Cookie-Banner und Online-TrackingEU-Kommission beerdigt Pläne für ePrivacy-Verordnung

Eigentlich wollte die EU mit der ePrivacy-Verordnung schon vor Jahren moderne Regeln für Tracking im Internet und Datenschutz bei Messengern festlegen. Stattdessen steckte das Gesetz in Verhandlungen fest. Nun zieht die EU-Kommission ihren Vorschlag zurück und öffnet den Weg für einen Neuanfang.

- - in Datenschutz - keine Ergänzungen
Ein Friedhof im Sonnenschein
Nach neun Jahren landet die geplante ePrivacy-Verordnung auf dem Friedhof für Gesetzentwürfe – CC0 Brett Sayles

Die EU-Kommission zieht ihren Vorschlag für die seit 2016 geplante ePrivacy-Verordnung zurück. Das geht aus dem Arbeitsprogramm für 2025 hervor, das die neue Kommission unter Leitung von Ursula von der Leyen heute beschließen und morgen vorstellen wird. Ein Entwurf liegt netzpolitik.org vor.

Die EU begräbt damit vorerst Pläne für eines der umkämpftesten Digitalgesetze aller Zeiten. „Es ist keine Einigung zwischen den Ko-Gesetzgebern erwartbar“, heißt es als Begründung für den Rückzieher. „Der Vorschlag ist außerdem angesichts mancher jüngerer Entwicklungen im technologischen und gesetzlichen Umfeld veraltet.“

Mitgliedstaaten haben das Gesetz beerdigt

Die EU arbeitete lange an ihrem Versuch, wichtige Regeln zum Datenschutz bei der elektronischen Kommunikation zu modernisieren. Die alte ePrivacy-Richtlinie stammt aus dem Jahr 2002 und wurde zuletzt 2009 überarbeitet. Die neue ePrivacy-Verordnung hätte die Kommunikation in Messengern schützen, das Werbetracking durch Cookies eindämmen und Fantasien von Vorratsdatenspeicherung einen Riegel vorschieben können.

Stattdessen starb die ePrivacy-Verordnung einen stillen, langsamen Tod. Die Kommission legte ihren Vorschlag schon 2017 vor. Im Parlament gab es einige Diskussionen zwischen Christdemokraten und Konservativen auf der einen und einem breiten Bündnis aus Linken, Sozialdemokraten, Grünen und Teilen der Liberalen auf der anderen Seite.

Letztendlich konnten sich die Freund:innen des Datenschutzes mit einer Parlamentsposition durchsetzen, die schon vor Jahren zum Ende nerviger Cookie-Banner hätte führen können. Unter anderem wollte das Parlament, dass Nutzer:innen einfach im Browser oder Betriebssystem einstellen können, ob sie online getrackt werden wollen oder nicht. Was nach einer Kleinigkeit klingt, hätte ein Meilenstein beim Schutz von Internetnutzer:innen vor der alltäglichen Durchleuchtung ihres Online-Verhaltens sein können.

Doch nach der Einigung im Parlament kam lange nichts: Die EU-Mitgliedstaaten im Rat diskutierten vier Jahre lang über Vorschlag. Die Position, auf die sie sich endlich einigen konnten, hätte das Gesetz in vielen Teilen abgeschwächt.

Danach hätten sich die drei Institutionen auf einen gemeinsamen Text einigen müssen. Das passiert bei EU-Gesetzen in den sogenannten Trilog-Verhandlungen. Die konnten 2021 zwar endlich beginnen, verliefen aber bald im Sand. Neue Sitzungen gab es schon länger nicht mehr. Stattdessen gab es die ersten Gerüchte, dass die Kommission ihren Vorschlag zurückziehen könnte.

Zivilgesellschaft wollte starken Schutz

Diese jahrelange Blockade enttäuscht Itxaso Domínguez de Olazábal von European Digital Rights (EDRi), dem EU-Dachverband der digitalen Zivilgesellschaft. Für sie war der Vorschlag sehr wichtig, weil er kommerzieller und staatlicher Überwachung Grenzen setzen sollte.

Texttafel mit Text: Schon wieder Databroker Files! Wir lassen nicht locker und enthüllen weitere Akteure. Nur möglich dank deiner Unterstützung. Spende jetzt.

„Sein Rückzug sagt viel über das aktuelle politische Klima aus“, sagt sie zu netzpolitik.org. „Es ging hier nicht nur um die hartnäckigen Hindernisse für eine Reform der Regeln zur Vorratsdatenspeicherung, sondern auch um das unerbittliche Drängen der Industrie, das überwachungsbasierte Werbegeschäft um jeden Preis aufrecht zu erhalten.“

Ohne Reform weiter tägliche Frustration

Auch Birgit Sippel bereut das Aus des Vorschlags. Die deutsche Sozialdemokratin war die Chefverhandlerin des Parlaments für das geplante Gesetz. „Die Kommission hat mit dem Rückzug der ePrivacy-Verordnung eine große Chance vertan, klare Regeln zum Schutz der Vertraulichkeit unserer Kommunikation zu schaffen“, sagt sie zu netzpolitik.org.

Die Datenschutz-Grundverordnung allein kann ihrer Meinung nach nicht verhindern, dass Kommunikationsdaten missbraucht werden. Das aktuell geltende, völlig veraltete ePrivacy-Gesetz ist zudem nur eine Richtlinie und wird damit in jedem EU-Mitgliedstaat anders umgesetzt. Das bedeute Unsicherheit für Nutzer:innen und Unternehmen, Deutschland etwa ignorierte zentrale Vorgaben der Richtlinie für mehrere Jahre.

„Ohne eine direkt anwendbare ePrivacy-Verordnung wird das Browsen zum Spießrutenlauf: statt einheitlicher Datenschutzstandards erleben Nutzer:innen täglich frustrierende Cookie-Banner, müssen sich mit Bezahlschranken ihr Recht auf Privatsphäre erkaufen und werden durch smarte Geräte zu gläsernen Nutzer:innen“, so Sippel weiter. „Die Kommission muss eine Alternative liefern, um die Vertraulichkeit der Kommunikation der Europäer:innen zu garantieren.“

Was kommt jetzt?

Genau das kann die Kommission nun tun. Indem sie den alten, blockierten Vorschlag zurückzieht, öffnet sie sich den Weg für einen oder mehrere neue Vorschläge. Denn ein Problem der ePrivacy-Verordnung war, dass sie mehrere wichtige Themen gleichzeitig regeln sollte: Den Zugang von Ermittlungsbehörden zu Kommunikationsdaten, den Status von Messenger-Diensten wie WhatsApp, Cookies und das Tracking von Personen für Werbezwecke.

Es gibt deshalb in Brüssel Diskussionen, dass die Kommission mehrere neue Vorschläge vorlegen könnte. Diese könnten etwa auf die Bereiche Datenzugang für Ermittlungsbehörden, Cookies und Werbung aufgeteilt sein. Bereits angekündigt ist ein „Digital Fairness Act“, kürzlich hatten zivilgesellschaftliche Organisationen wie der Chaos Computer Club gefordert, dass dieser ein grundsätzliches Verbot von Targeting und personalisierter Werbung enthalten soll.

Auch EDRi hat schon im vergangenen Jahr der EU-Kommission einige Forderungen vorgelegt. Sie soll etwa vorschreiben, dass Software und Hardware standardmäßig datenschutzfreundlich gestaltet und eingestellt sein müssen. Die Verschlüsselung von Kommunikation soll geschützt und die überwachungsbasierte Werbeindustrie abgeschafft werden.

Weitere Artikel
Eine junge Frau schaut leicht an der Kamera vorbei. In ihrem Gesicht ist das rote Lichtkreuz eines Scanners sichtbar.
Überwachung

KI-VerordnungRegeln für Biometrie-Überwachung bleiben unscharf

Die KI-Verordnung der EU lässt wichtige Fragen der Regulierung von Künstlicher Intelligenz offen. Aus diesem Grund hat die EU-Kommission gestern Leitlinien zum Gesetz veröffentlicht. Doch auch die bleiben uneindeutig, vor allem bei den Themen biometrische Überwachung und Social Scoring. Auch eine Definition von KI fehlt weiterhin.

Lesen Sie diesen Artikel: Regeln für Biometrie-Überwachung bleiben unscharf
Überwachung

Europol-Bericht zu CybercrimeEuropol kämpft mit der Datenflut

In einem Bericht zur Lage der Cyberkriminalität zeichnen die EU-Agenturen Europol und Eurojust ein düsteres Bild. Zum einen drohe ihnen, in der Datenflut unterzugehen, zum anderen wollen sie Zugriff auf deutlich mehr Daten, auch verschlüsselte. Dabei drängen sie zu mehr „freiwilliger“ Zusammenarbeit mit privaten Anbietern.

Lesen Sie diesen Artikel: Europol kämpft mit der Datenflut

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.