E-Privacy-Verordnung der EU vor nächster Hürde im Ministerrat

Nach einem überfallsartig angesetzten Abstimmungskrimi im EU-Parlament, um E-Privacy zu Fall zu bringen, wurde der umkämpfte Verordnungstext für die Trilog-Verhandlungen mit EU-Ministerrat und Kommission vom Parlament freigegeben.

von Erich Möchel

Nach einem Abstimmungskrimi im Plenum des EU-Parlaments am Donnerstag kommt die E-Privacy-Verordnung nun vor den Ministerrat der Union. Die umkämpfte Verordnung geht nach der ersten Lesung direkt in den Trilog mit Vertretern der Kommission und dem Ministerrat. Dieses beschleunigte Verfahren wurde deshalb gewählt, weil E-Privacy spätestens Mitte Mai 2018 ausverhandelt sein muss.

Da tritt nämlich die neue Datenschutzgrundverordnung (DSGVO) EU-weit in Kraft, die auf E-Privacy verweist, und umgekehrt. Mit der überfallsartig angesetzten Plenarabstimmung am Donnerstag wollten Konservative und Rechtsfraktionen die Verordnung noch zu Fall bringen, unterlagen aber mit 318 zu 280 Stimmen. Mit dem Ministerrat folgt nun die nächste Hürde, denn es werden harte Verhandlungen vorausgesagt.

Der Ablauf des Krimis in Strassburg

Die Abstimmung am Donnerstag kam erst am Montag Abend auf die Agenda, beantragt hatte sie die von den Briten dominierte Fraktion der Nationalkonservativen (ECR). Konkret wurde darüber abgestimmt, ob der Bericht von MEP Marju Lauristin (SPE) ihrem Mandat entspreche, oder ob sie dieses überschritten habe. Eine solche Vorgangsweise, Berichterstatter vor eine Art Vertrauensfrage zu stellen, ist durchwegs unüblich im EU-Parlament und zeigt, wie verbissen die Auseinandersetzung um E-Privacy geführt wird.

Berichterstatterin Marju Lauristin (SPE), die bereits vor Wochen von dem großem Druck gesprochen hatte, dem die Verhandlungen ausgesetzt waren, verabschiedete sich nach der Abstimmung sichtlich erleichtert vom Plenum. Ihre Nachfolgerin MEP Birgit Sippel (SPE) kritisierte die aggressive Kampagne von Internetwerbewirtschaft, Telekoms, Verlegern und anderer Interessensgruppen gegen den juristischen Wesenskern der Verordnung mit deutlichen Worten. Die Kernaussage von E-Privacy, dass alle Zugriffe auf das Endgerät samt der Verarbeitung der Benutzerdaten nur mit dessen Einwilligung des Dateninhabers passieren dürfen, aber ist direkt aus der Datenschutzgrundverordnung abgeleitet.

Tracker, Cookies, Zustimmung

Solange es sich um ein- und denselben Verarbeitungsvorgang handelt, ist eine Zustimmung des Benutzers nur einmal nötig. Trotzdem betrifft das natürlich die Werbewirtschaft, denn die ist im Netz nun einmal so organisiert, dass auf den großen Publikumswebsites eine ganze Anzahl von Distributoren für Bannerwerbung eingebunden ist. Für die betreffenden Werbefirmen ist es dadurch ebenso möglich, den Browser des Benutzers auszulesen, Cookies zu setzen oder Javascripts auszuführen. Darüber hinaus werden sogenannte Tracking-Cookies gesetzt, die sich von herkömmlichen Cookies, wie sie etwa für die Funktionalität einer Website benötigt werden, stark unterscheiden.

Das ist der Knackpunkt, denn diese Tracking-Cookies verfolgen die Benutzer quer durch das Netz, die dabei gesammelten Daten werden zu Interessensprofilen aggregiert. Über diese Profile können ausgesuchte Zielgruppen quer durch das Netz direkt mit einer Bannerkampagne angesprochen werden. Dem Gros der Datenlieferanten, nämlich den Benutzern, wird langsam klar, dass sie von automatischen Programmen auf Schritt und Tritt im Netz beobachtet werden. Anders als von der Industrie behauptet, ist es einer großen Mehrheit von Usern aber nicht egal, wo ihre Daten letztlich landen und wer dann noch über die Datensätze verfügt.

Was das Eurobarometer dazu sagt

Das zeigt eine repräsentative Eurobarometer-Umfrage der EU-Kommission zum Thema Tracking aus dem Vorjahr ganz deutlich. Von 27.000 telefonisch befragten, repräsentativ ausgewählten Benutzern aus ganz Europa sprachen sich 89 Prozent dafür aus, dass die Standardeinstellungen der Browser den Benutzer erst einmal vor Tracking schützen. Das entspricht dem Prinzip „Privacy by Design“ aus DSGVO und E-Privacy-Verordnung. 71 Prozent der Befragten fanden es nicht akzeptabel, dass ihre Informationen ohne ihre Zustimmung von den Websitebetreibern an beliebig viele Drittfirmen weitergegeben werden.

Bereits 40 Prozent gaben sogar an, bestimmte Websites wegen diesbezüglicher Datenschutzbedenken zu meiden. 90 Prozent sprachen sich insgesamt für sichere Ende-zu-Ende-Verschlüsselung ihrer Kommunikationsdaten aus. Auch das ist in die E-Privacy-Verordnung eingegangen, soweit es nicht durch die DGSVO ohnehin vorgegeben war. Die Industrie läuft deshalb Sturm dagegen, weil sich das Zustimmungsprinzip natürlich auf ihre bestehenden Geschäftsmodelle auswirkt. Zum Handkuss dabei kommen dabei auch Firmen, die Dienstleistungen für das Netzwerbegeschäft erbringen und ebenso auf Metadaten angewiesen sind, obwohl sie keine Benutzerprofile anlegen und auch sonst nicht in Kontakt mit den Usern stehen.

Ein Beispiel aus Deutschland

Die deutsche Firma Meetrics erhebt in erster Linie die Bildschirmgröße des Benutzers und korreliert sie mit den Platzierungen der Werbebanner. Man misst also die Sichtbarkeit von Bannerwerbung und erkennt auch sogenannten Klickbetrug. „Weil es von unserer Seite keinen Berührungspunkt mit End-Usern gibt“, sagte Felix Badura von der Firma Meetrics, „hängen wir davon ab, dass uns die Websitebetreiber beim Einholen der Zustimmung des Benutzers sozusagen mit-abholen.“ Konkret sei durch die neue Verordnung zu befürchten, dass der Anreiz des Endkunden, namentlich nicht einmal bekannten Drittanbietern wie Meetrics Zugriff auf die Metadaten zu erlauben, sehr verhalten ausfallen würde, so Badura.

„Einer unserer größten Konkurrenten ist dabei Doubleclick von Google, deren Adserver für Werbebanner Sichtbarkeits- und Betrugsüberprüfungen gleich mitliefert. Anders als wir ist Google über seine Suchmaschine, Youtube, Gmail oder Android-Login direkt mit dem Endkunden verbunden und hat schon in der Vergangenheit immer wieder Zustimmungen eingeholt, denn die erhalten Google und ein paar andere Anbieter in der Regel lückenlos. Das stärkt natürlich deren Position gegenüber kleineren Mitbewerbern wie uns.“

Facebook, Google und wie es weitergeht

Facebook oder Google sind von der geplanten Regelung nämlich kaum betroffen, da sie die erhobenen Metadaten eben nicht an Dritte weitergeben, sondern über den eigenen Konzern vermarkten. Beide gehören zu den insgesamt sehr wenigen Dienstleistern im Netz, die keine Schwierigkeiten mit der Zustimmung der Benutzer haben, auch wenn die Services auf Websites Dritter eingebunden sind. Die User haben fast alle bereits irgendwann davor der Datenverarbeitung durch Facebook oder Google zugestimmt.

Der Text der Privacy-Verordnung umfasst samt Erläuterungen und Stellungnahmen der übrigen drei beteiligten Parlamentsausschüsse bereits 250 Seiten. Interessanterweise ist auch eine Liste der Firmen und Organisationen beigefügt, die Stellungnahmen abgegeben haben. Wie zu erwarten war, wird die Liste von Interessensverbänden verschiedener großer Industrien, Lobbyfirmen und Riesen wie Facebook, Google oder Apple dominiert.

Zwei große Hürden für die Einigung im Ministerrat zeichnen sich jetzt schon ab. Zum einen steht mit den Artikeln 9 und 10 erst recht wieder die Kernaussage der Verordnung - der Benutzer bestimmt, an wen welche seiner Daten freigegeben werden - erneut zur Disposition, über die gerade erst im Parlament abgestimmt worden war. Zum anderen verlangt der Ministerrat, den Artikel 17 ersatzlos zu streichen. Der enthält enthält eine Benachrichtigungspflicht für Firmen, wenn diesen personenbezogenen Datensätze von Benutzern oder Kundendaten abhanden kommen.

Mehr zu diesem Thema

• Der neue Text der E-Privacy-Verordnung, mit dem das Parlament in die Verhandlungen mit dem Ministerrat geht

• Die Eurobarometer-Umfrage der EU-Kommission von 2016

Die B2B-Services der Firma Meetrics