Wie Europa den Schutz gegen Tracking im Netz aufs Abstellgleis manövriert

Die ePrivacy-Verordnung soll digitale Kommunikation vor der Auswertung durch große Konzerne und undurchsichtige Werbefirmen schützen. Doch seit einem Jahr steckt der Prozess in der Sackgasse. Die Bundesregierung ist wenig engagiert und nimmt stillschweigend ein mögliches Scheitern der Reform in Kauf, sagen Kritiker.

– Gemeinfrei-ähnlich freigegeben durch unsplash.com Claudio Mezzasalma

Den großen Presseverlagen ist der Datenschutz ein Dorn im Auge. Nachrichtenseiten wie Spiegel Online finanzieren sich zum großen Teil über Werbung und kooperieren dafür mit der Schattenbranche der Datensammler. Ein neues EU-Gesetz soll Nutzern mehr Kontrolle über dieses Online-Tracking bieten – sehr zum Ärger der Verlage und von Konzernen wie Google und Facebook. Wegen des Lobbyings der Datenindustrie steht die geplante ePrivacy-Reform seit Längerem still. Wie eine Antwort des Wirtschaftsministeriums auf eine Frage der Abgeordneten Tabea Rößner nun zeigt, bekennt sich Deutschland offiziell weiterhin zu den ambitionierten Datenschutz-Plänen. Doch hinter den Kulissen lehnt die Bundesregierung sich bequem zurück.

Das ePrivacy-Gesetz ist die Zwillingsschwester der Datenschutz-Grundverordnung, die seit Mai allen Europäerinnen und Europäern umfassende Rechte einräumt. Während die DSGVO Grundprinzipien für den Schutz der Privatsphäre festschreibt, soll die ePrivacy-Verordnung mit strengeren Vorgaben speziell die digitale Kommunikation von Nutzerinnen und Nutzern schützen. Schon heute sorgt die 2002 verabschiedete ePrivacy-Richtlinie dafür, dass Mobilfunk- und Internetanbieter die Daten ihrer Kundinnen und Kunden nicht einfach analysieren und verkaufen dürfen. Mit der seit Jahren diskutierten Generalüberholung des Gesetzes sollen diese strengen Regeln auch auf Dienste wie WhatsApp, iMessage, Skype oder Gmail ausgeweitet werden. Außerdem soll sie dafür sorgen, dass User mehr Kontrolle darüber bekommen, ob ihr Surfverhalten für Werbezwecke aufgezeichnet wird: Ihre Zustimmung oder Ablehnung zum Online-Tracking könnten sie dann durch einfache Einstellungen im Browser signalisieren, an die sich die Datensammler halten müssten. [Zusammenfassung: Warum die todlangweilig klingende ePrivacy-Verordnung für dich wichtig ist.]

Ursprünglich sollten beide Gesetze zugleich in Kraft treten. Doch nachdem sich das Parlament unter krassem Zeitdruck und harten Debatten rechtzeitig zu einer Position durchgerungen hat, stellten die EU-Staaten ePrivacy bereits vor einem Jahr in Brüssel aufs Wartegleis. Als fleißigster Bremser betätigte sich zuletzt die rechte Regierung in Österreich, die derzeit den Vorsitz in den Arbeitsgruppen des Rates der Mitgliedsstaaten führt. Zur Überraschung aller kündigte Österreich an, nicht mal den Versuch zu unternehmen, eine Einigung über eine gemeinsame Position der Mitgliedsstaaten bis Jahresende zu erzielen. Damit wird die Zeit für abschließende Trilog-Verhandlungen vor den EU-Wahlen im Mai 2019 damit knapp, eine Verabschiedung unwahrscheinlich.

Strategie: Datenschutz aussitzen

Das Verfahren wird damit strategisch auf die lange Bank geschoben. Zuvor legte Österreich bereits Vorschläge vor, die das Gesetz in entscheidenden Punkten abschwächen würden. Österreich will sogar hinter die heutige Rechtslage zurückgehen und Telefon- und Internetanbietern erlauben, die Metadaten ihrer Kunden ohne deren Einverständnis weiterzuverarbeiten. Auch die Browser-Lösung für das Thema Online-Tracking will Österreich aushöhlen.

Offiziell lehnt Deutschland die Ideen Österreichs ab. Die Bundesregierung unterstütze keine der in Wien vorgeschlagenen Varianten zu Aufweichung des Datenschutzes, heißt es in dem Brief des Bundeswirtschaftsministeriums an die Grünen-Abgeordnete Tabea Rößner. Berlin will lieber bei Vorschlägen des vorherigen Ratsvorsitzenden Bulgarien bleiben. Die lösten bei Datenschützern keine Begeisterungsstürme aus, fielen aber doch nutzerfreundlicher als die österreichischen Ansätze aus. „Deutschland setzt sich dabei weiterhin für einen erfolgreichen Abschluss der Verhandlungen ein“, schrieb eine Ministeriumssprecherin an netzpolitik.org.

An den Bemühungen Deutschlands in dieser Sache gibt es bei Beobachtern in Brüssel jedoch Zweifel. Die Regierung in Berlin habe in der Debatte kaum den Mund aufgemacht, sagt Diego Naranjo von der Digital-NGO EDRi. „Es ist wie mit jedem anderen Thema in der EU: Wenn sie (oder Frankreich) gewillt gewesen wäre, einen Schritt zu setzen, dann wäre es viel flotter gegangen.“ Etwas resigniert äußert sich auch Vicky Cann von der Lobby-Watchgruppe Corporate Europe Observatory. „Die Wirtschaft wollte ePrivacy von Anfang an umbringen. Die Regierung der Mitgliedsländer sehen sich immensem Lobby-Druck von ihren Verlagen und der Big-Data-Industrie ausgesetzt, und leider haben zu viele von ihnen nachgegeben.“

Auch die Grünen-Abgeordnete Rößner hält die Bekenntnisse aus Berlin für hohl: „Ich kann nicht erkennen, dass sich die Bundesregierung in Brüssel tatsächlich aktiv darum bemüht, die ePrivacy-Verordnung noch vor der Europawahl zu einem erfolgreichen Abschluss zu bringen. Stattdessen scheint die GroKo – ganz wie die österreichische Ratspräsidentschaft auch – auf die Strategie zu setzen, dass sich die ePrivacy-Verordnung durch Verschleppung und Verzögerung von selbst erledigt.“

Tabea Rößner, MdB und netzpolitische Sprecherin der Grünen. - Alle Rechte vorbehalten Kerstin Bänsch PHOTOdesign

Kuckucksei im Datenschutznest

Dass Deutschland sich in der ePrivacy-Debatte überhaupt als Verfechter von Grundrechten stilisieren kann, liegt ohnehin weniger an der datenschutzfreundlichen Position der Bundesregierung als an der Brachialität der Antidatenschutzkampagne Österreichs. Tatsächlich enthält die Linie der Bundesregierung selbst einige Positionen, die alles andere als nutzerfreundlich sind. Sie möchte unter anderem sogenannte Tracking-Walls rechtlich legitimieren. Diese erlauben Leserinnen und Lesern erst dann den Zugriff auf eine Nachrichtenseite, wenn sie dem Setzen von Datensammel-Cookies für Werbezwecke zustimmen. Dadurch dürften Verlage weiterhin Leser in zwei Sparten teilen: jene, die mit Geld Zugang erkaufen, und jene, die mit ihren Daten zahlen.

An dieser Position hält die Bundesregierung weiterhin fest. Dass bei Tracking-Walls von einer freiwilligen Datenpreisgabe die Rede sein kann, wie es das Koppelungsverbot der Datenschutzgrundverordnung vorschreibt, bezweifeln zivilgesellschaftliche Organisationen. Denn eigentlich darf laut Datenschutzgrundverordnung die Erbringung von Dienstleistungen nicht an die Bedingung geknüpft sein, persönliche Informationen preiszugeben. Die Abgeordnete wollte deshalb wissen, wie die Bundesregierung diese begründet, – und erhielt keine Antwort. Dazu Rößner:

Die Frage der Freiwilligkeit bei der Einwilligung wird aktuell unter den Mitgliedsstaaten sehr kontrovers diskutiert. Wie die Bundesregierung zu dieser Position kommt und wie sie sich in die weiteren Verhandlungen einbringen wird, verrät sie nicht. Und so bleibt uns nichts anderes übrig, als weiter durch kontinuierliche Anfragen jeden einzelnen Informationskrümel aus der Blackbox dieses intransparenten Verfahrens herauszuextrahieren.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

18 Ergänzungen

  1. Das Eine sagen, das Andere tun -als ob das bei der Bundesregierung oder sonstwo in der Politik neu wäre.
    Noch ein aktuelles Beispiel:
    https://www.bund-nrw.de/service/meldungen/detail/news/braunkohle-folgekosten-eklat-im-landtag/
    Braunkohle-Folgekosten: Eklat im Landtag 16.Februar2017
    Breite Mehrheit verweigert Transparenz zu den Kosten der Ewigkeitsschäden
    Am Mittwoch, 15. Februar, hat eine Mehrheit aus FDP, CDU, SPD und den GRÜNEN den Antrag der Piraten-Fraktion über ein unabhängiges Gutachten zu den Folgekosten der Braunkohle abgelehnt.Grundlage des Antrags war ein im Auftrag des BUND und anderen in Auftrag gegebenes Gutachten, welches die mangelnde Transparenz bei der Bewältigung der Langzeitschäden durch die Braunkohle sowie die fehlende finanzielle Absicherung kritisiert.
    Für Unverständnis sorgte das Abstimmungsverhalten der Grünen. Auch sie lehnten den Antrag ab, obwohl sie ihn inhaltlich unterstützten. Begründet wurde das damit, dass sich SPD und GRÜNE in NRW in ihrem Koalitionsvertrag darauf verständigt hätten, dass man „Anträge, die geeignet sind, die Koalition zu spalten“ grundsätzlich ablehnt. Warum bereits ein solch harmloser Antrag das Zeug dazu hat, die Koalition zu spalten, sagt einiges über den Zustand von Rot-Grün aus.
    Im Zuge der namentlichen Abstimmung kam es dann zum Eklat, weil die Piraten die Grünen-Abgeordneten bei der namentlichen Abstimmung filmten. Die Sitzung wurde unterbrochen, das Filmen und Fotografieren verboten.
    Dabei wurden unter der Federführung von Umweltminister Johannes Remmel schon wichtige erste Schritte zur Aufarbeitung der Braunkohle-Langzeitfolgen eingeleitet. Vom BUND initiiert wird derzeit im Rahmen eines Gutachtens der Frage nachgegangen, welche zukünftigen Gefahren von den jahrzehntelang in den Tagebauen verkippten Kraftwerksabfällen ausgehen. Und in einem groß angelegten Projekt unter Mitwirkung des BUND wird untersucht, welche heute noch sümpfungsbeeinflussten Gebiete zukünftig wiedervernässt werden. Denn nicht nur in der Erftaue droht eine dauerhafte Wasserhaltung notwendig zu werden, wenn nicht ganze Siedlungen absaufen sollen. Dazu wird eine Flurabstandsprognose erstellt. Endergebnisse werden für das 1. Quartal 2019 erwartet.

  2. Nach dem Gegenwind gegen die VDS könnte man den Regierungen unsterstellen, dass sie die VDS durch die Hintertür und außerdem zum Nulltarif realisieren wollen, indem sie Geschäftsmodelle erlauben, die Diensteanbieter zum freiwilligen Datensammeln veranlassen werden.

    1. Strafanzeige gegen alle Sparkassen erstatten und die höchste Strafe beantragen
      Da können die ihre Provisionen vergessen, wenn der Bußgeldbescheid kommt!
      Er sollte schön hoch sein, so daß denen Sehen und Hören vergeht-als Abschreckung-so daß man sieht Ja!-die Justiz tut doch was

  3. Hallo liebes Netzpolitik.org Team,

    ich erlaube mir den Hinweis, dass der zitierte Art. 7 Abs. 4 DSGVO gerade *kein* Kopplungsverbot enthält, sondern das Gegenteil: Er hält vielmehr fest, dass *wenn* eine Einwilligung zur Grundlage für eine Datenverarbeitung gemacht wird, die über das erforderliche Maß hinausgeht, die Freiwilligkeit genauer geprüft werden soll. Umkehrschluss: Die „Kopplung“ ist also gerade nicht ausgeschlossen.

    Viel wichtiger aber: Das Kopplungsverbot in seiner strengen Form (das die DSGVO so – wie gesagt – nicht kennt, wohl aber der Parlamentsentwurf der ePrivacy Verordnung) würde gerade jenew Ergebnis mit sich bringen, das in diesem Beitrag zurecht kritisiert wird: Die Wahl zwischen Tracking oder „Geld gegen Datenschutz“. Denn das „Kopplungsverbot“ führt dazu, dass eine Einwilligung nur freiwillig ist, wenn es eine Wahl gibt: Diese Wahl einer Tracking-freien Nutzung wird i.d.R. kostenpflichtig sein. Und so macht dann die Existenz des „Privacy-Abo“ die Einwilligung aller anderen wieder freiwillig, ohne dass sich am Tracking für den Großteil der Nutzerinnen etwas ändert …

    Ich meine daher: Die Lösung kann nur eine klare Regulierung von Online Behavioural Advertisment sein, das ein Minimum erlaubt, aber eine klare Grenze zum Schutz aller zieht (Einwilligung oder nicht). Diesen Weg wollten bisher weder Kommission, noch Rat oder Parlament gehen. Insofern ist der aktuellste Stand mEn auch noch Fortschritt und sein Stillstand nicht in jedem Fall ein Drama.

    Zudem: Die DSGVO reguliert „Webtracking“ bereits und die Aufsichtsbehörden haben sich klar positioniert, dass zB die 72 Cookies auf diversen Newsseiten nur mit Einwilligung legal sind. Da wäre ein Vollzug auch hier und jetzt ohne ePrivacy Verordnung möglich.

    Beste Grüße

    1. Hi Malte,

      wie du weist gibt es in Hinblick auf das Koppelungsverbot unterschiedliche Ansichten. Wir vertreten die Meinung, dass sich aus der DSGVO sehr wohl ein Koppelungsverbot ergibt. Für Unbeteiligte zum nachlesen:

      Art. 7 (4) DSGVO:
      „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

      Noch deutlicher wird das in Erwägungsgrund 43:
      “Die Einwilligung gilt nicht als freiwillig erteilt, wenn (…) die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“

      Wie ergibt sich daraus deiner Meinung nach eine explizite Erlaubnis, die Erbringung von Dienstleistungen an die Bedingung zu knüpfen, dass die Person personenbezogene Daten preis gibt, die für die Erbringung der Dienstleistung nicht erforderlich sind?

      Zur politischen Diskussion: Ja, eine Welt, in der sich Besserverdienende das Privacy-Paket buchen können und der Rest mit Daten bezahlt, wollen wir alle nicht. Meiner Meinung nach kann die Antwort darauf aber nicht lauten, dass alle gezwungen werden, mit ihren Daten zu zahlen, sondern dass der Ansatz „Daten als Zahlungsmittel“ sich nicht weiter etabliert. Das Gespräch um die „klare Grenze zum Schutz aller“ hatten wir ja schon mal. Meine Frage damals und heute: Was genau schlägst du vor? Was ist das Minimum, das du erlauben möchtest und was ist das darüber hinaus gehende Maß, das du verbieten möchtest?

    1. Ein toller Grundsatzartikel! Konkrete Regulierungsvorschläge, über die wir hier ja gerade diskutieren, enthält er leider nicht.

      1. Mangels Grundsätzen erfolgt derzeit die Datenschutzregulierung irgendwie im luftleeren Raum. Oder wie es Herr Engeler an anderer Stelle sagte: da fehlt das Fundament.

        1. Auf welche Datenschutzregulierung beziehst du dich damit genau? Vermutlich liest du unsere Texte zum Thema Datenschutzpolitik nicht so genau, aber gerade das Ringen um die ePrivacy-Reform macht doch deutlich, dass es unterschiedliche politische Akteure mit unterschiedlichen Zielen gibt. Ja, Datenschutz und Nutzerrechte sind im derzeitigen politischen Klima nicht mehrheitsfähig. Aber mit so einer platten Pauschalisierung kommen wir auch nicht weiter. Zumal es in meinem Gespräch mit Malte Engeler ja eben nicht um die Frage des „ob“, sondern des „wie“ des Datenschutzes geht.

          1. Ich beziehe mich ganz allgemein auf alle derzeitigen Versuche, Datenschutz in Gesetze oder Regelungen zu fassen.
            Vielleicht noch mal etwas zur Bedeutung von Grundsätzen: Wenn es einen breiten gesellschaftlichen Konsens zum Thema „Du sollst nicht stehlen“ gibt, dann spiegelt sich der auch in vielen Gesetzen wieder und Lobbygruppen können nicht so ohne weiteres das Stehlen in neue Gesetze hineinschummeln.
            Zum Datenschutz gibt es m.E. zu wenige durch breite gesellschaftliche Gruppen getragene Grundsätze. In der Folge entstehen Datenschutzgesetze und -regelungen, die stark von einzelnen technischen Entwicklungen, Lobbygruppen oder Einzelereignissen beeinflusst aber nicht durch einen gesellschaftlichen Konsens getragen sind.

  4. @Kasper Ohm: Das sehe ich anders. Es gibt breit getragene Grundsätze, aber deren Durchsetzung ist in Anbetracht von Machtkonstellationen und Wirtschaftsinteressen schwierig.

    1. Der von Herrn Engeler vorgeschlagene Grundsatz der Ablehnung des Eigentums an persönlichen Daten wäre für mich ein Beispiel für einen entscheidenden Grundsatz für die Datenschutzgesetzgebung, der derzeit aber wohl nicht als breit getragen bezeichnet werden kann.

      1. Das nehme ich anders wahr. Die Einführung eines Eigentumsrechts an personenbezogenen Daten ist vermutlich nicht mal in der Fraktion der Datenkapitalisten mehrheitsfähig.

        1. Echt jetzt? Wenn wir wahllos 100 Leute fragen würden, ob sie der Meinung sind, dass ihnen ihre persönlichen Daten gehören und sie sie deshalb z.B. auch gegen eine geldwerte Dientleistung oder einen geldwerten Vorteil tauschen dürfen, was würden wir hören?

          1. „Meine Daten gehören mir“-Rhetorik und Daten als Ware zu sehen sind etwas anderes als die Einführung eines Eigentumsrechts an Daten.

          2. Etwas als Ware zu sehen unterstellt, dass jemand das Eigentum daran hat und berechtigt ist, es an jemand anderen zu übertragen.
            Wenn sich breite gesellschaftliche Schichten im Alltag so verhalten, als wenn es ein Eigentum an persönlichen Daten gibt, dann ist es nicht weiter verwunderlich, dass sich das in diversen Datenschutzgesetzen widerspiegelt.

  5. Muss mal doof fragen, da die Daten doch automatisch verarbeitet werden. Ist es technisch möglich, dass der Besucher einer Seite alle Daten erhält, die durch den Besuch erhoben wurden und wohin diese weitergeleitet werden? Das würde uns doch vielleicht visuell verdeutlichen, welche Daten erhoben werden und das fehlt m.E. bei vielen. Oder ist das nicht darstellbar?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.