Worum geht es bei ePrivacy? Datenschutz und Cookies sind in der EU durch zwei verschiedene Gesetzeswerke geregelt: Die bekannte Datenschutz-Grundverordnung, kurz DSGVO, regelt die Grundsätze des Datenschutzes. Cookies, Tracking und die Verwendung von Daten aus dem Endgerät des Users sind bislang in einer ePrivacy-Richtlinie aus 2002 geregelt; diese soll durch eine neue ePrivacy-Verordnung ersetzt werden.
Doch wie darin eine faire Regelung aussehen soll, ist höchst umstritten. Unternehmensverbände sind besorgt (PDF), die ePrivacy-Verordnung könne die Entwicklung europäischer Startups gefährden und die „wesentliche Rolle der Presse und der Medien in unserer demokratischen europäischen Gesellschaft unterminieren“. Netzpolitik.org argwöhnt einen „Blankoscheck für Online-Tracking“.
Kritikpunkte an der ePrivacy-Verordnung
Im Kern geht es um die Frage, ob das Setzen von Cookies und profilbasierte Onlinewerbung standardmäßig erlaubt oder verboten sein soll, also unter Opt-Out (Erlaubt bis zum Widerspruch) oder Opt-In (Verboten bis zur Einwilligung) möglich sind. Da alle bisherigen Entwürfe wie auch die bisherige Richtlinie für die meisten Anwendungsfälle von Cookies eine Einwilligung verlangen, geht es vor allem um die Anforderungen an diese Einwilligung. Problematisch sind:
- Welche unkritischen Zwecke, wie Warenkorb, IT-Sicherheit oder Reichweitenmessung, sollen auch ohne Einwilligung möglich sein?
- Wie streng sollen die Anforderungen an eine Einwilligung sein? Und: Wie spielen die speziellen Regelungen der ePrivacy-VO mit den komplizierten generellen Regelungen der DSGVO zusammen?
- Gelten die von der Verfassung vorgegebenen Besonderheiten für Presse und Medien auch für die ePrivacy-VO oder gibt es hier ein weiteres Missverhältnis zur DSGVO?
- Verstärken solche strengen Regeln das Oligopol der großen US-amerikanischen Anbieter, die mit Marktmacht und „Walled Gardens“ recht einfach Einwilligungen einholen können?
- Wird es ein sogenanntes Kopplungsverbot geben, darf also ein Anbieter das Lesen seiner Seite an die Erteilung der Cookie-Einwilligung koppeln oder muss er seinen Content vollkommen kostenlos anbieten, wenn der User gegen Cookies und Werbeeinnahmen stimmt?
- Soll die ePrivacy-VO nur für personenbezogene, also menschliche Daten gelten oder auch für Maschineninformationen aus dem Internet of Things (IoT) – und wie erklärt ein Kühlschrank seine Einwilligung unter den strengen Vorgaben der DSGVO?
Hintergrund der ePrivacy-Verordnung
Wenn in Online-Kreisen von der ePrivacy-VO die Rede ist, werden meist nur deren Regelungen zu Cookies und den Daten aus Endgeräten gemeint (Artikel 4 und 8 bis 10 der diversen Entwürfe). Zu beachten ist, dass die ePrivacy-VO im Kern eine telekommunikationsrechtliche Verordnung ist – ihr Vor-Vorgänger war die ISDN-Richtlinie der EU.
Normen der EU, wie Verordnungen oder Richtlinien, werden nicht wie Gesetze in Deutschland einfach vom Parlament beschossen. Von den drei „Säulen der EU“ – der Kommission, dem Parlament und dem Rat – gibt es jeweils einen eigenen Entwurf. Diese werden dann im Rahmen des „Trilogs“ endverhandelt. Für die ePrivacy-Verordnung existiert ein Entwurf der Kommission vom Januar 2017 und ein Entwurf des Parlamentes vom Oktober 2017.
Der EU-Rat hat bislang keinen Entwurf verabschiedet. Dies wird auch dadurch erschwert, dass die Ratspräsidentschaft halbjährlich wechselt. Die derzeitige finnische Ratspräsidentschaft hat erhebliche Anstrengungen unternommen, um bis zum Ende ihrer Amtszeit am 31. Dezember einen Entwurf vorlegen zu können. In der entsprechenden Fach-Arbeitsgruppe wurde in den letzten Wochen um einen Kompromiss gerungen, der dann der politischen Arbeitsebene (COREPER) vorgeschlagen wurde. Dort haben Berichten zufolge über ein Dutzend Staaten – darunter Deutschland – gegen den umstrittenen Entwurf votiert.
Damit fehlt weiterhin ein dritter Entwurf für die Finalisierung der ePrivacy-Verordnung. Diese Entscheidung heißt nicht, dass die ePrivacy-Verordnung endgültig vom Tisch ist. Von der finnischen Ratspräsidentschaft wird es nun aber nur einen sogenannten Fortschrittsbericht geben. Im ersten Halbjahr 2020 wird Kroatien die Ratspräsidentschaft innehaben, im zweiten Halbjahr Deutschland. Beobachter gehen davon aus, dass es erst unter der deutschen Ratspräsidentschaft Chancen auf einen endgültigen Ratsentwurf geben wird. Mit Trilog-Verhandlungen, der Zeit für Übersetzungen und Formalien und einer zweijährigen Übergangsfrist dürfte die ePrivacy-VO damit kaum vor Ende 2023 Geltung erhalten.
Was hat es mit dem iab TCF 2.0 auf sich?
Unabhängig von der EU-Gesetzgebung wurde mit dem Transparency & Consent Framework (TCF 2.0) des Onlinemarketingverbands iab Europe ein Weg erarbeitet, um Usern individuelle Einwilligungen und Einstellungen zu einzelnen Cookies, Zwecken und AdTech-Vendoren zu ermöglichen. Auch wenn nicht sicher ist, ob die Datenschutzbehörden diesen Weg als vollkommen rechtskonform ansehen, wird TCF 2.0 als Branchenlösung angesehen. Auch Google hat bereits bekanntgegeben, voraussichtlich Ende des ersten Quartals 2020 TCF 2.0 zu nutzen und dies zur Voraussetzung zur Nutzung etlicher AdTech-Produkte zu machen. Für die Nutzung ist eine Consent Management Platform (CMP) und die Implementierung in Website beziehungsweise App erforderlich; hierfür gibt es inzwischen mehrere kommerzielle Anbieter.
Es bleibt nun beim europäischen Flickenteppich aus DSGVO, alter ePrivacy-Richtlinie, verschiedenen nationalen Umsetzungen und widersprüchlichen Ansagen der Datenschutz-Aufsichtsbehörden. In Deutschland steht weiterhin mit § 15 Abs. 3 TMG eine Opt-Out-Lösung im Gesetz, während die deutschen Aufsichtsbehörden die Auffassung publizieren, dass diese Norm nicht mehr anwendbar und sehr hohe Anforderungen an eine Einwilligung zu stellen seien (PDF). Der renommierte Richter und Datenschutz-Experte Malte Engeler erläutert in seinem Blog keck, wieso er – zumindest in einigen Fällen – trotzdem auf Cookie-Banner und Einwilligungen verzichtet. Die spanische Aufsichtsbehörde vertritt offiziell die Auslegung (PDF), dass auch ein „implicit consent“ durch Weitersurfen möglich sei – in den Augen deutscher Behörden ein Unding.
Wie ist die jetzige Rechtslage – braucht man Einwilligungen und Cookie-Banner?
Was ist nun wahr? Die einzig seriöse anwaltliche Auskunft ist: Das weiß man nicht. Man kann es nie ganz richtig, aber auch nie vollkommen falsch machen. Wer auf Einwilligungen setzt, muss sich bewusst sein, dass diese nach den Anforderungen der Aufsichtsbehörden praktisch immer unwirksam sind.
Diese Rechtsunsicherheit hilft nur mächtigen Konzernen, die mit einer großen Rechtsabteilung und ausreichender Kriegskasse die Möglichkeiten haben, Rechtsauffassungen der Aufsichtsbehörden zu hinterfragen oder sogar Musterprozesse zu führen. Startups und kleine Webseitenbetreiber sind verunsichert – auch durch die jüngsten Ankündigungen der Aufsichtsbehörden zu einem Verbot von Google Analytics – und werden ihre Angebote schlechter monetarisieren. Dies schadet Startups und dem Mittelstand, und dem User und dem Datenschutz ist damit kein bisschen geholfen – weder mit zusätzlichen Cookie-Bannern, Einwilligungen oder sonstiger Datenschutz-Bürokratie.
Zum Autor: Rechtsanwalt Dr. Olaf Koglin ist Datenschutzbeauftragter für mehrere Startups und arbeitet in der Rechtsabteilung der Axel Springer SE, die Gesellschafter der Business Insider Deutschland GmbH ist, dem Medienhaus von Gründerszene. Weitere Informationen zu Business Insider findet ihr hier: www.businessinsider.de/informationen/impressum.