• 030 72 62 50 0
  • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

EU-Parlament nimmt Position zu ePrivacy an


Anfang 2017 legte die Europäische Kommission ihren Vorschlag für eine Novelle der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG (sog. E-Privacy-Richtlinie) vor. Aus der ehemaligen Richtlinie soll eine Verordnung werden. Mit den vorgeschlagenen Maßnahmen sollen die geltenden Regeln zum Schutz der Privatsphäre in der Kommunikation modernisiert und an die 2018 zur Anwendung kommende Datenschutzgrundverordnung (DSGVO) angepasst werden.

Nachdem Ende Juni 2017 die zuständige Berichterstatterin aus dem EP-Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE), Marju Lauristin (S&D, Estland) ihren Berichtsentwurf vorgelegt hatte, wurde dieser am vergangenen Donnerstag im Ausschuss abgestimmt. Sie finden das Dokument im Anhang (in englischer Sprache, sobald die deutsche Version vorliegt, werde ich diese nachliefern).

Unter anderem hat sich die Mehrheit aus Sozialisten, Grünen und Linksliberalen dafür ausgesprochen, dass Anbieter die Daten ihrer Kunden nicht mehr für andere Zwecke als den Betrieb ihrer Dienste nutzen dürfen, ohne sie zuvor um deren Einwilligung zu bitten. Zudem soll der Do-Not-Track-Standardfür Unternehmen bindend werden, damit Nutzer ihre Zustimmung oder Ablehnung zur Aufzeichnung ihres Online-Verhaltens leichter erteilen können. Dafür sollen Browser und Betriebssysteme automatisch die datenschutzfreundlichste Voreinstellung bekommen. Außerdem soll es ein Verbot von Tracking-Walls geben. Die Folge: Anbieter müssten Usern Zugang zu ihren Inhalten oder Dienstleistungen ermöglichen, auch wenn diese den Einsatz von Cookies ablehnen.

Zu den wichtigsten Punkten:

  • Cookies (Art. 8 Abs. 1): Der angenommene EP-Bericht bekräftigt den Ansatz der Kommission, dass grundsätzlich die Einwilligung die Grundlage für die Speicherung von Informationen via Cookies sein soll. Eine Anpassung an die DSGVO, die auch in den legitimen Interessen des Datenverarbeiters eine Grundlage für die Verarbeitung sieht, findet nicht statt. Allerdings gibt es etwas Bewegung bei den Ausnahmen: So soll eine Einwilligung nicht notwendig sein, wenn Cookies z.B. zur Reichweitenmessung genutzt werden und zwar auch wenn diese von Drittparteien, wie einem externen Dienstleister, eingesetzt werden. Allerdings müssen diese Daten aggregiert werden und der Nutzer muss widersprechen können. Zudem wurde eine weitere Ausnahme von der Einwilligung im Beschäftigtenverhältnis hinzugefügt, allerdings nur wenn die Datenerhebung absolut notwendig ist für das Funktionieren des vom Arbeitgeber zur Verfügung gestellten Equipments. Schließlich soll Nutzern der Zugang zu einer Webseite oder App (egal ob gratis oder kostenpflichtig) nicht verwehrt werden dürfen, allein aus dem Grund, dass keine Einwilligung gegeben wurde (Verbot von sog. Tracking Walls). Damit müssen u.U. alternative Versionen von Webseiten geschaffen werden – für diejenigen Nutzer, die ihre Einwilligung zur Datenverarbeitung nicht geben.
  • Offline-Tracking (Art. 8 Abs. 2): Die Erhebung von Daten, die von Endgeräten ausgesendet und über WLAN oder Bluethooth gesammelt werden können (Tracking), soll nun ebenfalls eingeschränkt werden. Für den Handel sind solche Informationen zunehmend von großer Bedeutung, da sie (statistische) Daten über Kundenströme im Geschäft liefern können. Der Kommissionsvorschlag sah vor, dass die Erhebung dieser Daten erlaubt ist, solange Kunden über einen Aushang ausreichend informiert werden. Die Parlamentsposition sieht nun vor, dass auch für diese Datenerhebung a) eine Einwilligung vorliegen muss oder b) dass die Daten sofort anonymisiert werden. Bei letzterem Erlaubnistatbestand sollen Daten nur für rein „statistische Zwecke“ erhoben werden können und den Nutzern müssen effektive Opt-Out-Möglichkeiten zur Verfügung stehen. Zudem muss die Datenerhebung zeitlich und räumlich begrenzt stattfinden, sodass die Bildung von Bewegungsprofilen voraussichtlich erschwert wird. Zusätzlich müssen Kunden sowohl bei a) als auch bei b) über einen Aushang über sämtliche Modalitäten der Datenerhebung informiert werden (Zweck, verantwortliche Person, etc.).
  • Browsereinstellung für Cookies (Art. 10): Die Kommission hatte vorgeschlagen, dass ein Nutzer nicht mehr jedes Mal beim Besuch einer Website auf ein Banner klicken muss, sondern in den Einstellungen seines Internetbrowsers (oder einer App) selbst ein Schutzniveau für die Nutzung von Cookies auswählen und so seine Einwilligung geben kann. Der EP-Ausschuss verschärfte den Vorschlag nun dahingehend, dass das Schutzniveau bei der Installation des Browsers durch den Verbraucher nicht originär gewählt werden soll, sondern die datenschutzfreundlichste, restriktivste Einstellung für die Verwendung von Cookies (= keine Verwendung von third party Cookies) automatisch „ab Werk“ voreingestellt ist (Do-Not-Track-Standard). Die Einstellungen können dann während und nach der Installation jederzeit geändert werden. Zudem sollen spezifische Einwilligungen für einzelne Dienste (Webseiten) erteilt werden können, die von den grundsätzlichen Einstellungen zur Datenverarbeitung abweichen. Diese ist ein erster Schritt in die richtige Richtung.
  • Direktmarketing (Art. 16): Der Vorschlag untersagt sog. „unerbetene elektronische Kommunikation“ (sprich Werbung in Form von E-Mails, SMS, Telefonanrufen) gänzlich, sofern der Nutzer nicht zuvor zugestimmt hat (Opt-In). Allerdings gibt es eine Abweichung vom grundsätzlichen Opt-In: Für Direktmarketing von Produkten, z.B. via E-Mail, ist ein Opt-Out möglich, sofern bereits ein Kundenverhältnis besteht. In diesem Fall dürfen dann nicht länger nur „ähnliche“ sondern alle Produkte beworben werden. Es wurde also eine leichte Vereinfachung für den Handel durchgesetzt.
  • Strafen (Art. 23): Die Möglichkeit zu enormen Strafzahlungen von bis zu vier Prozent des weltweiten Umsatzes, welche die DSGVO bei Verstößen ermöglicht, soll auch für Verstöße gegen die ePrivacy-Verordnung gelten – und zwar auch bei Verstößen gegen Artikel 8 (Cookies und WLAN-Tracking).

Bewertung:

Die Verhandlungen über die E-Privacy-Verordnung sind weiter auf einem steinigen Weg, um die dringend erforderliche Balance zwischen den gleichermaßen berechtigten Interessen aller Betroffenen - Verbraucher, Unternehmen und Allgemeinheit - herzustellen. Die Parlamentsposition fordert ein höheres Regulierungsniveau als die Kommission und dementsprechend einen strikteren Schutz der Privatsphäre – insbesondere indem sie das ohnehin schon dominierende Element der Einwilligung als Grundlage für die Datenverarbeitung weiter stärkt. Dies schlägt sich in vielen für den Handel relevanten Artikeln nieder und könnte die Verarbeitung von persönlichen Daten sowie darauf basierende Geschäftsmodelle erheblich beeinträchtigen. Die Parlamentsposition stell damit eine weitere Verschlechterung zum Kommissionsvorschlag dar.

Somit wird die Befugnis zur Datenverarbeitung weg von europäischen Unternehmen hin zu mächtigen internationalen Marktakteuren (aus den USA) verlagert. Die Vorschriften sind damit weder wettbewerbsneutral noch datenschutzpolitisch sinnvoll. Teilweise handelt es sich um regelrechte Grenzüberschreitungen, etwa, wenn entgeltlose, weil werbefinanzierte Angebote ihre Inhalte uneingeschränkt zur Verfügung stellen müssen, selbst wenn Verbraucher der hierfür notwendigen Datenverarbeitung nicht zustimmen. Eine Kohärenz mit der DSGVO ist in weiten Teilen nicht zu erkennen.

Das Votum des Ausschusses, bei dem in einer knappen Entscheidung (von 31 zu 24 Stimmen) die Vorschläge eines Bündnisses aus Sozialisten, Grünen, Linken und Liberalen angenommen wurden, bedeutet noch keine Festlegung auf den endgültigen Gesetzestext. Nachdem u.a. die Fraktionen der Christdemokraten und Konservativen im Ausschuss die Vorschläge abgelehnt haben, wird das Abstimmungsergebnis in Brüssel als sehr schwaches Mandat für Verhandlungen mit den Mitgliedstaaten interpretiert.

Nächste Schritte:

Am 26. Oktober 2017 fand eine Plenarabstimmung des Europäischen Parlaments über das vom Ausschuss erteilte Mandat für die anstehenden Trilogverhandlungen statt. Die Abstimmung ging positiv und damit nicht in unserem Interesse aus, das Mandat wurde mit 318 zu 280 Stimmen bei 20 Enthaltungen angenommen. Der HDE hatte im Vorfeld der Abstimmungen noch einmal zahlreiche Abgeordnete der Fraktionen von EVP, EKR und ALDE dazu aufgerufen, gegen das Mandat zu stimmen, insbesondere die Fraktionen der Liberalen und die der Konservativen konnten sich bei der Abstimmung jedoch nicht auf eine einheitliche Linie einigen. Es wird somit im EP nicht noch einmal nachverhandelt, sondern die Position des Parlamentes (wie oben beschrieben) steht fest.

Der Ministerrat hat sich derweil noch nicht auf eine gemeinsame Position geeinigt. Die Bundesregierung ist hier weiterhin keine treibende Kraft, da sie sich auf Grund der Bundestagswahl und der andauernden Abstimmung zwischen BMWi, BMI und BMJV noch nicht positioniert hat. In diesem Zusammenhang hatten wir uns auch noch einmal in einem Brief an Kanzleramtsminister Altmaier gewandt. Der geplante Termin für das Inkrafttreten der neuen ePrivacy-Verordnung im Mai 2018 - zusammen mit der Datenschutzgrundverordnung -  wird damit voraussichtlich nicht zu halten sein, da der Trilog wohl dieses Jahr nicht mehr beginnen wird. Da Marju Lauristin (S&D, Estland) aus dem Parlament ausscheiden wird, wird die Deutsche Birgit Sippel (SPD) im weiteren Verlauf als EP-Berichterstatterin für die Verordnung zuständig sein.