ePrivacy: EU will Datenhunger der Werbewirtschaft zügeln
Third-Party-Tracking soll künftig nur noch mit Einwilligung des Nutzers erlaubt sein. Es wird aber keine datenschutzfreundlichen Voreinstellungen im Browser geben. Dennoch ist der Entwurf der EU-Kommission ein Schritt in die richtige Richtung.
Die Europäische Kommission hat am Dienstag ihren finalen Entwurf der ePrivacy-Verordnung veröffentlicht. Die darin formulierten Vorschläge sollen unter anderem für einen besseren Schutz der Privatsphäre in der elektronischen Kommunikation sorgen. Bisher problematisch ist vor allem, dass Internetnutzer viele vermeintlich kostenlose Dienste mit ihren Daten „bezahlen“.
Konzerne wie Google oder Facebook sowie hunderte kleinere Unternehmen protokollieren im großen Stil das Surfverhalten ihrer Nutzer mittels Tracking, wie unsere Studie „Tracking the Trackers“ belegt. Die gesammelten Daten führen sie zu detaillierten persönlichen Profilen zusammen, um auf den jeweiligen Anwender zugeschnittene Anzeigen auszuliefern. Für sie geht es um Milliarden an Werbeeinnahmen.
An dem Konzept, sich mittels Werbung zu finanzieren ist an sich nichts falsch – auch Cliqz arbeitet daran, demnächst mit Werbung Geld zu verdienen. Jedoch dürfen dabei der Datenschutz und die Privatsphäre der Nutzer nicht auf der Strecke bleiben. Cliqz liefert mit seinem geplanten Werbemodell einen Gegenentwurf zur heute üblichen Praxis, die auf Tracking und möglichst umfassender Datensammelei basiert. Wir wollen beweisen, dass gezielte Werbung und Privatsphäre kein Widerspruch sind.
Third-Party-Tracking nicht ohne Einwilligung
Die ePrivacy-Novelle weitet die bisher nur für klassische Kommunikationsdienste wie Telefonie und SMS geltende Datenschutzrichtlinie 2002/58/EG auf sogenannte Over-the-Top-Services (OTT) aus, wozu E-Mail, Messaging, Social Media und Internettelefonie gehören. Sie ergänzt und konkretisiert die europäische Datenschutz-Grundverordnung (DSGVO).
Der 35-seitige Entwurf der Europäischen Kommission untersagt das Tracking durch Drittparteien mittels Cookies, Web Beacons oder Fingerprinting-Verfahren – sofern der Nutzer dem nicht zugestimmt hat. Künftig müssten Tracking-Betreiber demnach den bisher nicht verpflichtenden Do-not-Track-Befehl beachten, den der Browser auf Wunsch des Nutzers an Websites übermittelt. Allerdings ist diese datenschutzfreundliche Option nicht als Voreinstellung vorgesehen. Stattdessen muss ein Programm bei der Installation lediglich eine Anti-Tracking-Option anbieten. Hier geht die DSGVO einen Schritt weiter, indem sie „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ vorschreibt. Immerhin werden sich Nutzer aber bewusst für oder gegen Tracking entscheiden müssen, um die Installation einer Software abzuschließen.
Ein positiver Nebeneffekt: Die derzeit häufig beim ersten Besuch von Websites angezeigten Cookie-Bestimmungen, die von den meisten Anwendern ohnehin nicht gelesen und einfach weggeklickt werden, dürften teilweise verschwinden. Für Cookies, die keine Gefährdung der Privatsphäre darstellen, muss der Nutzer keine Zustimmung erteilen. Das gilt beispielsweise für das Speichern des Inhalts eines Warenkorbes auf einer Shopping-Site oder für die statistische Erfassung von Besuchern einer Webseite.
Werbeindustrie fürchtet um Einnahmen
Die ePrivacy-Verordnung sieht weiterhin vor, dass Verkehrs- bzw. Metadaten der Kommunikation einschließlich Standortdaten nur für bestimmte Zwecke verarbeitet werden dürfen, beispielsweise für Abrechnungen oder zur Gewährleistung der Sicherheit eines Dienstes. Für Werbung und andere Zwecke ist die Einwilligung des Nutzers oder eine Anonymisierung erforderlich. Die Analyse von Kommunikationsinhalten, wie sie etwa Google bei seinem E-Mail-Dienst betreibt, soll künftig die Zustimmung aller Kommunikationspartner voraussetzen. Der Internetkonzern müsste dann also auch die Kommunikationspartner von Gmail-Nutzern um Erlaubnis fragen, ob er Nachrichten auswerten darf.
Zugleich sollen Telekom-Firmen in Zukunft mehr Möglichkeiten erhalten, bestimmte Kommunikations- und Metadaten zu verarbeiten und darauf basierend zusätzliche Dienste anzubieten. Voraussetzung ist aber auch hier das Einverständnis des Anwenders. Bei Verstößen gegen die neuen Vorschriften drohen Unternehmen deutlich höhere Geldstrafen von bis zu vier Prozent des weltweiten Jahresumsatzes.
Einige Vertreter der Werbeindustrie warnen bereits, dass die Pläne der Kommission die Möglichkeit vieler Seiten- und Plattformbetreiber einschränkten, sich durch Werbung zu finanzieren und weiter kostenlose Inhalte bzw. Produkte anzubieten. Der Bundesverband digitale Wirtschaft (BVDW) sieht durch die Einwilligungspflicht zur Datenverarbeitung sogar „die Grundfeste der digitalen Gesellschaft“ gefährdet. „Diese Verordnung stellt etablierte und von den Verbrauchern akzeptierte Geschäftsmodelle in Frage und negiert fundamentale Prinzipien der Digitalen Wirtschaft. Das Internet, wie wir es heute kennen, wird es damit nicht mehr geben“, kommentierte BVDW-Vizepräsident Thomas Duhr.
Keine datenschutzfreundlichen Voreinstellungen
Während die Wirtschaft angesichts der Vorschläge der Europäischen Kommission teilweise um ihre werbebasierten Geschäftsmodelle fürchtet, gehen Verbraucher- und Datenschützern die geplanten Regelungen nicht weit genug. So erklärte Klaus Müller, Vorstand des Verbraucherzentrale Bundesverband (VZBV), der Gesetzesvorschlag der EU bleibe auf halber Strecke stehen:
„Leider sind die vorgeschlagenen Regelungen zum Tracking im Internet nicht konsequent. Für das Tracking soll künftig die Einwilligung der Nutzer notwendig sein, die diese über die Einstellungen ihrer Webbrowser abgeben können. Damit sollen die nervigen Cookie-Banner auf Webseiten obsolet werden. Die EU-Kommission konnte sich aber nicht dazu durchringen, zu regeln, dass die Webbrowser stets datenschutzfreundlich voreingestellt sein müssen. Zwar müssen die Nutzer künftig bei der Installation aktiv eine der Einstellungen auswählen – in einer Umfrage der EU-Kommission hatten sich jedoch 89 Prozent der Befragten für datenschutzfreundliche Voreinstellungen ausgesprochen.“
Wir finden: Der Entwurf der Kommission geht zumindest in die richtige Richtung. Bleibt zu hoffen, dass Lobbyisten ihn bis zur Genehmigung durch das Europäische Parlament und den Ministerrat nicht weiter verwässern. Dann könnte die ePrivacy-Verordnung, die zeitgleich mit der Datenschutz-Grundverordnung Ende Mai 2018 in Kraft treten soll, tatsächlich zu einem besseren Schutz der Privatsphäre im Web beitragen.