E-Privacy-Verordnung: EU-Rat für Vorratsdatenspeicherung und Cookie-Walls
Die EU-Staaten haben ihre Linie für Datenschutz in der elektronischen Kommunikation abgesteckt. Experten sind fassungslos und sprechen von einem Skandal.
(Bild: Gerhard Gellinger, gemeinfrei)
Der EU-Ministerrat drängt auf breite Möglichkeiten zum Zugriff auf Metadaten und für übergreifendes Tracking von Nutzern von Online-Diensten. Dies geht aus dem Standpunkt der Mitgliedsstaaten für die seit vier Jahren geplante, aber heftig umstrittene, E-Privacy-Verordnung hervor, auf den sich der EU-Ministerrat am Mittwoch verständigt hat. Die Vorratsdatenspeicherung soll prinzipiell zulässig bleiben, obwohl der Europäische Gerichtshof (EuGH) bestehende nationale Gesetze wiederholt gekippt und die Hürden hochgelegt hat.
Nachdem sich acht Ratspräsidentschaften – inklusive der deutschen im vergangenen Halbjahr – die Zähne an dem Thema ausgebissen haben, ist es Portugal nun gelungen, das Eis zu brechen. Die Regierung des Landes hatte im Januar einen Vorschlag mit vielen Zugeständnissen an die datenverarbeitende Wirtschaft gemacht, der in leicht überarbeiteter Form nun den Zuschlag erhalten hat.
Regierungen gegen Parlament und Kommission
Ziel der EU-Kommission war es, mit ihrem ursprünglichen Entwurf für die Verordnung den Datenschutz in der elektronischen Kommunikation mit Anwendungen von Messenger-Diensten übers Telefonieren bis zum Steuern von Sprachassistenten zu verbessern. Das EU-Parlament hatte sich schon 2017 dafür ausgesprochen, die Vorlage zu verschärfen und etwa den "Do not Track"-Standard festzuschreiben.
Der Rat bezieht nun die entgegengesetzte Position. Firmen und Behörden sollen Metadaten wie Verbindungsinformationen unter gewissen Voraussetzungen für andere Zwecke als die ursprünglich vorgesehenen und vom Nutzer gestatteten verwenden dürfen. Dies soll sogar für Eingriffe in "Terminal-Ausrüstung" wie Browser gestattet sein, etwa durch das Setzen von Cookies, das Auslesen damit verknüpfter Nutzerinformationen sowie weiterer auf einem Endgerät gespeicherter Daten wie Fotos und Kontaktlisten.
"Gegebenenfalls" sollen Diensteanbieter die Aufsichtsbehörde kontaktieren und persönliche Informationen pseudonymisieren sowie verschlüsseln. Dazu kommt die Anforderung, das Ergebnis einer Analyse zu anonymisieren, bevor Informationen an Dritte weitergegeben werden. Bei Abweichung vom Zweckprinzip dürfen einschlägige Daten zudem nicht dazu verwendet werden, "die Art oder die Merkmale eines Endnutzers zu bestimmen oder ein Profil" über ihn anzulegen. Ansonsten bleibt dem Betroffenen nur eine Widerspruchsmöglichkeit (Opt-out).
Cookie-Wall soll bleiben
Wer auf seiner Webseite unentgeltlich Nachrichteninhalte verfügbar macht und das durch Werbung finanziert, soll dabei Cookies ohne Zustimmung der Nutzer setzen können. Eine "Cookie-Wall" als Alternative zu einer Bezahlschranke soll also zulässig bleiben. User, die nicht für Werbezwecke analysiert werden möchten, müssen gegebenenfalls ein kostenpflichtiges Abo abschließen. Diese Klausel wird an die Voraussetzung geknüpft, dass der User prinzipiell zwischen verschiedenen Varianten wählen können. Dazu kommen weite Spielräume für Direktmarketing auch via Bots.
Um wiederholte Cookie-Entscheidungen zu reduzieren, sollen User ihre Meinung über den Einsatz bestimmter Cookie-Arten über eine Positivliste erteilen können. Eine Einwilligung soll auch nicht erforderlich sein, wenn Speicherkapazitäten von Endgeräten genutzt werden, um Sicherheitslücken zu beheben und entsprechende Software-Updates einzuspielen. Der Nutzer muss über diese Praxis aber vorher informiert werden.
Für Vorratsdatenspeicherung
Mit Zustimmung des Nutzers könnten Diensteanbieter Metadaten etwa zur Anzeige von Verkehrsbewegungen verwenden. Verbindungsdaten dürften zudem zum Schutz lebenswichtiger Interessen verwendet werden, etwa bei humanitären Notlagen oder Epidemien.
Die in Vorentwürfen vorgesehene Klausel zur Vorratsdatenspeicherung wollten die Portugiesen eigentlich streichen, behielten sie nach Protest Frankreichs aber bei. Die Übergangsfrist liegt nun wieder bei 24 Monaten, nachdem die Ratsspitze sie zunächst auf ein Jahr zu verkürzen gedachte. Deutschland und Österreich enthielten sich dem Vernehmen nach bei der Abstimmung. Die finale Fassung der Verordnung soll nun von Verhandlungsführern der EU-Gremien per "Trilog" mit Parlament und Kommission ausgehandelt werden.
Entsetzen über Rückschritt
Bliebe es beim Ratsentwurf, "wäre das ein schwerer Schlag für den Datenschutz", moniert der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber. Die EU-Regierungen hätten "wichtige Garantien für Nutzer" wie das Widerspruchsrecht und die Datenschutz-Folgenabschätzung gestrichen. Auch mit der Vorratsdatenspeicherung sieht er "rote Linien" überschritten. Der SPD-Politiker ist fassungslos, wie schwerwiegend in Grundrechte der europäischen Bürger eingegriffen wird.
Als "Skandal" bezeichnet Klaus Müller, Vorstand des Bundesverbands der Verbraucherzentralen (vzbv), die Ausrichtung der Mitgliedsstaaten. Die Vertraulichkeit der elektronischen Kommunikation werde massiv eingeschränkt, das Vertrauen der Verbraucher zerstört.
Der Kurs des Rates enttäusche "auf ganzer Linie", kritisiert Grünen-Fraktionsvize Konstantin von Notz. Die Regierungen veranschaulichten so, "dass sie die Bedeutung des effektiven Grundrechtsschutz im Digitalen noch immer nicht verstanden haben". Nun liege es am EU-Parlament, "mühsam erkämpfte Schutzstandards zu verteidigen und auszubauen". Der EU-Abgeordnete Patrick Breyer (Piratenpartei) spricht von einem "Angriff auf die digitale Privatsphäre". Seine SPD-Kollegin Birgit Sippel rügt, die "Aushöhlungsversuche der Industrie während der vergangenen Jahre" hätten Früchte getragen.
(ds)