„Wir alle zahlen für Dienste im Internet mit unseren Daten“ – und wie die ePrivacy-Verordnung derartige Praktiken erschweren möchte

(Auszug, gesamter Beitrag hier als PDF)

Vor ca. einem Jahr, am 10. Januar 2017, hat die EU-Kommission den Entwurf für eine neue ePrivacy-Verordnung (im Folgenden „eP-VO“) veröffentlicht. Nach Zustimmung des zuständigen Ausschusses im Oktober 2017 hat sich das EU-Parlament eine Woche später mit wenigen Änderungen für den Entwurf ausgesprochen. Derzeit gibt es jedoch noch immer keinen rechtskräftigen Gesetzestext – gerade sind die Mitgliedstaaten im Rat der Europäischen Union am Zug, erst anschließend geht der Entwurf in die Verhandlungen zwischen Kommission, Parlament und Rat.

Die eP-VO regelt die Verarbeitung „elektronischer Kommunikationsdaten“ in „Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste“ und soll als lex specialis zur DS-GVO gelten. Erklärtes Ziel ist es, die Vertraulichkeit und Privatsphäre der elektronischen Kommunikation zu gewährleisten bzw zu steigern. Der Ausdruck „elektronische Kommunikationsdaten“ umfasst einerseits die Informationen bezüglich der übermittelten oder ausgetauschten Inhalte (u.a. Text, Sprache, Videos, Bilder), andererseits aber auch die Informationen, die zum Zweck der Übermittlung, Verbreitung oder Ermöglichung des Austauschs der Inhalte verarbeitet werden (sogenannte Metadaten: zB angerufene Nummern, besuchte Websites, geographische Standorte, Datum, Uhrzeit, Dauer und Art der Kommunikation, unabhängig davon, ob die Signale über Kabel, Funk, Mobilfunknetze oder Stromleitungssysteme übertragen werden). Grund dafür ist, dass sich auch aus Metadaten Schlussfolgerungen über das Privatleben der Beteiligten ziehen lassen (können), zB in Bezug auf ihre sozialen Beziehungen, Gewohnheiten oder Interessen.

Wie soll nun die Vertraulichkeit gestärkt werden?

  • Unter anderem sieht die eP-VO vor, dass sämtliche Eingriffe in die Übermittlung von elektronischen Kommunikationsdaten ohne Einwilligung aller Beteiligten grundsätzlich untersagt sein sollen. Ein solcher Eingriff liegt beispielsweise vor, wenn Dritte besuchte Websites und Zeitpunkt der Besuche „tracken“, also die Surfgewohnheiten von Nutzern ermitteln, um daraus Benutzerprofile zu erstellen. Es ist jedoch nicht jeglicher Umgang mit den Daten von vornherein untersagt: Eine Ausnahme von der Verpflichtung zur Einholung einer Einwilligung greift zB, wenn „kein oder bloß ein geringfügiger Eingriff in die Privatsphäre“ vorliegt, wobei dies auch bei einem Zugriff erfüllt sein soll, der „unbedingt notwendig und verhältnismäßig ist für den rechtmäßigen Zweck, die ausdrücklich gewünschte Nutzung zu ermöglichen„. Bei Cookies ist dies zB der Fall, wenn sie für die Dauer einer Sitzung nötig sind, um Eingaben beim Ausfüllen von Online-Formularen über mehrere Seiten mitzuverfolgen. Dem Begriff der „Datensparsamkeit“ soll damit insofern Rechnung getragen werden, als elektronische Kommunikationsdaten nur soweit verarbeitet werden, als sie zur Bereitstellung des konkreten jeweiligen Dienstes erforderlich sind; alles, was darüber hinausgeht, bedarf einer Einwilligung des Nutzers.
  • Endnutzer wollen (und sollen) die Kontrolle für die Verwendung der Daten für andere Zwecke als Übertragung der Kommunikation behalten, indem sie vorab in Verarbeitungen „ihrer“ Kommunikationsdaten für andere Zwecke einwilligen müssen. Die Praxis der digitalen Wirtschaft zeigt, dass Dienstleistungen, gerade online, heute oft für eine andere Gegenleistung als Geld angeboten werden, beispielsweise dafür, dass den Endnutzern Werbung angezeigt wird. Für solche Modelle gibt es nach der eP-VO Änderungsbedarf. Für eine rechtskonforme Einwilligung ist – ähnlich den Anforderungen der DS-GVO – eine eindeutig bestätigende (aktive) Handlung erforderlich, in der freiwillig, für einen bestimmten Fall, in informierter Weise und unmissverständlich die Zustimmung zur konkreten Verarbeitung, zB Speicherung oder Zugriff für einen konkret genannten Zweck, erklärt wird, wobei dies auch nachweisbar sein muss.
  • Die Bereitstellung von Informationen und auch die Einholung der Einwilligung sollen so benutzerfreundlich wie möglich erfolgen – das bedeutet, dass Nutzer nicht schon beim Besuch einer Website mit Anfragen, Kästchen und Pop-Ups überhäuft werden sollen. Eine mögliche Lösung für das Einholen von Einwilligungen liegt in entsprechenden (Vor-)Einstellungen im Browser oder in der jeweiligen Anwendung, wobei die dort getroffene Auswahl für Dritte verbindlich sein muss. Browser nehmen grundsätzlich eine Sonderstellung ein, weil sie einen Großteil der Vorgänge zwischen Endnutzern und Websites abwickeln. Sie sollen nach der eP-VO Endnutzern dabei helfen, das Speichern und den Zugriff zu Informationen zu regulieren, zB mittels einer Reihe von Einstellungsmöglichkeiten zu Cookies im Browser (von „streng: keine Cookies erlauben“ bis „niedrig: Cookies immer annehmen“).

Da die praktischen Auswirkungen der eP-VO groß sind, kam aus der Medienindustrie und Werbewirtschaft bereits heftige Kritik am Entwurf. Werbewirtschaft ist im Netz derzeit zumeist so organisiert, dass auf Websites eine große Anzahl von Distributoren für Bannerwerbung eingebunden ist. Für deren Anbieter ist es dadurch möglich, den Browser des Benutzers auszulesen oder Cookies zu setzen, darunter auch Tracking-Cookies, die nicht für die Funktionalität einer Website benötigt werden, sondern dem digitalen Marketing dienen. All diese Mechanismen sind jedoch nach der eP-VO an Einwilligungserfordernisse gebunden – dabei ist aber fraglich, ob Nutzer solche Einwilligungen, so sie die Möglichkeit zur Verweigerung haben, erteilen würden. Berücksichtigen die Anbieter nämlich zusätzlich das datenschutzrechtliche Kopplungsverbot, so dürfen sie ihr Service-Angebot nicht von einer Einwilligung des Nutzers abhängig machen, die über die „zur Erbringung einer Dienstleistung notwendige Datenverarbeitung“ hinausgeht. Das bedeutet, dass der Nutzer beispielsweise Online-Dienste nützen können muss, auch wenn er einer (für die Werbewirtschaft gewünschten) Datensammlung durch Cookies gerade nicht zustimmt. Diese Thematik ist auch in wettbewerbsrechtlicher Hinsicht auf EU-Ebene aktuell in den Fokus gerückt, wobei die zuständige EU-Kommissarin fordert, dass die Menschen sorgsamer werden sollten, was ihr Verhalten im Netz betrifft: „Es ist Zeit, mit der Fiktion aufzuräumen, dass Bürger im Internet für Dienste nichts zahlen. Natürlich tun sie das. Sie zahlen mit ihren Daten, und das nützt jemand aus und macht damit Geld. (…) Als Staatsbürger wird es unsere Aufgabe für die Zukunft sein herauszufinden, was der angemessene Preis für unsere Daten online ist.“ , so die dänische EU-Wettbewerbskommissarin in einem Interview am 12. Januar 2018.

Mag.a Sarah Pichler

Rechtsanwaltsanwärterin bei Stadler Völkel Rechtsanwälte > E-Mail: sarah.pichler@svlaw.at

Den gesamten Beitrag können Sie hier im PDF-Format herunterladen.