E-Privacy-Verordnung: Wirtschaft will kein "Desaster" wie bei Cookie-Abfrage

Die Einwilligung in die Verarbeitung von Kommunikationsdaten kristallisiert sich als Knackpunkt im Streit um die geplante europäische E-Privacy-Verordnung heraus. Parallel hapert es hierzulande mit der Umsetzung der Datenschutzgrundverordnung.

In Pocket speichern vorlesen Druckansicht 83 Kommentare lesen
E-Privacy-Verordnung: Wirtschaft will "Desaster" wie bei Cookie-Abfrage verhindern
Lesezeit: 4 Min.
Inhaltsverzeichnis

Eigentlich soll das Ärgernis, beim Ansteuern einer Unzahl von Webseiten jeweils gesondert Cookies akzeptieren zu müssen, mit der laufenden Reform der EU-Richtlinie für die Privatsphäre in der elektronischen Kommunikation der Vergangenheit angehören. Doch die europäischen Abgeordneten diskutieren gerade über ihre Position zum Entwurf der EU-Kommission für eine neue E-Privacy-Verordnung und die Regeln für das Opt-in in derartige Datenverarbeitungen stellen eine Schlüsselfrage dar, in der noch viele Details offen sind.

Der Vorschlag der Brüsseler Regierungseinrichtung bleibe an diesem heiklen Punkt hinter dem geltenden Recht zurück, beklagte Jan Philipp Albrecht, Innenexperte der Grünen im EU-Parlament, am Dienstag auf der "Privacy"-Konferenz des Digitalverbands Bitkom in Berlin. Dies sei unklug, da es in der geplanten Verordnung um sehr sensible Informationen einschließlich Metadaten gehe. Albrecht warnte daher: Mehr Verarbeitungsmöglichkeiten in diesem Bereich ohne explizite Einwilligung würden "das ganze Vorhaben gefährden". Die Grundrechte müssten hier mindestens so stark abgesichert werden wie in der allgemeinen Datenschutz-Grundverordnung (DSGVO).

Lokke Moerel (Morrison & Foerster), Jan Lichtenberg (Telekom), Dirk Woywod (Bundesdruckerei) und Jan Philipp Albrecht

(Bild: heise online/Stefan Krempl)

Auch Unternehmen müssten die Sorgen der Bürger vor Tracking ernst nehmen, unterstrich der Grüne. Andererseits räumte er ein, dass die gegenwärtige Praxis mit Standardklicks zur Einwilligung in eine Datennutzung eine der "größten Lügen im Netz" darstelle, was nicht länger akzeptabel sei. Da auch Selbstregulierungsansätze wie der "Do-Not-Track-Mechanismus" nicht funktioniert hätten, müsse die Politik nun verbindliche Vorgaben machen. Voreinstellungen im Browser könnten dabei ein Teil der Lösung sein. Entsprechende Ansätze für "Privacy by Default" müssten aber verknüpft sein mit der Annahme, "dass der Datenschutz an erster Stelle steht".

"Cookie-Mauern waren ein Desaster für alle", ärgerte sich Lokke Moerel von der Kanzlei Morrison & Foerster. Wenn jemand nicht wolle, dass persönliche Profile über ihn ihm Web erstellt werden, müsse es reichen, dies einmal zu erklären. "Wir verlassen uns noch zu sehr auf die Einwilligung", meinte die Beraterin von Silicon-Valley-Firmen. Privacy by Default sei da oft der bessere Weg, solange die Voreinstellungen im Browser einfach zu tätigen seien. Nötig sei eine lange Umsetzungsfrist der im Raum stehenden neuen Verordnung, um die Auswahlmöglichkeiten richtig hinzubekommen.

Den Browser verstärkt als Werkzeug zu nutzen, um die Sache mit den Opt-ins besser hinzubekommen, bezeichnete auch Dirk Woywod von der Bundesdruckerei als eigentlich gute Idee. Die Mehrzahl der Navigationsinstrumente käme aber just von den großen US-Internetkonzernen, an die bereits der Großteil der Daten aus der Webnutzung gehe. Einschlägige Lösungen müssten daher zumindest zertifiziert werden.

Auf Inkonsistenzen zwischen der Grundverordnung und den E-Privacy-Bestimmungen verwies Jan Lichtenberg von der Deutschen Telekom. So würden etwa GPS-Daten in erster geregelt, obwohl sie ähnlich sensibel seien wie gängige Standortdaten im Mobilfunk. Zudem vermisste er Möglichkeiten zur Pseudonomyisierung im Entwurf zur E-Privacy-Verordnung, obwohl diese gerade etwa für eine "vorausschauende Wartung" von Geräten im Internet der Dinge wichtig wären. Auch die Abwehr von Cyberangriffen würde durch die derzeitigen Text zu Spam behindert.

Der Bitkom hat parallel zu der Konferenz Ergebnisse einer repräsentativen Umfrage unter mehr als 500 Unternehmen hierzulande veröffentlicht, wonach erst jedes dritte sich überhaupt mit der Datenschutz-Grundverordnung beschäftigt hat. Am 25. Mai 2018 müssen Firmen nach einer zweijährigen Übergangsfrist die umfangreichen Regeln in ihren Geschäftsalltag integriert haben, sonst drohen hohe, möglicherweise millionenschwere Bußgelder. Aber nur 19 Prozent der Unternehmen, bei denen die DSGVO bereits Thema ist, erwarten, dass sie die Vorgaben bis zu dem Stichtag vollständig umgesetzt haben. (mho)