Dienstag, 19. März 2024

Archiv

E-Privacy-Regeln
Die vertrackte Diskussion um EU-einheitlichen Datenschutz

Datenschutz ist wichtig - allerdings sind die EU-Regeln dazu veraltet. Eine neue Verordnung soll daher bald den Schutz der digitalen Privatsphäre regeln. Dazu gehört auch die für Firmen profitable Erhebung von Nutzerdaten. Bis es soweit ist, müssen sich die 28 Mitgliedsstaaten aber erst noch auf genaue Ziele einigen.

Von Peggy Fiebig | 25.04.2018
    Menschen passieren im März 2018 in Köln ein Werbeplakat von Facebook mit dem Spruch "Warum kennt mich Facebooks Algorithmus so gut?".
    Bislang reicht es, wenn Internetseiten ihrem Nutzer erklären, dass sie sein Nutzungsverhalten aufzeichnen. Mit der geplanten eprivacy-Verordnung könnte sich das ändern. (dpa / Rolf Vennenbernd)
    "Wir wollen so etwas nicht in Europa. Wir wollen solche Praktiken nicht und wir wollen nicht, dass sie fortgesetzt werden. Und wir haben die Verpflichtung, alles dafür zu tun, um solche Praktiken, wie wir sie im Facebook-/Cambridge-Analytica-Skandal sehen, zu stoppen. Wir wollen nicht, dass Europäer einfach manipuliert werden können. Wir wollen Europäer, die Verantwortung zeigen im Umgang mit ihren privaten Daten und die dabei Schutz verdienen", so Vera Jourova, die Europa-Kommissarin für Recht und Verbraucherschutz im Europäischen Parlament am 18. April in Straßburg.
    Datenschutz ist sexy geworden. Nicht erst seit dem Skandal um die Weitergabe von Millionen Daten von Facebook an die britische Agentur Cambridge Analytica. In Brüssel beispielsweise wird seit Jahren schon über einen besseren Schutz der Daten von Internetnutzern debattiert. Die große Herausforderung dabei ist, die Regelungen an die rasante technische Entwicklung anzupassen. Kernprojekt dabei sind zwei Gesetzesvorhaben: Einmal die Datenschutzgrundverordnung, die ganz allgemein den Umgang von personenbezogenen Daten durch Unternehmen und öffentliche Stellen regelt. Und zum anderen die so genannte eprivacy-Verordnung, die speziell die elektronische Kommunikation schützen soll.
    eprivacy-Verordnung ist noch in der Schwebe
    Ursprünglich war vorgesehen, dass beide Regelungen gleichzeitig in Kraft treten; das wird nun aber nicht passieren. Während die Datenschutzgrundverordnung bereits 2016 verabschiedet wurde und ab Ende Mai gilt, wird um die eprivacy-Verordnung noch heiß gestritten. EU-Kommission und Europäisches Parlament haben ihre Vorstellungen dazu schon im letzten Jahr vorgelegt, jetzt wären eigentlich die Mitgliedsstaaten am Zug. Aber auch Deutschland hat seine abschließende Stellungnahme für den Europäischen Rat noch nicht abgegeben. Birgit Sippel ist Abgeordnete für die SPD im Europäischen Parlament und wird langsam ungeduldig:
    "Zunächst einmal würde ich mich freuen, wenn der Rat endlich überhaupt mal eine Position hätte. Er hat sich da ja sehr viel Zeit damit gelassen. Die Mitgliedstaaten sind nicht recht in die Gänge gekommen und tragen so mit dazu bei, dass unsere Grundrechte im digitalen Umfeldern nicht wirklich gut geschützt sind."
    Dabei zeigt gerade auch der Datenskandal, wie wichtig eine schnelle Verabschiedung wäre. Denn immerhin wird der Schutz der Kommunikation und der Schutz der eigenen Daten sogar durch die Europäische Grundrechtecharta gewährleistet.
    "28 unterschiedliche Standards machen keinen Sinn mehr"
    Selbstverständlich gab es auch bisher schon – auch auf europäischer Ebene – Regelungen zum Schutz der Kommunikation. Beispielsweise die Datenschutzrichtlinie für elektronische Kommunikation aus dem Jahr 2002. Aber: An Smartphones oder gar Tablets war damals noch nicht zu denken. Denn das erste iPhone konnte man erst fünf Jahre nach der Verabschiedung der Richtlinie kaufen. Es gab auch noch keinen Facebook-Messenger und kein WhatsApp. Kurz: Die Formen der elektronischen Kommunikation haben sich seitdem grundlegend verändert. Und dem will jetzt die neue eprivacy-Richtlinie Rechnung tragen. Neu dabei ist, dass die Regelungen, wie auch jene der Datenschutzgrundverordnung, direkt in den Mitgliedsländern gelten. Sie müssen nicht mehr, wie noch die Vorgängerrichtlinie, jeweils innerstaatlich umgesetzt werden. Jan Philipp Albrecht ist Grünen-Abgeordneter im Europaparlament und hier seit vielen Jahren mit datenschutzrechtlichen Fragen befasst.
    "Der Grundgedanke, der bei beiden Reformprozessen leitend war, war dass im digitalen Zeitalter, wo wir heute angekommen sind, 28 unterschiedliche Standards für den europäischen Binnenmarkt keinen Sinn mehr machen und im Gegenteil eigentlich eher dazu führen, dass niemand so richtig weiß – sowohl die Unternehmen nicht, als auch nicht die Verbraucher: Welche Regeln gelten denn jetzt eigentlich? Weil die Dienste eben in ganz unterschiedlichen Ländern sitzen können und sich die Verbraucher natürlich auch frei bewegen in diesem Markt. Und Grenzen einfach verschwimmen."
    "Durch Metadaten kann viel rekonstruiert werden"
    Künftig soll also der Zugriff auf Kommunikationsdaten EU-einheitlich geregelt werden. Der Anwendungsbereich der Verordnung reicht dabei über das, was man sich gemeinhin unter Kommunikationsdaten vorstellt, weit hinaus. So soll die eprivacy-Verordnung nicht nur für die klassischen Verbindungsdaten beim Telefonieren oder SMS-Schreiben gelten. Auch Messengerdienste wie WhatsApp, Skype oder Facetime sollen jetzt einbezogen werden. Für solche Dienste sind nicht nur die Kommunikationsinhalte interessant, sondern gerade auch jene Informationen wer, wann, wo und wie lange mit wem kommuniziert. Deshalb sollen auch diese Daten nach der Neuregelung nur dann verarbeitet werden dürfen, wenn die Nutzer ihr Einverständnis gegeben haben.
    Der Grünen-Europapolitiker Jan-Philipp Albrecht.
    Mit 28 Regelungen in der EU sei weder Nutzern noch Firmen geholfen, sagt der grüne Europa-Parlamentarier Jan Philipp Albrecht (picture alliance / dpa / Bernd Thissen)
    Die heftigsten Auseinandersetzungen gibt es aber in einem Bereich, der zwar auch schon in der früheren Richtlinie geregelt war, bei dem es aber durch die jetzt vorgesehene Vereinheitlichung für einige Mitgliedsländer – auch für Deutschland – zu deutlichen Verschärfungen kommen könnte. Es geht um das Tracking im Internet, beispielsweise durch Cookies. Das sind kleine Datenpakete, die vom Gerät des Nutzers – seinem Smartphone, seinem Tablet oder seinem Computer – an die Server des Unternehmens geschickt werden und die, je nach Programmierung, unterschiedliche Informationen enthalten. Warum das überhaupt unter den Begriff der Kommunikationsdaten fällt, erläutert Jan Philipp Albrecht, der Grünen-Abgeordnete im Europaparlament:
    "Das ist Kommunikation, wenn ich Internetseiten aufrufe, weil da meine Verbindungsdaten aufgezeichnet werden, also eine Identifizierung meines Internetzugangs und auch eine Identifizierung der Adressen, die ich aufrufe. Das ist quasi wie ein Telefonat. Da kann viel dran rekonstruiert werden. Dewegen sind diese Kommunikationsmetadaten, also wen rufe ich an oder welche Webseite rufe ich auf, auch besonders sensibel und gehören eben mit zu dem Schutzbereich des Kommunikationsgeheimnisses dazu."
    Datenschutzfreundliche Werkseinstellungen
    Auch die bisherige Richtlinie erfordert für die Verwendung von Cookies schon ein Einverständnis des Nutzers. Diesen Teil der Richtlinie hat aber die Bundesrepublik nach Meinung vieler Juristen nicht ausreichend umgesetzt. Das deutsche Telemediengesetz sieht nämlich nur eine so genannte Opt-out-Lösung vor. Danach muss nur die Möglichkeit bestehen, dem Einsatz von Cookies zu widersprechen. Deshalb werden bisher auf vielen Webseiten die Nutzer nicht nach ihrem Einverständnis gefragt, sondern lediglich über den Einsatz von Cookies informiert.
    Künftig soll aber das Online-Tracking transparenter und vor allem kontrollierbar werden. Cookies dürfen dann nur mit Einwilligung verwendet werden. Und zwar nur mit einer echten Einwilligung. Das Banner "Mit der weiteren Nutzung der Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden", dürfte dann der Geschichte angehören. Damit Nutzer aber nicht mit entsprechenden Anfragen überhäuft werden, sollen sie bereits in den Einstellungen im Browser oder Smartphone-Betriebssystem einfach und rechtsverbindlich festlegen können, ob sie einem Tracking zustimmen oder nicht. Hält sich der Betreiber der Webseite nicht daran, drohen erhebliche Bußgeldzahlungen. Die Werkseinstellungen der Geräte oder Browser sollen dabei bereits von Beginn an datenschutzfreundlich ausgestaltet werden. Privacy by default wird dieses Prinzip genannt, das das Europäische Parlament gerne als Verpflichtung für Gerätehersteller und Browseranbieter in die eprivacy-Verordnung einbeziehen will.
    Wissen über Nutzer erlaubt zielgenaue Ansprache
    Warum das so genannte Tracking der Internetnutzer für viele Unternehmen, aber auch für Verbände und andere Organisationen überhaupt so wichtig ist, erläutert Benjamin Minack. Er ist der Präsident des Gesamtverbandes der Kommunikationsagenturen und berät als Agentur-Chef auch selbst Unternehmen und Verbände bei ihrem Onlineauftritt.
    "Je mehr ich über meinen Kunden weiß, wie mehr ich über meinen Nutzer weiß, desto leichter fällt es mir, Angebote zu entwickeln, die genau die Bedürfnisse des Nutzers treffen. Oder meine Kommunikation so auszurichten, dass ich möglichst wenig Streuverluste habe, Streuverluste entweder inhaltlicher Art oder Streuverluste tatsächlich schon von der Zielgruppe, in der ich mich bewege. Und worum geht es dann am Ende? Natürlich um die Effizienz meiner Kommunikation. Für einen möglichst geringen Einsatz einen möglichst hohen Ertrag zu erzielen."
    Facebook erklärt auf einem Smartphone-Display, wie es nach EU-Recht besonders geschützte persönliche Daten verwendet, um Inhalte zu personalisieren, und bietet zur Auswahl die Optionen "Akzeptieren und fortfahren" oder "Dateneinstellungen verwalten".
    Facebook fragt seine Nutzer jetzt, wie es mit ihren persönlichen Daten umgehen soll (imago stock&people)
    Dabei muss es nicht notwendigerweise um Produktwerbung gehen. So nutzen auch Verbände und NGO‘s das Tracking im Internet, um beispielsweise Kampagnen zu effektivieren. Juri Maier leitet die Berliner Kommunikationsagentur Wegewerk, die unter anderem Verbraucherzentralen, Parteien, Gewerkschaften und auch NGO's berät. Auch sie nutzen Programme, um das Verhalten ihrer Nutzer im Internet in gewissem Maße nachzuverfolgen.
    "Vorrangig setzen wir es bei unseren Kunden dafür ein, zu ermitteln, wie wird die Seite genutzt, welche Bereiche werden am stärksten genutzt. Das ist vor allem wichtig, wenn man, was man regelmäßig machen muss, die Seite mal restrukturiert. Sachen, die nicht so wichtig sind, rausschmeißt. Man kann ja nicht den ganzen Content permanent pflegen. Und da guckt man sich dann sehr intensiv die Zahlen an. Und zwischendurch macht man da so ein bisschen zur Erfolgskontrolle. Wie gut sind die Artikel, wie werden sie angenommen, wie viele Leute, die über den Newsletter auf bestimmte Themen aufmerksam gemacht wurden, sind dann tatsächlich auch auf der Seite anzufinden."
    "Interessensbasierte Werbung"
    Auch das Kampagnenmarketing in Social Media spielt eine große Rolle. NGO's würden diesen Weg häufig nutzen, sagt Juri Maier. Und dabei auch zu bezahlende Posts einsetzen.
    "Und wenn man dann darauf klickt, dann baut man sinnvollerweise auf der eigenen Webseite, wenn das Ziel denn die Webseite ist, und das ist meistens der Fall – dort sammelt man ja zum Beispiel Unterschriften oder Spenden für eine Kampagne – kann man dann nachvollziehen, über welchen der sponsored posts, so heißt das bei facebook, dann der Kontakt zustande kam, oder die Spende zustande kam. Und man kann so unmittelbar seinen Erfolg messen, ob die Botschaft richtig formuliert war, man kann Farben testen. Man macht dann A- und B-Tests – eine Variante A mit einem roten Button, eine Variante B mit einem grünen Button – und kann dann die Erfolge messen."
    Zum größten Teil wird aber das Tracking von der klassischen Werbung benutzt. Wer sich im digitalen Bereich, zum Beispiel im digitalen Journalismus, durch Werbung refinanzieren wolle, benötige eine effektive Datenverarbeitungsmöglichkeit, erläutert Bernd Nauen, Geschäftsführer beim Zentralverband der Deutschen Werbewirtschaft.
    "Wenn Sie eine normale Verlagswebseite aufrufen, dann wird die Werbung dahingehend ausgerichtet, dass eben nicht jeder das Gleiche, sondern dass Zielgruppen bedient werden, nach vermuteten Interessen. Und dazu brauchen Sie eben Datenverarbeitungsprozesse, die diese vermuteten Interessen statistisch erheben und dann entsprechende Werbemittel ausliefern. Was notwendiger Weise dabei ist. Und das ist das Entscheidende. Was dabei ist ist, dass sie eine ID, eine Kennung haben, die auf das Gerät bezogen ist. Dann geht es um die Identifikation des Geräts, um es wiederzuerkennen, um dann die interessensbasierte Werbung auszuliefern. Und die Interessenermittlung basiert im Wesentlichen auf einer statistischen Analyse der besuchten Webseiten."
    Koppelungsverbot: "Das ist Freibier für alle"
    Der Verband befürchtet, genauso wie auch viele Zeitungs- und Zeitschriftenverlage, erhebliche Umsatzeinbußen, wenn Internetnutzer künftig nach ihrem Einverständnis gefragt werden müssen und dann auch nein zu Cookies sagen können. Vor allem dann, wenn das bereits automatisch durch die Voreinstellungen erfolgt. Bernd Nauen sieht dabei auch ein Wettbewerbsproblem. Denn bei den großen Plattformen, bei denen man sich einloggen muss, ist häufig bereits schon das Log-in mit einer Einwilligung zum Tracking verbunden. Wenn diese Plattformen aber so einen besseren Überblick über ihre Nutzer bekommen, würde Werbung künftig noch mehr als bisher schon dann auch nur hier geschaltet – zum Schaden hiesiger Verlage, meint Nauen.
    Besonders kritisch sieht der Jurist das vom Europäischen Parlament geforderte so genannte Koppelungsverbot. Danach darf die Möglichkeit der Nutzung einer Webseite nicht von der vorherigen Zustimmung zur Verwendung von Trackingtools abhängig gemacht werden. Das heißt, grundsätzlich müssen beispielsweise Internetseiten, die sich über zielgerichtete Werbung finanzieren auch dann zugänglich bleiben, wenn man Cookies abgelehnt hat.
    "Das ist Freibier für alle. Was das Parlament vorgeschlagen hat, ist eine ebenso neue wie fulminant weitreichende, geradezu uferlose Regulierung, weil sie nämlich schlicht und einfach darauf hinausläuft, dass die Anbieter keine Reaktionsmöglichkeit mehr haben. Das ist eine Regelung, die würde man im realen Leben zu keiner Sekunde akzeptieren, weil wir natürlich sozusagen in der marktwirtschaftlichen Ordnung Güter nicht permanent verschenken. Wenn der seinen Teil des Deals nicht eingeht – was sein gutes Recht ist – aber, das Problem ist einfach, dass der Anbieter dann nicht gezwungen sein darf, seinen teuer produzierten Content zu verschenken."
    Grundrechte verkaufen für Datendienstleistungen?
    Ob das Koppelungsverbot aber tatsächlich kommt, steht derzeit noch in den Sternen: Die EU-Kommission hat es in ihrem Vorschlag überhaupt nicht erwähnt. Das Parlament will es ausdrücklich haben und aus dem Europäischen Rat – also den Mitgliedsstaaten – kommt bisher Ablehnung. Und selbst wenn, ist unklar, wie weit es eigentlich reichen soll. Die obersten Datenschützer der Mitgliedsstaaten haben Richtlinien zur Auslegung von Datenschutzgrundverordnung und eprivacy-Verordnung herausgegeben. Hier findet sich auch etwas zum Koppelungsverbot, wie Florian Glatzner vom Verbraucherzentrale-Bundesverband erklärt:
    "Und da steht eben drin, dass Unternehmen verschiedene Dienste anbieten können. Also einen Dienst sozusagen, wo ich getrackt werde und dem zustimmen kann. Aber es muss dann noch, damit es freiwillig ist, eine Alternative dazu anbieten und diese Alternative darf keine substantiell negativen Auswirkungen auf mich haben. Was demnach aber möglich wäre ist, dass ich als Unternehmen hingehe und eine Webseite anbiete und sage, okay, ich habe jetzt hier mehrere Möglichkeiten: Entweder du lässt dich tracken oder du zahlst einen fairen Betrag. Also nach der Auslegung der Datenschützer wäre das beispielsweise möglich."
    Skeptisch sieht diese Interpretation jedoch der Grünenabgeordnete Jan Philipp Albrecht. Hier sind für ihn grundsätzliche Fragen betroffen, die noch nicht geklärt sind.
    "Dass man seine Grundrechte sozusagen jetzt einfach verkaufen kann oder sich erst leisten muss, ist eine Debatte, die wir führen müssen und die gerade im Internetzeitalter, glaube ich, eine große Bedeutung hat. Ich bin mir da ehrlich gesagt nicht ganz sicher, in welche Richtung das dann geht. Wir sollten jedenfalls sehr vorsichtig sein, jetzt zu sagen, man kann entweder mit den Daten zahlen oder man zahlt mit Geld."
    Einschränkungen könnten digitale Innovation behindern
    Für die Kritiker der eprivacy-Verordnung liegt das Problem jedoch woanders. So befürchtet Axel Voß, ebenfalls Abgeordneter im Europäischen Parlament, allerdings von der CDU, dass durch die vorgesehenen Einschränkungen Innovationen geblockt werden. Und Europa dann nicht mehr wettbewerbsfähig zu beispielsweise den USA oder China ist.
    "Dort kann man dann eben Datenmodelle, neue Businessmodelle, Innovationen entwickeln, weil die eben diesen Zugang zu Daten haben. Anstatt hier mal kreativ heranzugehen und zu sagen, wir müssen aber eine Balance schaffen, damit auch unsere Datenentwicklung und die Entwicklung auf dieser technologischen Ebene auch vernünftig weitergehen kann. Das hat hier aber die Mehrheit des Gesetzgebers eigentlich nicht gemacht und deshalb führt das höchstwahrscheinlich zu einer Innovationsblockade, weil wir einfach zu restriktiv mit diesen Dingen umgehen."
    Der CDU-Europaabgeordnete Axel Voss 
    Der EU-Abgeordnete Axel Voß (CDU) fürchtet, zu strenge Regelungen könnten zur Innovationsbremse werden (Imago / C. Hardt / Future Image)
    Die Gefahr, dass bisherige oder neue Geschäftsmodelle künftig nicht mehr funktionieren, sieht der Verbraucherzentrale Bundesverband nicht. Denn grundsätzlich werde durch die eprivacy-Verordnung zielgerichtete Werbung ja nicht verboten. Florian Glatzner vom Verbraucherzentale Bundesverband ist überzeugt, dass es auch künftig viele Verbraucher geben wird, die Werbung, die stärker an ihren individuellen Interessen ausgerichtet ist, als nützlich ansehen und deshalb ihre Einwilligung zu Cookies geben. Und auch kontextbezogene Werbung sei nach wie vor erlaubt. Wie Axel Voß fordert Florian Glatzner Kreativität – allerdings von den Unternehmen bei der Entwicklung neuer Geschäftsmodelle.
    "Wenn man den Verbrauchern solche Angebote gibt, die bequem sind und die einen fairen Preis haben, dann werden sie die auch nutzen. Ohne dass dann in ihre Privatsphäre eingedrungen wird."
    Entscheidung im EU-Rat wahrscheinlich erst 2019
    Für Birgit Sippel, die Berichterstatterin im Europäischen Parlament, ist wichtig:
    "Nicht jedes Geschäftsmodell, mit dem man Geld verdienen kann, ist gerechtfertigt, wenn damit Grundrechte außer Kraft gesetzt werden."
    Als Berichterstatterin wird Birgit Sippel das Europäische Parlament in den Verhandlungen mit der EU-Kommission und dem Europäischen Rat vertreten. Wann diese Verhandlungen beginnen, ist aber noch offen. Zunächst muss sich der Europäische Rat auf einen einheitlichen Standpunkt einigen. Eigentlich sollte das noch unter der Präsidentschaft Bulgariens, die am 30. Juni endet, passieren; das ist aber mittlerweile mehr als fraglich. Wahrscheinlich beginnen deshalb die Verhandlungen erst im nächsten Jahr. Und auch dann ist nicht absehbar, wie lange sie dauern und wann dann die e-privacy-Verordnung tatsächlich in Kraft treten wird.
    Hochkonjunktur für juristische Berater
    Für Unternehmen heißt das: doppelter Aufwand. Bereits für die Anpassung an die Regelungen der Datenschutzgrundverordnung wurden und werden Millionenbeträge ausgegeben. Und wenn jetzt wenige Jahre später die eprivacy-Verordnung in Kraft tritt, werden weitere Anpassungen erforderlich sein. Niko Härting und seine Kollegen gehören zu einer der Berufsgruppen, die davon profitieren:
    "Ja, für uns Anwälte ist das natürlich ein Geschenk. Die Datenschutzgrundverordnung ist ein ganz, ganz großes Geschenk. Datenschutzanwälte, Datenschutzberater haben nie so ein gutes Geschäft gemacht wie zurzeit. Ja, das sind mit Sicherheit, wenn Sie das europaweit betrachten etliche Milliarden an Beraterhonoraren, die die Datenschutzgrundverordnung uns beschert. Also eine Hochkonjunktur zurzeit. Wenn wir jetzt dasselbe Spielchen nochmal haben in ein paar Jahren mit eprivacy, dann freuen wir uns natürlich auf die nächste große Auftragswelle."