© danilsneg, 123RF

Der ambitionierte Zeitplan für das Inkrafttreten der E-Privacy-Verordnung ist wohl nicht zu halten. Das könnte für die Wirtschaft, die die Pläne kritisiert, noch zu einem Problem werden, warnen Vertreter von EU-Kommission und Europaparlament.

Die geplante EU-Verordnung zum Schutz der Nutzer vor ungewolltem Tracking tritt vermutlich anderthalb Jahre später in Kraft als geplant. Das Bundeswirtschaftsministerium teilte auf Anfrage mit, dass sich die EU-Mitgliedsstaaten wohl erst im Frühjahr auf eine Verhandlungsposition zur so genannten E-Privacy-Verordnung einigen werden. Nach Abschluss der Verhandlungen im Jahr 2018 und einer möglichen Übergangsfrist von zwölf Monaten könnte die Verordnung erst Ende 2019 Anwendung finden.

Ursprünglich war geplant, dass die E-Privacy-Verordnung zusammen mit der Datenschutzgrundverordnung im Mai 2018 in Kraft tritt. Das Europaparlament beschloss Ende Oktober 2017 seine Verhandlungsposition. Diese ist deutlich nutzerfreundlicher als der Entwurf, der im Januar dieses Jahres von der EU-Kommission vorgelegt worden war. Doch der so genannte Ministerrat, in dem die 28 Mitgliedsstaaten vertreten sind, verhandelt noch über eine gemeinsame Position.

Unsicherer Zustand

Obwohl aus der IT-Wirtschaft derzeit viel Widerstand gegen die Pläne kommt, könnte eine weitere Verzögerung oder gar Blockade für Unternehmen zum Problem werden. Davor warnen zumindest der Kabinettschef von EU-Kommissionspräsident Jean-Claude Juncker, Martin Selmayr (Abbildung 1), sowie der Europaabgeordnete und Datenschutzexperte Jan Philipp Albrecht (Grüne).

Abbildung 1: Martin Selmayr ist Kabinettschef von EU-Kommissionspräsident Jean-Claude Juncker. EC-Audiovisual Service/Photo: Christian Lambiotte

Auf einer Veranstaltung der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) im November in Berlin sagte Selmayr: “Dann gilt erst mal überall die Datenschutzgrundverordnung. Für diejenigen, die irgendwelche speziellen Regelungen aus industriepolitischen Gründen sich wünschen oder aus bürgerrechtlichen Gründen sich erhoffen, ist das schlecht.”

Nach Ansicht Selmayrs trifft dies vor allem für Deutschland zu, da hier die E-Privacy-Richtlinie der EU nicht korrekt umgesetzt sei und daher in der Übergangsphase nicht angewandt werden dürfe. “Das wäre für die Rechtssicherheit wahrscheinlich nicht der beste Zustand”, sagte Selmayr.

Verlage wittern Gefahr

Nach Ansicht der deutschen Verlegerverbände BDZV und VDZ können die Pläne “dramatische Auswirkungen auf die Finanzierung von professionellem Journalismus in der digitalen Welt” haben. Die vom Parlament gewünschten Regelungen gefährdeten die Datenverarbeitung unter Verwendung von Cookies und ähnlichen Techniken für viele Zwecke wie “Messung der Nutzungen und Nutzungsabläufe zwecks Anpassung des Angebots, Reichweitenmessung, Datenerhebung für Bezahlangebote, Kundenkommunikation und Werbung, Datenspeicherung für den Zweck der Betrugsprävention und der Sicherung der Integrität der Dienste”.

Inwieweit dies tatsächlich zutrifft, ist aber unklar. So schränkt der vom Europaparlament beschlossene Entwurf [1] in Artikel 8 die Möglichkeiten zur Setzung von Cookies und anderen Trackingtools ohne Nutzerzustimmung ein. Allerdings bleiben beispielsweise Reichweitenmessungen weiterhin erlaubt, unter anderem durch Provider, in deren Auftrag oder durch Webanalyse-Agenturen in öffentlichem Interesse oder für wissenschaftliche Zwecke.

Die Arbeitsgemeinschaft Online Forschung (AGOF) teilte auf Anfrage mit, dass aus Artikel 8 der geplanten Verordnung nicht eindeutig hervorgehe, was eine Webanalyse-Agentur sei und wann sie im öffentlichen Interesse handele. Es müsse klar festgestellt sein, dass Marktforschung im öffentlichen Interesse erfolge und damit von der Ausnahmeregelung umfasst sei.

Mit Blick auf das Tracking durch Drittanbieter hält es die AGOF für unrealistisch, dass ein Nutzer “die Notwendigkeit einer Reichweitenmessung für den gesamten Online-Markt überblicken wird”. Es sei vielmehr davon auszugehen, dass der Nutzer – einer ersten Intuition folgend – alle Drittanbieter sperre. Diese Standardeinstellung lasse die Privilegierung aus Artikel 8 dann ins Leere laufen.

Vorteile für Google & Co?

Allerdings trifft es zu, dass das Webseiten-übergreifende Tracking durch Drittanbieter erschwert werden soll. So heißt es in Erwägungsgrund 23: “Deshalb müssen Anbieter von Software, die elektronische Kommunikation ermöglicht (wie etwa Browser, Betriebssysteme und Kommunikationsanwendungen) […], so konfigurieren, dass die Privatsphäre in der Voreinstellung geschützt ist und dass die Domänen-übergreifende Verfolgung und Speicherung von Daten auf der Endeinrichtung durch Dritte in der Voreinstellung untersagt ist. Zudem sind die Anbieter dieser Software verpflichtet, ausreichend detaillierte Einstellungsmöglichkeiten bereitzustellen, damit für jede einzelne Zweckkategorie die Einwilligung erteilt werden kann.”

Doch genau davor fürchten sich diverse europäische Medien und warnen, dass US-Konzerne wie Google oder Facebook dadurch bevorzugt würden. Es könne “unglaublich schwierig” werden, die Browser-Einstellungen für einzelne Angebote zu ändern und Cookies zuzulassen, hieß es in einem offenen Brief vom Mai. Es sei Medien damit unmöglich, Lesern personalisierte Inhalte und Marketing oder relevante Werbung anzubieten.

“Habt keine Angst”

Selmayr versuchte die Kritik der Medien dadurch zu erklären, dass es diesen gerade in Deutschland durch intensive Lobbyarbeit gelungen sei, viele Ausnahmeregelungen im Datenschutz durchzusetzen. Diese seien nun durch die EU-Verordnungen gefährdet, obwohl auf der anderen Seite das gewünschte Ziel erreicht worden sei, den großen IT-Konzernen die gleichen Standards aufzuerlegen. “Habt doch keine Angst vor der Einwilligung”, sagte Selmayr und fügte hinzu: “Niemand hindert euch daran, auch noch mal zielgerichtete Werbung zu schicken. Ihr müsst nur noch einmal fragen.” Wenn europäische Unternehmen das vertrauensvoll machten, hätten sie sogar einen Wettbewerbsvorteil gegenüber solchen, die dies mit missbräuchlichen Praktiken versuchten.

Die Deutsche Telekom findet zumindest gut, dass die beiden Verordnungen viele inhaltliche Themen europaweit regelten. Auch sei zu begrüßen, dass Anbieter wie Whatsapp oder Skype ebenfalls die Vorgaben erfüllen müssten, sagte der Datenschutzbeauftragte des Unternehmens, Claus-Dieter Ulmer, bei der EAID-Diskussion.

Allerdings würden für gleiche Daten nicht immer dieselben Regeln gelten, sagte Ulmer. Ein Beispiel seien die von Firmen wie Google erhobenen GPS-Daten der Android-Nutzer, die anders als die Standortdaten der Provider nicht von der Datenschutzgrundverordnung betroffen seien. “Das halte ich für abstrus”, sagte Ulmer und verwies auf die bekannt gewordene Praxis von Google, sogar ohne GPS eine genaue Standortangabe der Nutzer zu erhalten.

Zudem stört sich die Telekom daran, dass nach der E-Privacy-Verordnung eine Weiterverarbeitung von Daten nur anonym oder mit Zustimmung des Nutzers möglich ist. Die Datenschutzgrundverordnung biete mehr Möglichkeiten – je nach Interessenabwägung zwischen Nutzer und Anbieter. Laut Ulmer ist es aber nicht möglich, immer nur mit anonymen Daten zu arbeiten, um bestimmte Abläufe nachzuvollziehen. Zudem sei gerade für große Unternehmen wie die Telekom eine Übergangsfrist von einem Jahr sinnvoll, um die Prozesse umzustellen.

Der Grünen-Politiker Albrecht appellierte an alle Beteiligten, die Verhandlungen “sehr ernst zu nehmen”. Sollte es bis Mai 2018 nicht zu einer Einigung zwischen Parlament und Mitgliedsstaaten kommen, werde dies “erhebliche Konsequenzen” und eine “große Rechtsunsicherheit” zur Folge haben. Sollte die Datenschutzgrundverordnung dann anstelle der E-Privacy-Richtlinie angewendet werden müssen, stürze das “viele Verarbeiter in eine völlig andere Situation”.

Was besonders problematisch ist: Von Mai 2018 gelten dann die hohen Bußgelder für Datenschutzverstöße, die 4 Prozent des Gesamtumsatzes betragen können. Nach Ansicht Ulmers haben die betroffenen Unternehmen angesichts der hohen Sanktionsdrohungen “die Hosen gestrichen voll”. Diese Drohung habe “einen unheimlichen Motivationscharakter”. Daher könne man davon ausgehen, dass in Zukunft mehr Unternehmen die Datenschutzanforderungen erfüllten.

Die Verordnung kommt

Die Möglichkeit, dass die E-Privacy-Verordnung am Ende ganz scheitern könnte, schloss Selmayr aus. “Vielleicht ein bisschen später, vielleicht etwas früher, aber sie wird in Kraft treten.” Dafür gebe es Mehrheiten im Parlament und in den Mitgliedsstaaten. Von einer Verzögerung würden weder Verbraucher noch Firmen profitieren, weil dann verschiedene Regelungen nebeneinander gälten, von denen sich am Ende die Datenschutzgrundverordnung durchsetzen werde. Zudem seien viele Inhalte der Verordnung durchaus wirtschaftsfreundlich, betonte Selmayr. (uba)