Am 27. Oktober hat das Europäische Parlament mit deutlicher Mehrheit die ePrivacy-Verordnung verabschiedet. Damit votierten die Politiker für einen starken Datenschutz, der auch von der EU-Kommission und den Verbraucherverbänden befürwortet wird.
Die ePrivacy-Verordnung wird Ende Mai 2018 zusammen mit der Datenschutzgrundverordnung (DSGVO) in Kraft treten. Sie regelt Details zum Verbraucherschutz im Netz, die in der DSGVO eher übergreifend abgehandelt werden.
Beide Verordnungen sind Bausteine der Neuordnung und Harmonisierung des europäischen Datenschutzrechts.
Des Einen Freud‘, des Anderen Leid
Verbraucherschützer und Wirtschaftsvertreter bekommen glänzende Augen, wenn die Sprache auf ePrivacy kommt. Die ersteren vor Freude, die letzteren vor Tränen. Denn ePrivacy schützt Verbraucherdaten strenger als alle früheren Rechtsnormen – und könnte digitale Geschäftsmodelle aushebeln.
Was ist Inhalt der ePrivacy-Verordnung?
Übergreifend kann man sagen, dass die Verbraucher wieder mehr Kontrolle über ihre Daten bekommen sollen. Denn gegenwärtig ist es so, dass viele Daten und Informationen ohne Wissen der Bürger gesammelt, weitergegeben, analysiert, verkauft und zu Profilen verdichtet werden.
Daten sammeln und verarbeiten nur mit Einverständnis
Kommunikationsdienstleister wie WhatsApp kommen in den Besitz vieler Daten ihrer Nutzer. Nicht „nur“ der Inhalt dieser Kommunikation ist schützenswert, sondern auch die Frage, wer mit wem an welchem Ort wie lange kommuniziert. Aus diesen Daten lassen sich Verhaltensweisen und Vorlieben der Nutzer ableiten. Und diese sind wiederum für die Bereitstellung personalisierter Werbung interessant.
Nach der ePrivacy-Verordnung dürfen diese Daten zukünftig nur noch dann kommerziell verwertet werden, wenn der Nutzer ausdrücklich darin eingewilligt hat.
Tracking wird wesentlich erschwert
Das so genannte „Tracking“, also das Verfolgen elektronischer Spuren, die Verbraucher mit jedem Mausklick oder Tippen auf ein Smartphone im Internet hinterlassen, soll erschwert werden. Genauer gesagt: Es unterliegt künftig einem „Verbot mit Erlaubnisvorbehalt“. Was Juristen so elegant ausdrücken bedeutet auf Deutsch: Ohne Einwilligung des Benutzers geht gar nichts. Und diese Einwilligung muss explizit eingeholt werden.
Folgende Aspekte illustrieren, worum es beim Tracking-Verbot geht:
Beispiel Cookies
Cookies sind Mini-Programme, die Unternehmen auf Ihrer Festplatte ablegen. Sie speichern bestimmte Daten, die der Nutzer auf einer Webseite eingibt. Cookies sorgen dafür, dass der elektronische Warenkorb im Online Shop erhalten bleibt und dass Sie beim nächsten Mal Ihre Adressdaten nicht neu eingeben müssen. Aber sie speichern auch Ihren Klick-Pfad und lassen Rückschlüsse darauf zu, welche Waren Sie interessieren. Die Werbewirtschaft kann Ihnen dann zukünftig Werbung für ebendiese Waren zeigen.
Bisher konnten Nutzer dem Setzen von Cookies widersprechen. In Zukunft wird das Tracken Ihrer Informationen mittels Cookies verboten sein – es sei denn, Sie geben explizit Ihre Einwilligung.
Beispiel Browser Fingerprint
Während Cookies den meisten Internet-Nutzern ein Begriff sind, ist der Browser Fingerprint fast nur Spezialisten bekannt. Dabei handelt es sich, vereinfacht ausgedrückt, um eine Kombination von Informations-Bits, die Ihren Browser unter vielen Millionen einzigartig macht. Betriebssystem, installierte Schriftarten, Plugins, Standortinformationen, Hardware – all dies posaunt Ihr Browser in die digitale Welt hinaus.
Privacy by default
Die ePrivacy-Verordnung fordert, dass Browser ab Werk die maximalen Sicherheitseinstellungen haben sollen. Konkret bedeutet das, dass die „do not track“-Einstellung die Standardeinstellung von Internetbrowsern sein muss.
Vorstudien zum neuen Datenschutzrecht haben ergeben, dass nur fünf Prozent der Internetnutzer überhaupt jemals ihre Browser-Einstellungen bearbeiten. Zum Schutz der Verbraucher, die darauf vertrauen, dass ihr Browser kein Ausspähen zulässt, wird nunmehr das höchste Schutzniveau die Standardeinstellung sein.
Offline Tracking
In Bahnhöfen und Flughäfen, Kaufhäusern und Banken gibt es Videoüberwachung. Zusätzlich die WLAN- und Bluetooth-Signale von Smartphones nachverfolgt. Zunehmend entsteht eine flächendeckende Überwachung von Menschen, die dazu nicht ihr Einverständnis gegeben haben. Durch dieses „Offline Tracking“ können Bewegungsprofile erstellt und Personen ausgespäht werden. Das soll sich drastisch ändern.
Nach der ePrivacy-Verordnung sollen derlei Datensammlungen nur noch zulässig sein, wenn sie räumlich und zeitlich begrenzt sind und sich auf rein statistisches Zählen beschränken. Oder eben mit Einverständnis der betroffenen Personen.
Nachrichten-Verschlüsselung nach dem „Stand der Technik“
Fast jeder Internet-Nutzer verwendet Messenger wie Telegram, WhatsApp, Facebook Messenger, Slack usw. Auch für sehr vertrauliche Nachrichten. In Zukunft müssen internetbasierte Kommunikationsdienste dasselbe Schutzniveau wie Telefonanbieter gewährleisten – mit einer Ende-zu-Ende-Verschlüsselung der Kommunikationsdaten. Selbst für staatliche Ermittler darf keine „Hintertür“ offen bleiben.
ePrivacy-Verordnung – die Sorgen der Industrie
Die Argumente, die von der Wirtschaft gegen ePrivacy aufgeboten werden, sind stichhaltiger als das übliche Rumoren, das bei jeder Stärkung des Verbraucherschutzes reflexhaft durch die Wirtschaftsverbände geht.
Intelligente Verkehrsinfrastruktur vor dem Aus?
Angenommen, in einer Kurve ist ein Unfall passiert. Die Unfallfahrzeuge senden diese Informationen über das Mobilfunknetz an Navigationsgeräte. Diese wiederum leiten eine Notbremsung ein, wenn ein Fahrzeug schnell auf die Unfallstelle zukommt und Gefahr läuft, in den Unfall hinein zu geraten.
Automobilhersteller, Kartenhersteller, Mobilfunkunternehmen und andere arbeiten an solchen Szenarien. Nach der ePrivacy-Verordnung würden sie Makulatur: Die Fahrer der Unfallwagen (sofern noch bei Bewusstsein) müssten binnen Millisekunden ihr Einverständnis über die Verarbeitung ihrer Daten geben. Und das nicht nur einmal, sondern an jedes Glied in der Kette: Mobilfunknetzbetreiber, Autohersteller, Navigationsanbieter und, und, und.
Autonomes oder auch nur halbautonomes Fahren, intelligente Verkehrsinfrastruktur und proaktive Unfallvermeidung würden damit erstmal wieder in weite Ferne rücken.
Das Beispiel stammt aus dem lesenswerten Artikel „Überzieht Brüssel beim Datenschutz?“ von Thomas Heuzeroth, erschienen in der Welt vom 2.12.2017.
Problemfeld Internet der Dinge
Die Autobauer warnen, dass die ePrivacy-Verordnung „darin versagt, in angemessener Weise personenbezogene Daten im Umfeld der Maschine-zu-Maschine-Kommunikation im Internet der Dinge zu schützen.“
Schließlich könne ein Nutzer nicht jeder Glühbirne separat seine Einwilligung geben, die in seinem Smart Home anfallenden Daten zu verarbeiten.
Online-Angebote „existenziell bedroht“
Viele Online-Angebote finanzieren sich über Werbung. Besonders Zeitungs- und Zeitschriftenverlage machen sich Sorgen. Laut ePrivacy-Verordnung dürfen Angebote nicht an eine Datenfreigabe gekoppelt werden. Anbieter von Nachrichtenwebsites, Wetterdienste usw. müssten ihr Angebot auch anonymen Nutzern zur Verfügung stellen, die ihre Daten nicht für die Auslieferung individualisierter Werbung freigeben mögen. Und das ist die Mehrzahl: Der Springer-Verlag hat in Testläufen festgestellt, dass im besten Fall die Hälfte und im schlechtesten nur zehn Prozent der Nutzer eine ePrivacy-konforme Einwilligung erteilten.
Doch die Online-Service-Angebote werden durch personenbezogene Werbung refinanziert. Das gesamte Geschäftsmodell, so die Bedenken der Verlage, würde durch ePrivacy ausgehebelt. Die Angebote müssten finanziell auf andere Füße gestellt werden, im Klartext: kostenpflichtig werden.
In Zukunft müssten die Internetnutzer also für Angebote bezahlen, die ihnen bislang kostenlos zugänglich waren.
Fazit
Mehr Datenschutz für Verbraucher, womöglich aber auch negative Auswirkungen auf das Internet der Dinge und digitale Geschäftsmodelle – die neue ePrivacy-Verordnung bringt auf jeden Fall Bewegung ins Netz.
Wie die Industrie letztlich mit den neuen Herausforderungen umgeht, steht derzeit noch in den Sternen. Browserhersteller haben es vergleichsweise einfach; sie müssen lediglich maximale Datenschutzeinstellungen zum Lieferstandard machen und die Freigabe bestimmter personenbezogener Daten blockieren.
Die komplette Branche der Onlinewerbung und Webshops dürfte allerdings kräftig durcheinandergewirbelt werden. Und Verbraucher werden manche Angebote zukünftig mit Geld statt ihren privaten Daten bezahlen.
