E-Privacy-Verordnung: EU-Ratsspitze will breiten Zugriff auf Nutzerdaten erlauben
Vorratsdatenspeicherung oder Tracking durch Nachrichtenseiten ohne Zustimmung gehören zu den Optionen, die Finnland beim Online-Datenschutz eröffnen will.
(Bild: Tero Vesalainen/Shutterstock.com)
Die finnische Präsidentschaft des EU-Ministerrats hat mit einem Kompromissvorschlag Bewegung in die seit Monaten auf der Stelle tretenden Verhandlungen über eine neue E-Privacy-Verordnung gebracht. Schon am Freitag könnten Diplomaten auf dieser Basis die seit Langem ausstehende Position der Mitgliedsstaaten zu dem heftig umstrittenen Dossier festzurren. Verbraucherschützer schlagen aber Alarm, dass die Regierungen mit der Initiative den eigentlich vorgesehenen Datenschutz in der elektronischen Kommunikation untergraben und "mehrere rote Linien" überschreiten könnten.
Zu den Knackpunkten der geplanten Verordnung gehören Fragen der Einwilligung rund um Online-Profile der Nutzer, Datensammlungen durch Cookies und der Umgang mit Metadaten wie Verbindungs- oder Standortinformationen. Finnland will hier zunächst wieder festschreiben, dass die Mitgliedsstaaten eine Vorratsdatenspeicherung "für eine begrenzte Zeitperiode" gesetzlich anordnen dürfen, wenn sie dies für nötig und verhältnismäßig halten zum Schutz "öffentlicher Interessen".
Keine großen Hürden für Datensammler
Prinzipiell konstatiert die Ratsspitze zwar, dass neben den Inhalten auch Metadaten "sehr sensible" persönliche Informationen offenbaren könnten. Damit sei es möglich, Rückschlüsse auf soziale Beziehungen, Gewohnheiten, alltägliche Aktivitäten, Interessen oder Geschmäcker zu ziehen. Trotzdem wollen die Finnen es erlauben, Metadaten ohne Zustimmung der Endnutzer für "andere", also auch kommerzielle Zwecke zu verwenden.
Verbindungs- und Standortdaten sollen zwar nicht zu Personenprofilen verknüpft werden dürfen, um etwa Zielgruppen weiter zu segmentieren oder das Verhalten "eines spezifischen Endnutzers" zu überwachen. Zudem hält Finnland es für geboten, "soweit angemessen" zuvor eine Aufsichtsbehörde zu konsultieren, eine Datenschutzfolge-Abschätzung durchzuführen oder Analyse-Ergebnisse vor einer Weitergabe an Dritte zu anonymisieren. Große obligatorische Hürden für die datensammelnde Wirtschaft stellen diese Anforderungen aber nicht auf.
Geräteübergreifendes Tracking ohne Einwilligung
Daneben dürften Metadaten etwa für Forschungs- oder Statistikzwecke verarbeitet werden, wenn "angemessene Sicherheitsmechanismen" zum Einsatz kommen. Dazu zählt in dem Kompromissansatz neben Verschlüsselung auch eine Pseudonymisierung, mit der eine erneute spätere Personenbeziehbarkeit aber nicht wirklich verhindert würde. Betroffene sollen hier nur ein Recht auf Widerspruch erhalten.
Werbefinanzierten Nachrichtenseiten wollen die Finnen mit einer speziellen Klausel in einem überarbeiteten Erwägungsgrund 21 auch das webseiten- und geräteübergreifende Tracking der Nutzer ohne deren Einwilligung und ohne weitere Schutzvorkehrungen erlauben. Dies gelte generell für Dienste mit dem Ziel, die Meinungsfreiheit zu schützen. Der Nutzer müsste dabei nur klar und präzise darüber informiert werden, zu welchen Zwecken Cookies oder ähnliche Techniken verwendet werden, und deren Einsatz "akzeptieren". Dafür könnte es vermutlich ausreichen, weiter auf einer Webseite aktiv zu bleiben.
Do-not-track-Mechanismus gestrichen
Keine explizite Zustimmung sieht der finnische Entwurf zudem für den Zugriff auf Kapazitäten zum Verarbeiten oder Speichern von Daten des Anwenders aus IoT-Geräten vor, sofern diese nötig für die Erbringung eines Dienstes sind. Auch Sicherheitsupdates dürften Anbieter durchführen, ohne den Nutzer zu fragen, solange damit die Funktionen von Hard- oder Software oder die Datenschutzeinstellungen nicht geändert werden.
Den vom EU-Parlament vorgesehenen Artikel 10 für den Do-not-track-Mechanismus haben die Finnen gestrichen. Nutzer sollen aber über eine andere Klausel weiterhin etwa über Browsereinstellungen einem Diensteanbieter signalisieren können, ob er etwa Cookies setzen oder in anderer Form für spezifische Zwecke auf die "Terminalausrüstung" zugreifen darf.
Der Anfang 2017 zunächst von der EU-Kommission auf den Weg gebrachte Entwurf steht seit Monaten im Zentrum einer großen Lobbyschlacht , in die sich neben großen US-Plattformen etwa auch hiesige Verlage einbringen. Das EU-Parlament hatte die Initiative vor zwei Jahren verschärft und sich für Tracking nur mit explizitem Opt-in der Nutzer ausgesprochen. Seitdem konnten sich die Mitgliedsstaaten nicht auf eine gemeinsame Linie einigen. Der Bundesverband der Verbraucherzentralen (vzbv) warnt, dass der sich nun doch noch abzeichnende Konsens "nicht mit der Rechtsprechung des Europäischen Gerichthofs vereinbar" sei. Den finalen Gesetzestext müsste der Rat mit Vertretern der Abgeordneten noch aushandeln. (axk)
