Als die EU-Kommission Ende letzter Woche ihren Vorschlag für eine ePrivacy-Verordnung zurückzog, war das nur noch Fachmedien eine Meldung wert. Es war das leise Ende eines Gesetzes, das Großes bewirken sollte. Dabei gehörte die Reform einst zu den am heftigsten umkämpften Vorhaben der EU. Ihr Versprechen: digitale Kommunikation von Menschen in der EU endlich wirksam vor kommerzieller Überwachung zu schützen.
Das Anliegen ist heute aktueller denn je. Seit Monaten veröffentlichen wir von netzpolitik.org mit dem Bayerischen Rundfunk und internationalen Partnern Recherchen, die den kompletten informationellen Kontrollverlust in der Online-Welt belegen. Die Databroker Files zeigen anschaulich, wie genaue Standorte und andere Daten von Smartphone-Apps über das Ökosystem der Online-Werbung bei Datenhändlern landen, die sie ohne Vorsichtsmaßnahmen verschleudern.
Die ePrivacy-Verordnung hätte genau das verhindern sollen. Ihr endgültiges Scheitern ist ein später Lobbyismus-Erfolg der Datenindustrie. Doch es ist fraglich, wie lange sie sich darüber freuen kann.
Ist die EU Schuld an Cookie-Bannern?
Die ePrivacy-Saga nimmt ihren Anfang vor mehr als 20 Jahren. Am Anfang Anfang des neues Jahrtausends sind digitale Kommunikationsform in Europa auf dem Vormarsch, aber bislang nicht einheitlich geschützt. Mit der ePrivacy-Richtlinie schafft die EU 2002 eine Art digitales Briefgeheimnis, verbietet neben dem Abhören von Telefonen jetzt auch das Abfangen E-Mails oder SMS.
In den nächsten Jahren nimmt die Digitalisierung rasant an Fahrt auf. Immer mehr Menschen kommunizieren online und suchen im Internet nach Informationen. Immer mehr Unternehmen suchen unterdessen nach neuen Einnahmequellen im Netz. Google und andere legen in dieser Zeit den Grundstein für den Überwachungskapitalismus. Erste Smartphones kommen auf den Markt. Online-Werbung wird zum dominanten Geschäftsmodell des Internets, plötzlich speichern und analysieren zahlreiche Firmen, was wir online machen. Mit Cookies und anderen Technologien arbeiten sie daran, Nutzer:innen wiederzuerkennen und Profile zu erstellen.
Das digitale Briefgeheimnis wird brüchig und die EU zieht Konsequenzen. 2009 erweitert sie die ePrivacy-Richtlinie erstmals um Regeln zum Online-Tracking. In der Folge erhält das Gesetz den Beinamen „Cookie-Richtlinie“, Ausdruck eines fatalen Missverständnisses. Eigentlich soll es den Datenschutz im Nutz verschärfen, indem es festlegt, dass das Online-Verhalten von Nutzer:innen nur dann getrackt werden darf, wenn diese einwilligen. Die erstarkende Datenindustrie aber ignoriert die Intention der Richtlinie und erfindet stattdessen Cookie-Banner: Pseudo-Einwilligungen, die beim Besuch von Websites aufploppen und Nutzer:innen weder richtig über Tracking informieren noch ihnen eine echte Wahl geben.
Weil Datenschutzbehörden zu dieser Zeit noch keine echten Durchsetzungsbefugnisse haben und Mitgliedstaaten die Richtlinie unterschiedlich (im Falle von Deutschland: gar nicht) umsetzen, setzt niemand die Regeln durch. In den folgenden Jahren werden die Banner im Netz allgegenwärtig und die Nutzer:innen müde. Einwilligungen? Das sind doch diese nervigen Dinger, die man im Internet immer wegklicken muss. Es dauert ein gutes Jahrzehnt, bis der Verbraucherzentrale Bundesverband 2019 eine Klarstellung des Europäischen Gerichtshofes erstreiten kann, dass vorausgefüllte Einwilligungen ungültig sind.
Do Not Track wird einfach ignoriert
Zur gleichen Zeit gibt es auch in den USA Versuche, die informationelle Selbstbestimmung voranzubringen. Statt auf rechtliche setzt man hier auf technische Lösungen: 2009 entwickeln die Privacy-Forscher Christopher Soghoian, Sid Stamm und Dan Kaminsky „Do Not Track“ (DNT). Ein technischer Standard für Webbrowser, der es Nutzer:innen ermöglichen soll, mit wenigen Klicks in den Einstellungen zu entscheiden, ob sie getrackt werden wollen oder nicht. Die mächtige Federal Trade Commission (FTC) unterstützt das Vorhaben, schon Anfang der 2010er Jahre integrieren Browser wie Firefox und Internet Explorer den DNT-Standard, auch Safari und Chrome folgen.
Das einzige Problem: Die Datenindustrie ignoriert auch diesen Ausdruck des Nutzer:innenwillens. Die wichtigen Suchmaschinen Google und Yahoo etwa richten sich nicht danach. Auch deutsche Nachrichtenseiten wie Spiegel Online lassen Nutzer:innen, die Do Not Track aktiviert haben, bald nicht mehr auf ihre Seiten. Irgendwann schalten Browser die Funktionen nach und nach wieder ab. Nach einem Jahrzehnt verlaufen Standardisierungsbestrebungen im W3C-Konsortium 2019 endgültig im Sande.
Dabei sah es für einen kurzen Moment so aus, als könnte das mit Do Not Track und der informationellen Selbstbestimmung im Netz doch noch etwas werden, dank einem Upgrade für die ePrivacy-Richtlinie.
Die Initiative für die Reform ist so alt, dass sie nicht auf die vorige EU-Kommission zurückgeht, sondern auf die vorletzte, damals noch unter der Leitung von Präsident Jean-Claude Juncker. Bereits seit 2016 bereitete sie eine Generalüberholung der ePrivacy-Richtlinie vor. Die Arbeiten daran begannen unmittelbar nach der Fertigstellung der Datenschutzgrundverordnung. Weil die DSGVO sehr allgemein gehalten ist, war von Anfang an klar, dass es für den Schutz der elektronischen Kommunikation konkretere und schärfere Regeln braucht. Idealerweise sollten diese bis 2018 feststehen, wenn die DSGVO nach zweijähriger Übergangsfrist wirksam wird.
Ernst machen mit informationeller Selbstbestimmung
Die EU-Kommission wusste bei diesem Vorhaben eine überwältigende Mehrheit der Europäer:innen hinter sich. So zeigte eine repräsentative EU-weite Umfrage im Auftrag der Kommission 2016, dass 90 Prozent der Menschen sich für sichere Ende-zu-Ende-verschlüsselte Kommunikation aussprachen. 89 Prozent der Befragten stimmten der Aussage zu, dass einfache Standardeinstellungen in ihrem Browser ausreichen sollten, um sie vor Tracking zu schützen. Und fast drei Viertel waren nicht damit einverstanden, dass Unternehmen ihre Daten ungefragt mit anderen teilen – selbst dann nicht, wenn es Firmen dabei helfen soll, ihnen neue Dienstleistungen anzubieten, die sie mögen könnten.
Der damalige Binnenmarktkommissar Andrus Ansip legte Anfang 2017 einen Vorschlag für die Reform der alten Richtlinie vor. Die neue ePrivacy-Verordnung sollte beispielsweis Messenger und Internet-Telefonie mit klassischen Telekommunikationsdienste wie SMS und Telefon gleichsetzen, um das digitale Briefgeheimnis auch die neuesten Kommunikationsformen auszuweiten. Online-Tracking sollte nur mit expliziter Einwilligung erfolgen dürfen, Websites hätten DNT-Signale im Browser akzeptieren müssen. Entsprechende Regeln waren auch für Apps und das Internet der Dinge vorgesehen.
Damit die Regeln dieses Mal auch wirklich wirken, sollten Datenschutzbehörden starke Sanktionsmöglichkeiten an die Hand bekommen, wie sie auch in der DSGVO vorgesehen sind. Für mehr Einheitlichkeit und Verbindlichkeit der Regeln sollte das neue Gesetz zudem eine Verordnung werden, die anders als eine Richtlinie unmittelbare Wirkung entfalten würde. Kurzum: Die EU wollte der informationellen Selbstbestimmung endlich zu ihrem Recht verhelfen und ernst machen mit der Idee freiwilligen und informierten Einwilligung.
Der Clou: Die ePrivacy-Verordnung sollte nicht nur den Datenschutz voranbringen, sondern auch die wirtschaftspolitischen Interessen der EU bedienen. Denn wenn auch Messenger und andere digitale Kommunikationsdienste in der Hand von US-Unternehmen so streng reguliert würden wie europäische Telefonkonzerne, dann hätte Big Tech seinen Wettbewerbsvorteil – das rücksichtslose Datensammeln – verloren. Viel war damals vom „Level Playing Field“ die Rede, also einem ausgeglichenen Spielfeld, auf dem fairer Wettbewerb stattfinden kann, der die Privatsphäre der Menschen achtet.
Und dann kam Martin Sonneborn
Im Idealfall hätten die Regeln dazu geführt, dass Unternehmen nicht mehr darum konkurrieren, wer Nutzer:innen am besten ihre Daten abtricksen kann, sondern wer ihr Vertrauen erwirbt. Nachrichten-Websites beispielsweise hätten von ihren Stammleser:innen eine freiwillige Erlaubnis zum Tracking bekommen können, windige US-Konzerne wären auf der Do-Not-Track-Liste gelandet. Aus heutiger Sicht wirken diese Ideen wie Luftschlösser von Datenschutz-Träumern, damals wären sie fast Wirklichkeit geworden.
Denn das EU-Parlament erarbeitete unter hohem Zeitdruck und unter Federführung der estnischen Sozialdemokratin Marju Lauristin seine Position zum Verordnungsvorschlag. Schnell bildete sich ein breites Bündnis aus Sozialdemokraten, Grünen, Linken und großen Teilen der Liberalen, die den teilweise etwas unentschlossenen Entwurf deutlich nachschärften. So wollten sie unter anderem ein Recht auf verschlüsselte Kommunikation festschreiben und die Regeln zu Do-Not-Track so ausgestalten, dass Unternehmen sie nicht mehr ignorieren können. Außerdem sollte es explizit verboten werden, Nutzer:innen auszuschließen, wenn sie Tracking ablehnen.
Von den demokratischen Parteien stellten sich nur die Konservativen erbittert gegen diese Pläne. Der CDU-Digitalpolitiker Axel Voss verglich Abgeordnete, die sich für den Datenschutz einsetzen, mit iranischen Religionswächtern, die nicht verstanden hätten, dass die Zeiten sich ändern. Statt Datenschutz müsse es jetzt ausschließlich um Datennutzung gehen. Kurz vor der entscheidenden Abstimmung im federführenden Bürgerrechtsausschuss brachen die Konservativen die Kompromissgespräche ab.
Damit wären die ambitionierten Reformpläne fast schon im Ausschuss gescheitert. Doch dann war da plötzlich Martin Sonneborn. Der Satirepolitiker der Partei die PARTEI saß eigentlich in einem anderen Ausschuss, fand sich aber überraschend als Vertretung für den dauerabwesenden NPD-Politiker Udo Voigt zur Abstimmung im Bürgerrechtsausschuss ein. Gemeinsam mit zwei Abgeordneten der italienischen Fünf-Sterne-Bewegung sicherte Sonneborn die Pro-Datenschutz-Mehrheit im Ausschuss. Im Herbst 2017 nahm das EU-Parlament die vorgeschlagene Position an, es sollte auf lange Zeit der letzte große Erfolg für die Datenschützer sein.
Im Dauerfeuer der Datenlobby
Auch für die ePrivacy-Reform war nach dem Durchmarsch im Parlament erstmal Schluss. Denn der Rat der Mitgliedstaaten dachte gar nicht daran, sich vom ambitionierten Zeitplan der Kommission unter Druck setzen zu lassen. Stattdessen nahm man sich gleich vier Jahre Zeit.
Denn in der Zwischenzeit war eine beispiellose Lobby-Kampagne der Datenindustrie angelaufen. Schon 2016 hatten sich die Branchenorganisationen der Online-Werbefirmen für eine ersatzlose Streichung aller ePrivacy-Regeln eingesetzt. Aufgeschreckt durch den Parlamentsbeschluss bildete sich dann ein breites Bündnis aller Firmen, die irgendwie Geld mit Werbung und Daten verdienen wollten. Dabei war ihnen kein Kaliber zu groß. Marketingverbände bebilderten die ePrivacy-Verordnung zu dieser Zeit gerne mit Atompilzen, weil sie Online-Werbung pulverisieren werde. Mit immer neuen offenen Briefen, einseitigen Auftragsstudien, Hinterzimmergesprächen und Internetfilmchen, die vor einer „App-okalypse“ durch Datenschutz warnen, macht die Industrie Stimmung. In Deutschland warnte der Bundesverband Digitalwirtschaft vor einem „Ende des Internet, wie wir es kennen“.
Auch die deutschen und europäischen Medienhäuser schlossen sich der unheiligen Allianz an. Springer, Spiegel, FAZ und viele andere, die sonst nicht müde wurden, vor der Bedrohung durch Big Tech zu warnen, lobbyierten nun Seite an Seite mit ihnen gegen die ePrivacy-Verordnung. Springer Chef-Matthias Döpfner nannte die Reform „Wahnsinn“, die Zeitungsverbände BDZV und VDZ sprachen von einem „Angriff auf den freien Journalismus“.
Mit Erfolg: Die Mitgliedstaaten beförderten den Gesetzentwurf direkt von der Überholspur aufs Abstellgleis. Während einige Staaten wie Deutschland immerhin an der ursprünglichen Idee der Verordnung festhielten, wollten andere sie gar in ein Datenfördergesetz umwidmen und beispielsweise Medienhäusern einen Blankoscheck fürs Tracking ausstellen. Zu einem deutlich verwässerten Beschluss konnte der Rat sich erst 2021 durchringen.
Die eprivacy-Verordnung ist tot, lang lebe der Datenschutz
Noch zäher als die Diskussionen im Rat waren die anschließenden Trilog-Verhandlungen mit dem EU-Parlament. Das jedenfalls berichtete die inzwischen federführende Parlamentarierin, die deutsche Sozialdemokratin Birgit Sippel. Die Positionen lagen inzwischen so weit auseinander, dass niemand mehr mit einer tatsächlichen Einigung rechnete.
Am Ende könnte die Beerdigung des Vorhabens deshalb sogar zum Befreiungsschlag werden. Denn die Probleme sind ja nicht weg. Im Gegenteil, wie zuletzt unsere Databroker-Files-Recherchen zeigten: Wenn selbst genaueste Standortdaten von Regierungsbeamten, Militärs und Geheimdienstler:innen, die angeblich mit deren Einwilligung gesammelt wurden, von Datenhändlern verschleudert werden, dann ist die EU beim Datenschutz der digitalen Kommunikation auf ganzer Linie gescheitert.
Aus der Geschichte der ePrivacy-Saga lernen wir, dass die Idee der informierten und freiwilligen Einwilligung als Werkzeug der informationellen Selbstbestimmung schon vor Einführung der Datenschutzgrundverordnung am Ende war. Die ePrivacy-Verordnung hätte ihr neues Leben einhauchen können, das aber hat die Datenindustrie verhindert. Jetzt bleiben nur noch radikalere Lösungen.
Am besten wäre ein grundsätzliches Verbot von Tracking, personalisierter Werbung und dem Handel mit personenbezogenen Daten. 2022 war eine parlamentarische Initiative zum Verbot von Targeted Advertising noch gescheitert. Inzwischen fordern immer mehr Organisationen genau das – von Umweltverbänden und dem CCC über den Verbraucherzentrale Bundesverband bis zum deutschen Verbraucherschutzministerium. Der beste Zeitpunkt dafür ist jetzt.
0 Ergänzungen