E-Privacy-Verordnung nun mit verschärftem Datenschutz
Von Erich Möchel
Am Donnerstag wurden die Änderungsanträge des parlamentarischen Innenausschusses (LIBE) im EU-Parlament präsentiert. Der Text der Novelle zur E-Privacy-Verordnung wurde darin um einige wichtige Punkte ergänzt, beziehungsweise wurden umstrittene Absätze klargestellt. Allem Lobbying zum Trotz ist die Vorgabe von „Privacy by Design“ wieder im Text enthalten.
Browser, Apps und andere Software dürfen demnach nur mit datenschutzfreundlichen Grundeinstellungen ausgeliefert werden. Jede weitere Verarbeitung der personenbezogenen Daten bzw. jede Weitergabe bedarf jeweils der expliziten Zustimmung des Benutzers. Dagegen gab es bisher großen Widerstand von Online-Werbewirtschaft und Verlagen. Zudem werden auch europäische Polizeibehörden mit dem Ansatz des federführenden Ausschusses zu E-Privacy wenig Freude haben. Die Neufassung von Artikel 17 beinhaltet ein Ende-zu-Ende-Verschlüsselungsgebot für Provider, begleitet von einem Verbot des Einbaus von Hintertüren in Sicherheitsanwendungen.
Gemeinfrei
Symptomatische Veränderungen
Wenn es nach Print und Online-Werbern geht, soll ein Klick des Benutzers sämtliche Datenverarbeitungen und deren -weitergaben an globale Werbenetzwerke genehmigen
In welche Richtung die Verordnung geht, zeigt die 90 Seiten lange Liste der Änderungen, die Berichterstatterin Marju Lauristin (SPE) aus den „Amendments“ aller vier damit befassten Parlamentsausschüsse zusammengestellt hatte. Gleich in Rezital zwei - das sіnd die einleitenden Erläuterungen und Begründungen - wird in einem neuen Zusatz darauf hingewiesen, dass die Grundrechte auf Informations- und Meinungsfreiheit direkt auf dem Grundrecht der vertraulichen Kommunikation basieren.
Die nächste größere Änderung im Kommissionsentwurf durch den Innenausschuss ist dann die Streichung von Rezital 7. Darin war als Ziel der Regulation eine „Balance zwischen Schutz des Privatlebens und dem freien Fluss der elektronischen Kommunikationsdaten“ festgeschrieben. Da diese EU-Verordnung aber explizit zum Schutz der Privatsphäre der Benutzer dient - und eben nicht zur möglichst reibungslosen Abwicklung von Datengeschäften durch Firmen - fiel dieser Absatz nun hinaus.
E-Privacy-Verordnung, Rezital 15:
Gemeinfrei
In Artikel 11 wiederum, der Ausnahmen vom Schutz der persönlichen Kommunikation für die sogenannte „gesetzesmäßige Überwachung“ vorsieht, hatte die Kommission gleich einmal eine Art Prozedere für polizeiliche Zugriffe bei Providern vorgesehen. Auch das hatte nach Ansicht von Berichterstatterin Marju Lauristin nichts in einer Regulation zum Schutz der Privatsphäre verloren. In Rezital 15 wird dann das von der Datenschutzgrundverordnung (DGSVO) direkt abgeleitete Prinzip der E-Privacy-Verordnung unmissverständlich festgehalten.
Das anhand der neuen DSGVO novellierte Datenschutzgesetz in Österreich ging Anfang Juni im Schnellverfahren durch den Nationalrat. Für Verstöße sind hohe Strafen vorgesehen.
Abseits der technisch notwendigen, wird jede weitere Verarbeitung der Daten - natürlich auch deren Weitergabe - unzulässig, wenn sie der Dateneigentümer, nämlich der User, nicht explizit freigegeben hat. Gerade gegen diese von der DSGVO vorgegebene Klarstellung waren Werbevermarkter und Verleger gleichermaßen Sturm gelaufen, zumal eine solche Regelung direkt in die derzeitigen Abläufe bei der Internetwerbung eingreift.
„Tags“ als Grundlage der Datenökonomie
Evidon
Vor allem bei kommerziellen Mediensites werden massiv „Tags“ in den HTML-Code eingebunden, die Werbebanner laden, Cookies im Browser des Benutzers auslesen oder neue setzen. Meist über Javascripts werden alle nur denkbaren Daten und Einstellungen von PC und Handy erfasst und einem Benutzerprofil beim jeweiligen Vermarkter beigefügt. Bei diesen hochautomatisierten Abläufen werden verschiedenste Javascripts etc. verschiedener Firmen kaskadierend nachgeladen. Etwa die Hälfte davon sind sogenannte „Tracker“, die den Benutzer quer durchs Netz verfolgen, der auf jeder Website sichtbar wird, auf der es Werbebanner gibt.
Die Rückkehr von „Privacy by Design“
Das ursprünglich bereits enthaltene und dann abhanden gekommene „Privacy by Design“-Prinzip - alle Grundeinstellungen von Browsern oder Apps müssen datenschutzgerecht sein - sind in Artikel 10 der E-Privacy-Verordnung zurückgekehrt. "Standardmäßig müssen datenschutzgerechte Einstellungen vorgesehen sein, die Speicherung und das Auslesen von Daten durch Dritte verhindern. Danach können zwar nach Belieben Drittanbieter einbezogenen werden, Bedingung für die Weitergabe ist jedoch jeweils ein OK des Users.
Gemeinfrei
„Do Not Track“ wird rechtsverbindlich
Dieser neue Paragraph 1a zu Artikel 10 enthält noch eine weitere Vorgabe und die hat es in sich. „Die Einstellungen sollen ein Signal enthalten, um die anderen Beteiligten über die Benutzereinstellungen zu informieren.“ Hat der User die Option „Do Not Track“ gewählt - also „Verfolgen verboten“ - dann gilt dies rechtsverbindlich für alle Werbenetzwerke, die von der E-Privacy-Verordnung EU-weit abgeleiteten nationalen Gesetze müssen also gerichtliche Durchsetzbarkeit garantieren.
„Do not track“ war bisher bloß eine unverbindliche Option im Browser. Ob sie von irgendeinem Werbenetzwerk je beachtet wurde, ist nicht bekannt. Wenn diese Amendments tatsächlich so in der Endfassung des LIBE-Ausschuss enthalten sind, wird „Do Not Track“ wahrscheinlich verbindlich. Auch hier sind vor allem die Printverleger dagegen aufgetreten. Sie lehnen es ab, dass der Browser sozusagen zum „Türsteher“ wird, weil alle gängigen Browser (außer Mozilla Firefox) in der Domäne der Internetkonzerne Apple, Google und Microsoft seien.
Wie es nun weitergeht
In einem nächsten Schritt werden die LIBE-Änderungsanträge in eine konsolidierte Version eingearbeitet. Damit ist zwar noch nicht die endgültige Parlamentsversion erstellt, aber die Richtung ist ziemlich klar vorgegeben, das zeigen schon die wutentbrannten, ersten Reaktionen aus den Reihen der Konservativen. Der Abgordnete Axel Voss (EVP) verstieg sich laut Netzpolitik.org gar zu einem Vergleich des LIBE-Ausschusses mit dem Wächterrat des Regimes in Teheran. Voss - und wohl auch andere Abgeordnete der Konservativen - sehen die Aufgabe der E-Privacy-Verordnung in erster Linie darin, die „Digitalwirtschaft zu stärken und den freien Fluss der Daten zu ermöglichen.“
Eine ganz ähnliche Linie ist vom Ministerrat zu erwarten, der hier mit entscheidet. Dorete wurde bereits ventiliert, dass es mit der geplanten Umsetzung der E-Privacy-Verordnung parallel zur Datenschutzverordnung im ersten Halbjahr 2018 wohl nichts werden würde. Das ist bei diesen Verhandlungen zur einer Regulation, die zwar explizit dem Schutz der Privatsphäre aller Konsumenten gewidmet ist, aber nach Ansicht konservativer Abgeordneter nur der Wirtschaftsförderung dienen soll, durchaus wahrscheinlich.
Mehr zu diesem Thema
Die aktuellen Änderungsanträge des Innenausschusses
ePrivacy-Debatte: Konservativer EU-Abgeordneter vergleicht seine Kollegen mit iranischem Wächterrat
Publiziert am 22.06.2017