Kaum haben sich die meisten Unternehmen von der Umsetzung der Datenschutzgrundverordnung (DSGVO) erholt, steht schon die nächste Verschärfung des Datenschutzes in Europa parat. Die E-Privacy-Verordnung soll regeln, wie die Nutzer von elektronischen Diensten vor Überwachung geschützt werden können. Gemeint ist damit vor allem die Ausspähung für Werbezwecke, etwa in Form von Cookies. Neben klassischen Telekomkonzernen werden nun auch jene Unternehmen reguliert, "die ähnliche Leistungen erbringen", erklärt der IT-Rechtsanwalt Lukas Feiler von Baker McKenzie. Gemeint ist etwa Whatsapp, das in den vergangenen Jahren die Kommunikation per SMS abgelöst hat.

Die Regelung, die von den EU-Mitgliedsländern verpflichtend umzusetzen sein wird, könnte noch größere Implikationen als die DSGVO haben – und zwar, weil sie in einigen Bereichen deutlich strikter ist. Deshalb streiken einige Mitgliedsländer, die Verhandlungen fortzuführen. Österreich muss während seiner Ratspräsidentschaft nun als Vermittler auftreten – und begann gleich einmal damit, eine von vielen Wirtschaftstreibenden bemängelte, von Datenschützern aber stark befürwortete Passage zu streichen.

Tracking im Visier

Zurück zum Anfang: Das EU-Parlament hat mit einer knappen Mehrheit im Oktober 2017 die E-Privacy-Verordnung abgesegnet. Für Werbetreibende war das ein Schock. Denn die Verordnung nimmt vor allem sogenannte Tracking-Dienste ins Visier, die Nutzer im Netz verfolgen und so Produktpräferenzen herausfinden wollen. Das EU-Parlament will, dass Nutzer über diese Maßnahme informiert werden und sogar ihre Zustimmung entziehen können, wenn sie nicht ausspioniert werden wollen. Der Abtausch von kostenloser Nutzung eines Services mit Tracking ist nicht mehr möglich. Auch Offline-Tracking, also etwa die Verfolgung von Kunden-Smartphones in einem Shoppingcenter, soll eingedämmt werden.

Außerdem sollen Messenger wie Whatsapp oder der Facebook Messenger künftig nur mehr mit dem Einverständnis ihrer Nutzer Metadaten verarbeiten. So nennt man Daten über die Kommunikation, die nicht den Inhalt betreffen – also etwa wer wann wie lange mit wem gesprochen hat (aber nicht: worüber). Dazu kommt das Recht auf Verschlüsselung sowie mehr Transparenz, was behördliche Zugriffe auf Kommunikationsinhalte betrifft. Für ohne Zustimmung gesetzte Cookies oder Spam-E-Mails drohen Strafen von bis zu zehn Millionen Euro.

Streitpunkt: Privacy by Default

Unerfahrene Nutzer sollten dadurch geschützt werden, dass Smartphone-Betriebssysteme und Internetbrowser von Haus aus möglichst wenige Daten sammeln. Jedwede Überwachung soll, analog zur DSGVO, nur mit Zustimmung der User erfolgen. An genau diesem Punkt hat Österreich die Notbremse gezogen – und den Artikel 10, der Browser betrifft, komplett gestrichen.

"Die Mehrheit der Mitgliedstaaten hat in den vergangenen Monaten aus verschiedenen Gründen wiederholt die Streichung des Artikels 10 angeregt", sagt das Infrastrukturministerium dem STANDARD. "Zum einen können Browser-Einstellungen technisch nicht die Vielfältigkeit von Cookies abbilden und daher auch keine DSGVO-konforme Information für den Endnutzer bieten; zum anderen würde man mit Artikel 10 aber eben auch einigen wenigen, nichteuropäischen Unternehmen die Rolle eines 'Gatekeepers im Internet' übertragen."

Das Infrastrukturministerium verweist darauf, dass andere Schutzmaßnahmen gegen Tracking auch in der aktuellen Variante der E-Privacy-Verordnung bestehen bleiben. Werner Reiter von der Grundrechts-NGO Epicenter Works kritisiert den Schritt jedoch deutlich: "Die Bundesregierung hat, seit sie angetreten ist, in so gut wie allen netzpolitischen Fragen die Haltung "Mehr Überwachung, weniger Datenschutz" an den Tag gelegt." Laut Reiter betreibe die Regierung die Digitalisierung, ohne die Interessen von Anwendern zu berücksichtigen.

Große Mitgliedsländer blockieren

Allerdings hat es Österreich als Vermittler nicht leicht. Die großen EU-Mitgliedstaaten wie Deutschland und Frankreich fordern seit Monaten eine starke Verwässerung der Datenschutzregeln. Dahinter dürfte effektives Lobbying der großen Verlagshäuser stehen. Die Mitgliedsländer müssen sich jedoch nicht nur untereinander einigen, sondern die adaptierte Verordnung dann auch wieder durch das EU-Parlament bringen.

Bevor sich die Telekom-Minister treffen, laufen nun Gespräche auf Sachebene. Die zuständige Working Group Tele hat vergangene Woche getagt. Dabei sollen einige Mitgliedsländer laut Infrastrukturministerium von den österreichischen Vorschlägen "sehr angetan" gewesen sein, "einige wenige" haben sie abgelehnt. Dazu kommen weitere Änderungsvorschläge von anderen Mitgliedsländern.

Warnung vor hohen entgangenen Einnahmen

Die Verordnung hat Anhänger quer durch das politische Spektrum. Im EU-Parlament stimmten etwa Abgeordnete aller österreichischen Partei für mehr Datenschutz, mit Ausnahme der ÖVP. Die FPÖ stellte sich dabei sogar gegen die Linie ihrer Fraktion. Doch großen Druck gibt es vonseiten der Verlage, Privatsender und vieler Internetplattformen. Eine Studie des Privatsenderverbandes VPRT sprach davon, dass durch die E-Privacy-Verordnung Einnahmen von bis zu 67 Milliarden Euro entfielen.

Das liegt daran, dass die genannten Anbieter ihren Umsatz vor allem mit zielgerichteter Werbung machen. Dazu müssen sie wissen, welche Interessen ihre User haben. Das ist wiederum nur möglich, indem Nutzer verfolgt und ausgespäht werden. Genau diese Praxis will die Verordnung verbieten. Deshalb malen die Verleger nun Horrorvisionen wie ein Ende der kostenlosen Webseiten in Europa an die Wand. Das beeinflusst vor allem große EU-Mitgliedsländer wie Deutschland, Frankreich und Spanien. Reiter von Epicenter Works hält die "Panikmache" nicht für nachvollziehbar: "Wenn für alle Anbieter die gleichen Regeln gelten und sie sich auch alle daran halten, wird das nicht zu Verlusten führen."

Kritik an Inhalten

Allerdings sehen auch neutrale Beobachter wie Rechtsanwalt Feiler kritische Punkte in der geplanten Verordnung. So ist vorgesehen, dass Anbieter ohne Zustimmung der User keine Daten auf deren Endgerät abspeichern dürfen. "In der Praxis ist das ein absoluter Fehlschlag", sagt Feiler. Denn davon sind nicht nur die ins Visier genommenen Cookies betroffen, sondern auch automatische Software-Updates, die oft die Sicherheit von Geräten deutlich erhöhen.

Obwohl Datenschützer und EU-Abgeordnete die Mitgliedstaaten bereits mehrfach aufgefordert haben, die Verhandlungen zügig abzuschließen, ist eine Einigung nicht in Griffweite. "Das Ziel der österreichischen Präsidentschaft ist das Fortführen der Arbeit", heißt es aus dem Infrastrukturministerium. Minimalziel ist ein "Fortschrittsbericht", der bis Ende des Jahres zustande kommt. "Wichtig erscheint dem Infrastrukturministerium, eine Balance zu finden, um Unternehmen nicht zu sehr zu schaden und Datenschutz trotzdem größtmöglich zu verankern", sagt das Ministerium. Wenn es allerdings bis zur EU-Wahl im Mai 2019 zu keiner Einigung kommt, beginnt der Gesetzgebungsprozess bei null.

Für Feiler ist die E-Privacy-Verordnung jedenfalls ein Beispiel dafür, dass der Gesetzgeber "versucht, Dinge zu regulieren, die vor drei Jahren ein Thema waren". Die technische Entwicklung sei zu schnell, deshalb sollte man sich bei der Regulierung zurückhalten, sagt Feiler. (Fabian Schmid, 25.7.2018)