Analyse: EU-Kommission verschlimmbessert Entwurf zur E-Privacy-Verordnung
Gegenüber dem im Dezember geleakten Vorentwurf hat die EU-Kommission die geplante Privatsphäre-Verordnung zu ungunsten der Verbraucher abgeschwächt.
(Bild: heise online)
Der am Dienstag von der EU-Kommission vorgestellte Entwurf für eine E-Privacy-Verordnung spezifiziert die Europäische Datenschutzgrundverordnung in verschiedenen Bereichen. Insbesondere konkretisiert sie deren Vorgaben für datenschutzfreundliche Software-Technik ("Privacy by Design") für digitale Dienste.
Die E-Privacy-Vorordnung soll im Mai 2018 Kraft treten, also genau dann, wenn die Grundverordnung umgesetzt sein muss. Die Verordnung gilt dann anders als eine Richtlinie unmittelbar. Dass bisher die Privacy-Richtline gilt, hat zur Folge, dass etwa im Bereich der Cookie-Regelungen deutlich unterschiedliche Vorgaben in Deutschland und Großbritannien existieren. Dies soll sich nun ändern.
Die Verordnung umfasst dann alle digitalen Dienste. Darunter fallen etwa auch Anbieter von Over-the-Top-Diensten wie Skype und WhatsApp sowie die Maschine-zu-Maschine-Kommunikation im "Internet der Dinge", die bisher von der Regulierung nicht erfasst wurden. Sie soll nach dem Willen der EU-Kommission technischen Umsetzungen für den Datenschutz Vorrang vor juristischen Alten wie dem Einholen der Einwilligung des Nutzers geben. Im Vergleich zum im Dezember 2016 geleakten Vorentwurf wurde jedoch die Umsetzung von "Privacy by Design"-Vorgaben deutlich geschwächt.
Geschützte Metadaten
Nach Artikel 6 des Entwurfs dürfen Unternehmen Kommunikationsdaten von Verbrauchern nur nutzen, wenn sie zuvor anonymisiert wurden oder der Nutzer ausdrücklich eingewilligt hat. Die Kommission verzichtet nun zwar anders als im Vorentwurf auf eine Datenschutzfolgeabschätzung für den Fall, dass die Datenverarbeitung ein hohes Grundrechtsrisiko mit sich bringt. Das bedeutet aber nicht, dass diese entfällt, da die Verordnung im Zusammenhang mit der Datenschutzgrundverordnung zu lesen ist.
So bleibt es entsprechend Artikel 35 (4) der Grundverordnung den Aufsichtsbehörden überlassen festzulegen, ob und welche Metadaten-Analysen vorab hinsichtlich der mit ihnen verbundenen Grundrechtsrisiken geprüft werden müssen. Datenverarbeiter müssen überdies nach Artikel 7 Metadaten umgehend löschen oder anonymisieren, wenn die Datenübertragung abgeschlossen ist oder die Metadaten für Abrechnungszwecke nicht mehr benötigt werden.
Für die Analyse von Inhalten elektronischer Kommunikation wie beispielsweise Mail- oder Messaging-Nachrichten legt die Kommission die Latte in Artikel 6 (3) des Entwurfs deutlich höher, da sie hier grundsätzlich ein hohes Grundrechtsrisiko sieht. So sollen Dienste wie Googles GMail dafür künftig vorab die Datenschutz-Aufsichtsbehörden entsprechend Artikel 63 der Grundverordnung konsultieren – noch bevor sie hierfür die ausdrückliche Einwilligung der Nutzer einholen. Die Dienste müssen sich dann den Empfehlungen der Behörde beugen. Außerdem können die Nutzer ihre einmal erteilte Einwilligung nach Artikel 9 (3) jederzeit zurücknehmen, wobei sie halbjährlich an diese Möglichkeit erinnert werden sollen.
In Artikel 12 bis 14 verlangt der Entwurf überdies, dass eine EU-weite kostenlose und einfach zu nutzende Möglichkeit, die eigene Rufnummer zu unterdrücken und bestimmte eingehende Rufnummern zu blockieren, ausdrücklich gegeben sein muss. Auch sollen anonym eingehende Rufnummern blockiert werden können. Unter anderem sollen es damit möglich werden, auch Rufnummernweiterleitungen von Dritten auf die eigene Nummer zu verhindern. Notrufdienste dürfen allerdings nutzerseitig unterdrückte Rufnummern erkennen.
Rückendeckung für "Do-Not-Track"
Dem Entwurf zufolge müssen Website-Betreiber ihre Besucher nicht mehr über Cookies informieren, die Konfigurationszwecken dienen. Auch betrifft dies zum Beispiel Cookies, die in Shopping-Portalen für das Befüllen von Warenkörben zuständig sind. Bei Tracking-Cookies besteht keine Informationspflicht, wenn der Web-Browser Zustimmung oder Ablehnung über einen Do-Not-Track-Mechanismus übermitteln kann.
Die Browser müssen so konfigurierbar sein, dass Cookies von der direkt besuchten Website akzeptiert, jedoch Cookies von Drittanbietern blockiert werden können. Damit ist klar, dass die Werbeindustrie Do-Not-Track nicht länger wie bisher ungestraft ignorieren darf. Gleichzeitig werden damit wohl auch die meisten Cookie-Warn-Banner überflüssig.
Nutzerrechte abgeschwächt
Die deutlichste Abschwächung hinsichtlich der Grundrechte der Nutzer erfolgt in Artikel 10 des Entwurfs. Verlangte der Vorentwurf entsprechend des „Privacy by Design“-Gedankens noch von Software-Herstellern, vom Start weg datenschutzfreundlichste Einstellungen vorzukonfigurieren, muss die Software nun bei der Installation den Nutzer lediglich über die möglichen Privatsphäre-Einstellungen informieren und von ihm die Einwilligung für die Einstellungen abverlangen. Folgerichtig strich die Kommission auch den Begriff "Privacy by Design" aus dem Artikel.
Kritisch ist die in Präambel 17 getroffene Feststellung zu sehen, dass Ortsdaten, die nicht im Kontext einer Dienstleistung generiert werden, nicht als Metadaten gelten. Anbieter sogenannter Heatmaps, die auf Ortsdaten basieren, könnten die Daten demnach ohne Einwilligung der Betroffenen erheben und verarbeiten. Eine Datenschutzfolgeabschätzung müsse aber durchgeführt werden, schreibt die Kommission, wenn ein hohes Grundrechtsrisiko besteht.
Immerhin fordert sie in Präambel 25, dass in einem Zeitraum wiederholt erfasste Nutzer vom datenerhebenden Unternehmen darüber informiert und über die ihnen mögliche Vermeidung der Datensammlung aufgeklärt werden müssen. Allerdings vermeidet die Kommission eine klare Regelung für das immer beliebter werdende Offline-Tracking.
Ähnlich düster sieht es auch bei der Ende-zu-Ende-Verschlüsselung von Kommunikation aus, obgleich sich 90 Prozent der von der Kommission befragten EU-Bürger dafür aussprechen. Zwar betont die Kommission, dass Kommunikation ja "vertraulich" sei, doch ob Diensteanbieter technisch-organisatorische Schutzmaßnahmen entsprechend „Privacy by Default“ treffen sollen, will sie nicht regeln. Sie belässt es mit einem Verweis auf die Rechtslage.
Blockierer-Blockade soll erlaubt sein
Der Versuch der Kommission, das Blockieren von Adblocker-Nutzern auf Verlags-Websites zu rechtfertigen, könnte rechtswidrig sein. Der Verordnungsentwurf soll dieses Vorgehen der Verlage gemäß Präambel 21 erlauben. Diese Ausnahmeregelung widerspricht aber dem grundsätzlichen Kopplungsverbot der Datenschutzgrundverordnung in Artikel 7 (4), wonach eine verweigerte Einwilligung nicht zu einer allgemeinen Nutzungsblockade führen darf.
In Sachen Direktmarketing führt die Verordnung in Artikel 16 eine Ausnahmeregelung ein, welche die Verwendung von E-Mail-Kontaktdaten ohne weitere Einwilligung erlaubt, wenn es bereits eine "Kundenbeziehung" zwischen Anbieter und Nutzer gibt. Hierfür ist eine Opt-Out-Regelung vorgesehen. Der Verbraucher kann also auch weiterhin damit rechnen, dass nach einem Online-Einkauf möglicherweise eine Newsletter-Flut auf ihn niedergeht.
Der Sanktionsrahmen der geplanten E-Privacy-Verordnung entspricht übrigens konsequenterweise der Datenschutzgrundverordnung und verleiht den Vorgaben entsprechend Nachdruck. Ein Verbandsklagerecht, wie im Vorentwurf noch vorgesehen, gibt es nicht mehr. Doch das deutsche Verbandsklagerecht wird davon nicht beeinträchtigt. (hob)
