ePrivacy-Verordnung

Votum gegen den digitalen Binnenmarkt

Am 26. Oktober 2017 hat das EU-Parlament mit knapper Mehrheit einen eigenen Entwurf für die geplante ePrivacy-Verordnung (ePrivacy-VO) beschlossen. Mit 318 zu 280 Stimmen (und 20 Enthaltungen) wurde ein wesentlich geschärfter Text angenommen, der nach Angaben der Macher den Schutz der Vertraulichkeit und den Datenschutz in der elektronischen Kommunikation vollkommen neu regeln soll. Die ganze Wahrheit zu den extremen Konsequenzen, nicht nur für die gesamte europäische Digitalwirtschaft, sondern vor allem auch für die Nutzer digitaler Dienste, geht im Datenschutz-Jubel freilich unter. Sollte der Entwurf wie geplant zum Gesetz werden, wird der von der EU-Kommission angestrebte digitale Binnenmarkt mit einem weitgehenden „free flow of data“ nicht funktionieren.

Jeder Datenaustausch betroffen

Denn der Regelungsbereich der neuen ePrivacy-VO erfasst nicht nur die klassische Telekommunikation und das Fernmeldegeheimnis. Elektronische Kommunikation soll nun jeder elektronische beziehungsweise digitale Datenaustausch sein – ob nun über ein Telekommunikationsnetz oder das Internet (z.B. webbasierte OTTs). Darin eingeschlossen sind im aktuellen Verordnungsentwurf aber alle Formen der Kommunikation zwischen Menschen und Menschen, Menschen und Endgeräten sowie Endgeräten und Endgeräten. Selbst der Gegenstand der Kommunikation ist unerheblich. Erfasst sind daher auch alle Datenaustausche zum Webseitenaufbau ebenso wie echte Telekommunikation.

Während es richtig und notwendig ist, die Vertraulichkeit von Kommunikationsdaten zu sichern und zu schützen, kann die digitale Welt nicht mit dem Argument des Datenschutzes auf Einwilligungsschranken für beinahe jede Art erweiterten Datenaustausches gestellt werden. Dies führte nicht nur zu einer Einschränkung der Kommunikationsfreiheit. Denn für alle Anwendungsbereiche wird künftig nicht nur das „Abfangen“ und „Überwachen“ von Telekommunikation verboten, sondern sogar jegliches „Verarbeiten“ von Kommunikationsdaten. Zwischen Datenschutz und dem Schutz des Telekommunikationsgeheimnisses bestehen aber elementare Unterschiede. Strengere Vertraulichkeits-ePrivacy-Regelungen als Spezialregelungen gegenüber der Datenschutzgrundverordnung (DSGVO) zu erklären wird dem Schutzauftrag nicht gerecht und entwertet die im Datenschutz notwendigen Abwägungen zwischen den Grundfreiheiten a) der Betroffenen und b) der privaten Unternehmen. Anders als im Verhältnis Bürger/Staat muss das Datenschutzrecht im nicht-öffentlichen Bereich solche aber vornehmen.

Die ePrivacyVO im
Widerspruch zur DSGVO?

Eine Ausweitung des Anwendungsverständnisses mit Bezug auf „elektronische Kommunikation“ führt auch zu unauflösbaren Widersprüchen zwischen Telekommunikations- und digitalem (Online-)Datenschutzrecht. Denn noch eines gehört zur Wahrheit dazu: In einem guten halben Jahr tritt eine neue DSGVO europaweit in Kraft. Sie regelt den Datenschutz on- und offline umfassend. Nicht umsonst wurden dort in Anerkennung eines nicht zu verleugnenden entsprechenden Regelungsbedarfs extra Bestimmungen zu Cookies und Co. verankert und die Art und Weise, wie Unternehmen solche Daten verarbeiten dürfen. Die geplante ePrivacy-Verordnung konterkariert mit einem strikten Einwilligungserfordernis und den engen Ausnahmen für jedwede Datenverarbeitung weite Teile dieser Regeln.

Als künftige Vorschaltregulierung werden nach DSGVO legale Datenverarbeitungen im Vorfeld unmöglich gemacht. Die geplanten Regelungen der ePrivacy-VO sind vollkommen inkohärent zu den für on- und offline Verarbeitungen gültigen DSGVO. Die Tatbestände der Datenverarbeitungsbefugnisse des Art. 6 DSGVO werden durch Art. 8 der ePrivacy-VO entwertet und damit praktisch aufgehoben. Die Folge ist Privacy by consent only: Die ePrivacy-VO setzt für die (werbe)wirtschaftlich notwendigen Datenverarbeitungen allein auf den Erlaubnistatbestand der Einwilligung. Sämtliche nach der DSGVO selbst für die Verarbeitung personenbezogener Daten zur Verfügung stehenden Erlaubnistatbestände, insbesondere die Verarbeitung aufgrund berechtigter Interessen und die Vertragsdatenverarbeitung, sind hiernach ausgeschlossen. Die Einwilligung als unverzichtbarer Erlaubnistatbestand. Gerade im Internet ist sie aber unter wettbewerbs- und datenschutzpolitischen Gesichtspunkten nicht die erste Wahl und die Verkürzung hierauf sogar die schlechteste. Abwägung beziehungsweise Privacy by design fehlt leider vollkommen: Hier muss Privacy by design bedeuten, dass die Verarbeitung bestimmter, risikoarmer Datenkategorien (Nutzungsdaten, § 15 Abs. 3 TMG) unter besonderer technischer Absicherung auch ohne diese funktionieren können muss. Einwilligungsmarathons werden keine bessere Selbstbestimmung generieren, im Gegenteil.

Kopplungsverbot untergräbt Finanzierungsmodelle

Die nachträglichen ePrivacy-Änderungen werden aber nicht nur die Webseitenbesuche für Nutzer erschweren. Webseitenbetreiber sollen kostenfreie – weil werbefinanzierte – Dienste künftig ohne Datenverarbeitungsmodelle anbieten müssen, wenn ein Nutzer nicht darin einwilligt. Dieses Kopplungsverbot untergräbt die legitimen Finanzierungsmodelle der für Nutzer kostenfrei nutzbaren Angebote. Wer nicht kostenfrei anbietet, soll entweder eine Bezahlschranke einbauen oder muss das Angebot einstellen. Ausnahmen sollen nur dort greifen, wo es ausschließlich um die Erbringung des vom Nutzer angeforderten Dienstes (z.B. Warenkorb-Cookie) oder der Analyse des eigenen Webtraffics (Besucher auf der Webseite) geht. Sosehr dies nach Selbstbestimmung klingt, so zerstörerisch und rückwärtsgewandt wirkt dies vor dem Hintergrund der Funktionsweise heutiger Netzstrukturen. Tracking ist nicht gleich Tracking. Im digitalen Umfeld ist jede Messung als Tracking zu qualifizieren. Webanalyse soll aber nur noch durch den Dienstebetreiber selbst erlaubt sein. Es fehlt eine ausgleichende gesetzliche Regel, nach der die Verarbeitung bestimmter Datenkategorien ohne Einwilligung dann erlaubt sein kann, wenn der Drittanbieter transparent informiert, die Daten sicher und z.B. pseudonym verarbeitet und dem Nutzer ein Widerspruchsrecht einräumt. Dies wäre echte Privacy by design.

Stattdessen soll allein der Browser als Gatekeeper Datenverarbeitungen durch Dritte künftig nicht nur kontrollieren, sondern sogar per default verhindern – so kann Privacy by design nicht funktionieren. Denn es geht nicht nur um Browser, sondern um sämtliche Software, die Kommunikationsverbindungen erlaubt. Der Entwurf enthält auch keine Verpflichtung der Zugangswächter, anderweitig erklärte Einwilligungen technisch direkt zu vollziehen. Pseudo-Datenschutz als Wirtschaftsrecht, die Konsequenzen werden weit über die digitale Wirtschaft hinaus spürbar sein: Angebote werden verschwinden oder kostenpflichtig. Nutzer, die sich umentscheiden, werden mit unzähligen Einwilligungsaufforderungen und seitenlangen Informationstexten konfrontiert. Jede Einwilligung für jede Webseite und Verarbeitung müsste der Browser speichern und wird zum Zugangswächter. Einwilligungs-Plattformen, die heute schon den Markt dominieren, werden es künftig umso mehr. Neue europäische Geschäftsmodelle und ein starker digitaler Binnenmarkt werden so bereits im Keim erstickt. Es ist an der Zeit, den hinter dem Entwurf stehenden politischen Aktivismus als das zu benennen, was er ist: digitalfeindlich und sicherlich nicht im Interesse der Online-Nutzer. Der digitale Binnenmarkt wird so künftig weniger Mitspieler kennen. Die Konsequenzen für die deutsche Digitalwirtschaft sind sicher keine guten.

Diese Art der nachträglichen Spezialregulierung hat noch einen weiteren, gravierenden Nachteil für die digitale Wirtschaft. Es wird massiv Rechtsunsicherheit geschaffen. Denn solange nicht klar ist, wie die neuen ePrivacy-Regeln tatsächlich aussehen werden, ist auch ein Einstellen auf die kommende DSGVO kaum möglich. Verantwortungsvolle Regulierung sieht anders aus.

Michael Neuber, Justiziar
 und Leiter Recht im Bundesverband 
Digitale Wirtschaft (BVDW) e.V.
Weitere Informationen und Hintergründe zur DSGVO und ePrivacy-VO finden Sie im BVDW-Infoportal.