EPrivacy-Verordnung
Dieser Artikel befindet sich noch im Aufbau und wird in den nächsten Wochen weiter wachsen (Stand Feb 2019)...
Worum geht es bei der ePrivacy-Verordnung?
Die ePrivacy-Verordnung (ePVO) soll europaweit die Vertraulichkeit elektronischer Kommunikation sicherstellen. Insofern ist sie eine Erweiterung der Datenschutzgrundverordnung (DSGVO), die europaweit die Vertraulichkeit personenbezogener Daten sicherstellen soll. Während die DSGVO im Mai 2018 für alle Mitgliedstaaten der EU rechtskräftig wurde, wird über die ePVO aktuell noch gestritten. [1][2][3]
Kern-Elemente der ePrivacy-Verordnung sind [4]:
- unter welchen Bedingungen dürfen Kommunikationsdaten (Inhalte und Metadaten) verwendet werden?
- unter welchen Bedingungen dürfen Informationen verarbeitet werden, die auf den Geräten der Nutzer gespeichert sind oder sich auf diese beziehen? (Online- und Offline-Tracking)
- Einwilligung / (Vor-)Einstellungsmöglichkeiten zur Privatsphäre
Ziele [5]:
- Vertraulichkeit von Inhalten und Metadaten bei der elektronischen Kommunikation
- Freiheit beim Browsen im Internet, freie Meinungsäußerung
- Wahrung der informationellen Selbstbestimmung
- gleiche Bedingungen bei elektronischer Kommunikation und klassischer Telefonie
- Harmonisierung von DSGVO und ePVO
- Möglichkeit für die Anbieter von Kommunikationsdiensten, ihre Dienste mithilfe von persönlichen Daten auf Basis entsprechender Einverständniserklärungen zu verbessern
- Vereinfachung der Regeln für Cookies
Unterschiedliche Interessen:
Bei der ePVO stehen sich zwei Interessengruppen gegenüber: Auf der einen Seite die Bürger der EU, denen wichtig ist, dass sie frei kommunizieren können, ohne befürchten zu müssen, dass sie dabei ausgespäht und Informationen über sie unkontrolliert verarbeitet und verbreitet werden [6]. Ihre Interessen werden u.a. durch Datenschutz-Organisationen wie European Digital Rights (EDRi) und digitalcourage vertreten [s. Abschnitt 4]. Auf der anderen Seite die Datenindustrie, die möglichst viele Informationen über die Nutzer der elektronischen Kommunikation sammeln möchte, um diese Dienste im Sinne ihrer Kunden zu verbessern und um zielgerichteter werben zu können. Hier gibt es eine starke Lobby, die für ihre Interessen wirbt [s. Abschnitt 3].
Vom ersten Entwurf zur rechtskräftigen Verordnung
Seit 2002 gibt es die ePrivacy-Richtlinie, die den Umgang von Daten in der klassischen Telekommunikation (Telefonie) regelt. Diese Richtlinie bezieht sich allerdings nicht auf neuere Kommunikationsdienste (Over the Top, OTT) wie Messanger-Dienste. Deshalb wird eine neue Verordnung benötigt. [4]
2016 tauschte sich die EU-Kommission mit vielen Vertretern der Industrie und der Zivilgesellschaft (u.a. Datenschutz-Organisationen) zur geplanten Verordnung aus. Daraus entstand im Dezember 2016 ein erster Entwurf, der noch nicht offiziell war, aber bereits öffentlich wurde. Den offiziellen Entwurf stellte die EU-Kommission im Januar 2017 vor. Er war gegenüber dem vorherigen Entwurf etwas abgeschwächt, aber immer noch recht verbraucherfreundlich, auch wenn er in einzelnen Punkte aus Datenschutzsicht noch verbessert werden könnte. Auf Basis dieses Entwurfs mussten nun das EU-Parlament und der Rat der EU, in dem alle 28 Mitgliedstaaten vertreten sind, einen eigenen Entwurf formulieren. [15]
Im Oktober 2017 hat das EU-Parlament seinen Entwurf beschlossen. Hierfür gab es einen Alternativvorschlag der konservativen Parteien, der deutlich industriefreundlicher war. Aber obwohl die konservativen Parteien die Mehrheit im EU-Parlament haben, fand sich für diesen Vorschlag keine Mehrheit. Stattdessen wurde überraschend (mit knapper Mehrheit) ein Entwurf beschlossen, der nahe am Entwurf der EU-Kommission ist – und damit recht verbraucherfreundlich. [7]
Parallel dazu hatten die Mitgliedstaaten den Auftrag, ihre Positionen zu dem Entwurf zur ePVO zu finden. Dieser Prozess kommt aber nur sehr schleppend voran und ein Ende ist aktuell nicht absehbar. Und erst wenn die 28 Mitgliedstaaten eine gemeinsame Position gefunden haben, geht es anschließend noch in den sog. Trilog, bei dem EU-Kommission, EU-Parlament und Rat der EU gemeinsam die endgültige Fassung der ePVO entwickeln müssen. [s. Abschnitt 3]
Zur Koordination der Verhandlungen zur ePVO wurde eine Sonderberichterstatterin bestimmt. Bis Oktober 2017 war das Marju Lauristin (aus Estland); seitdem ist es Birgit Sippel (aus Deutschland). [17]
Der aktuelle Stand der Verhandlungen
Als nächstes muss der Rat der EU einen gemeinsamen Vorschlag zur ePVO vorlegen; damit geht es aber nur sehr zögerlich voran. 2018 lag die Ratspräsidentschaft zunächst bei Bulgarien und danach bei Österreich. Dabei wurden die Verhandlungen teilweise bewusst hinausgezögert, und in den vorgelgten überarbeiteten Entwürfen zur ePVO sind die Rechte der EU-Bürger auf Vertraulichkeit deutlich eingeschränkt. So wird z.B. die Bedeutung von Metadaten für die Privatsphäre heruntergespielt, der Weitergabe von Daten an Dritte soll pauschal zugestimmt werden, oder Online-Tracking soll grundsätzlich erlaubt werden. [8][9][10]
Dies ist auch ein Erfolg der sehr starken Lobby, von der neue Formulierungen teilweise direkt übernommen werden. Denn eine Allianz aus Interessenvertretern aus Online-Werbung, Verlagen, Telekommunikations-Unternehmen und datenverarbeitender Industrie kämpft für eine Aufweichung des aktuellen Entwurfs der ePVO, um ungestörter Daten sammeln und auswerten zu können. Ein erfahrener Insider spricht in diesem Zusammenhang von ‚einer der schlimmsten Lobby-Kampagnen die ich je gesehen habe‘. Insbesondere wird immer wieder argumentiert, dass starke Einschränkungen beim Tracking die Werbeeinnahmen der Verlage so stark reduzieren, dass Qualitätsjournalismus nicht mehr möglich wäre, und dass die Anwender mit den ständigen Nachfragen zur Privatsphäre beim Surfen genervt und überfordert wären; dazu gab es einen offenen Brief der ‚Qualitätsmedien‘, und es wurden mehrere kurze eindringliche Videos produziert. Als weitere Argumente für das Tracking werden neue Services in einer Smart City und der Kampf gegen Kinderpornographie angeführt. Mittlerweile sprechen die Vertreter der EU-Staaten bei diesem Thema zu 99% mit diesen Lobby-Vertretern, sodass die Interessen der EU-Bürger unterzugehen drohen. [11][12][13][14]
Die Position von Datenschützern zur ePrivacy-Verordnung
Zunächst einmal gibt es die Empfehlung des europäischen Datenschutzbeauftragten Giovanni Buttarelli: Die Regelungen zur Vertraulichkeit in der ePVO sollten alle Inhalte und Metadaten umfassen, und das Schutzniveau für die elektronische Kommunikation sollte höher sein als das bei der DSGVO. Ausnahmen für 'berechtigte Interessen' von Anbietern dürften auf keinen Fall gegeben werden und eine Einwilligung des Anwenders zur Verwendung seiner Daten sollte wirklich freiwillig und zweckgebunden sein. [16]
Auch die Sonderberichterstatterin Birgit Sippel positioniert sich klar für eine starke ePVO, die den Bürger im Blick hat; sie soll insbes. alle Metadaten als sensible Daten ansehen, das Online- und das Offline-Tracking verbieten, keine Einschränkungen aus 'berechtigen Firmeninteressen' zulassen, und auch die Maschine-zu-Maschine-Kommunikation umfassen. Außerdem wolle die Datenindustrie weiter ihre Geschäftsmodelle verfolgen, die auch nach der bestehenden ePrivacy Richtlinie schon illegal sind, dort aber nicht geahndet werden; Änderungen seien notwendig und auch durchaus machbar – trotz der lauten Klagen. [17][18]
Datenschutz-Organisationen wie European Digital Rights (EDRi) und digitalcourage sowie die Internetplattform netzpolitik.org liefern Argumente gegen die Mythen der Datenlobby. In einem offenen Brief appellierten sie an die Ministerien im Europarat, die ePVO zügig voranzubringen und im Sinne der EU-Bürger zu formulieren. [19][20]
Außerdem gibt es Gegenbeispiele, die zeigen, dass sich auch mit Werbung, die ohne personenbezogene Daten auskommt, gute Geschäfte machen lassen. Teilweise wird die DSGVO bzw. die ePVO auch als Chance gesehen, sich auf ähnliche Verordnungen in anderen Ländern (wie Kanada, Japan und Kalifornien) vorzubereiten. [21][22]
Die Position Deutschlands zur ePrivacy-Verordnung
Quellennachweise und weiterführende Links
[1] Allgemeines zur ePrivacy-Verordnung mit dem Standpunkt von Digitalcourage dazu, Jan 2017: https://digitalcourage.de/blog/2017/eprivacy-mehr-datenschutz-bei-tracking-cookies-messengern
[2] ausführliche Erläuterungen zur ePrivacy-Verordnung mit Verweisen auf Kommentare von verschiedenen Datenschutz-Organisationen, Mai 2017: https://netzpolitik.org/2017/eprivacy-was-die-eu-dieses-jahr-fuer-privatsphaere-und-kommunikationsfreiheit-tun-kann/
[3] Allgemeines zur ePrivacy-Verordnung mit Hinweisen zu kritischen Punkten, Okt 2017: https://digitalcourage.de/blog/2017/die-neue-eprivacy-verordnung-was-geht-mich-das
[4] Allgemeines zur ePrivacy-Verordnung (mit Erklärvideo), Okt 2017: https://netzpolitik.org/2017/np13-die-eprivacy-reform-der-eu-fluch-oder-segen
[5] kurze Einführung in Gegenstand und Ziele der ePrivacy Verordung, Mar 2017 (engl.): https://edri.org/files/epd-revision/ePR_EDRi_quickguide_20170309.pdf
[6] die große Mehrheit der EU-Bürger wünscht sich besseren Schutz vor missbräuchlicher Verwendung von persönlichen Daten und vor Tracking, mit Verweis auf die kompletten Umfrage-Ergebnisse, 12.2016: https://netzpolitik.org/2016/umfrage-zur-eprivacy-reform-so-eindeutig-ist-der-wunsch-der-europaeer-nach-besserem-datenschutz/
[7] ePrivacy-Verordnung und wie geht es weiter, Okt 2017: https://digitalcourage.de/blog/2017/eprivacy-surfen-chatten-und-telefonieren-wir-ab-2018-vertraulicher
[8] Bulgarien hat während seiner Ratspräsidentschaft den Vorschlag von EU-Kommission und EU-Parlament aufgeweicht; insbes. wird die Bedeutung von Metadaten bagatellisiert, und es soll zulässig sein, mit einem Klick der Weitergabe von Daten an Dritte pauschal zuzustimmen, Mar 2018: https://fm4.orf.at/stories/2903726/
[9] Österreich hat während seiner Ratspräsidentschaft den Fortgang aufgehalten, Jul 2018: https://netzpolitik.org/2018/schutz-gegen-tracking-unerwuenscht-oesterreich-verschiebt-eprivacy-reform-auf-den-st-nimmerleinstag
[10] Österreich hat einen Vorschlag eingereicht, der die weitreichende Nutzung von Metadaten ermöglichen würde und Tracking grundsätzlich erlauben soll, mit Erklärvideo inkl. Gesetzgebungsverfahren, Sep 2018: https://netzpolitik.org/2018/florian-glatzner-zu-eprivacy-das-war-ein-massiver-lobby-erfolg/
[11] Einflussnahme der Datenlobby auf die Verordnung, Okt 2017: https://netzpolitik.org/2017/eprivacy-die-lobbymacht-der-datenindustrie
[12] ausführliche Informationen darüber, wie die Lobby der Datenindustrie versucht, die ePrivacy Verordnung zu verwässern, über Studien, Briefe, Videos, gemeinsame Aktionen mit Verlagen u.a., europaweit bzw. in einzelnen Staaten, Jun 2018 (engl.): https://corporateeurope.org/power-lobbies/2018/06/shutting-down-eprivacy-lobby-bandwagon-targets-council
[13] die ‚Qualitätsmedien‘ argumentieren, warum auch sie personalisierte Werbung nutzen möchten, Mai 2017: https://www.faz.net/aktuell/eprivacy-verordnung-faz-schickt-offenen-brief-an-die-eu-15037279.html
[14] eine Allianz von Agenturen für Online-Werbung hat mehrere kurze Videos in Auftrag gegeben, die insbes. den EU-Parlamentariern vor Augen führen sollen, wie schlimm die geplante ePrivacy Verordnung für den Qualitätsjournalismus wäre, und dass Anwender mit Nachfragen zur Privatsphäre überfordert wären, 2018 (engl.): http://www.likeabadmovie.eu/
[15] Österreich hat einen Vorschlag eingereicht, der die weitreichende Nutzung von Metadaten ermöglichen würde und Tracking grundsätzlich erlauben soll, mit Erklärvideo inkl. Gesetzgebungsverfahren, Sep 2018: https://netzpolitik.org/2018/florian-glatzner-zu-eprivacy-das-war-ein-massiver-lobby-erfolg/
[16] Stellungnahme des europäischen Datenschutzbeauftragten für eine starke ePrivacy Verordnung, Okt 2017 (engl. & dt.): https://edps.europa.eu/data-protection/our-work/publications/opinions/recommendations-specific-aspects-proposed-eprivacy_en
[17] die neue Sonderberichterstatterin Birgit Sippel (aus Deutschland) positioniert sich klar für eine starke ePrivacy Verordnung, die den Bürger im Blick hat; sie soll insbes. alle Metadaten als sensible Daten ansehen, das Online- und das Offline-Tracking verbieten, keine Einschränkungen aus 'berechtigen Firmeninteressen' haben, und auch die Maschine-zu-Maschine-Kommunikation umfassen, Nov 2017 (engl.): https://iapp.org/news/a/sippel-eprivacy-reg-should-abolish-surveillance-driven-advertising/
[18] außerdem argumentiert Birgt Sippel, dass die Lobby der Datenindustrie weiter ihre Geschäftsmodelle verfolgen will, die auch nach der bestehenden ePrivacy Richtlinie schon illegal sind, dort aber nicht geahndet werden; Änderungen seien notwendig und auch durchaus machbar – trotz der lauten Klagen, Nov 2017 (engl.): https://www.euractiv.com/section/digital/interview/lead-mep-member-states-slow-pace-on-eprivacy-is-unacceptable/
[19] Gegenargumente zu den Mythen der Datenlobby, Dez 2017: https://digitalcourage.de/blog/2017/e-privacy-mythen-der-industrie https://netzpolitik.org/2017/eprivacy-mythen-unter-der-lupe-eine-der-schlimmsten-lobby-kampagnen-die-wir-je-erlebt-haben
[20] offener Brief von EDRi, digitalcourage und vielen anderen NGOs (und auch Firmen) an die beteiligten Ministerien im Europarat mit dem Appell, die ePrivacy Verordnung zügig umzusetzen – im Sinne der EU-Bürger, Dez 2018 (engl.): https://edri.org/files/eprivacy/20181203-Joint-letter-NGO-and-industry.pdf
[21] zwei Unternehmen, die erfolgreich Online-Werbung ohne das Sammeln von persönlichen Daten machen, plädieren für eine starke ePrivacy Verordnung, die die freie Entscheidung der Nutzer respektiert, Okt 2017/Mar 2018 (engl.): https://blog.qwant.com/true-eprivacy-need-european-entrepreneurship/ https://pagefair.com/blog/2018/pagefair-perm-reps-eprivacy/
[22] die New York Times hat aufgrund der DSGVO in Europa ihre Online-Werbung umgestellt von Tracking auf Inhalt-basierte Werbung – und danach sind die Werbeumsätze gestiegen; die Anpassung an die DSGVO wird auch als Vorbereitung auf ähnliche Verordnungen in anderen Ländern (Kalifornien, Kanada, Japan) gesehen, Jan 2019 (engl.): https://digiday.com/media/new-york-times-gdpr-cut-off-ad-exchanges-europe-ad-revenue/