FM4-Logo

jetzt live:

Aktueller Musiktitel:

Button auf "On", kann nicht angeklickt werden

CC0

Erich Moechel

E-Privacy-Verordnung erlaubt Vorratsdaten und Nachschlüssel

Die wichtigeste EU-Regulation zum Schutz der Privatsphäre enthält einen Freibrief für Datenverarbeitungen aller Art ohne Zustimmung des Benutzers und gestattet es politischen Parteien, Spam-Mails zu verbreiten.

Von Erich Moechel

Vier Jahre lang war die E-Privacy-Verordnung im EU-Ministerrat festgesteckt, unter der portugiesischen Ratspräsidentschaft konnte man sich nun erstmals auf eine Version einigen. Diese Version der „Verordnung zur Respektierung der Privatsphäre und zum Schutz der persönlichen Daten“ ist allerdings so geraten, dass der oberste Datenschützer Deutschlands, Ulrich Kelber, „mehrere rote Linien gleichzeitig überschritten“ sieht.

Neben dem Verweis auf die Vorratsdatenspeicherung, die im Herbst vom EU-Gerichtshof (EuGH) zum dritten Mal verworfen wurde, ist auch eine Art Pflicht zur Überwachbarkeit für Plattformen verankert. Zudem ist der teilweise unklare und widersprüchliche Text dieser Konsumenten- und Datenschutzregulation mit Ausnahmen für den Datenhandel geradezu übersät.

Text

EU-Ministerrat

Im Erwägungsgrund 27 hat es der Ministerrat geschafft, in einer einzigen Passage sowohl die dreimal vom EuGH verworfene Vorratsdatenspeicherung wie auch die geplante, höchst umstrittene Entschlüsselungspflicht für Plattformen unterzubringen. Hier ist der gesamte Verordnungstext in der Neufassung des Ministerrats.

Die portugiesische Ratspräsidentschaft war eigentlich angetreten, um E-Privacy wieder näher an die DSGVO heranzubringen.

Lauter neue Erwägungsgründe

Dazu hat der Ministerrat die Verordnung mit einer ganzen Serie neuer Erwägungsgründe aufgeblasen (20a bis 20aaaa, 21a ff), die allesamt Möglichkeiten zur Umgehung der Einwilligung des Benutzers beinhalten. So heißt es etwa im Erwägungsgrund 20aa „Es sollte möglich sein (...) Daten vom Endgerät des Benutzers zu Zwecken, die vergleichbar sind mit jenem Zweck, für den sie erhoben wurden, zu verarbeiten.“ Darauf baut Grund 20a auf, der ziemlich unverhohlen das Ziel verfolgt, mit einem Klick eine pauschale Zustimmung zu sämtlichen Datenverarbeitungen einzuholen, genauso wie es jetzt an den Cookie-Walls passiert.

Mit einem solchen Klick stimmen die meisten Nutzer derzeit zu, dass ihre Daten an Hunderte Händler weitergegen werden. Das möchte der Ministerrat offenbar prolongieren, deswegen schlägt man „Whitelisting“ vor (20a). Der Benutzer stellt dabei Anbietern ausgewählter Services einen Freibrief für die beliebige weitere Verarbeitung und Weitergabe von Daten aus. Begründet wird das mit der „Omnipräsenz von Tracking-Cookies und verwandter Technologien“, die eine Überladung der User mit Anfragen zur Zustimmung zur Folge hätte. Das könne „zu einer Situation führen, dass Zustimmungsanfragen nicht mehr gelesen werden, denn das unterminiere den Schutz, den dieser Mechanismus bietet“, heißt es in Erwägungsgrund 20.

Text

EU-Ministerrat

In dieser reichlich nebulös formulierten Passage wird eine der Kernaussagen der Datenschutzgrundverordnung einfach ignoriert. Die schreibt in aller Deutlichkeit vor, dass bei jeder neuen Art von Verarbeitung personenbezogener Daten eine neue Bewilligung durch die betroffene Person einzuholen ist.

Bauernschlaue Begründungen

Unter der kroatischen Ratspräsidentschaft kam die zentrale Forderung der Datenhandelslobby in die E-Privacy-Verordnung. Die Version vom März 2020 las sich passagenweise wie die Parodie eines Lobbyistentexts.

Erwägungsgrund 20a bietet auch gleich eine Lösung für dieses Dilemma und die heißt eben „Whitelisting“. Das Dilemma wird einfach dadurch gelöst, dass die Benutzer ihre Wahlmöglichkeit freiwillig aufgeben. Erwägungsgrund 20aaa wiederum verknüpft die Zustimmung zu Cookies oder ähnlichen Identifikationsmethoden gleich mit einer automatischen Einwilligung, getrackt zu werden. In Erwägungsgrund 20aaaa wird dann noch die gängige Praxis zur Umgehung der Datenschutzgrundverordnung, die bisher keine Rechtsgrundlage hatte, in dieser Verordnung für Daten- und Konsumentenschutz festgeschrіeben. Damit werden jene Alternativen legitimiert, die man derzeit an jeder zweiten Cookie-Wall vorgesetzt bekommt: „Ein Angebot, das Zustimmung zu beliebigen weiteren Cookies einschließt und ein äquivalentes Angebot, das keine Zustimmung zur Verarbeitung zu weiteren Zwecken beinhaltet.“ In der Praxis bedeutet das entweder Zustimmung zu sämtlichen Cookies von Drittfirmen samt ubiquitärem Tracking oder die Annahme eines Bezahlangebots.

Text

EU-Ministerrat

Zu dieser Passage merkt der britische Datenschutz-und Menschenrechtsexperte Pat Walshe an, dass sie auch direkt aus einem Lobbyistentext stammen könnte. Die Formulierung erinnert stark an die „legitimen Interessen“, die auf Druck der holzverarbeitenden Medienindustrie eine Zeitlang im Text verankert waren. Die Verarbeitung und Weitergabe von personenbezogenen Daten wurde ganz einfach zum „legitimen Geschäftsinteresse“ der privaten Medienindustrien erklärt.

Im Sommer 2017 startete die erste Großkampagne von Medien- und Werbekonzernen für freien Handel mit personenbezogenen Metadaten, ohne das den Nutzern mitzuteilen.

Das sagen Datenschutzexperten

Datenschutzexperte Pat Walshe hat noch eine beträchtliche Anzahl weiterer Passagen entdeckt, die das Niveau der noch in Kraft befindlichen E-Privacy-Richtlinie von 2001 sogar noch unterschreiten. Während diese Richtlinie in 15(1) eine rechtliche Grundlage für die Verarbeitung von personenbezogenen Metadaten im Dienst „der öffentlichen Sicherheit“ vorschreibe, so Walshe, fehle diese Anforderung im entsprechenden Erwägungsgrund (17a) dieser neuen Ratsversion. Dasselbe gilt auch für den neuen Erwägungsgrund (32). Da wird den Mitgliedsstaaten freigestellt, politischen Parteien den Einsatz von Spam-Mails zu gestatten, um ihre „Parteien zu promoten“, was bis jetzt überall in Europa verboten ist.

„Es wurden außerdem einige wichtige Garantien für Nutzer, wie beispielsweise das Widerspruchsrecht und die Datenschutz-Folgenabschätzung, gestrichen“, so der oberste deutsche Datenschützer Ulrich Kelber in seiner Beurteilung: „Auch ein Rückgriff auf die Garantien der Datenschutz-Grundverordnung ist ausgeschlossen. Es macht mich fassungslos, wie schwerwiegend hier in Grundrechte der europäischen Bürgerinnen und Bürger eingegriffen wird.“

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: