphäre”, fordert die Organisation.

Zumindest der erste Punkt der Forderung dürfte erfüllt werden. Die Mitgliedstaaten hätten sich “fast einstimmig” für eine Weiterarbeit an der Verordnung auf Basis des finnischen Vorschlags ausgesprochen, twitterte eine Vertreterin Finnlands [7] nach der gescheiterten Abstimmung. Sie wünschte Kroatien schon einmal viel Glück mit diesem Thema.

Der Autor

Friedhelm Greis ist Redakteur für Netzpolitik bei Golem.de. Er arbeitete bei der Netzeitung als Journalist und freier Autor in New York und Berlin und schreibt für die Wikipedia.

Infos

  1. Statement Nicolas Hermann: https://www.datenschutzbeauftragter-info.de/eprivacy-verordnung-in-der-krise-die-suche-nach-einem-plan-b/
  2. Statement Olaf Koglin, Axel-Springer-Verlag: https://www.gruenderszene.de/business/startups-eprivacy-cookies-tracking-wie-geht-es-weiter
  3. Orientierungshilfe DSGVO-konformes Nutzertracking: https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf
  4. Studie Ruhr Universität Bochum: https://www.syssec.ruhr-uni-bochum.de/media/emma/veroeffentlichungen/2019/09/05/uninformed-consent_Yl7FPEh.pdf
  5. Diego Naranjo, EDRi: https://edri.org/eprivacy-eu-member-states-push-crucial-reform-on-privacy-norms-close-to-a-dead-end/
  6. Access Now:https://www.accessnow.org/eu-states-vote-on-eprivacy-reform-we-were-promised-more-privacy-instead-we-are-getting-a-surveillance-toolkit/
  7. Finnischer Vorschlag: https://twitter.com/kpieti/status/1197923274874916865
DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 2 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo

Verwandte Artikel

Editorial

Eine Studie belegt: KI-Chatbots reden ihren Nutzern nach dem Mund. Das ist gefährlich für den sozialen Zusammenhalt in der Gesellschaft.

KubeCon CloudNativeCon Europe 2026

Rund 13 500 Teilnehmer aus 100 Ländern machen die KubeCon CloudNativeCon Europe 2026 zur bislang größten Open-Source-Konferenz weltweit, berichten die Veranstalter stolz. Künstliche Intelligenz in allen Schattierungen dominiert das Treffen von Anwendern, Projekten, Firmen und Entwicklern aus...

Home Assistant: Open Source trifft Smart Home

Als zentrale Open-Source-Plattform bündelt Home Assistant unterschiedliche Smart-Home-Geräte verschiedener Hersteller, priorisiert die lokale Kontrolle und ist damit eine datenschutzfreundliche Alternative zu Cloud-Hubs. Dank flexibler Architektur und einer schnell wachsenden...

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben